共用方式為


如何佈建和 Configuration Manager 中設定 AMT 型電腦

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

您可以管理 Intel AMT--電腦中超出之前 System Center 2012 Configuration Manager, ,您必須佈建在後 Configuration Manager 安裝用戶端。AMT 佈建與企業憑證授權單位 (CA) 要求 Microsoft 憑證服務和 Configuration Manager 註冊端點和頻外故障點站台系統角色。公開金鑰基礎結構 (PKI) 憑證期間和之後佈建程序中,保護金額為基礎的電腦之間的通訊和 Configuration Manager 站台。

在佈建本主題中使用下列步驟和補充程序並設定 AMT 型電腦的頻外管理。這項資訊包括選擇性的組態管理超出範圍的 AMT 電腦時這些電腦連線到已驗證的有線的網路或無線網路。您可以也設定這些選擇性的設定後的金額為基礎的電腦已佈建,然後更新 AMT 管理控制站。

佈建及設定 AMT 型電腦的步驟

使用下表的步驟、 詳細資料,及如何佈建及設定 AMT 型電腦的詳細資訊。

System_CAPS_important重要事項

您執行這些步驟之前,請確定您已佈建的必要條件和設定以金額為基礎的電腦。如需詳細資訊,請參閱頻外管理 Configuration Manager 中的必要條件

如果您管理以金額為基礎上 801.1 X 與無線網路的電腦,檢查您的 RADIUS 伺服器的組態好讓您知道哪些設定 AMT.的 802.1 X 設定

此外,當 AMT 電腦主控件設定的無線網路時,原生作業系統中或使用另一個解決方案確定您在外的頻外管理無線設定檔中指定的設定 網路名稱 (SSID), ,安全性類型, ,和 加密方法 符合您的主機無線設定的組態。

步驟

詳細資料

詳細資訊

步驟 1:準備 Active Directory 網域服務藉由建立安全性群組和組織單位 (OU)。

建立兩個安全性群組:

  • 包含主要站台伺服器的電腦帳戶的安全性群組。

  • 萬用安全性群組將包含的金額為基礎的佈建電腦帳戶。下列安全性權限授與第一個安全性群組 只有這個物件:讀取成員寫入器成員

將包含 AMT 型電腦的每個網域中建立一個 OU。下列安全性權限授與第一個安全性群組 只有這個物件:建立電腦物件刪除電腦物件

如需有關如何建立安全性群組和 Ou 的詳細資訊,請參閱 Active Directory 文件。

步驟 2:確認 DHCP 設定。

確定您有使用中領域並設定下列 DHCP 選項:

  • 006 (DNS 伺服器)

  • 015 (DNS 網域名稱)

此外,請確定 DHCP 伺服器設定為動態更新 DNS 電腦資源記錄。

如需有關如何設定 DHCP 的詳細資訊,請參閱 DHCP 文件。

步驟 3:建立並發行 PKI 憑證。

請確定您已設定下列:

  • Web 伺服器憑證註冊點。

  • AMT 佈建憑證。

  • AMT web 伺服器憑證範本。

  • 只有無線管理:AMT 用戶端驗證憑證範本。

若要設定的註冊點的 web 伺服器憑證,請參閱 為執行 IIS 的站台系統部署 Web 伺服器憑證 一節中 為 Configuration Manager 部署 PKI 憑證的逐步範例:Windows Server 2008 憑證授權單位 主題。

若要設定 AMT 憑證,請參閱 部署 AMT 的憑證 一節中 為 Configuration Manager 部署 PKI 憑證的逐步範例:Windows Server 2008 憑證授權單位 主題。

步驟 4:設定站台系統角色 AMT.

