使用带外管理的示例方案
应用到: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
本主题中的下列部分提供了如何在 Configuration Manager 2007 SP1 中使用带外管理的示例方案:
部署新计算机
打开计算机以安装应用程序
关闭计算机以防范安全攻击
为故障计算机重建映像
配置 BIOS 设置
诊断故障计算机
使用 LAN 唤醒和开机命令实现软件更新符合性
备注
本主题中的信息仅适用于 Configuration Manager 2007 SP1 和更高版本。
在 Woodgrove Bank 的所有这些方案中,Configuration Manager 管理员 Mary North 在整个 Configuration Manager 层次结构中实施了带外管理。台式计算机基于 AMT,符合带外管理的所有先决条件。
部署新计算机
下列方案示范了如何使用带外管理在裸机上安装操作系统和应用程序。
Woodgrove Bank 收到一批要分发到不同分支位置的新计算机。公司的策略不允许这些计算机使用 PXE 安装,而派遣工程师到各分支位置手动安装操作系统和所需应用程序也相当耗时。然而,网络上存在一个包含所需操作系统、自定义应用程序和设置以及 Configuration Manager 客户端的映像文件。
为确保计算机能够启动并同时以符合公司策略的方式高效运行,Mary North 决定采用下表中列出的操作过程。
过程 | 参考 |
---|---|
基于 AMT 的计算机带有包含下列设置的自定义固件映像:
|
|
Mary 列出了新计算机的详细信息,包括 MAC 地址和 UUID。 她根据计算机详细信息创建一个逗号分隔值 (CSV) 文件,一行对应一台计算机,使用的条目类似如下: NEWCOMP1,NEWCOMP1.woodgrovebank.com,55555555-5555-5555-5555-555555555555,05:06:07:08:09:0A 她创建一个不含任何成员的新集合。 她右键单击“集合”,然后单击“导入要进行带外管理的计算机向导”。她在运行向导时指定下列各项:
然后,Mary 为每台基于 AMT 的计算机创建 DHCP 保留,并在 DHCP 保留中指定她在 CSV 文件中使用的相同 MAC 地址。 |
有关详细信息,请参阅下列主题: |
Mary 通过将“AMT 状态”列添加到 Configuration Manager 控制台并定期刷新显示来监视这些计算机的设置状态。 对于显示“已设置”的每台计算机,Mary 使用以下值在 DNS 中手动创建一个主机记录:
|
|
Mary 连接到使用带外管理控制台设置的每台基于 AMT 的计算机,然后执行下列操作:
|
有关详细信息,请参阅下列主题: |
作为上述操作过程的结果,新计算机以一种符合公司要求的方式进行部署,而无需对计算机进行本地访问。
打开计算机以安装应用程序
下列方案示范了在不使用传统唤醒数据包的情况下,如何使用带外管理来打开计算机以安装应用程序(或执行例行维护)。
Woodgrove Bank 的市场部门已获准在 5 台计算机上安装非标准应用程序。Mary North 已经为这 5 台计算机创建了集合和播发以尽快安装应用程序。在确定一个所有用户都不会打开计算机,也不会感到任何不便的时间段后,她执行下表中的操作来打开计算机以便能够安装应用程序。
过程 | 参考 |
---|---|
Mary 在 Configuration Manager 控制台中查找计算机,然后执行下列操作:
然后监视应用程序的安装进度。 |
|
如果需要,在安装完成后,她通过使用 Configuration Manager 远程控制工具并在 Windows 中选择关闭计算机选项,分别关闭每台计算机。 备注 由于不能正常关闭操作系统,带外管理关机命令在此处不适用。 |
作为上述操作过程的结果,应用程序在工作时间之外完成安装,而不通过网络发送唤醒数据包、无需计算机保持开机或无需对计算机进行本地访问。
关闭计算机以防范安全攻击
下列方案示范了在计算机必须关闭但无法以正常方式关闭时,如何使用带外管理来关闭计算机。关闭计算机电源应始终视为下策,因为这样做无异于拔掉计算机的电源线:操作系统未正确关闭、未保存的工作丢失、登录用户未得到关闭电源操作的通知。
Woodgrove Bank 使用一套入侵检测系统来监视服务器和网络上的可疑活动。在清晨,系统发出警报,指示其中一台服务器上出现安全攻击。虽然台式计算机在夜间通常是关闭的,但有些用户却未关闭计算机。这些计算机需要立即关闭以防范安全威胁。
为帮助台式计算机防范安全威胁,安全管理员执行下表中的操作。
过程 | 参考 |
---|---|
安全管理员确定未关闭的台式计算机并在 Configuration Manager 控制台中找到它们。 她执行下列操作:
|
作为上述操作过程的结果,这些计算机易受安全攻击威胁的风险大大降低。
为故障计算机重建映像
下列方案示范了在其他诊断步骤均失败时如何使用带外管理为故障计算机重建映像。
