• Artikel

Beispielszenario für die Implementierung der Out-of-Band-Verwaltung in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteHinweis

Dieses Thema erscheint in den Handbüchern Assets and Compliance in System Center 2012 Configuration Manager (Bestand und Kompatibilität in System Center 2012 Configuration Manager) und Szenarios und Lösungen mithilfe von System Center 2012 Configuration Manager.

Die folgenden Abschnitte dieses Themas enthalten Beispielszenarien für die Implementierung einer Out-of-Band-Verwaltung in System Center 2012 Configuration Manager in drei Phasen:

  • Pilotphase: Implementieren und Testen weniger Computer, bei denen für das Bereitstellungszertifikat Zertifikatdienste (interne Zertifizierungsstelle) verwendet werden

  • Einführung: Vollständige Bereitstellung mit einer externen Zertifizierungsstelle für das Bereitstellungszertifikat

  • Hinzufügen der Unterstützung für Funknetzwerke: Erweiterung der Verwaltung auf Funknetzwerke

Im folgenden Szenario möchte Trey Research anhand einer Out-of-Band-Verwaltung die Problemlösung bei Computern vereinfachen, die nicht starten bzw. nicht antworten, die zur Wartung eingeschaltet werden müssen oder eine Neukonfiguration der BIOS-Einstellungen benötigen.Das Unternehmen verwendet Intel AMT-basierte Computer mit Versionen von AMT, die von Configuration Manager unterstützt werden, verfügt jedoch nicht über benutzerdefinierte Firmware mit Zertifikatfingerabdruck der eigenen internen Stammzertifizierungsstelle.

Trey Research hat einen einzigen primären Configuration Manager-Standort, und alle internen Computer befinden sich in der Domäne testnet.treyresearch.net.Das Unternehmen verfügt bereits über eine bestehende PKI (Public Key-Infrastruktur) und verwendet dazu Windows Server 2008-Zertifikatdienste. Darüber hinaus verfügt es über eine Unternehmenszertifizierungsstelle, die auf Microsoft Windows Server 2008 Enterprise Edition ausgeführt wird.

Adam ist der Configuration Manager-Administrator, dessen Aufgabe es ist, die Out-of-Band-Verwaltung in drei Phasen zu implementieren.Zunächst testet er die Funktionen anhand einer kleinen Zahl von Desktopcomputern, ohne ein Bereitstellungszertifikat von einer externen Zertifizierungsstelle zu erwerben.Bei einem guten Testergebnis kann Adam ein AMT-Bereitstellungszertifikat kaufen und sämtliche AMT-basierten Desktopcomputer bereitstellen.In der letzten Bereitstellungsphase soll Adam die Out-of-Band-Verwaltung auf Laptops erweitern, die das Funknetzwerk verwenden.

Pilotphase: Implementieren und Testen weniger Computer, bei denen für das Bereitstellungszertifikat Zertifikatdienste (interne Zertifizierungsstelle) verwendet werden

Zum Implementieren und Testen der Out-of-Band-Verwaltung in der Pilotphase unternimmt Adam die folgenden Schritte:

Prozess

Reference

Adam prüft die Voraussetzungen für Out-of-Band-Verwaltung und beschließt, einen Standortsystemserver zu erstellen, auf dem er den Out-of-Band-Dienstpunkt und den Anmeldungspunkt installiert.Der vollständig qualifizierte Domänenname (FQDN) dieses Computers lautet server15.testnet.treyresearch.net.

Adam vergewissert sich außerdem, dass die bestehende DHCP- und DNS-Konfiguration die Anforderungen für AMT erfüllt.

Weitere Informationen zu den Voraussetzungen finden Sie unter Voraussetzungen für die Out-of-Band-Verwaltung in Configuration Manager.

Adam arbeitet mit seinen Active Directory-Dienstadministratoren zusammen, um die folgenden Windows-Sicherheitsgruppen zu erstellen:

  • Eine Gruppe namens ConfigMgr-Out-of-Band-Dienstpunkt, die Server15 enthält.

  • Eine Gruppe namens Primäre ConfigMgr-Standortserver, die das Computerkonto des primären Standortservers enthält.

  • Eine universelle Sicherheitsgruppe namens ConfigMgr-AMT-Computer, die die AMT-Computerkonten enthält.

