使用带外管理的示例方案

应用到: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

本主题中的下列部分提供了如何在 Configuration Manager 2007 SP1 中使用带外管理的示例方案：

• 部署新计算机

• 打开计算机以安装应用程序

• 关闭计算机以防范安全攻击

• 为故障计算机重建映像

• 配置 BIOS 设置

• 诊断故障计算机

• 使用 LAN 唤醒和开机命令实现软件更新符合性

备注

本主题中的信息仅适用于 Configuration Manager 2007 SP1 和更高版本。

在 Woodgrove Bank 的所有这些方案中，Configuration Manager 管理员 Mary North 在整个 Configuration Manager 层次结构中实施了带外管理。台式计算机基于 AMT，符合带外管理的所有先决条件。

部署新计算机

下列方案示范了如何使用带外管理在裸机上安装操作系统和应用程序。

Woodgrove Bank 收到一批要分发到不同分支位置的新计算机。公司的策略不允许这些计算机使用 PXE 安装，而派遣工程师到各分支位置手动安装操作系统和所需应用程序也相当耗时。然而，网络上存在一个包含所需操作系统、自定义应用程序和设置以及 Configuration Manager 客户端的映像文件。

为确保计算机能够启动并同时以符合公司策略的方式高效运行，Mary North 决定采用下表中列出的操作过程。

过程	参考
基于 AMT 的计算机带有包含下列设置的自定义固件映像： 内部根证书颁发机构的证书指纹。 这些计算机的域后缀。 设置服务器配置为使用带外服务点站点系统服务器的 IP 地址。 启用 Serial over LAN 和 IDE 重定向。	决定是否需要从计算机制造商获取自定义固件映像
Mary 列出了新计算机的详细信息，包括 MAC 地址和 UUID。 她根据计算机详细信息创建一个逗号分隔值 (CSV) 文件，一行对应一台计算机，使用的条目类似如下： NEWCOMP1,NEWCOMP1.woodgrovebank.com,55555555-5555-5555-5555-555555555555,05:06:07:08:09:0A 她创建一个不含任何成员的新集合。 她右键单击“集合”，然后单击“导入要进行带外管理的计算机向导”。她在运行向导时指定下列各项： 使用文件导入计算机。 已准备的 CSV 文件。 创建的集合。 然后，Mary 为每台基于 AMT 的计算机创建 DHCP 保留，并在 DHCP 保留中指定她在 CSV 文件中使用的相同 MAC 地址。	有关详细信息，请参阅下列主题： 如何创建集合 导入要进行带外管理的计算机向导 如何针对 AMT 设置计算机
Mary 通过将“AMT 状态”列添加到 Configuration Manager 控制台并定期刷新显示来监视这些计算机的设置状态。 对于显示“已设置”的每台计算机，Mary 使用以下值在 DNS 中手动创建一个主机记录： 主机名与在 CSV 文件中指定为 FQDN 的部分相同。 DHCP 保留的相同 IP 地址与 CSV 文件中指定为 FQDN 的部分的主机名匹配。	如何识别针对 AMT 进行了设置的计算机
Mary 连接到使用带外管理控制台设置的每台基于 AMT 的计算机，然后执行下列操作： 她单击“电源控制”，选择用于 IDE 重定向的启动选项，接着输入安装操作系统所使用映像的网络路径、自定义应用程序和设置以及 Configuration Manager 客户端。然后单击“开机”。 她单击“系统状态”并刷新控制台以确认电源状态更改，然后关闭控制台。	有关详细信息，请参阅下列主题： 如何运行带外管理控制台 如何使用带外管理来打开或重新启动计算机

作为上述操作过程的结果，新计算机以一种符合公司要求的方式进行部署，而无需对计算机进行本地访问。

打开计算机以安装应用程序

下列方案示范了在不使用传统唤醒数据包的情况下，如何使用带外管理来打开计算机以安装应用程序（或执行例行维护）。

Woodgrove Bank 的市场部门已获准在 5 台计算机上安装非标准应用程序。Mary North 已经为这 5 台计算机创建了集合和播发以尽快安装应用程序。在确定一个所有用户都不会打开计算机，也不会感到任何不便的时间段后，她执行下表中的操作来打开计算机以便能够安装应用程序。

