Úvod do Správa mimo síť v nástroji Configuration Manager

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Správa mimo síť v System Center 2012 Configuration Manager poskytuje ovládací prvek efektivní správu pro počítače, které mají čipovou Intel vPro, nastavení a verzi technologie Intel Active Management (Intel AMT), Configuration Manager podporuje.

Správa mimo pásmo umožní uživatel s oprávněními správce připojení k řadiči správy AMT počítače, pokud v počítači je vypnutý, v režimu spánku, nebo jinak neodpovídá prostřednictvím operačního systému.Integrovaná správa je naopak klasickou přístup, který Configuration Manager a jeho předchůdci použití, kterým agenta na spravovaném počítači spuštěna v plnou verzi operačního systému a řadič správy provede úlohy navázat komunikaci s agentem správy.

Správa mimo pásmo doplňuje integrovanou správu.Zatímco integrovanou správu podporuje širšímu okruhu operace, protože jeho prostředí je plnou verzi operačního systému, nemusí být integrovanou správu funkční, pokud není k dispozici v operačním systému nebo není v provozu.V těchto případech pomocí doplňkových funkcí Správa mimo síť, pro správu Uživatelé mohou spravovat těchto počítačů bez nutnosti místní přístup k počítači.

Správa mimo síť následující úkoly:

  • Napájení na jednoho nebo více počítačů (například pro údržbu v počítačích mimo pracovní doba).

  • Vypnutí jednu nebo více počítačů (například reagovat operačního systému).

  • Restartování jeho nefunkčnost počítače nebo spouštění z místně připojené zařízení nebo známé dobrý spouštěcí soubor obrázku.

  • Opětovné vytváření bitové kopie počítače pomocí spuštění ze souboru bitové kopie, která je uložena v síti, nebo pomocí serveru PXE.

  • Změna konfigurace nastavení systému BIOS na vybrané počítače (a vynechání heslo systému BIOS, pokud to je podporován výrobcem systému BIOS).

  • Spouštění do operačního systému založeného na příkazech za účelem spouštění příkazů, nástrojů pro opravu či diagnostických aplikací (například upgrade firmwaru či spuštění nástroje pro opravu disku).

  • Konfigurace nasazení softwaru naplánované probuzení počítače před k počítačům se systémem.

Tyto mimo pásmo úlohy správy jsou podporovány na připojení k neověřené, pevné a ověřený 802. 1 X kabelová připojení a bezdrátového připojení.Mimo pásmo správy obsahuje také následující funkce:

  • Auditování pro vybrané funkce AMT.

  • Podpora pro různé power stavy, aby pomohli šetřit spotřeba energie a dodržování zásad IT.

  • Ukládání dat v AMT, kde mohou být uloženy až 4096 bajtů v znaky ASCII ve stálé paměť (NVRAM) řadiče pro správu.

Příklad scénáře, jak si vzdálené správy lze použít, podívejte se na téma Příklad scénáře pro použití Správa mimo síť v nástroji Configuration Manager.

Některé předchozí úlohy se provádí z Configuration Manager konzoly, zatímco jiné vyžadují spuštěna mimo pásmo management Console, který je dodáván s Configuration Manager.Mimo pásmo management používá technologii Vzdálená správa systému Windows (WS-MAN) pro připojení k řadiči správy AMT v počítači.

Poznámka

Mimo pásmo správy není podporována pro klienty, kteří jsou spravována prostřednictvím Internetu pomocí správy klienta založeného na Internetu.Configuration Manager klienti, kteří jsou blokovaných nebo neschválených podle Configuration Manager nelze spravovat mimo pásmo.

V následující tabulce jsou uvedeny možnosti a funkce, které Správa mimo síť obsahuje ve Configuration Manager.

Funkce nebo scénář

Další informace

Správa založená na zabezpečení

Mimo pásmo správy integrována se vnitřní infrastruktury veřejných klíčů (PKI) s použitím následujících certifikátů:

  • Zřizování certifikát, který je nainstalován na mimo pásmo bodu služby, což umožňuje počítačům, které má být konfigurována pro Správa mimo síť.