安裝和設定下列站台系統角色:

  • 註冊點。

  • 頻外服務點不足。

請參閱下列程序 步驟 4:設定註冊端點和頻外服務端點的向外 AMT 佈建 本主題中。

步驟 5:設定向外的頻外管理元件。

例如,您設定在步驟 1 憑證範本,您的 OU 和安全性的群組設定在步驟 3 和 AMT 使用者帳戶如果您想要執行的頻外管理主控台指定設定。

請參閱下列程序 步驟 5:設定向外的頻外管理元件 本主題中。

步驟 6:選用:將網站設定為傳送電力上排定喚醒活動的命令。

加強電腦上使用頻外管理可讓電腦至站台指派到離開休眠以便它們可以回應排程的管理工作。

請參閱下列程序 步驟 6:設定命令上傳送電力排程喚醒活動網站 本主題中。

步驟 7:顯示 AMT 狀態和啟用 AMT 佈建。

視需要建立新的集合以包含您想要佈建的金額為基礎的電腦。

選用,但建議使用:將 AMT 狀態加入至 Configuration Manager 主控台。

選取 啟用 AMT 佈建 AMT 型電腦 集合屬性中。

請參閱下列程序 步驟 7:顯示 AMT 狀態和啟用 AMT 佈建 本主題中。

步驟 8:監視佈建程序的金額。

當 Configuration Manager 用戶端接著下載用戶端原則、 它傳送至的寬線服務點外的佈建要求。如果佈建失敗,它會自動重試根據佈建不足的頻外管理組件屬性中設定的排程。

請參閱下列程序 步驟 8:監視 AMT 佈建 本主題中。

補充程序來佈建及設定 AMT 型電腦

當上表中的步驟需要補充程序時,可利用下列資訊。

步驟 4:設定註冊端點和頻外服務端點的向外 AMT 佈建

這些程序設定 AMT 佈建的站台系統角色。選擇其中一個程序根據您是安裝新的站台系統伺服器 AMT 佈建或使用現有的站台系統伺服器:

若要安裝並設定佈建站台系統金額:新增網站系統伺服器

  1. 在 Configuration Manager 主控台中,按一下 [系統管理]。

  2. 在 [系統管理] 工作區中,展開 [網站設定],然後按一下 [伺服器和網站系統角色]。

  3. 在 [首頁] 索引標籤的 [建立] 群組中,按一下 [建立網站系統伺服器]。

  4. 在 [一般] 頁面上,指定網站系統的一般設定,然後按 [下一步]。

  5. 系統角色選取 頁面上,選取 頻外服務點出註冊點 從清單中可用的角色,然後再按一下 下一步

    System_CAPS_note注意事項

    角色沒有可用的次要站台。此外,帶服務點不足無法安裝在主要站台的多個站台系統上。

  6. 頻外服務點出 頁面上,不會變更排程上的電源電源命令的預設設定除非您有微調這些網路基礎結構。按一下 [下一步]。

  7. AMT 佈建憑證 頁面上,按一下 瀏覽 選取您在上表中的步驟 3 中建立的金額佈建憑證。或型別中的憑證指紋。

  8. 決定您是否必須清除 啟用 CRL 檢查 AMT 佈建憑證 核取方塊,然後 下一步

    System_CAPS_note注意事項

    雖然此選項來檢查憑證撤銷清單 (CRL) 是更安全,如果當您啟用這個選項外的寬線服務點無法存取 CRL 不足的寬線服務點不會提供電腦的 AMT.如果您 AMT 佈建憑證是由外部 CA,不足的寬線服務點必須直接存取網際網路當您啟用 CRL 檢查,因為這個選項不支援 web proxy 存取。