Dann erstellen sie für die veröffentlichten AMT-basierten Computerkonten eine Organisationseinheit (OU) in der Domäne testnet.treyresearch.net und gewähren der neu erstellten Gruppe Primäre ConfigMgr-Standortserver die folgenden Berechtigungen für die OU: Computerobjekte erstellen und Computerobjekte löschen.

Weitere Informationen zum Erstellen von Gruppen und Organisationseinheiten finden Sie in der Dokumentation der Active Directory-Domänendienste.

Adam erzielt mit dem PKI-Team folgende Ergebnisse:

  • Die Vorlage für das Webserverzertifikat wird dupliziert und für den Anmeldungspunkt konfiguriert.Sie wird in IIS auf Server15 installiert und konfiguriert.

  • Es wird eine benutzerdefinierte Vorlage erstellt, um das AMT-Bereitstellungszertifikat anzufordern und auf Server15 zu installieren.

  • Die Vorlage für das Webserverzertifikat wird dupliziert und so konfiguriert, dass sie für die Out-of-Band-Verwaltung geeignet ist.

  • Der Zertifikatfingerabdruck der Stammzertifizierungsstelle wird identifiziert und notiert. Er muss dann manuell zur AMT-Firmware hinzugefügt werden, bis ein Bereitstellungszertifikat von einer externen Zertifizierungsstelle erworben wird.

Unterstützung für Out of Band-Verwaltung erforderlichen PKI-Zertifikate bereitstellen, finden Sie unter der Bereitstellen der Zertifikate für AMT im Abschnitt der Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle Thema.

Weitere Informationen zu den Zertifikatanforderungen finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.

Zum Vorbereiten der AMT-basierten Desktopcomputer, die zum ersten Testen verwendet werden, vergewissert sich Adam, dass die Konfiguration der AMT-Firmware korrekt ist, und fügt den Zertifikatfingerabdruck der internen Stammzertifizierungsstelle hinzu:

  1. Beim Starten des Computers drückt er STRG+P, um das ME-Modul zu konfigurieren.

  2. Er wählt Intel (R) ME Configuration, Intel (R) ME Feature Control, Manageability Feature Selection und dann Intel (R) AMT aus.Er beendet das Programm und startet den Computer neu.

  3. Dann führt er das ME-Modul erneut aus und wählt Intel (R) AMT Configuration sowie Setup and Configuration aus, um sich zu vergewissern, dass der Wert für Current provision modePKI lautet.Lautet er nicht PKI, wählt Adam TLS PKI aus und setzt den Wert für Remote Configuration auf Enable.

  4. Im Bereich TLS-PKI wählt er Manage Certificate Hashes aus, drückt die Eingabetaste und gibt den Zertifikatfingerabdruck der internen Stammzertifizierungsstelle ein.

  5. Er speichert die Änderungen, beendet das Programm und startet den Computer neu.

Weitere Informationen finden Sie in der Intel-Dokumentation.

Anschließend konfiguriert Adam den primären Configuration Manager-Standort und nimmt folgende Änderungen vor:

  • Er installiert einen neuen Standortsystemserver auf Server15, konfiguriert ihn mit dem Intranet-FQDN server15.treyresearch.net, installiert den Out-of-Band-Dienstpunkt und den Anmeldepunkt.Anschließend konfiguriert er die Komponente Out-of-Band-Verwaltung.

  • Auf der Seite AMT-Bereitstellungszertifikat für den Out-of-Band-Dienstpunkt sucht er das AMT-Bereitstellungszertifikat, das er installiert hat.

  • Die Optionen im Dialogfeld Eigenschaften der Out-of-Band-Verwaltungskomponente konfiguriert er wie folgt:

    • Auf der Registerkarte Allgemein gibt er die unter testnet.treyresearch.net erstellte Organisationseinheit sowie die von ihm erstellte universelle Sicherheitsgruppe an. Er ruft die zuvor erstellte Vorlage für das AMT-Webserverzertifikat auf und richtet ein sicheres Kennwort für das MEBx-Konto ein.

    • Auf der Registerkarte AMT-Einstellungen gibt er sein eigenes Konto als AMT-Benutzerkonto an sowie eine globale Windows-Sicherheitsgruppe in der Domäne mit Helpdeskmitarbeitern, die mit der Out-of-Band-Verwaltungskonsole arbeiten.Zudem aktiviert er die Optionen Serial over LAN (SOL) und IDE-Redirect aktivieren, Pingantworten zulassen und BIOS-Kennwortumgehung für die Befehle zum Einschalten und Neustarten aktivieren.