  • Certifikátu webového serveru, který je nainstalována v bodu registrace pro zabezpečenou komunikaci se mimo pásmo bodu služby při zřizování rozděleno.

  • Certifikátu webového serveru, který je nainstalován v každém počítači, který je spravován mimo pásmo tak, aby komunikace ověřen a zašifrována pomocí zabezpečení TLS (Transport Layer).

  • Klientské certifikáty, v případě potřeby pro ověřování 802.1 X.

Další informace o těchto certifikátech naleznete v tématu Požadavky na certifikát PKI pro nástroj Configuration Manager.

Správci, je třeba ověřit pomocí protokolu Kerberos před spravují počítače s použitím mimo pásmo management Console.

Správa mimo síť aktivity je záznam a auditovatelné pomocí protokolu auditu v počítačích s procesorem AMT.

Podpora pro protokol 802.1 X ověřen pevné sítě a bezdrátové sítě:

  • Podporovat ověřený pevné 802. 1 X: možnosti ověřování klienta protokolu EAP-TLS nebo EAP-TTLS/MSCHAPv2 nebo PEAPv0/EAP-MSCHAPv2.

  • Podpoře bezdrátových technologií: Zabezpečení WPA a WPA2, AES nebo šifrování TKIP, možnosti ověřování klienta protokolu EAP-TLS nebo EAP-TTLS/MSCHAPv2 nebo PEAPv0/EAP-MSCHAPv2.

Zřizování technologie AMT

Povolí a nakonfiguruje počítačů se systémem Intel AMT, které jsou spuštěny klienta nástroje Configuration Manager.

Data široké inventáře

Poskytuje data inventáře hardwaru z čipovou AMT, jako je například inventární štítek, UUID systému BIOS, stav napájení, procesoru, paměti a informace o jednotce.

Identifikovat řadiči pro správu AMT

Určuje počítače s řadiči pro správu služby AMT a jeho stav zřizování.

Tyto informace lze použít k sestavení založené na dotazech kolekce do skupiny počítačů pro mimo pásmo správy aktivity, například ovládací prvek zřizování a výkonu.

Řízení spotřeby

Umožňuje zapnout, vypne a restartování funkce pro jeden počítač, vybrané počítače nebo skupina počítačů.

Počítače lze také woken podle nasazení naplánované softwaru, které mají naplánované termín.

Mimo pásmo Konzola pro správu

Konzola vyhrazené správy, která se spouští z Configuration Manager konzoly nebo na příkazovém řádku, chcete-li zahájit mimo pásmo úloh správy, včetně integrovaného vývojového prostředí sériové přes LAN a přesměrování relací.

Poznámka

Možnosti se mohou lišit v závislosti na výrobce spravovaného počítače.Můžete například IDE sériové přes LAN a přesměrování schopností lze zakázat výrobcem.

Integrované vývojové prostředí přesměrování

Umožňuje počítači pokyn, aby spuštění z spouštěcí soubor obrázku nebo místně připojené zařízení a nikoli z jeho disku IDE rozhraní.To je užitečné pro diagnostiku, oprava nebo zpracování obrázků na pevném disku.

Sériové přes sítě LAN

Sériové přes LAN technologie data z virtuální port sériové zapouzdří a odešle ji přes stávající síťové připojení, které vytvořeno mimo pásmo management Console.

Sériové přes LAN technologie vám umožní spustit relaci terminálové emulace pro spravovaný počítač, ve kterém můžete spustit příkazy a aplikace založené na znak.Například to může zahrnovat změny konfigurace systému BIOS nebo funguje ve spojení s přesměrování integrovaného vývojového prostředí, můžete aktualizovat firmware nebo spustit diagnostické nástroje.