  9. 註冊點設定 頁面上,檢閱設定。除非您必須將它們變更為您的環境保留預設值。按一下 [下一步]。

  10. 完成精靈。

若要安裝並設定佈建站台系統金額:現有的網站系統伺服器

  1. 在 Configuration Manager 主控台中,按一下 管理

  2. 管理 工作區中,展開 站台組態, 、 選取 伺服器和站台系統角色, ,然後選取您想要用於 AMT 佈建伺服器。

  3. 在 [首頁] 索引標籤的 [建立] 群組中,按一下 [新增網站系統角色]。

  4. 在 [一般] 頁面上,指定網站系統的一般設定,然後按 [下一步]。

  5. 系統角色選取 頁面上,選取 頻外服務點出註冊點 從清單中可用的角色,然後再按一下 下一步

    System_CAPS_note注意事項

    角色沒有可用的次要站台。此外,帶服務點不足無法安裝在主要站台的多個站台系統上。

  6. 頻外服務點出 頁面上,不會變更命令排程電源的預設設定除非您有微調這些網路基礎結構。按一下 [下一步]。

  7. AMT 佈建憑證 頁面上,按一下 瀏覽 選取您在上表中的步驟 3 中建立的金額佈建憑證。或者,輸入憑證指紋。

  8. 決定是否必須清除 啟用 CRL 檢查 AMT 佈建憑證 核取方塊,然後 下一步

    System_CAPS_note注意事項

    雖然此選項來檢查 CRL 更安全的如果無法存取 CRL 的寬線服務點外,AMT 佈建將會失敗。如果您 AMT 佈建的憑證是來自外部的 CA,不足的寬線服務點必須能夠存取網際網路。

  9. 註冊點設定 頁面上,檢閱設定。除非您需要為您的環境變更保留預設值。按一下 [下一步]。

  10. 完成精靈。

步驟 5:設定向外的頻外管理元件

此程序會設定不足的頻外管理元件。

若要設定出頻外管理元件

  1. 在 Configuration Manager 主控台中,按一下 管理

  2. 管理 工作區中,展開 站台組態 然後按一下 網站

  3. Home 索引標籤的 設定 群組中,按一下 設定網站元件, ,然後按一下 出頻外管理

  4. 選取您在之前程序中設定的註冊點。

  5. 指定的 OU,然後您在上表中的步驟 1 中設定的萬用群組。

  6. 指定您在上表中的步驟 3 中設定的 AMT web 伺服器憑證。

  7. 決定是否要清除 CRL 檢查的核取方塊。

    System_CAPS_note注意事項

    選取此選項時,管理超出範圍的 AMT 電腦的電腦必須能夠檢查 AMT web 伺服器憑證的 CRL 它們可以成功連線之前。根據預設,CRL 已發行的 CA 上發行。雖然檢查 CRL 更安全的如果找不到 CRL,連線會失敗。管理以金額為基礎的電腦的電腦包含站台伺服器和執行不足的頻外管理主控台的電腦。

  8. 按一下 設定 用於初始管理引擎 BIOS 延伸模組 (MEBx) 中指定之帳戶的強式密碼驗證的存取權管理金額為基礎的電腦。

    System_CAPS_note注意事項

    密碼會區分大小寫且必須至少 8 個字元,最多 32 個字元,以及至少其中每個以大寫、 小寫、 數字和符號字元。符號的字元包括!@ # $ %^ & * 並排除: (冒號)""(雙引號) _ (底線)。

  9. 按一下 AMT 設定 ] 索引標籤。

  10. 按一下 新增 圖示 新增圖示 指定金額將會執行不足的頻外管理主控台的使用者帳戶。最佳作法是指定安全性群組,而非個別使用者帳戶。

  11. 決定您是否必須變更預設管理能力設定 永遠主機位在

    System_CAPS_note注意事項

    設定 主機位在 可以幫助省電源耗用量金額為基礎的電腦處於待命或關閉作業系統。它也可能需要由您的公司原則。不過,如果您選取 主機位在 和 AMT 電腦處於不允許無線通訊以外的電源狀態,以金額為基礎的電腦沒有回應超出範圍通訊。在此案例中,沒有指示讓您無法連線到 AMT 電腦因為它設定成不支援可管理性的電源狀態。

  12. 按一下 進階設定 並決定是否要變更任何預設設定,然後再按一下 確定

    System_CAPS_note注意事項

    更多的進階設定的詳細資訊:

    • 啟用 web 介面:啟用或停用 AMT 型電腦 AMT Web 瀏覽器中顯示的軔體資訊的能力。此選項依預設並未啟用。

    • 啟用序列透過 LAN 和 IDE 的重新導向:啟用或停金額為基礎的電腦上的 LAN 和 IDE 重新導向透過序列的選項。這個選項預設為啟用。

    • 允許 ping 回應:啟用或停用傳送 ICMP 資料包時回應網路 ping 要求的金額管理控制站。此選項依預設並未啟用。

    • 啟用 BIOS 密碼上略過電源並重新啟動命令:啟用或停用的能力以金額為基礎的電腦上電源時略過已設定密碼的 BIOS 提示或重新啟動電腦。根據預設,系統會啟用這個選項。

