Escenario de ejemplo para implementar la administración fuera de banda en Configuration Manager
Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Nota
Este tema aparece en la guía Activos y compatibilidad en System Center 2012 Configuration Manager y la guía Escenarios y soluciones para System Center 2012 Configuration Manager.
Las siguientes secciones de este tema proporcionan un escenario de ejemplo para implementar la administración fuera de banda en System Center 2012 Configuration Manager, mediante el uso de un enfoque de tres fases:
Prueba piloto: Implementar y probar algunos de los equipos que usan servicios de certificados (CA interna) para el certificado de aprovisionamiento
Implementación: Implementación completa mediante el uso de una CA externa para el certificado de aprovisionamiento
Agregue compatibilidad inalámbrica: Extienden la administración de redes inalámbricas
En el siguiente escenario, está interesado Trey Research solucionar más eficazmente los equipos que no pueden iniciar o dejar de responder al utilizar administración fuera de banda, requieren el encendido de mantenimiento rutinario o requieren volver a configurar la configuración del BIOS.Esta empresa tiene equipos basados en Intel AMT con versiones de AMT que son compatibles con Configuration Manager, pero no tienen firmware personalizado que incluya la huella digital del certificado de su propia entidad de certificación (CA) de raíz internos.
Trey Research tiene una sola Configuration Manager sitio primario y todos los equipos internos residen en el testnet.treyresearch.net dominio.La empresa ya tiene una infraestructura existente de la infraestructura de clave pública (PKI) que está usando Servicios de Certificate Server de Windows Server 2008 y tiene una entidad de certificación de empresa ejecuta Windows Server 2008 Enterprise Edition.
ADAM es la Configuration Manager usuario administrativo que se ha solicitado al implementar la administración fuera de banda mediante un enfoque de tres fases.Primero comprueba la funcionalidad mediante el uso de un número pequeño de equipos de escritorio y sin necesidad de adquirir un certificado de aprovisionamiento de una CA externa.Si la prueba va bien, Adam puede adquirir un aprovisionamiento de AMT de certificados y aprovisionar todos los equipos escritorios basado en AMT.La fase de implementación final Adam se solicita al ampliar la administración fuera de banda para equipos portátiles que utilizan la red inalámbrica.
Prueba piloto: Implementar y probar algunos de los equipos que usan servicios de certificados (CA interna) para el certificado de aprovisionamiento
Para que la fase piloto implementar y probar administración fuera de banda, Adam toma el curso de acción que se describen en la tabla siguiente.
Proceso |
Referencia |
---|---|
Adán comprueba los requisitos previos para administración fuera de banda y decide crear un servidor de sistema de sitio en el que instala el punto fuera de banda servicio y el punto de inscripción.Este equipo tiene el nombre de dominio completo (FQDN) de server15.testnet.treyresearch.net. ADAM también confirma que la configuración de DHCP y DNS existente cumple los requisitos para AMT. |
Para obtener más información sobre los requisitos previos, consulte Requisitos previos para la administración fuera de banda en Configuration Manager. |
ADAM funciona con sus administradores de servicios de Active Directory para crear los siguientes grupos de seguridad de Windows:
, A continuación, crearon una unidad organizativa (OU) en el testnet.treyresearch.net dominio de cuentas de equipo basados en AMT de publicado y conceder el grupo recién creado servidores de sitio principal de ConfigMgr los siguientes permisos a esta OU: Crear objetos de equipo y Eliminar objetos de equipo. |
Para obtener más información sobre cómo crear grupos y unidades organizativas, consulte la documentación de servicios de dominio de Active Directory. |
ADAM trabaja con el equipo PKI con los siguientes resultados:
|
Para obtener instrucciones sobre cómo implementar los certificados PKI necesarios para administración fuera de banda, consulte el Implementación de los certificados para AMT sección el Ejemplo paso a paso de implementación de los certificados PKI para Configuration Manager: Entidad de certificación de Windows Server 2008 tema. Para obtener más información sobre los requisitos de certificados, consulte Requisitos de certificados PKI para Configuration Manager. |
Para preparar los equipos basados en AMT escritorios que Adam usará en las pruebas iniciales, Adam comprueba que la configuración de firmware AMT es correcta y agrega la huella digital del certificado de la CA raíz interna:
|
Para obtener más información, consulte la documentación de Intel. |
ADAM, a continuación, configura el sitio principal de Configuration Manager y realiza los cambios siguientes:
|
Para obtener más información, vea las secciones siguientes en el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema: |
ADAM desea usar Wake en la tecnología de LAN para instalar actualizaciones críticas de software en equipos.Ha intentado esta característica en el pasado y descubre que las difusiones dirigidas de subred consumen demasiado ancho de banda de red sobre los vínculos remotos y que algunos de sus adaptadores de red ha funcionado con transmisiones de unidifusión. Permite Wake on LAN y decide mantener la opción predeterminada de Use comandos de encendido si el equipo es compatible con esta tecnología; en caso contrario, usar paquetes de reactivación. |
Para obtener más información, consulte el Paso 6: Configurar el sitio para enviar potencia de comandos para las actividades programadas de reactivación paso a paso el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema. |
ADAM agrega la columna de estado de AMT para la Configuration Manager de la consola y crea una nueva colección que contiene sólo cinco equipos basados en AMT como su piloto inicial.Estos equipos son solo para pruebas y contienen diferentes versiones compatibles de AMT.Configura esta colección para el aprovisionamiento de AMT. |
Para obtener más información, consulte el Paso 7: Mostrar el estado de AMT y aprovisionamiento de AMT habilitar paso a paso el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema. |
ADAM supervisa el proceso de aprovisionamiento de AMT. |
Para obtener más información, consulte el Paso 8: Supervisión de aprovisionamiento de AMT paso a paso el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema. |
Cuando los equipos correctamente aprovisionados para AMT, Adam inicia la prueba de estos equipos para administración fuera de banda.