Weitere Informationen finden Sie in den folgenden Abschnitten des Themas Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager:

Adam möchte Wake-On-LAN für die Installation wichtiger Softwareupdates auf Computern verwenden.Er hat dieses Feature zuvor getestet und herausgefunden, dass die subnetzgesteuerten Broadcasts zu viel Netzwerkbandbreite über die Remoteverbindung benötigen und dass nur wenige Netzwerkkarten die Unicast-Übertragung verwenden.

Er aktiviert Wake-On-LAN und entscheidet sich dafür, die Standardoption Einschaltbefehle verwenden, sofern der Computer diese Technologie unterstützt, andernfalls Aktivierungspakete verwenden aktiviert zu lassen.

Weitere Informationen finden Sie unter den Schritt 6: Konfiguration des Standorts zum Senden von Einschaltbefehlen für geplante Reaktivierungsaktivitäten in Schritt der Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager Thema.

Adam fügt die Spalte "AMT-Status" zur Configuration Manager-Konsole hinzu und erstellt eine neue Sammlung, die als Pilotprojekt nur fünf AMT-basierte Computer enthält.Diese Computer dienen nur zu Testzwecken und enthalten verschiedene unterstützte Versionen von AMT.Er konfiguriert diese Sammlung für die AMT-Bereitstellung.

Weitere Informationen finden Sie unter den Schritt 7: Anzeige des AMT-Status und Aktivierung der AMT-Bereitstellung in Schritt der Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager Thema.

Adam überwacht den AMT-Bereitstellungsvorgang.

Weitere Informationen finden Sie unter den Schritt 8: Überwachung der AMT-Bereitstellung in Schritt der Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager Thema.

Sind die Computer erfolgreich für AMT bereitgestellt, testet Adam die Out-of-Band-Verwaltung auf den Computern.

Beispielszenarien für die Verwendung der Out-of-Band-Verwaltung finden Sie unter Beispielszenarios für die Verwendung der Out-of-Band-Verwaltung in Configuration Manager.

Einführung: Vollständige Bereitstellung mit einer externen Zertifizierungsstelle für das Bereitstellungszertifikat

Wenn die ersten Tests abgeschlossen sind, erhält Adam von seinem Vorgesetzten die Bestätigung, dass die Out-of-Band-Verwaltung auf allen AMT-basierten Arbeitsstationen eingeführt werden kann.Um nicht bei jedem AMT-basierten Computer den Zertifikatfingerabdruck der internen Stammzertifizierungsstelle hinzufügen zu müssen, erwirbt Adam ein Bereitstellungszertifikat von einer externen Zertifizierungsstelle und installiert es gemäß den entsprechenden Anweisungen auf Server15.

Dann führt er die in der nachstehenden Tabelle beschriebenen Schritte aus.

Prozess

Reference

Adam prüft die Voraussetzungen für Out-of-Band-Verwaltung erneut, um festzustellen, ob er zusätzliche Änderungen vornehmen muss.Er stellt Folgendes fest:

  • Es bestehen Anforderungen an die Ports, die er dem Administrator der Firewall berichten muss, damit die Helpdeskmitarbeiter sich mit AMT-basierten Computern an Remotestandorten verbinden können, die durch die interne Firewall des Unternehmens geschützt sind.

  • Auf einigen Helpdeskcomputern wird noch Windows XP ausgeführt. Adam muss die jeweilige Version der Windows-Remoteverwaltung (WinRM) überprüfen und diese gegebenenfalls aktualisieren.

  • Er muss Helpdeskmitarbeiter zu einer entsprechenden Sicherheitsrolle hinzufügen, um die Out-of-Band-Verwaltungskonsole auszuführen.

Weitere Informationen finden Sie unter Voraussetzungen für die Out-of-Band-Verwaltung in Configuration Manager.

Adam konfiguriert die Eigenschaften des Out-of-Band-Dienstpunkts, sucht das neue AMT-Bereitstellungszertifikat und speichert die Änderungen.

Weitere Informationen finden Sie unter den Schritt 4: Konfigurieren des Anmeldungspunkts und Out-of-Band-Dienstpunkts für die AMT-Bereitstellung in Schritt der Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager Thema.

Adam erstellt neue Sammlungen, um die AMT-Bereitstellung für Arbeitsstationen schrittweise einzuführen.Über einen Zeitraum von vier Wochen aktiviert er diese Sammlungen für die AMT-Bereitstellung und überwacht die Fortschritte.