    • Kerberos 時鐘容錯 (分鐘):指定允許的時鐘容錯的管理控制站之間的時間戳記中接收的訊息。具有較短的值可協助消除重新執行攻擊但太短的值可能會導致拒絕的有效連接。預設值為 5 分鐘。

  13. 按一下 稽核記錄檔設定。檢閱稽核,決定是否要變更任何預設設定,然後按一下 AMT 功能 確定

    System_CAPS_note注意事項

    選取要稽核的功能不會啟用稽核。您可以啟用稽核選定金額為基礎的電腦上後在佈建。如需詳細資訊,請參閱若要啟用稽核及更新以金額為基礎的電腦上的稽核設定

  14. 按一下 佈建 ] 索引標籤。

  15. 如果您指定的金額探索和佈建帳戶,請按一下 新增 圖示 新增圖示 指定一或多個帳戶。

    System_CAPS_note注意事項

    指定如果下列條件的任何一個套用的金額佈建和探索帳戶:

    • AMT 電腦永遠不會佈建,以及您的製造商傳送含自訂的 MEBx 密碼的電腦。(不是 admin。)這種情況下,新增 AMT 佈建且時探索帳戶名為 admin 並指定製造商所提供的密碼。

    • AMT 電腦永遠不會佈建,而且您的製造商傳遞預設 MEBx 密碼是電腦 admin, ,但 MEBx 密碼設定電腦的 BIOS 擴充功能中。這種情況下,新增 AMT 佈建且時探索帳戶名為 admin 並指定您的 BIOS 擴充功能中設定的密碼。

    • AMT 電腦先前提供的另一個 AMT 管理解決方案,並佈建資訊已部分移除 (由該管理解決方案或藉由在本機設定 BIOS 擴充功能)。當此情況下,而且您想要探索或使用佈建這些電腦 Configuration Manager, ,新增 AMT 佈建和名為探索帳戶 admin 和 AMT 遠端系統管理員帳戶所設定的管理解決方案所指定的密碼。

  16. 設定 AMT 佈建排程。

  17. 按一下 設定 指定 AMT 佈建移除帳戶。指定 Windows 帳戶指定為在步驟 10 中 AMT 使用者帳戶。您也必須將此帳戶加入的額外服務點電腦外上本機 Administrators 群組。

    System_CAPS_note注意事項

    如果您必須復原站台,您可以使用此帳戶從電腦移除 AMT 佈建資訊並再重新佈建。

    如需如何移除 AMT 佈建資訊的詳細資訊,請參閱如何移除 AMT 資訊

  18. 如果您想要管理 AMT 電腦當它們連線到已驗證有線和無線 802.1 X 網路、 按一下 802.1 X 和無線 索引標籤上 ; 否則,請按一下 [確定] 關閉 出頻外管理元件屬性 對話方塊。

  19. 若要設定 802.1 X 驗證的有線網路,請選取 啟用 802.1 X 驗證有線的網路存取, ,然後按一下 設定

  20. 802.1 X 有線網路存取控制 ] 對話方塊中按一下 選取 選取 信任根憑證

  21. 用於 RADIUS 驗證的信任根憑證 ] 對話方塊中使用下列方法之一指定信任的根憑證再 確定:

    • 若要指定信任的根憑證從樹系中選取企業 CA,請確定 從憑證授權單位 (CA) 已選取,並從清單中選取 CA。

    • 若要指定受信任的根憑證選取 DER 編碼二進位 X.509 (.cer) 或 base-64 編碼 X.509 (.cer) 檔案包含匯出信任的根憑證,請按一下 檔案從, ,按一下 瀏覽, 選取.cer 檔案,然後按一下 [ 開啟

  22. 在下拉式清單方塊中選取要使用的用戶端驗證方法。

  23. 如果您選取的用戶端驗證方法 TTLS/Eap-mschapv2PEAPv0/Eap-mschapv2, ,按一下 使用用戶端憑證 如果也想要使用用戶端憑證進行驗證。

