Compartilhar via

  • Artigo

Cenário de exemplo de implementação de gerenciamento fora de banda no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteObservação

Este tópico é exibido na nos guias Ativos e conformidade no System Center 2012 Configuration Manager e Scenarios and Solutions Using System Center 2012 Configuration Manager [Cenários e soluções usando o System Center 2012 Configuration Manager].

As seções a seguir neste tópico fornecem um cenário de exemplo para a implementação de gerenciamento fora de banda em System Center 2012 Configuration Manager, usando uma abordagem de três fases:

  • Piloto: Implementação e teste alguns computadores que usam os serviços de certificado (CA interna) para o certificado de provisionamento

  • Distribuição: Implantação completa usando uma CA externa para o certificado de provisionamento

  • Adicione suporte sem fio: Estender o gerenciamento de redes sem fio

No cenário a seguir, Trey Research está interessada em usando gerenciamento fora da banda para solucionar com mais eficiência computadores que falham ao iniciar ou parar de responder, exigem ligar para manutenção de rotina ou exigem reconfigurar as configurações do BIOS.Esta empresa tem computadores baseados em Intel AMT com versões do AMT que são suportados pelo Gerenciador de Configurações, mas não têm um firmware personalizado que inclui a impressão digital do certificado de sua própria CA (autoridade de certificação) raiz interna.

A Trey Research tem um único Gerenciador de Configurações site primário e todos os computadores internos residem no testnet.treyresearch.net domínio.A empresa já tiver uma infra-estrutura de infraestrutura de chave pública (PKI) existente que está usando os serviços de certificados do Windows Server 2008 e tem uma autoridade de certificação corporativa executando o Windows Server 2008 Enterprise Edition.

ADAM é o Gerenciador de Configurações usuário administrativo que foi solicitado a implementar gerenciamento fora da banda usando uma abordagem de três fases.Primeiro, ele testa a funcionalidade usando um pequeno número de computadores desktop e sem precisar adquirir um certificado de provisionamento de uma CA externa.Se o teste vai bem, Adam pode adquirir um provisionamento AMT de certificado e provisionar todos os área de trabalho computadores AMT.Para a fase de implantação final, Adam é solicitado para estender a gerenciamento fora da banda para laptops que usam a rede sem fio.

Piloto: Implementação e teste alguns computadores que usam os serviços de certificado (CA interna) para o certificado de provisionamento

Para a fase piloto implementar e testar gerenciamento fora da banda, Adam tem o curso de ação descrita na tabela a seguir.

Processar

Referência

Anibal verifica os pré-requisitos para gerenciamento fora da banda e opta por criar um servidor de sistema de site no qual ele instala fora do ponto de serviço de banda e o ponto de registro.Este computador tem o nome de domínio totalmente qualificado (FQDN) do server15.testnet.treyresearch.net.

ADAM também confirma se a configuração de DHCP e DNS existente atende aos requisitos para AMT.

Para obter mais informações sobre os pré-requisitos, consulte Pré-requisitos para gerenciamento fora de banda no Configuration Manager.

ADAM funciona com seus administradores de serviço do Active Directory para criar os seguintes grupos de segurança do Windows:

  • Um grupo chamado pontos de serviço do ConfigMgr em banda que contém server15.

  • Um grupo chamado servidores do Site primário SMS que contém a conta de computador do servidor de site primário.

  • Um grupo de segurança universal denominado ConfigMgr AMT computadores que irá conter as contas de computador AMT.

Elas podem criar uma unidade organizacional (UO) no testnet.treyresearch.net domínio para as contas de computador AMT publicado e conceda o grupo recém-criado servidores do Site primário SMS as seguintes permissões para essa UO: Criar objetos de computador e Excluir objetos de computador.

Para obter mais informações sobre como criar grupos e OUs, consulte a documentação de serviços de domínio Active Directory.

ADAM funciona com a equipe PKI com os seguintes resultados:

  • O modelo de certificado de servidor web é duplicado e configurado para o ponto de registro.Ele é instalado e configurado no IIS em server15.

  • Um modelo personalizado é criado para solicitar e instalar o certificado de provisionamento AMT em server15.

  • O modelo de certificado de servidor web é duplicado e configurado de forma que ela é adequada para gerenciamento fora da banda.

  • Eles identificam e anote a impressão digital do certificado da CA, que deve ser adicionado manualmente ao firmware AMT até que eles adquirirem um certificado de provisionamento de uma CA externa raiz.

Para obter orientação sobre como implantar certificados PKI necessários para gerenciamento fora da banda, consulte o Implantando os certificados para AMT seção o Exemplo passo a passo para implantação dos certificados PKI para o Configuration Manager: Autoridade de certificação do Windows Server 2008 tópico.

Para obter mais informações sobre os requisitos de certificado, consulte Requisitos de certificado PKI para o Configuration Manager.

