实施带外管理的示例方案
应用到: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
本主题中的下列各节提供在 Configuration Manager 2007 SP1 和更高版本中实施带外管理的示例方案:
新计算机的带外 AMT 设置
Configuration Manager 客户端计算机的带内 AMT 设置
使用 Configuration Manager 2007 SP2 对无线网络进行 AMT 设置
备注
本主题中的信息仅适用于 Configuration Manager 2007 SP1 和更高版本。
在以下方案中,公司已经拥有了一个使用 Windows Server 2003 Certificate Services 的现有公钥基础结构 (PKI) 和一个运行 Windows Server 2003 Enterprise Edition 的企业证书颁发机构。
新计算机的带外 AMT 设置
此方案演示您是如何将针对 AMT 设置的计算机的带外设置用于尚未安装操作系统的新计算机。
A. Datum Corporation 购买了一批基于 AMT 的新计算机,并且满足 Configuration Manager 2007 中的带外管理的所有先决条件。该公司最近已将其中央站点更新到 Configuration Manager 2007 SP1,但其他站点仍在运行 Configuration Manager 2007,并且所有 Configuration Manager 客户端也仍在运行 Configuration Manager 2007。
在客户端升级到在 Configuration Manager 2007 SP1 和更高版本中支持 AMT 的版本之前,不能对这些计算机进行带内设置。
Tommy Hartono 是 Configuration Manager 管理员,负责在中央站点中设置这些计算机。这些计算机将全部加入该公司的单个域中,并且它们符合在 Configuration Manager 2007 SP1 和更高版本中支持带外管理的所有要求。
基于 AMT 的计算机没有自定义的固件映像,其经理允许 Tommy 向其中一个外部证书颁发机构 (CA) 购买在这些计算机的固件中配置的 AMT 配置证书。
为了设置这些新的基于 ATM 的带外计算机,Tommy 采取下表中列出的操作过程:
过程 | 参考 |
---|---|
Tommy 检查带外管理的先决条件,并对它的 Configuration Manager 站点进行下列更改:
|
有关修补程序的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=106107(页面可能为英文)。 要下载 WinRM 的最新版本并了解详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=105682(页面可能为英文)。 |
接着,Tommy 与他的 Active Directory 服务管理员合作,在 adatum.com 域中为基于 AMT 的已发布计算机对象创建 OU,并对该 OU 进行配置,以便站点服务器可以完全控制此 OU 及其所有子对象。 在准备 PKI 证书的过程中,还创建了以下 Windows 安全组:
|
有关详细信息,请参阅下列主题: |
Tommy 还与他的基础结构服务小组合作,得到以下结果:
|
有关用于带外管理通信的端口的详细信息,请参阅带外管理的先决条件中作为外部依赖关系的端口信息。 有关 DNS 和 DHCP 设置的详细信息,请参阅下列主题: |
Tommy 与 PKI 团队合作,得到下列结果:
|
有关如何部署带外管理所需的 PKI 证书的指南,请参阅AMT 和带外管理所需的 PKI 证书的分步部署示例:Windows Server 2003 证书颁发机构。 有关证书要求的详细信息,请参阅带外管理的证书要求。 有关如何在带外管理中使用证书的详细信息,请参阅关于带外管理的证书。 |
接着,Tommy 配置中央站点,并在主站点中进行下列更改:
|
有关详细信息,请参阅下列主题: |
接着,Tommy 执行了针对 AMT 设置带外计算机所需的最后一些步骤,操作如下所示:
|
有关详细信息,请参阅下列主题: |
Tommy 提供的说明指出,应在导入计算机时连接电源线和网络适配器,但不需要将其打开。 监视设置过程。 |
有关详细信息,请参阅如何识别针对 AMT 进行了设置的计算机。 |
此操作过程的结果是针对 AMT 对新计算机进行了设置。在每台计算机上安装操作系统之后,使用在 CSV 文件中指定的同一 FQDN,现在便可以对这些计算机进行带外管理。
Configuration Manager 客户端计算机的带内 AMT 设置
此方案演示您可以如何将带内设置用于运行 Configuration Manager 2007 SP1 客户端并基于 AMT 的计算机。
Trey Research 拥有 Configuration Manager 2007 SP1 层次结构,并且有兴趣使用带外管理来管理位于远程办公室中的计算机。该公司从同一个供应商购买所有的计算机。因为这些计算机直接在远程办公室交货,所以用特定于 Trey Research 的版本映像进行了安装,安装内容包括 Windows 操作系统、标准应用程序和设置以及 Configuration Manager 2007 SP1 客户端。
除了此自定义计算机版本外,Trey Research 还请求自定义固件映像,包括其内部根 CA 的证书指纹,从而无需向外部 CA 购买 AMT 设置证书。供应商将证书指纹称为根 CA 哈希,并且可以通过使用以下过程找到该值:如何查找用于 AMT 设置的内部根证书的证书指纹.
