Поделиться через

  • Статья

Проверка готовности к использованию аппаратного контроллера управления в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Использование аппаратного контроллера управления в System Center 2012 Configuration Manager имеет как внешние зависимости, так и зависимости в пределах продукта.

System_CAPS_importantВажно

Использование аппаратного контроллера управления в Configuration Manager имеет внешние связи с технологией Intel Active Management Technology (Intel AMT) и с инфраструктурой открытых ключей (PKI) Майкрософт.Для получения достоверной информации о конфигурации или технических сведений о таких внешних зависимостях обратитесь к документации продукта по соответствующим технологиям.

Дополнительные сведения о технологии Intel AMT Intel установки и настройки программного обеспечения см. в документации Intel или документации изготовителя компьютера.Дополнительные сведения см. в разделе Intel vPro Expert Center: Microsoft vPro управляемости.

Сведения об инфраструктуре открытых ключей (PKI) Майкрософт см. в статье Windows Server 2008. Службы сертификации Active Directory.

Внешние зависимости Configuration Manager

Следующая таблица содержит список внешних зависимостей для запуска внешнего управления.

Зависимость                       

Дополнительные сведения

Для работы функции использования аппаратного контроллера управления необходим центр сертификации (ЦС) предприятия (Майкрософт) с шаблонами сертификатов для их установки и управления.

Выдающий ЦС должен автоматически утверждать запросы сертификатов, поступающие от учетных записей AMT-компьютеров, создаваемых Configuration Manager в доменных службах Active Directory в процессе инициализации AMT.

Для отзыва сертификатов AMT выдающему ЦС должно быть назначено разрешение "Выдача и управление сертификатами" для сервера, на котором установлена роль системы сайта "точка регистрации".

System_CAPS_importantВажно

Технология АМТ не поддерживает сертификаты центров сертификации, которые имеют длину ключа более 2048 бит.

Точка обслуживания аппаратного контроллера управления и каждый настольный компьютер или ноутбук, к которому будет применяться внешнее управление, должны иметь специальные сертификаты инфраструктуры открытых ключей (PKI), которые управляются независимо от Configuration Manager.

Дополнительные сведения о требованиях к сертификатам см. в разделе Требования к PKI-сертификатам для Configuration Manager.

Пошаговые инструкции см. в разделе Развертывание сертификатов для AMT.

Учетная запись компьютера для сервера системы сайта точки регистрации должна иметь разрешения DCOM, которые позволяют отзывать сертификаты AMT выпускающего центра сертификации.Убедитесь, что этот компьютер системы сайта входит в группу безопасности "Доступ DCOM службы сертификации" (для Windows Server 2008) или CERTSVC_DCOM_ACCESS (для Windows Server 2003 с пакетом обновления 1 (SP1) или более поздних версий) в домене, где размещается выдающий ЦС.

Настольные компьютеры или ноутбуки со следующей конфигурацией:

  • Intel vPro Technology или Intel Centrino Pro Technology

  • Поддерживаемая версия Intel AMT, настроенный для режима предприятия, с режимом подготовки PKI

  • драйвер Intel HECI.

Дополнительные сведения о версиях AMT, Configuration Manager поддерживает, в разделе Управление по резервным каналам раздела Поддерживаемые конфигурации для диспетчера конфигурации раздела.

Загрузите последний драйвер HECI с веб-сайта и изучите требования Intel (см. документацию изготовителя компьютера).

Контейнер Active Directory и универсальная группа безопасности.

  • Для контейнера Active Directory необходимо правильно настроить разрешения системы безопасности для домена, в котором находятся компьютеры, поддерживающие технологию AMT.Если сайт управляет компьютерами, основанными на AMT, из разных доменов, то же имя и путь должны быть использованы для всех доменов.

  • Универсальная группа безопасности, содержащая учетные записи компьютеров для компьютеров, поддерживающих технологию AMT.

System_CAPS_noteПримечание

Для использования аппаратного контроллера управления расширять схему Active Directory необязательно.

В ходе процесса инициализации AMT Configuration Manager создает учетные записи компьютеров в данном контейнере или подразделении Active Directory и добавляет учетные записи в универсальную группу безопасности.

Компьютеру сервера сайта требуются перечисленные ниже разрешения.

  • Для подразделения, используемого во время инициализации AMT: разрешения Создание всех дочерних объектов и Удаление всех дочерних объектов, применяемые Только для этого объекта.

  • Для универсальной группы безопасности, используемой во время инициализации AMT: Разрешить чтения и записи, и примените к только этот объект.

Следующие сетевые службы:

  • DHCP-сервер с активной областью,

  • DNS-серверы для разрешения имен.