Para preparar os computadores desktops baseados em AMT que usará o Adam no teste inicial, Anibal verifica se a configuração de firmware AMT está correta e adiciona a impressão digital do certificado de sua CA raiz interna:

  1. Quando o computador é iniciado, ele pressiona CTRL + P para configurar a ME módulo.

  2. Ele seleciona Intel (R) ME configuração, Intel (R) ME recurso controle, seleção de recursos de gerenciabilidade, e, em seguida, seleciona Intel (R) AMT.Ele sai e reinicia o computador.

  3. Ele executa a ME módulo novamente, seleciona Intel (R) AMT configuração, instalação e configuração, para verificar se o valor para o modo atual de provisionar é PKI.O valor não for PKI, portanto, ele seleciona TLS PKI, e define o configuração remota para Habilitar.

  4. No TLS PKI seção, ele seleciona Gerenciar certificado Hashes, pressionar a tecla Insert, tipos e a impressão digital do certificado de sua autoridade de certificação raiz interna.

  5. Ele salva as alterações, sai e, em seguida, reinicia o computador.

Para obter mais informações, consulte a documentação da Intel.

ADAM, em seguida, configura o site primário do Configuration Manager e faz as seguintes alterações:

  • Ele instala um novo servidor de sistema de site em server15, configura com o FQDN da intranet de server15.treyresearch.net, e, em seguida, instala fora do ponto de serviço de banda e o ponto de registro.Em seguida, ele configura o gerenciamento fora da banda componente.

  • Sobre o certificado de provisionamento AMT página para fora do ponto de serviço de banda, navega para o certificado de provisionamento AMT que ele está instalado.

  • Sobre o Propriedades de componente de gerenciamento fora de banda caixa de diálogo, ele configura o seguinte:

    • Sobre o geral ele especifica a unidade Organizacional que criou no testnet.treyresearch.net, o grupo de segurança universal que ele criou, navega para o modelo de certificado do AMT web server que ele criou anteriormente e configura uma senha forte para a conta MEBx.

    • Sobre o configurações de AMT guia, ele especifica sua própria conta como uma conta de usuário AMT e um grupo de segurança de domínio global do Windows que contém os engenheiros do suporte técnico que usarão o fora de banda do console de gerenciamento.Ele também seleciona as opções Ativar serial através da LAN e redirecionamento IDE, Permitir respostas de ping, e senha do BIOS habilitar ignorar a energia e reinicie comandos.

Para obter mais informações, consulte as seguintes seções o Como configurar e configurar computadores AMT no Configuration Manager tópico:

ADAM deseja usar ativação na tecnologia de LAN para instalar atualizações críticas de software nos computadores.Ele tem tentado esse recurso no passado e constatou que transmissões direcionadas a sub-redes consumido muita largura de banda de rede nos links remotos e alguns de seus adaptadores de rede trabalharam as transmissões em unicast.

Ele permite que o Wake on LAN e opta por manter a opção padrão de energia de uso em comandos se o computador oferecer suporte a essa tecnologia; caso contrário, use pacotes de ativação.

Para obter mais informações, consulte o Etapa 6: Configurando o Site para enviar potência em comandos para atividades agendadas de ativação entrar o Como configurar e configurar computadores AMT no Configuration Manager tópico.

ADAM adiciona a coluna Status AMT para o Gerenciador de Configurações console e cria uma nova coleção que contém apenas cinco computadores AMT como seu piloto inicial.Esses computadores são somente para teste e contêm versões diferentes do AMT.Ele configura essa coleção para provisionamento AMT.

Para obter mais informações, consulte o Etapa 7: Exibindo o Status AMT e habilitando o provisionamento AMT entrar o Como configurar e configurar computadores AMT no Configuration Manager tópico.

ADAM monitora o processo de provisionamento AMT.

Para obter mais informações, consulte o Etapa 8: Monitoramento de provisionamento AMT entrar o Como configurar e configurar computadores AMT no Configuration Manager tópico.

Quando os computadores forem provisionados com êxito para AMT, Adam inicia teste esses computadores para gerenciamento fora da banda.

Por exemplo cenários de uso de gerenciamento fora de banda, consulte Cenários de exemplo para usar o gerenciamento fora de banda no Configuration Manager.

Distribuição: Implantação completa usando uma CA externa para o certificado de provisionamento

Quando o teste inicial for concluído, o Adam recebe uma confirmação de seu gerente que pode ser distribuída para todos os computadores de estação de trabalho baseados em AMT gerenciamento fora da banda.Para eliminar a necessidade de adicionar a impressão digital do seu certificado de CA raiz interna para cada computador AMT, Anibal adquire um certificado de provisionamento de uma CA externa e instala em server15, seguindo as instruções que acompanha este artigo.

ADAM assume o curso de ação descrita na tabela a seguir.

Processar

Referência

Anibal verifica os pré-requisitos para gerenciamento fora da banda novamente, se houver qualquer alteração adicional que ele precisa fazer.Ele observa o seguinte:

  • Há requisitos de portas que ele deve se relacionam com o administrador do firewall para que os engenheiros do suporte técnico podem se conectar a computadores AMT em locais remotos que estão protegidos pelo firewall internas da empresa.