Woodgrove Bank 有一条咨询台策略,要求妨碍业务连续性的所有计算机桌面问题都必须在规定期限内解决。计算机本地不存储数据,所以为这些计算机重建映像是解决报告的此类问题的最有效方法。然而在过去,这意味着咨询台工程师必须亲临现场,否则计算机必须运送到咨询台位置以及从咨询台运走。
为了更有效地重建故障计算机的映像,咨询台工程师执行下表中列出的操作过程。
过程 | 参考 |
---|---|
咨询台工程师在 Configuration Manager 控制台中查找有问题的计算机,并确认她不能使用 Configuration Manager 远程工具连接到客户端计算机。 她使用带外管理控制台连接到客户端计算机。 |
|
咨询台工程师然后执行下列操作:
|
|
当天晚些时候,工程师检查计算机的状态并确认该计算机已按照要求恢复运行。她在指定时限内关闭了咨询台票证。 |
公司特定过程。 |
作为上述操作过程的结果,在无需本地访问,甚至在操作系统不响应的情况下,为计算机有效重建了映像。此控制级别有助于及时解决关键问题,确保公司业务的高度连续性。
配置 BIOS 设置
下列方案示范了在无需对计算机进行本地访问的情况下,如何使用带外管理来配置台式计算机的 BIOS 设置。
Woodgrove Bank 的咨询台收到两台新部署的计算机未成功启动的通知。这是自定义构建,工程师怀疑 BIOS 设置配置不当。
咨询台工程师执行下表中列出的操作过程,以便在无需对计算机进行本地访问的情况下检查 BIOS 设置。
过程 | 参考 |
---|---|
咨询台工程师在 Configuration Manager 控制台中找到有问题的计算机,然后使用带外管理控制台连接到该计算机。 |
|
咨询台工程师随后依次对每台计算机执行下列操作:
计算机自动重新启动并从正确的磁盘成功加载操作系统。 |
|
工程师确认这两台计算机现在运行正常,然后关闭咨询台票证。 |
公司特定过程。 |
作为上述操作过程的结果,解决这些计算机问题所用时间大幅减少,因为无需对计算机进行本地访问。
诊断故障计算机
下列方案示范了在无需对计算机进行本地访问的情况下,如何使用带外管理对故障台式计算机(例如操作系统停止响应或不能加载)运行诊断命令和实用程序。
Woodgrove Bank 的咨询台收到计算机已停止响应的通知。为诊断计算机,咨询台工程师执行下表中列出的操作过程。
过程 | 参考 |
---|---|
咨询台工程师在 Configuration Manager 控制台中找到有问题的计算机,然后使用带外管理控制台连接到该计算机。 |
|
咨询台工程师然后执行下列操作:
|
|
工程师确认计算机重新启动并成功加载操作系统。 计算机已恢复运行,因此她关闭了票证,但同时申请更换硬盘以防将来再次出现相同问题。 |
公司特定过程。 |
作为上述操作过程的结果,解决此计算机问题所用时间大幅减少,因为无需对计算机进行本地访问。
使用 LAN 唤醒和开机命令实现软件更新符合性
下列方案示范了如何在 Configuration Manager 中对软件更新使用带外管理,以帮助在指定时间框架内实现较高的软件更新安装成功率。
Woodgrove Bank 的安全策略要求网络上所有运行 Windows 的计算机都必须在关键安全软件更新发布后的两周内安装它们。尽管 Configuration Manager 管理员在更新发布后一周内部署这些更新,他在服务器上安装这些软件更新的成功率是 100%,但在台式计算机上的安装成功率只有 80%。通过调查发现,未安装软件更新的计算机因各种原因已经关闭 - 例如,用户在度假或因病缺勤,或者因为计算机不是每天都要使用而只在需要使用特定应用程序或进程时才打开。
此外,安全策略也禁止通过网络发送唤醒数据包,但通常没有足够时间来跟踪每台计算机、打开计算机然后安装所需软件更新以满足符合性截止时间。
为帮助以及时有效的方式实现一定的符合性级别,Mary North 决定采用下表中列出的操作过程。
过程 | 参考 |
---|---|
Mary 为层次结构中的主站点启用 LAN 唤醒并选择下列选项:仅使用开机命令。 |
|
她检查带外服务点属性中的数据包传输设置并做出少量更改。 |
|
她查阅文档中关于开启多台计算机可能需要的额外时间的相关信息并制定相应计划,即通过创建不同的计算机集合以分批配置软件更新部署。 |
|
Mary 严密监视关键软件更新的安装。对于尚未安装软件更新的计算机,她创建包含软件更新的新部署,但这次还针对新部署配置了 LAN 唤醒。她确定将此软件更新部署分批应用到创建的集合。 |
作为上述操作过程的结果,大部分计算机在一周内都安装了关键软件更新。这样还剩下一周的宽松时间来跟踪并纠正少量仍需要软件更新的台式计算机,它们可能是因为在收到软件更新部署前进入了睡眠模式,或者因为计算机未通电。
通过对大部分计算机使用具有截止时间的软件更新组合、对少数已关闭的计算机使用 LAN 唤醒与开机命令、对极少数不兼容的计算机进行手动干预,现在 Woodgrove Bank 每个月都可满足其符合性级别。
另请参阅
引用
概念
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。