Terry Adams 是 Configuration Manager 管理员,负责设置 Configuration Manager 站点中的计算机。这些计算机将全部加入该公司的子域 testnet.treyresearch.net 中,并且站点系统服务器将驻留在 treyresearch.net 中。当利用自动站点分配安装 Configuration Manager 客户端时,它们将驻留在全部属于中央站点的多个辅助站点的边界内。
为了设置这些新的基于 ATM 的带内计算机,Terry 采取下表中列出的操作过程:
过程 | 参考 |
---|---|
Terry 检查带外管理的先决条件,并对它的 Configuration Manager 站点进行以下更改:
|
有关修补程序的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=106107(页面可能为英文)。 要下载 WinRM 的最新版本并了解详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=105682(页面可能为英文)。 |
接着,Terry 与他的 Active Directory 服务管理员合作,在 testnet.treyresearch.net 域中为已发布的基于 AMT 的计算机对象创建 OU,并将站点服务器配置为可以完全控制此 OU 及其所有子对象。 在准备 PKI 证书的过程中,还创建了以下 Windows 安全组:
|
有关详细信息,请参阅下列主题: |
Terry 知道其站点与远程办公室之间存在防火墙,因此他识别将需要打开以允许在站点系统与基于 AMT 的计算机之间进行带外通信所需的端口。他提交对所需防火墙进行更改的更改请求。 |
有关用于带外管理通信的端口的详细信息,请参阅带外管理的先决条件中作为外部依赖关系的端口信息。 |
Terry 与 PKI 小组合作,得到下列结果:
|
有关如何部署带外管理所需的 PKI 证书的指南,请参阅AMT 和带外管理所需的 PKI 证书的分步部署示例:Windows Server 2003 证书颁发机构。 有关证书要求的详细信息,请参阅带外管理的证书要求。 有关如何在带外管理中使用证书的详细信息,请参阅关于带外管理的证书。 |
接着,Terry 配置 Configuration Manager 主站点并进行下列更改:
|
有关详细信息,请参阅下列主题: |
Terry 要使用 LAN 唤醒以在计算机上安装关键软件更新。他在过去尝试了此功能,发现子网导向型广播通过远程链接消耗过多网络带宽,而其网络适配器很少可以处理单播传输。 他启用 LAN 唤醒并确定保留默认选项“如果计算机支持此技术,则使用开机命令;否则请使用唤醒数据包”。 |
有关详细信息,请参阅下列主题: |
为了对 AMT 启用自动带内设置,Terry 接着执行了最后一些步骤:
|
有关详细信息,请参阅下列主题: |
在安装计算机并使其加入站点时,Terry 监视新计算机的集合和设置过程。 |
有关详细信息,请参阅如何识别针对 AMT 进行了设置的计算机。 |
此操作过程的结果是,针对 AMT 设置了运行 Configuration Manager 2007 SP1 客户端的计算机,然后可对它们进行带外管理,即使稍后它们无法启动、操作系统停止响应、它们需要开机以进行日常维护或它们的 BIOS 设置需要重新配置也是如此。
有关使用带外管理的示例方案,请参阅使用带外管理的示例方案。
使用 Configuration Manager 2007 SP2 对无线网络进行 AMT 设置
此方案演示了在先使用 Configuration Manager 2007 SP1 对基于 AMT 的计算机进行了设置之后,如何使用 Configuration Manager 2007 SP2 对这些计算机进行设置以在无线网络上进行管理。