  • Alguns ajuda computadores de mesa ainda executam o Windows XP, e então ele deve verificar esses computadores para sua versão do Windows Remote Management (WinRM) e a versão de atualização, se necessário.

  • Ele deve adicionar os engenheiros do suporte técnico para uma função de segurança apropriadas para executar o fora de banda do console de gerenciamento.

Para obter mais informações, consulte Pré-requisitos para gerenciamento fora de banda no Configuration Manager.

Anibal configura as propriedades de fora de banda do ponto de serviço, navega até o certificado de provisionamento AMT recém-adquiridos e salva as alterações.

Para obter mais informações, consulte o Etapa 4: Configurar o ponto de registro e ponto fora da banda Service para provisionamento AMT entrar o Como configurar e configurar computadores AMT no Configuration Manager tópico.

Anibal cria novas coleções de distribuir gradualmente o provisionamento AMT para computadores de estação de trabalho.Em um período de quatro semanas, ele permite que essas coleções de progresso de monitores e provisionamento AMT.

Para obter mais informações, consulte o Etapa 7: Exibindo o Status AMT e habilitando o provisionamento AMT entrar o Como configurar e configurar computadores AMT no Configuration Manager tópico.

Como resultado deste curso de ação, todos os computadores de estação de trabalho baseada em Intel AMT provisionados para AMT e podem ser gerenciados fora da banda, o suporte técnico.A capacidade de solucionar problemas e reparar computadores quando o sistema operacional não está funcionando consideravelmente reduz o custo total de propriedade para a empresa como engenheiros não precisam de acesso local no computador.

Adicione suporte sem fio: Estender o gerenciamento de redes sem fio

Após o êxito da distribuição para estações de trabalho ao usar o gerenciamento fora da banda, Trey Research agora deseja estender esse suporte para computadores laptop que usam a rede sem fio.A rede sem fio usa um servidor baseado no Windows Server 2008 que está executando o servidor de diretivas de rede (NPS) e requer um certificado de cliente para autenticação.

ADAM tem o curso de ação descrita na tabela a seguir.

Processar

Referência

Anibal verifica os pré-requisitos de suporte sem fio para gerenciamento fora da banda e confirma que as versões do AMT nos laptops oferece suporte a perfis sem fio.Ele observa que as configurações sem fio que são exigidas pelo servidor de diretiva de rede como segurança WPA2, criptografia AES e autenticação EAP-TLS.

Para obter mais informações sobre os pré-requisitos, consulte Pré-requisitos para gerenciamento fora de banda no Configuration Manager.

ADAM funciona com a equipe PKI para criar um modelo de certificado adicional que os computadores baseados em AMT usam para autenticar com o servidor de diretivas de rede.

Para obter mais informações sobre como criar o modelo de certificado de cliente, consulte "Criar e emitir os certificados de autenticação de cliente para 802.1 X computadores AMT" o Implantando os certificados para AMT seção o Exemplo passo a passo para implantação dos certificados PKI para o Configuration Manager: Autoridade de certificação do Windows Server 2008 tópico.

Para obter mais informações sobre os requisitos de certificado, consulte Requisitos de certificado PKI para o Configuration Manager.

Anibal configura o Propriedades de componente de gerenciamento fora de banda: 802.1 X e sem fio guia:

  • Ele cria um perfil sem fio que contém o nome da rede sem fio, o tipo de segurança do WPA2-Enterprise e o método de criptografia de AES.Em seguida, ele seleciona o certificado raiz confiável para o servidor de políticas de rede e o modelo de certificado de cliente que foi criado anteriormente.

Para obter mais informações, consulte as etapas de 26 a 39 no Etapa 5: Configurando a saída do componente de gerenciamento de banda seção o Como configurar e configurar computadores AMT no Configuration Manager tópico.

Anibal cria uma nova coleção para laptops compatível com AMT.Sobre o gerenciamento fora da banda guia, ele seleciona Habilitar o provisionamento para computadores AMT.

Anibal monitora o status de provisionamento para esses laptops e usa o arquivo de log amtopmgr. log, para verificar se o perfil sem fio é configurado com êxito para esses computadores AMT.

System_CAPS_tipDica

Se esses laptops já são provisionados para AMT sem o perfil sem fio, Anibal executa o atualização provisionamento de dados na memória do controlador de gerenciamento comando para as configurações sem fio a ser aplicada.Para obter mais informações, consulte o Como atualizar computadores para novas configurações de AMT seção o Como gerenciar as informações no Gerenciador de configuração de provisionamento AMT tópico.

Para obter mais informações sobre como monitorar o provisionamento AMT, consulte o Etapa 8: Monitoramento de provisionamento AMT entrar o Como configurar e configurar computadores AMT no Configuration Manager tópico.

Como resultado deste curso de ação, laptops agora também podem ser gerenciados fora da banda, o suporte técnico, que reduz o tempo para resolver os problemas relatados por usuários de laptop.