Weitere Informationen finden Sie unter den Schritt 7: Anzeige des AMT-Status und Aktivierung der AMT-Bereitstellung in Schritt der Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager Thema.

Nach diesen Schritten sind alle Intel AMT-basierten Arbeitsstationen für AMT bereitgestellt und lassen sich vom Helpdesk out of band verwalten.Die Möglichkeit der Problembehandlung und Reparatur bei Computern, deren Betriebssystem nicht funktioniert, senkt die Gesamtbetriebskosten des Unternehmens erheblich, da die Techniker keinen lokalen Zugang zu den Computern mehr benötigen.

Hinzufügen der Unterstützung für Funknetzwerke: Erweiterung der Verwaltung auf Funknetzwerke

Nach der erfolgreichen Einführung der Out-of-Band-Verwaltung bei den Arbeitsstationen möchte Trey Research die Verwaltung nun auf Laptops ausdehnen, die das Funknetzwerk verwenden.Im Funknetzwerk wird ein Windows Server 2008-basierter Server eingesetzt, auf dem Network Policy Server (NPS) ausgeführt wird. Außerdem wird für die Authentifizierung beim Funknetzwerk ein Clientzertifikat vorausgesetzt.

Adam führt die in der nachstehenden Tabelle beschriebenen Schritte aus.

Prozess

Reference

Er prüft die Voraussetzungen zur Unterstützung für Funknetzwerke für die Out-of-Band-Verwaltung und vergewissert sich, dass die AMT-Versionen auf den Laptops Funkprofile unterstützen.Er notiert sich die Funkkonfigurationseinstellungen, die für den Netzwerkrichtlinienserver hinsichtlich WPA2-Sicherheit, AES-Verschlüsselung und EAP-TLS-Authentifizierung erforderlich sind.

Weitere Informationen zu den Voraussetzungen finden Sie unter Voraussetzungen für die Out-of-Band-Verwaltung in Configuration Manager.

Adam erstellt in Zusammenarbeit mit dem PKI-Team eine zusätzliche Zertifikatvorlage, mit der die AMT-basierten Computer beim Netzwerkrichtlinienserver authentifiziert werden.

Weitere Informationen zum Erstellen der clientzertifikatvorlage finden Sie unter "Erstellen und Ausstellen der Clientauthentifizierungszertifikate für AMT-basierten Computer mit 802.1X-Authentifizierung" in der Bereitstellen der Zertifikate für AMT Teil der Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle Thema.

Weitere Informationen zu den Zertifikatanforderungen finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.

ADAM konfiguriert die Out of Band-Verwaltungskomponente: 802.1 X und Drahtlos Registerkarte:

  • Er erstellt ein Funkprofil, das den Namen des Funknetzwerks, den Sicherheitstyp des WPA2-Enterprise und die AES-Verschlüsselungsmethode enthält.Anschließend wählt Adam das vertrauenswürdige Stammzertifikat für den Netzwerkrichtlinienserver und die zuvor erstellte Clientzertifikatvorlage aus.

Weitere Informationen finden Sie unter Schritten 26 bis 39 in der Schritt 5: Konfigurieren der Out-of-Band-Verwaltungskomponente im Abschnitt der Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager Thema.

Adam erstellt eine neue Sammlung für Laptops, die AMT unterstützen können.Auf der Registerkarte Out-of-Band-Verwaltung wählt er Bereitstellung für AMT-basierte Computer aktivieren aus.

Dann überwacht er den Bereitstellungsstatus für diese Laptops und vergewissert sich anhand der Protokolldatei "Amtopmgr.log", dass das Funkprofil erfolgreich für diese AMT-basierten Computer konfiguriert ist.

System_CAPS_tipTipp

Sind die Laptops bereits ohne das Funkprofil für AMT bereitgestellt, führt Adam den Befehl Bereitstellungsdaten im Speicher des Verwaltungscontrollers aktualisieren aus, damit die Funkeinstellungen angewendet werden.Weitere Informationen finden Sie im Abschnitt Aktualisieren von Computern für neue AMT-Einstellungen des Themas Verwalten von AMT-Bereitstellungsinformationen in Configuration Manager.

Weitere Informationen zur Überwachung der AMT-Bereitstellung finden Sie unter den Schritt 8: Überwachung der AMT-Bereitstellung in Schritt der Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager Thema.

Nach diesen Schritten lassen sich Laptops vom Helpdesk out of band verwalten, wodurch die Problembehebungszeiten bei den Laptops erheblich reduziert werden.