Для службы DHCP необходимо обеспечить наличие в настройках области DHCP DNS-серверов (006) и доменного имени (015), а также динамическое обновление данных DNS DHCP-сервером с указанием записей ресурсов компьютеров.

Нельзя использовать WINS для разрешения имен компьютеров; DNS требуется для всех подключений, которые используются функцией использования аппаратного контроллера управления.Помимо инициализации AMT сюда входят подключения к компьютерам, основанным на AMT, из консоли аппаратного контроллера управления.

System_CAPS_noteПримечание

AMT не может зарегистрировать запись узла в DNS, поэтому необходимо обеспечить обновление DNS с помощью записи узла для полного доменного имени AMT-компьютера средствами DHCP или операционной системы.При необходимости эти DNS-записи можно создать вручную.Для поддержки беспроводных сетей необходимо убедиться в том, что DNS содержит записи с IP-адресами беспроводного подключения для полного доменного имени AMT-компьютера.

Зависимости роли системы сайта для компьютеров, на которых будут выполняться роли системы сайта "точка регистрации" и "точка обслуживания аппаратного контроллера управления".

См. раздел Компоненты, необходимые для ролей системы сайта в статье Поддерживаемые конфигурации для диспетчера конфигурации.

На компьютерах под управлением Windows XP необходимо установить функцию удаленного управления Windows (WinRM) 1.1 или более поздней версии, если на них выполняется консоль аппаратного контроллера управления.

Дополнительные сведения о версиях WinRM см. в статье Доступно обновление для службы удаленного управления Windows в Windows Server 2003 и Windows XP.

Необходимо наличие MSXML 6.0 на компьютерах с запущенной консолью внешнего управления.

Средство проверки готовности к установке для Configuration Manager включает проверку наличия Microsoft MSXML 6.0.

Компонент Windows, Telnet-клиент, должен быть установлен на компьютерах под управлением Windows 7, Windows Vista или Windows Server 2008, если на них запущена консоль аппаратного контроллера управления и выполняются последовательные команды через локальную сеть.

Последовательные команды через локальную сеть используют протокол Telnet для выполнения сеанса эмуляции терминала для управляемого компьютера, в котором можно выполнять команды и приложения с текстовым интерфейсом.Дополнительные сведения см. в статье Общие сведения об использовании аппаратного контроллера управления в Configuration Manager.

Компьютеры, для которых предполагается использовать аппаратный контроллер управления, должны принадлежать к тому же лесу Active Directory, что и серверы системы сайта, на которых выполняются точка обслуживания аппаратного контроллера управления и точка регистрации.

Кроме того компьютеры должны иметь то же пространство имен; несвязанного пространства имен не поддерживаются.

В следующих сценариях указаны компьютеры, внешнее управление которыми не поддерживается.Технология AMT должна быть отключена на этих компьютерах:

  • компьютеры рабочих групп;

  • компьютеры, которые размещаются не в одном лесу Active Directory с компьютерами, на которых выполняются роли системы сайта "точка обслуживания аппаратного контроллера управления" и "точка регистрации";

  • компьютеры, которые находятся в том же лесу Active Directory, что и серверы системы сайта, на которых выполняются точка обслуживания аппаратного контроллера управления и точка регистрации, но не принадлежат к одному пространству имен (несмежные пространства имен);

    Например, компьютер, основанный на AMT, с полным доменным именем computer1.northwindtraders.com не может быть подготовлен к работе сервером системы сайта внешней точки обслуживания с полным доменным именем contoso.com, даже если они принадлежат одному лесу Active Directory.

  • Компьютеры, которые находятся в одном лесу Active Directory как внешняя точка обслуживания сервера системы сайта, но имеют несвязанного пространства имен, например, AMT-компьютер с DNS-именем computer1.corp.fabrikam.com, находится в домене Active Directory с именем na.corp.fabrikam.com.

Промежуточные сетевые устройства, такие как маршрутизаторы и брандмауэры, а также брандмауэр Windows, должны пропускать сетевой трафик, связанный с внешним управлением.

Для внешнего управления используются следующие порты:

  • От точки обслуживания аппаратного контроллера управления к точке регистрации: HTTPS (по умолчанию порт TCP 443).

  • От сервера системы сайта внешней точки обслуживания на контроллеры управления AMT для управления питанием, инициированного с консоли Configuration Manager, запланированных действий, подготовки и обнаружения: TCP 16993.

  • От компьютеров с запущенной консолью внешнего управления на контроллеры управления AMT для всех задач управления, инициированных из консоли внешнего управления (включая команды включения питания): TCP 16993.

  • От компьютеров с запущенной консолью внешнего управления на контроллеры управления AMT для передачи последовательных команд по локальной сети и перенаправления IDE: TCP 16995.

IP версии 4.

IP версии 6 не поддерживается.Внешнее управление использует только IP версии 4.

