Wprowadzenie do zarządzania poza pasmem w programie Configuration Manager
Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Zarządzanie poza pasmem w System Center 2012 Configuration Manager udostępnia formantu zaawansowanego zarządzania dla komputerów, które mają ustawiony mikroukładu vPro Intel i wersji technologii Intel Active Management (Intel AMT) który Menedżer konfiguracji obsługuje.
Poza pasmem zarządzania umożliwia użytkownik z uprawnieniami administracyjnymi nawiązać kontrolera zarządzania AMT komputera, gdy komputer jest wyłączony, w stanie hibernacji, lub inaczej nie odpowiada za pośrednictwem systemu operacyjnego.W odróżnieniu od nich zarządzanie jest classic podejścia, który Menedżer konfiguracji i jego zastosowania wersje, według której agent jest uruchamiany w pełny system operacyjny na zarządzanym komputerze i kontrolera zarządzania wykonuje zadania przez komunikacji z agentem zarządzania.
Poza pasmem zarządzania uzupełnia zarządzanie.Gdy zarządzanie obsługuje większej liczbie operacji, ponieważ jego środowisko jest pełny system operacyjny, zarządzanie może nie być funkcjonalności, jeśli system operacyjny nie istnieje lub nie działa.W takim przypadku przy użyciu dodatkowych możliwości zarządzania poza pasmem, administracyjne użytkownicy mogą zarządzać tych komputerów bez konieczności lokalnego dostępu do komputera.
Zarządzanie poza pasmem zadania obejmują:
Włączanie na jednym lub wielu komputerach (na przykład na potrzeby konserwacji na komputerach poza godziny pracy).
Wyłączanie jednego lub wielu komputerów (na przykład przestaje systemu operacyjnego odpowiadać).
Ponowne uruchomienie komputera któreś lub rozruch z urządzeniami lokalnie lub znanej dobrej rozruchu pliku obrazu.
ponowne tworzenie obrazu komputera przy użyciu rozruchu z pliku obrazu rozruchowego zlokalizowanego w sieci lub za pomocą serwera PXE;
Ponowne konfigurowanie ustawienia BIOS w wybranym komputerem (i pomijanie BIOS hasła, jeśli jest to obsługiwane przez producenta BIOS).
rozruch do systemu operacyjnego opartego na poleceniach w celu uruchamiania poleceń, narzędzi do naprawy lub aplikacji diagnostycznych (na przykład w celu uaktualnienia oprogramowania sprzętowego lub uruchomienia narzędzi naprawy dysku).
Konfigurowanie wdrożenia oprogramowania zaplanowane wznowienie pracy komputerów przed komputery są uruchomione.
Poza pasmem zadań związanych z zarządzaniem jest to obsługiwane połączenia nieuwierzytelnione, przewodowej na i uwierzytelniony 802.1 X przewodowej i połączenia bezprzewodowego połączenia.Poza pasmem zarządzania zawiera następujące dodatkowe funkcje:
Wybrane funkcje AMT inspekcji.
Obsługa stanów różnych zasilania, aby oszczędzać zużycie energii i przestrzeganie zasad IT.
Magazyn danych w AMT, w którym wynoszącą 4096 bajtów przy użyciu znaków ASCII można zapisać w pamięci RAM nonvolatile (NVRAM) kontrolera zarządzania.
Na przykład scenariuszy jak limit grupy zarządzania użycia, zobacz Przykładowe scenariusze dotyczące korzystania z zarządzania poza pasmem w programie Configuration Manager.
Niektóre z poprzedniego zadania są wykonywane od Menedżer konfiguracji konsoli, a inne wymagają poza pasmem management Console, która jest dostarczana z systemem Menedżer konfiguracji.Poza pasmem zarządzania używa technologii zdalnego zarządzania systemem Windows (WS-MAN) do połączenia z kontrolerem zarządzania AMT na komputerze.