  24. 如果 已選取 [使用用戶端憑證, ,按一下 選取, ,指定 發行 CA 用於用戶端憑證和 RADIUS 用戶端憑證範本 上述資料表中的步驟 3 中建立然後再按一下 確定

  25. 如果您不需要設定無線設定、 按一下 [確定] 關閉 出頻外管理元件屬性 對話方塊。

  26. 若要建立及設定無線設定檔,按一下 新增 圖示 新增圖示

  27. 無線設定檔 對話方塊中,輸入的顯示名稱 設定檔名稱

  28. 輸入中的無線網路名稱 網路名稱 (SSID)

  29. 指定安全性類型中的 安全性類型 方塊。

  30. 指定加密方法中的 加密方法 方塊。

  31. 按一下 選取 來指定 RADIUS 伺服器的受信任的根憑證。

  32. 用於 RADIUS 驗證的信任根憑證 ] 對話方塊中使用下列方法之一指定信任的根憑證再 確定:

    • 若要指定信任的根憑證從樹系中選取企業 CA,請確定 從憑證授權單位 (CA) 已選取,並從清單中選取 CA。

    • 若要指定受信任的根憑證選取 DER 編碼二進位 X.509 (.cer) 或 base-64 編碼 X.509 (.cer) 檔案包含匯出信任的根憑證,請按一下 檔案從, ,按一下 瀏覽, 選取.cer 檔案,然後按一下 [ 開啟

  33. 在下拉式清單方塊中選取要使用的用戶端驗證方法。

  34. 如果您選取的用戶端驗證方法 TTLS/Eap-mschapv2PEAPv0/Eap-mschapv2, ,按一下 使用用戶端憑證 如果也想要使用用戶端憑證進行驗證。

  35. 如果 已選取 [使用用戶端憑證, ,按一下 選取, ,指定 發行 CA 用於用戶端憑證和 RADIUS 用戶端憑證範本 上述資料表中的步驟 3 中建立然後再按一下 確定

  36. 建立所需的其他無線設定檔。

  37. 若要變更的無線設定檔順序,選擇一個無線設定檔,然後 下移項目 圖示 下移圖示下移項目 圖示 上移圖示。AMT 電腦依序嘗試每個無線設定檔,直到成功建立連線,而且會持續嘗試連接期間使用這個設定檔。

  38. 如果您必須變更無線設定檔的設定,請選取的無線設定檔中,然後按一下 屬性 圖示 內容圖示

  39. 按一下 確定 關閉 出頻外管理元件屬性 對話方塊。

步驟 6:設定命令上傳送電力排程喚醒活動網站

此程序可讓主要站台伺服器電源的命令時傳送給金額為基礎的電腦在排程部署和這些電腦會進入休眠狀態或已關閉。

若要將網站設定為傳送電力上排定喚醒活動的命令

  1. 在 Configuration Manager 主控台中,按一下 [系統管理]。

  2. 在 [系統管理] 工作區中,展開 [站台設定],按一下 [站台],然後選取要設定的主要站台。

  3. Home 索引標籤上按一下 屬性, ,然後按一下 線上醒 ] 索引標籤。

  4. 選取 啟用網路喚醒此站台 核取方塊,,然後選取下列選項的其中一個:

    - **在命令上使用 AMT 電源,如果電腦支援這項技術。否則,請使用 \[喚醒封包**
    
    - **在命令中只能使用 AMT 電源**
    
    System_CAPS_warning警告

    設定站台的喚醒選項之後, 設定為網路喚醒的所有部署會都使用相同的設定。您不能設定的部署需要使用個別;例如,您無法設定僅使用只有喚醒封包或特定的工作順序來在命令中只能使用電源電源的軟體更新部署。

  5. 按一下 [確定]。

System_CAPS_note注意事項

由於額外負擔參與建立、 維護和終止的頻外管理工作階段,進行您自己測試以便您可以精確地判斷如何所需的時間喚醒例如您的環境中的命令上使用 AMT 電源的多部電腦、 跨降低 WAN 連結至次要站台的電腦。這項知識有助於您判斷喚醒之排定活動的多部電腦使用電源的命令與無線通訊以外的實用時是否有大量的時間在短時間內喚醒電腦。