Полноценная среда IPSec не поддерживается.

Политики IPsec не следует настраивать для AMT-взаимодействия между сервером системы сайта внешней точки обслуживания и компьютерами, к которым будет применяться внешнее управление.

Поддержка инфраструктуры проводных и беспроводных сетей с проверкой подлинности 801.2X.

  • Поддержка проводных сетей с проверкой подлинности 802.1X. Возможности проверки подлинности клиентов EAP-TLS, EAP-TTLS/MSCHAPv2 или PEAPv0/EAP-MSCHAPv2.

  • Поддержка беспроводных сетей. Безопасность WPA и WPA2, шифрование AES или TKIP, возможности проверки подлинности клиентов EAP-TLS, EAP-TTLS/MSCHAPv2 или PEAPv0/EAP-MSCHAPv2.

System_CAPS_noteПримечание

При использовании клиента методы проверки подлинности EAP-TLS или EAP-TTLS/MSCHAPv2 с сертификатом клиента, решение RADIUS должно поддерживать проверку подлинности, используя следующий формат: домен\учетная_запись_компьютера.

Для внешнего управления компьютерами, основанными на AMT, в проводной или беспроводной сети с проверкой подлинности 802.1X, необходимо наличие инфраструктуры, поддерживающей такое окружение.Такие сети можно настроить с помощью решения Microsoft RADIUS, например сервера политики сети в Windows Server 2008.Можно использовать другие решения RADIUS, если они являются стандартом 802.1 X и параметры конфигурации, указанные для поддержки проводной сети 802.1 X поддержки и поддержки беспроводных сетей с проверкой подлинности.

Дополнительные сведения о сервере политики сети в Windows Server 2008 см. в статье Network Policy Server (Сервер политики сети).

Дополнительные сведения о других решениях RADIUS см. в разделе Intel vPro Expert Center: Microsoft vPro управляемости.

Зависимости Configuration Manager

Следующая таблица содержит список внутренних зависимостей Configuration Manager для запуска внешнего управления.

Зависимость                       

Дополнительные сведения

На первичном сайте должна выполняться версия System Center 2012 Configuration Manager; кроме того, на нем должна быть установлена точка обслуживания аппаратного контроллера управления и точка регистрации.

Точка обслуживания аппаратного контроллера управления должна находиться в том же лесу Active Directory, что и сервер сайта; на одном первичном сайте можно установить только одну точку обслуживания аппаратного контроллера управления.

Шаг 4. Настройка точки регистрации и точки обслуживания аппаратного контроллера управления для инициализации AMT 

На компьютерах, предназначенных для использования аппаратного контроллера управления, должен быть установлен клиент Configuration Manager; кроме того, они должны быть назначены первичному сайту.

System_CAPS_importantВажно

Компьютеры, поддерживающие технологию Intel AMT, назначенные одному сайту Configuration Manager, должны иметь уникальные имена компьютеров, даже если они принадлежат разным доменам и, следовательно, имеют разные полные доменные имена.

 Установка клиентов на компьютерах под управлением Windows в Configuration Manager

Чтобы настроить использование аппаратного контроллера управления, необходимы перечисленные ниже разрешения безопасности.

  • Сайт: чтение и изменение.

  • Профиль регистрации мобильного устройства: чтение, создание, изменение, сайт счетчика и управление сертификатами для развертывания операционных систем.

Роль безопасности Полный администратор включает эти разрешения.

Чтобы использовать аппаратный контроллер управления для компьютеров, для коллекций, содержащих эти компьютеры, необходимо иметь следующие разрешения безопасности.

  • Инициализация AMT — это разрешение безопасности позволяет управлять AMT-компьютерами с консоли Configuration Manager, включая обнаружение состояния management-контроллеров AMT, инициализацию AMT-компьютеров и действия аудита по включению и применению параметров журнала аудита, отключению аудита и очистке журнала аудита.

  • Управление AMT — это разрешение безопасности позволяет просматривать список компьютеров и управлять ими с помощью консоли аппаратного контроллера управления, а также запускать действия управления питанием в консоли Configuration Manager.Роль безопасности Средства удаленного управления включает разрешение управление AMT.

  • Чтение и изменение параметров коллекции — это разрешение позволяет включать инициализацию AMT для коллекции.

  • Инициализация AMT, чтение и чтение ресурсов для удаления данных инициализации и обновления management-контроллеров AMT.

Дополнительные сведения о настройке разрешений безопасности см. в разделе Настройка ролевого администрирования.

Точка служб отчетов.

Для использования отчетов Configuration Manager при использовании аппаратного контроллера управления необходимо установить и настроить точку служб отчетов.

Дополнительные сведения см. в статье Отчеты в Configuration Manager.