Uwaga
Poza pasmem zarządzania nie jest obsługiwany przez klientów, którzy są zarządzane przez Internet za pomocą funkcji zarządzania internetowe klienta.Menedżer konfiguracji Klienci, którzy są zablokowane lub niezatwierdzonych przez Menedżer konfiguracji nie mogą być zarządzane poza pasmem.
W poniższej tabeli przedstawiono opcje i funkcje dostępne w zarządzanie poza pasmem w Menedżer konfiguracji.
Funkcja lub scenariusza |
Więcej informacji |
---|---|
Zabezpieczenia oparte zarządzania |
Poza pasmem zarządzania integruje się z programem wewnętrzny infrastruktury kluczy publicznych (PKI) za pomocą następujących certyfikatów:
Więcej informacji o tych certyfikatach znajduje się w temacie Wymagania dotyczące certyfikatu PKI dla programu Configuration Manager. Administratorzy musi zostać uwierzytelniony przy użyciu protokołu Kerberos, przed ich zarządzania komputerami przy użyciu poza pasmem management Console. Zarządzanie poza pasmem za pomocą dziennik inspekcji na komputerach opartych na technologii AMT czynność jest zarejestrowane i podlegających inspekcji. Obsługa 802.1 X uwierzytelniony sieci przewodowej i sieci bezprzewodowej:
|
Udostępnianie AMT |
Włącza i konfiguruje Intel AMT oparty na komputerach z systemem klienta programu Configuration Manager. |
Udoskonalone magazynu danych |
Udostępnia dane spisu sprzętu z mikroukładu AMT, takich jak znacznik zasobu, identyfikator UUID BIOS, stan energii, procesora, pamięci i informacji o dysku. |
Zidentyfikować kontrolerów zarządzania AMT |
Określa komputery z kontrolera zarządzania AMT i jego stan obsługi administracyjnej. Te informacje można tworzyć oparte na zapytaniu kolekcji do grupy komputerów z działania administracyjnego pasmem, takie jak obsługi administracyjnej oraz możliwości kontroli. |
Kontrola zasilania |
Umożliwia zasilanie włączone, wyłączy i możliwości ponownego uruchomienia dla jednego komputera, wybranych komputerów lub zbiór komputerów. Komputery może być również woken przez wdrożenia oprogramowania planowane, które mają zaplanowane termin. |
Poza pasmem management console |
Konsola zarządzania dedykowanych uruchamianych z Menedżer konfiguracji konsoli lub w wierszu polecenia, aby zainicjować poza pasmem zadań zarządzania, w tym sesji środowiska IDE przekierowania i seryjny over-LAN. Uwaga Funkcje oprogramowania może się różnić w zależności od producenta komputera zarządzanego.Na przykład można wyłączyć możliwości przekierowania i seryjny over-LAN IDE przez producenta. |
Przekierowanie IDE |
Umożliwia komputerowi, aby uruchomić z pliku obrazu rozruchu lub lokalnie podłączonych urządzenia, a nie z jego dysku IDE na interfejsie.Jest to przydatne w przypadku diagnozowania, naprawie lub imaging dysk twardy. |
Seryjny w sieci LAN |
Technologia seryjny over-LAN hermetyzuje dane z wirtualnego portu seryjny i wysyła go przez istniejące połączenie sieciowe, które ustanowione poza pasmem management Console. Technologia seryjny over-LAN umożliwia uruchamianie sesję emulacji terminali dla komputerów zarządzanych, w którym można uruchomić polecenia oraz aplikacje oparte na znak.Na przykład może to obejmować ponowne konfigurowanie BIOS lub współpracuje ze środowiska IDE przekierowywania, można zaktualizować oprogramowanie układowe lub uruchom narzędzia diagnostyczne. |
Rozszerzanie Zarządzanie poza pasmem w programie Configuration Manager
Aby uzyskać dodatkowe informacje techniczne obsługuje i rozszerzanie Zarządzanie poza pasmem w Menedżer konfiguracji, zobacz firmy Intel ofertami aplikacji w witrynie Microsoft Pinpoint.
Co nowego w programie Configuration Manager
Uwaga
Informacje podane w tej części występują również w— przewodnik Wprowadzenie do programu System Center 2012 Configuration Manager.