过程	参考
Mary 在 Configuration Manager 控制台中查找计算机，然后执行下列操作： 选择这 5 台计算机并单击鼠标右键。 单击“带外管理”，然后单击“电源控制”。 选择“开机”。 单击“确定”确认操作。 然后监视应用程序的安装进度。	如何使用带外管理来打开或重新启动计算机
如果需要，在安装完成后，她通过使用 Configuration Manager 远程控制工具并在 Windows 中选择关闭计算机选项，分别关闭每台计算机。 备注 由于不能正常关闭操作系统，带外管理关机命令在此处不适用。	如何对客户端计算机进行远程管理

作为上述操作过程的结果，应用程序在工作时间之外完成安装，而不通过网络发送唤醒数据包、无需计算机保持开机或无需对计算机进行本地访问。

关闭计算机以防范安全攻击

下列方案示范了在计算机必须关闭但无法以正常方式关闭时，如何使用带外管理来关闭计算机。关闭计算机电源应始终视为下策，因为这样做无异于拔掉计算机的电源线：操作系统未正确关闭、未保存的工作丢失、登录用户未得到关闭电源操作的通知。

Woodgrove Bank 使用一套入侵检测系统来监视服务器和网络上的可疑活动。在清晨，系统发出警报，指示其中一台服务器上出现安全攻击。虽然台式计算机在夜间通常是关闭的，但有些用户却未关闭计算机。这些计算机需要立即关闭以防范安全威胁。

为帮助台式计算机防范安全威胁，安全管理员执行下表中的操作。

过程	参考
安全管理员确定未关闭的台式计算机并在 Configuration Manager 控制台中找到它们。 她执行下列操作： 选择这些计算机并单击鼠标右键。 单击“带外管理”，然后单击“电源控制”。 选择“关机”。 单击“确定”确认操作。	如何使用带外管理关闭计算机

作为上述操作过程的结果，这些计算机易受安全攻击威胁的风险大大降低。

为故障计算机重建映像

下列方案示范了在其他诊断步骤均失败时如何使用带外管理为故障计算机重建映像。

Woodgrove Bank 有一条咨询台策略，要求妨碍业务连续性的所有计算机桌面问题都必须在规定期限内解决。计算机本地不存储数据，所以为这些计算机重建映像是解决报告的此类问题的最有效方法。然而在过去，这意味着咨询台工程师必须亲临现场，否则计算机必须运送到咨询台位置以及从咨询台运走。

为了更有效地重建故障计算机的映像，咨询台工程师执行下表中列出的操作过程。

过程	参考
咨询台工程师在 Configuration Manager 控制台中查找有问题的计算机，并确认她不能使用 Configuration Manager 远程工具连接到客户端计算机。 她使用带外管理控制台连接到客户端计算机。	如何运行带外管理控制台
咨询台工程师然后执行下列操作： 她单击“电源控制”，选择用于 IDE 重定向的启动选项，接着输入重新安装操作系统所使用映像的网络路径、自定义应用程序和设置以及 Configuration Manager 客户端。然后单击“重新启动计算机”。	如何使用带外管理来打开或重新启动计算机
当天晚些时候，工程师检查计算机的状态并确认该计算机已按照要求恢复运行。她在指定时限内关闭了咨询台票证。	公司特定过程。

作为上述操作过程的结果，在无需本地访问，甚至在操作系统不响应的情况下，为计算机有效重建了映像。此控制级别有助于及时解决关键问题，确保公司业务的高度连续性。

配置 BIOS 设置

下列方案示范了在无需对计算机进行本地访问的情况下，如何使用带外管理来配置台式计算机的 BIOS 设置。

Woodgrove Bank 的咨询台收到两台新部署的计算机未成功启动的通知。这是自定义构建，工程师怀疑 BIOS 设置配置不当。

咨询台工程师执行下表中列出的操作过程，以便在无需对计算机进行本地访问的情况下检查 BIOS 设置。

过程	参考
咨询台工程师在 Configuration Manager 控制台中找到有问题的计算机，然后使用带外管理控制台连接到该计算机。	如何运行带外管理控制台
咨询台工程师随后依次对每台计算机执行下列操作： 单击“电源控制”，选择 BIOS 设置的启动选项，然后单击“开机”。 单击“串行连接”并等待 BIOS 设置显示。BIOS 设置显示后，她发现为计算机配置了错误的启动磁盘。她做出必要的更改，然后保存新的 BIOS 设置。 计算机自动重新启动并从正确的磁盘成功加载操作系统。	如何使用带外管理配置计算机的 BIOS 设置
工程师确认这两台计算机现在运行正常，然后关闭咨询台票证。	公司特定过程。