Por ejemplo los escenarios de uso de administración fuera de banda, consulte Escenarios de ejemplo para el uso de administración fuera de banda en Configuration Manager.
Implementación: Implementación completa mediante el uso de una CA externa para el certificado de aprovisionamiento
Cuando se completa la comprobación inicial, Adam recibe confirmación de su jefe que pueda extenderse a todos los equipos de estación de trabajo basados en AMT de administración fuera de banda.Para eliminar la necesidad de agregar la huella digital de su certificado de CA raíz interna para cada equipo basado en AMT, Adam adquiere un certificado de aprovisionamiento de una CA externa y se instala en server15, según las instrucciones que lo acompaña.
ADAM, a continuación, toma el curso de acción que se describen en la tabla siguiente.
Proceso |
Referencia |
---|---|
ADAM comprueba los requisitos previos para administración fuera de banda de nuevo, si hay cambios adicionales que tiene que hacer.Observar lo siguiente:
|
Para obtener más información, vea Requisitos previos para la administración fuera de banda en Configuration Manager. |
ADAM configura las propiedades de la salida de punto de servicio de banda, examina el certificado de aprovisionamiento de AMT recién adquirido y guarda los cambios. |
Para obtener más información, consulte el Paso 4: Configurar el punto de inscripción y fuera de banda de punto de servicio para el aprovisionamiento de AMT paso a paso el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema. |
Adán crea nuevas recopilaciones gradualmente desplegar el aprovisionamiento de AMT para equipos de estación de trabajo.Durante un período de cuatro semanas, habilita estas colecciones para el progreso de monitores y aprovisionamiento de AMT. |
Para obtener más información, consulte el Paso 7: Mostrar el estado de AMT y aprovisionamiento de AMT habilitar paso a paso el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema. |
Como resultado de este curso de acción, todos los equipos de estación de trabajo basados en Intel AMT aprovisionados para AMT y pueden administrarse fuera de banda por el departamento de soporte técnico.La capacidad de solucionar problemas y reparar equipos cuando el sistema operativo no funciona en gran medida reduce el costo total de propiedad para la empresa, porque los ingenieros ya no requieren acceso local en el equipo.
Agregue compatibilidad inalámbrica: Extienden la administración de redes inalámbricas
Después de la ejecución correcta de estaciones de trabajo al utilizar administración fuera de banda, Trey Research ahora desea ampliar esta compatibilidad a los equipos portátiles que utilizan la red inalámbrica.La red inalámbrica utiliza un servidor basado en Windows Server 2008 que se ejecuta el servidor de directivas de redes (NPS) y requiere un certificado de cliente para la autenticación.
ADAM toma el curso de acción que se describen en la tabla siguiente.
Proceso |
Referencia |
||
---|---|---|---|
Adán comprueba los requisitos previos de compatibilidad inalámbrica para administración fuera de banda y confirma que las versiones de AMT en los equipos portátiles es compatible con perfiles inalámbricos.Observar los valores de configuración inalámbrica requeridos por el servidor de directivas de red como la seguridad de WPA2, el cifrado AES y la autenticación EAP-TLS. |
Para obtener más información sobre los requisitos previos, consulte Requisitos previos para la administración fuera de banda en Configuration Manager. |
||
ADAM funciona con el equipo PKI para crear una plantilla de certificado adicional que los equipos basados en AMT se utilizan para autenticar con el servidor de directivas de red. |
Para obtener más información acerca de cómo crear la plantilla de certificado de cliente, vea "Creación y emisión de los certificados de autenticación del cliente 802.1X AMT-Based Computers" en la Implementación de los certificados para AMT sección de la Ejemplo paso a paso de implementación de los certificados PKI para Configuration Manager: Entidad de certificación de Windows Server 2008 tema. Para obtener más información sobre los requisitos de certificados, consulte Requisitos de certificados PKI para Configuration Manager. |
||
Adán configura la Propiedades de componente de administración fuera de banda: 802.1X e inalámbricas ficha:
|
Para obtener más información, consulte los pasos 26 al 39 en la Paso 5: Configuración de componente de administración de banda sección el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema. |
||
Adán crea una nueva colección para equipos portátiles que pueden admitir AMT.En el administración fuera de banda ficha, selecciona Habilitar aprovisionamiento para equipos basados en AMT. ADAM, a continuación, supervisa el estado de aprovisionamiento para estos equipos portátiles y utiliza el archivo de registro Amtopmgr.log, para comprobar que el perfil inalámbrico está configurado correctamente para estos equipos basados en AMT.
|
Para obtener más información acerca de la supervisión de aprovisionamiento de AMT, consulte la Paso 8: Supervisión de aprovisionamiento de AMT paso a paso el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema. |
Como resultado de este curso de acción, los equipos portátiles pueden administrarse ahora también fuera de banda por el departamento de soporte técnico, lo que reduce el tiempo para resolver los problemas notificados por los usuarios de equipos portátiles.