步驟 7:顯示 AMT 狀態和啟用 AMT 佈建

此程序會加入 AMT 狀態] 欄 Configuration Manager 主控台和啟用 AMT 佈建。

在 [組態管理員] 主控台中顯示 AMT 狀態資料行和啟用 AMT 佈建集合

  1. 在 Configuration Manager 主控台中,按一下 [資產與相容性]。

  2. 資產與相容性 工作區中,展開 裝置, ,並選取包含金額為基礎的電腦的裝置集合。

  3. 在 [結果] 窗格中以滑鼠右鍵按一下任何欄標題,然後選取 AMT 狀態

  4. Home 索引標籤的 集合 群組中,按一下 頻外管理, ,然後按一下 探索 AMT 狀態。按一下 確定 確認該動作。

  5. 在 [首頁] 索引標籤上,按一下 [內容]。

  6. 在 [集合屬性] 對話方塊中,按一下 出頻外管理 ] 索引標籤。

  7. 選取 啟用 AMT 型電腦佈建, ,然後按一下 確定

  8. 如果您已設定出頻外的管理 802.1 X 驗證有線的連線或 802.1 X 無線連線:請確定下列網路連線是在作業的金額為基礎的電腦中的其中一個:

    - 電腦被連線至乙太網路連接埠的 802.1 X 驗證不需要。
    
    - 電腦被連線到透過作業系統的 802.1 X 驗證網路。
    

    此外,如在無線網路上的頻外管理,請檢查您的 DNS 伺服器是否具有 AMT 型電腦,其中包含無線的 IP 位址的主機記錄。所以您必須確保,DHCP 或主機電腦上的作業系統更新 DNS 以便讓 AMT 電腦的無線 IP 位址可解析為其完整的網域名稱 (FQDN) AMT 無法在 DNS 中註冊的主機記錄。或者,您可以手動建立這些記錄在 DNS 中為必要。

步驟 8:監視 AMT 佈建

雖然您可以手動探索的目前狀態使用 探索 AMT 狀態 選項值也會自動更新後的金額佈建程序。

使用下列方法之一來監視 AMT 狀態:

  • 檢視 AMT 狀態 中的資料行 Configuration Manager 主控台。

  • 建立以查詢為基礎的集合使用 AMT 狀態 值。

  • 檢視報表 超出頻外管理控制器的電腦

如需 AMT 狀態的詳細資訊,請參閱關於 AMT 狀態和頻外管理 Configuration Manager 中的向外

如何驗證的 802.1 X 網路連線會佈建電腦

因為 802.1 X 的設定會套用金額為基礎的電腦上未驗證的 Ethernet 連線、 AMT 狀態的佈建後 已佈建 不會確認電腦可以管理超出範圍上無線或有線 802.1 X 網路連線。使用下列程序來確認已成功套用 802.1 X 設定。

若要確認是否已驗證的有線與無線網路連線設定以金額為基礎的電腦
  1. 頻外服務點現成,找出並開啟檔案 <ConfigMgrInstallationPath> \Logs\Amtopmgr.log。

  2. 搜尋下列文字字串的其中一個位置 <wireless_profile> 這是指定的名稱的無線設定檔:

    - 若要確認已驗證的有線設定已成功設定,搜尋 **Begin to set Wired 8021x Profile...**, ,然後 **Set Wired 8021x Profile Success...**。
    
    - 若要確認已成功設定無線設定檔設定,請搜尋 **Set wireless profile: \<wireless\_profile\>**, ,然後 **Successfully add wireless profile \<wireless\_profile\>**。
    
    - 若要識別失敗因為指定的組態項目無法設定無線設定檔 (例如用戶端憑證已指定但不是會發出),搜尋 **Set wireless profile: \<wireless\_profile\>**, ,失敗的原因 (例如 **No client Certificate**),然後 **The wireless profile: \<wireless\_profile\> is invaid. Skip adding...**。
    
    - 若要識別失敗更新因為金額為基礎的電腦目前是在無線連線的無線設定檔,請搜尋 **The wireless connection is active, skip setting wifi profiles**。
    
  3. 關閉記錄檔並採取更正措施如果不成功套用的設定。