Rozšíření Správa mimo síť v nástroji Configuration Manager

Další technické informace pro podporu a rozšířit Správa mimo síť v Configuration Manager, naleznete v části nabídek aplikace společnosti Intel na webu Microsoft Pinpoint.

Co je nového v Configuration Manageru

Poznámka

Informace v této části se zobrazují také v – příručka Základy použití nástroje System Center 2012 Configuration Manager.

Následující položky jsou nové nebo byly změněny pro správu band od Configuration Manager 2007:

  • Aplikace System Center 2012 Configuration Manager již nepodporuje vzdálené zřizování, jež se dalo použít v aplikaci Configuration Manager 2007 v případě, že nebyl nainstalován klient aplikace Configuration Manager, nebo když na počítači nebyl nainstalován operační systém.Chcete-li zřídit počítače pro technologii AMT v aplikaci System Center 2012 Configuration Manager, musí tyto počítače patřit do domény služby Active Directory, musí na nich být nainstalován klient aplikace System Center 2012 Configuration Manager a musí být přidruženy k primární lokalitě aplikace System Center 2012 Configuration Manager.

  • Chcete-li zřídit počítače pro technologii AMT, je třeba kromě vzdáleného bodu služby nainstalovat také novou roli systému lokality – bod registrace.Obě tyto role systému lokality je třeba nainstalovat na stejnou primární lokalitu.

  • Je nový účet, účtu odebrání zřizování AMT, kterou určíte na z vlastnosti komponenty vzdálené správy: Zřizování karty.Poté, co zadáte tento účet a použijete stejný účet systému Windows, který je zadán jako Uživatelský účet technologie AMT, můžete pomocí tohoto účtu odstranit informace o zřizování technologie AMT, pokud by bylo potřeba obnovit lokalitu.Rovněž byste jej mohli využít v případě, že byl znovu přiřazen klient a informace o zřizování technologie AMT nebyla odebrána ze staré lokality.

  • Configuration Manager generuje již stavové zprávy s upozorněním, že je AMT zřizování certifikátu vyprší.Zbývající dobu platnosti zkontrolujte sami a zajistěte obnovení tohoto certifikátu před vypršením jeho platnosti.

  • Zjišťování technologie AMT již nevyužívá port TCP 16992. Používá se pouze port TCP 16993.

  • Port TCP 9971 již neslouží k připojování řadiče pro správu technologie AMT ke vzdálenému bodu služby za účelem zřizování počítačů pro technologii AMT.

  • Vzdálený bod služby používá protokol HTTPS (standardně port TCP 443) pro připojení k bodu registrace.

  • Překladač WS-MAN již není podporován.

  • Úloha údržby Obnovit hesla počítačů AMT byla odstraněna.

  • Již se nevybírají samostatná oprávnění pro jednotlivé uživatelské účty technologie AMT.Místo toho jsou všechny uživatelské účty technologie AMT automaticky konfigurovány pro právo Správa PT (Configuration Manager 2007 SP1) nebo Správa platformy (Configuration Manager 2007 SP2), jež uděluje oprávnění všem funkcím technologie AMT.

  • Je nutné zadat univerzální skupinu zabezpečení v nabídce Vlastnosti komponent vzdálené správy, aby byly obsaženy účty počítačů AMT, které aplikace Configuration Manager vytváří během procesu zřizování technologie AMT.

  • Počítač serveru lokality již nevyžaduje Úplnou kontrolu nad organizační jednotkou (OU), jako tomu bylo během zřizování AMT.Místo toho uděluje oprávnění Členové pro čtení a Členové pro zápis (jen pro tento objekt).