Trey Research 最近已将其 Configuration Manager 2007 SP1 层次结构和客户端升级到 Configuration Manager 2007 SP2,并希望将其对便携式计算机的带外管理支持扩展到无线网络。其无线网络使用运行网络策略服务器 (NPS) 的基于 Windows Server 2008 的服务器,并且需要客户端证书以进行身份验证。
Terry Adams 是 Configuration Manager 管理员,负责确保能继续在无线网络上带外管理这些便携式计算机。他采用下表中列出的操作过程。
过程 | 参考 |
---|---|
Terry 检查进行带外管理的无线支持先决条件,并确认便携式计算机上的 AMT 版本将支持无线配置文件。他将网络策略服务器所需的无线配置设置注释为 WPA2 安全、AES 加密和 EAP-TLS 身份验证。 为了检查是否需要配置其他设置来支持此环境,Terry 还查看计划文档中与支持无线网络相关的其他信息。 |
有关先决条件的详细信息,请参阅带外管理的先决条件。 要确认为无线网络配置带外管理支持的决定,请参阅确定是否应该配置对 802.1X 和无线网络的支持。 |
Terry 与 PKI 小组合作,创建了基于 AMT 的计算机将使用的另一证书模板,以便通过网络策略服务器进行身份验证。 |
有关创建客户端证书模板的详细信息,请参阅 AMT 和带外管理所需的 PKI 证书的分步部署示例:Windows Server 2003 证书颁发机构中的“为 802.1X 基于 AMT 的计算机准备客户端身份验证证书”一节。 有关证书要求的详细信息,请参阅关于带外管理的证书。 |
Terry 配置 Configuration Manager 主站点的“组件配置”节点中的“带外管理属性:802.1X 和无线”选项卡:
|
有关详细信息,请参阅如何为 802.1X 经过身份验证的有线网络和无线网络配置基于 AMT 的计算机。 |
Terry 对便携式计算机使用自定义集合,通过 AMT 状态“已设置”来确定已针对 AMT 进行了设置的计算机名称。他从控制台导出该计算机名称列表,并将其提供给网络策略服务器管理员,以便可以将这些计算机添加到用于提供网络访问的安全组。 |
有关 AMT 状态的详细信息,请参阅关于 AMT 状态和带外管理。 有关从 Configuration Manager 控制台中导出列表视图的详细信息,请参阅如何将列表视图导出到文件。 |
为了更新设置信息,以便可以在无线网络上对这些便携式计算机进行带外管理,Terry 右键单击该集合中的计算机,然后依次单击“带外管理”和“更新管理控制器内存中的设置数据”。 |
有关详细信息,请参阅如何使用带外管理更新已设置的计算机中的 AMT 设置。 |
Terry 使用日志文件 Amtopmgr.log 验证是否已为这些基于 AMT 的计算机成功配置了无线配置文件。 |
有关详细信息,请参阅如何为 802.1X 经过身份验证的有线网络和无线网络配置基于 AMT 的计算机中的“验证基于 AMT 的计算机是否配置为使用经过身份验证的有线连接和无线连接”过程。 |
此操作过程的结果是,对这些基于 AMT 的计算机的带外管理支持扩展到了无线网络。例如,如果这些计算机无法启动、操作系统停止响应、它们需要开机以进行日常维护或者其 BIOS 设置需要重新配置,则即使这些计算机连接到无线网络,也可以对其进行管理。
有关如何使用带外管理的详细信息和示例方案,请参阅使用带外管理的示例方案。
另请参阅
概念
关于带外管理的 AMT 设置
管理员清单:启用带外管理
带外管理的证书要求
确定带外管理的管理员角色和过程
带外管理概述
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。