Poniższe elementy są nowe lub zostały zmienione dla zarządzania poza pasmem od Configuration Manager 2007:
System Center 2012 Configuration Manager nie obsługuje już obsługi poza pasmem, którego można używać w Configuration Manager 2007 po Menedżer konfiguracji klienta nie został zainstalowany lub komputer nie ma zainstalowany system operacyjny.Aby możliwe było udostępnianie komputerów dla technologii AMT w programie System Center 2012 Configuration Manager, te komputery muszą należeć do domeny usługi Active Directory, mieć zainstalowanego klienta programu System Center 2012 Configuration Manager oraz być przypisane do lokacji głównej programu System Center 2012 Configuration Manager.
Aby udostępnić komputery dla funkcji AMT, należy zainstalować nową rolę systemu lokacji (punkt rejestracyjny) oprócz punktu obsługi poza pasmem.Obie te role systemu lokacji muszą być zainstalowane w tej samej lokacji głównej.
Istnieje nowe konto, konto usunięcie obsługi administracyjnej technologii AMT, określonym w Właściwości składnika zarządzania poza pasmem: Dostarczania karty.Jeśli określono to konto oraz użyto tego samego konta systemu Windows, które jest określone jako konto użytkownika AMT, można użyć tego konta do usunięcia informacji o udostępnianiu AMT, gdy konieczne jest odzyskanie lokacji.Można go również używać po ponownym przypisaniu klienta i pozostawieniu informacji o udostępnianiu AMT na komputerze w starej lokacji.
Menedżer konfiguracji już nie generuje komunikatu o stanie z ostrzeżeniem, że AMT obsługi administracyjnej certyfikatu jest upłynie.Pozostały okres ważności należy sprawdzać ręcznie i pamiętać o odnowieniu certyfikatu przed jego wygaśnięciem.
Funkcja AMT używa portu TCP 16993 zamiast portu TCP 16992.
Port TCP 9971 nie jest już używany w celu nawiązywania połączenia kontrolera zarządzania AMT z punktem obsługi poza pasmem w celu udostępniania komputerów dla funkcji AMT.
Punkt obsługi poza pasmem używa protokołu HTTPS (domyślnie jest to port TCP 443) w celu nawiązania połączenia z punktem rejestracyjnym.
Translator WS-MAN nie jest już obsługiwany.
Zadanie obsługi Zresetuj hasła komputerów AMT zostało usunięte.
Nie można już wybierać indywidualnych uprawnień dla poszczególnych kont użytkowników AMT.Zamiast tego, wszystkie konta użytkowników AMT są automatycznie konfigurowane przy użyciu prawa Administracja PT (Configuration Manager 2007 SP1) lub Administracja platformą (Configuration Manager 2007 SP2), co powoduje przyznanie uprawnień do wszystkich funkcji AMT.
Na karcie Właściwości składnika zarządzania poza pasmem należy określić uniwersalną grupę zabezpieczeń w celu zawarcia kont komputerów AMT, które program Menedżer konfiguracji tworzy podczas procesu udostępniania AMT.
Komputer serwera lokacji nie wymaga już uprawnienia Pełna kontrola do jednostki organizacyjnej (OU), które jest używane podczas udostępniania AMT.Zamiast tego przyznaje uprawnienia Elementy członkowskie odczytu i Elementy członkowskie zapisu (tylko ten obiekt).
Obecnie to punkt rejestracyjny, a nie komputer serwera lokacji głównej, wymaga uprawnienia Wystawianie certyfikatów i zarządzanie nimi do urzędu wystawiającego certyfikaty.To uprawnienie jest wymagane do odwoływania certyfikatów AMT.Podobnie jak w programie Configuration Manager 2007, to konto komputera wymaga uprawnień DCOM do komunikacji z urzędem wystawiającym certyfikaty.Aby to skonfigurować, należy upewnić się, że w przypadku systemu Windows Server 2008 konto komputera serwera systemu lokacji punktu rejestracyjnego jest elementem członkowskim grupy zabezpieczeń Dostęp DCOM do usług certyfikatów, a w przypadku systemu Windows Server 2003 SP1 lub nowszego jest elementem członkowskim grupy zabezpieczeń CERTSVC_DCOM_ACCESS w domenie, w której znajduje się urząd wystawiający certyfikaty.