  • Bod registrace nyní spíše než počítač serveru primární lokality vyžaduje oprávnění k vydávání a správě certifikátů na straně vydávající certifikační autority (CA).Toto oprávnění je požadováno k odvolání certifikátů AMT.Stejně jako v aplikaci Configuration Manager 2007, i zde tento účet počítače vyžaduje oprávnění DCOM ke komunikaci s vydávající certifikační autoritou.Chcete-li provést konfiguraci, ujistěte se, že je účet počítače serveru systému lokality bodu registrace členem skupiny zabezpečení Certificate Service DCOM Access (v systému Windows Server 2008) nebo skupiny zabezpečení CERTSVC_DCOM_ACCESS (v systému Windows Server 2003 SP1 a novějším) v doméně, kde je uložena vydávající certifikační autorita.

  • Šablony certifikátů pro certifikát webového serveru AMT a klientský certifikát 802.1X AMT nadále nevyužívají možnost Dodán v žádosti a účet počítače serveru lokality již nepožaduje oprávnění k následujícím šablonám certifikátů:

    • Pro šablonu certifikátu webového serveru AMT: Na kartě Subjekt vyberte volbu Sestaven z těchto informací v adresáři Active Directory a poté vyberte hodnotu Běžný název pro položku Formát názvu subjektu.Na kartě Zabezpečení udělte oprávnění Čtení a Zápis univerzální skupině zabezpečení, kterou zadáte v položce Vlastnosti komponent vzdálené správy.

    • Pro šablonu klientského certifikátu 802.1X AMT: Na kartě Subjekt vyberte volbu Sestaven z těchto informací v adresáři Active Directory a poté vyberte hodnotu Běžný název pro položku Formát názvu subjektu.Zrušte zaškrtnutí políčka Název DNS a poté vyberte volbu Hlavní název uživatele (UPN) jako alternativní název subjektu.Na kartě Zabezpečení udělte oprávnění Čtení a Zápis univerzální skupině zabezpečení, kterou zadáte v položce Vlastnosti komponent vzdáleného bodu správy.

  • Certifikát zřizování AMT již nevyžaduje možnost exportování soukromého klíče.

  • Standardně vzdálený bod služeb kontroluje, zda nedošlo k odvolání zřizovacího certifikátu AMT.K tomu dojde, když se systém lokality poprvé spustí a když dojde ke změně zřizovacího certifikátu AMT.Tuto volbu můžete zakázat v nabídce Vlastnosti vzdáleného servisního bodu.

  • Položku Kontrola CRL pro certifikát webového serveru AMT můžete zakázat v konzole vzdálené správy.Chcete-li toto nastavení změnit, klepněte na nabídku Nástroje a poté klepněte na volbu Možnosti.Nové nastavení se použije při příštím připojení k počítači s technologií AMT.

  • Když je certifikát pro počítač s technologií AMT odvolán, je nyní důvodem odvolání Ukončení provádění operací a nikoli Nahrazení.

  • Počítače s technologií AMT, které jsou přiřazeny ke stejné lokalitě aplikace Configuration Manager, musí mít jedinečný název počítače, dokonce i v případě, že patří k různým doménám, a mají proto jedinečný plně kvalifikovaný název domény.

  • Když opětovně přiřadíte počítač s technologií AMT z jedné lokality aplikace Configuration Manager do jiné, je třeba nejprve odstranit informace o zřizování AMT, znovu přiřadit klienta a následně zřídit klienta znovu pro technologii AMT.

  • Bezpečnostní oprávnění Zobrazení řadičů pro správu a Správa řadičů pro správu se nyní v aplikaci Configuration Manager 2007 nazývají Zřizování AMT, respektive Řízení AMT.Oprávnění Řízení AMT je automaticky přidáno do role zabezpečení Operátor nástrojů pro správu.Pokud je administrativnímu uživateli přidělena role zabezpečení Operátor nástrojů pro správu a chcete, aby tento administrativní uživatel zřizoval počítače s technologií AMT nebo řídil protokol auditování technologie AMT, musíte do této role zabezpečení přidat oprávnění Zřizování AMT nebo zajistit, aby administrativní uživatel patřil do jiné role zabezpečení, která toto oprávnění zahrnuje.

Viz také

Správa mimo síť v nástroji Configuration Manager