作为上述操作过程的结果，解决这些计算机问题所用时间大幅减少，因为无需对计算机进行本地访问。

诊断故障计算机

下列方案示范了在无需对计算机进行本地访问的情况下，如何使用带外管理对故障台式计算机（例如操作系统停止响应或不能加载）运行诊断命令和实用程序。

Woodgrove Bank 的咨询台收到计算机已停止响应的通知。为诊断计算机，咨询台工程师执行下表中列出的操作过程。

过程	参考
咨询台工程师在 Configuration Manager 控制台中找到有问题的计算机，然后使用带外管理控制台连接到该计算机。	如何运行带外管理控制台
咨询台工程师然后执行下列操作： 她单击“电源控制”，选择用于 IDE 重定向的启动选项，在 IDE 重定向路径中指定诊断实用程序的路径和文件，然后单击“重新启动计算机”。 她单击“串行连接”并等待计算机从包含诊断实用程序的映像启动。通过诊断，她发现磁盘存在很多坏扇区。她选择修复坏扇区的选项，然后退出实用程序。 她单击“电源控制”，单击“重新启动计算机”并关闭带外管理控制台。	如何使用带外管理为计算机运行命令、修复实用程序和诊断应用程序
工程师确认计算机重新启动并成功加载操作系统。 计算机已恢复运行，因此她关闭了票证，但同时申请更换硬盘以防将来再次出现相同问题。	公司特定过程。

作为上述操作过程的结果，解决此计算机问题所用时间大幅减少，因为无需对计算机进行本地访问。

使用 LAN 唤醒和开机命令实现软件更新符合性

下列方案示范了如何在 Configuration Manager 中对软件更新使用带外管理，以帮助在指定时间框架内实现较高的软件更新安装成功率。

Woodgrove Bank 的安全策略要求网络上所有运行 Windows 的计算机都必须在关键安全软件更新发布后的两周内安装它们。尽管 Configuration Manager 管理员在更新发布后一周内部署这些更新，他在服务器上安装这些软件更新的成功率是 100%，但在台式计算机上的安装成功率只有 80%。通过调查发现，未安装软件更新的计算机因各种原因已经关闭 - 例如，用户在度假或因病缺勤，或者因为计算机不是每天都要使用而只在需要使用特定应用程序或进程时才打开。

此外，安全策略也禁止通过网络发送唤醒数据包，但通常没有足够时间来跟踪每台计算机、打开计算机然后安装所需软件更新以满足符合性截止时间。

为帮助以及时有效的方式实现一定的符合性级别，Mary North 决定采用下表中列出的操作过程。

过程	参考
Mary 为层次结构中的主站点启用 LAN 唤醒并选择下列选项：仅使用开机命令。	如何使用带外管理将站点配置为发送计划唤醒活动的开机命令
她检查带外服务点属性中的数据包传输设置并做出少量更改。	如何为计划的唤醒活动配置开机传输
她查阅文档中关于开启多台计算机可能需要的额外时间的相关信息并制定相应计划，即通过创建不同的计算机集合以分批配置软件更新部署。	在带外管理开机命令和 LAN 唤醒的唤醒数据包之间选择
Mary 严密监视关键软件更新的安装。对于尚未安装软件更新的计算机，她创建包含软件更新的新部署，但这次还针对新部署配置了 LAN 唤醒。她确定将此软件更新部署分批应用到创建的集合。	如何为软件更新部署配置 LAN 唤醒

作为上述操作过程的结果，大部分计算机在一周内都安装了关键软件更新。这样还剩下一周的宽松时间来跟踪并纠正少量仍需要软件更新的台式计算机，它们可能是因为在收到软件更新部署前进入了睡眠模式，或者因为计算机未通电。

通过对大部分计算机使用具有截止时间的软件更新组合、对少数已关闭的计算机使用 LAN 唤醒与开机命令、对极少数不兼容的计算机进行手动干预，现在 Woodgrove Bank 每个月都可满足其符合性级别。

另请参阅

引用

带外管理控制台

概念

带外管理概述

其他资源

带外管理任务
带外管理的技术参考

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。