Szablony certyfikatów dla certyfikatu serwera sieci Web AMT i certyfikatu klienta 802.1X AMT nie używają już opcji Dostarcz w żądaniu, a konto komputera serwera lokacji nie wymaga już uprawnień do poniższych szablonów certyfikatów:
Szablon certyfikatu serwera sieci Web AMT: Na karcie Podmiot wybierz opcję Konstruuj z tej informacji usługi Active Directory, a następnie dla ustawienia Format nazwy podmiotu wybierz opcję Nazwa pospolita.Na karcie Zabezpieczenia przyznaj uprawnienia Odczyt i Rejestracja do uniwersalnej grupy zabezpieczeń, którą określono na karcie Właściwości składnika zarządzania poza pasmem.
Szablon certyfikatu klienta 802.1X AMT: Na karcie Podmiot wybierz opcję Konstruuj z tej informacji usługi Active Directory, a następnie dla ustawienia Format nazwy podmiotu wybierz opcję Nazwa pospolita.Usuń zaznaczenie pola wyboru Nazwa DNS, a następnie wybierz opcję Główna nazwa użytkownika (UPN) jako alternatywną nazwę podmiotu.Na karcie Zabezpieczenia przyznaj uprawnienia Odczyt i Rejestracja do uniwersalnej grupy zabezpieczeń, którą określono na karcie Właściwości składnika zarządzania poza pasmem.
Certyfikat udostępniania AMT nie wymaga już możliwości wyeksportowania klucza prywatnego.
Punkt obsługi poza pasmem domyślnie sprawdza certyfikat udostępniania AMT pod kątem wycofania certyfikatu.Jest to wykonywane podczas pierwszego uruchomienia systemu lokacji, a także w przypadku zmiany certyfikatu udostępniania AMT.Tę opcję można wyłączyć na karcie Właściwości punktu obsługi poza pasmem.
Sprawdzanie listy CRL dla certyfikatu serwera sieci Web AMT można włączyć lub wyłączyć w konsoli zarządzania poza pasmem.Aby zmienić ustawienia, należy kliknąć menu Narzędzia, a następnie pozycję Opcje.Nowe ustawienie jest używane podczas następnego połączenia z komputerem z technologią AMT.
W przypadku odwołania certyfikatu komputera z technologią AMT przyczyną odwołania jest teraz Zaprzestanie działania zamiast Zastąpione.
Komputery z technologią AMT, które są przypisane do tej samej lokacji programu Menedżer konfiguracji, muszą mieć unikatową nazwę komputera, nawet jeśli należą do różnych domen i z tego powodu mają unikatową nazwę FQDN.
Podczas zmiany przypisania komputera z technologią AMT między lokacjami programu Menedżer konfiguracji należy najpierw usunąć informacje o udostępnianiu AMT, przypisać ponownie klienta, a następnie ponownie udostępnić klienta dla technologii AMT.
Prawa zabezpieczeń Wyświetlanie kontrolerów zarządzania i Zarządzanie kontrolerami zarządzania w programie Configuration Manager 2007 mają teraz nazwy Zastrzeż AMT i Kontroluj AMT.Uprawnienie Kontroluj AMT jest teraz dodawane automatycznie do roli zabezpieczeń Zdalny operator narzędzi.Jeśli do roli Zdalny operator narzędzi przypisany jest użytkownik administracyjny, który powinien mieć możliwość udostępniania komputerów z technologią AMT lub kontrolowania dziennika inspekcji technologii AMT, należy dodać do tej roli zabezpieczeń uprawnienie Zastrzeż AMT lub upewnić się, że użytkownik administracyjny należy do innej roli zabezpieczeń, która obejmuje to uprawnienie.