Beispielszenarios für die Verwendung der Out-of-Band-Verwaltung in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

In den folgenden Abschnitten dieses Themas werden Beispielszenarien zur Out-of-Band-Verwaltung von Computern in System Center 2012 Configuration Manager dargestellt:

  • Einschalten von Computern zur Installation von Anwendungen

  • Ausschalten von Computern zum Schutz vor einem Angriff

  • Aufspielen eines Abbilds auf einen nicht funktionsfähigen Computer

  • Konfigurieren der BIOS-Einstellungen

  • Problembehandlung bei einem nicht funktionierenden Computer

  • Erzielen von Kompatibilität für Softwareupdates durch die Verwendung von Wake-On-LAN und Einschaltbefehlen

In all diesen Szenarien für Trey Research hat Adam, der Configuration Manager-Administrator, eine Out-of-Band-Verwaltung in der gesamten Configuration Manager-Hierarchie implementiert.Die Desktopcomputer sind AMT-basiert, erfüllen alle Voraussetzungen für die Out-of-Band-Verwaltung und wurden erfolgreich für AMT bereitgestellt.

Einschalten von Computern zur Installation von Anwendungen

Im folgenden Szenario wird veranschaulicht, wie Sie mithilfe der Out-of-Band-Verwaltung Computer einschalten und danach Anwendungen installieren (oder planmäßig Wartungsaufgaben ausführen) können, ohne dabei die herkömmlichen Reaktivierungspakete verwenden zu müssen.

Die Marketingabteilung von Trey Research hat eine Anforderung zur Installation einer nicht standardmäßigen Anwendung auf fünf Computern genehmigt.Adam hat bereits eine Sammlung für diese fünf Computer sowie eine Bereitstellung zur frühestmöglichen Installation der Anwendung erstellt.Nachdem er eine Zeitspanne festgelegt hat, in der keiner der Benutzer den Computer eingeschaltet hat und folglich auch keine Beeinträchtigungen erfährt, führt er die Aktionen in der folgenden Tabelle aus, um die Computer einzuschalten, damit die Anwendungen installiert werden können.

Prozess

Weitere Informationen

Adam sucht die Computer im Arbeitsbereich Bestand und Kompatibilität der Configuration Manager-Konsole und führt dann die folgenden Aktionen durch:

  • Er wählt die fünf Computer aus und klickt mit der rechten Maustaste auf sie.

  • Er klickt auf Out-of-Band-Verwaltung und dann auf Energiesteuerung.

  • Er wählt Einschalten aus.

  • Er bestätigt die Aktion und klickt dazu auf OK.

Danach beobachtet er den Fortschritt bei der Installation der Anwendung.

Abschnitt Einschalten und Neustarten von Computern in der Out-of-Band-Verwaltung AMT-basierter Computer in Configuration Manager Thema.

Nach Abschluss der Installation kann Adam bei Bedarf alle Computer einzeln herunterfahren, indem er die Configuration Manager-Remotesteuerung verwendet und in Windows den Befehl Herunterfahren auswählt.

System_CAPS_noteHinweis

Der Ausschaltbefehl der Out-of-Band-Verwaltung ist hierfür nicht geeignet, da dabei das Betriebssystem nicht graduell heruntergefahren wird.

Remoteverwaltung eines Clientcomputers mithilfe von Configuration Manager

Das Ergebnis der geschilderten Vorgehensweise ist die Installation der Anwendung außerhalb der Geschäftszeiten, ohne dass dabei Reaktivierungspakete über das Netzwerk gesendet werden, ohne dass die Computer eingeschaltet bleiben müssen und ohne dass ein lokaler Zugriff auf die Computer erforderlich wäre.

Ausschalten von Computern zum Schutz vor einem Angriff

Im folgenden Szenario wird veranschaulicht, wie Sie die Out-of-Band-Verwaltung zum Ausschalten von Computern verwenden können, wenn es unbedingt erforderlich ist, diese auszuschalten, ein normales Herunterfahren aber nicht mehr möglich ist.Ausschalten von Computern sollte immer berücksichtigt werden als letztes Mittel, da es die gleiche Wirkung wie das Stromkabel vom Computer entfernt wurde: das Betriebssystem wird nicht ordnungsgemäß heruntergefahren, nicht gespeicherter Arbeit geht verloren, und angemeldete Benutzer erhalten keine Benachrichtigung über den Vorgang zum Herunterfahren nicht.

Trey Research verfügt über ein Angriffserkennungssystem, von dem verdächtige Aktivitäten auf den Servern bzw. im Netzwerk überwacht werden.In den frühen Morgenstunden wird ein Alarm erzeugt, der anzeigt, dass auf einem der Server ein Sicherheitsangriff stattgefunden hat.Obwohl die Desktopcomputer normalerweise über Nacht ausgeschaltet werden, lassen einige Benutzer ihre Computer eingeschaltet.Diese Computer müssen umgehend ausgeschaltet werden, um sie vor der Sicherheitsbedrohung zu schützen.

Zur Unterstützung des Schutzes der Desktopcomputer vor der Sicherheitsbedrohung führt ein Sicherheitsadministrator die Aktionen aus, die in der folgenden Tabelle beschrieben werden.

Prozess

Weitere Informationen

Der Sicherheitsadministrator ermittelt die eingeschalteten und somit gefährdeten Desktopcomputer und sucht sie im Arbeitsbereich Bestand und Kompatibilität in der Configuration Manager-Konsole.

Er führt die folgenden Aktionen aus:

  • Er wählt die Computer aus und klickt mit der rechten Maustaste auf sie.

  • Er klickt auf Out-of-Band-Verwaltung und dann auf Energiesteuerung.

  • Er wählt Ausschalten aus.

  • Er bestätigt die Aktion und klickt dazu auf OK.

Abschnitt Ausschalten von Computern in der Out-of-Band-Verwaltung AMT-basierter Computer in Configuration Manager Thema.

Im Ergebnis der geschilderten Vorgehensweise wird das Risiko, dass diese Computer durch den Sicherheitsangriff Schaden nehmen, deutlich reduziert.

Aufspielen eines Abbilds auf einen nicht funktionsfähigen Computer

Im folgenden Szenario wird veranschaulicht, wie Sie mithilfe der Out-of-Band-Verwaltung einen nicht funktionierenden Computer wieder mit einem Abbild ausstatten können, wenn andere Schritte zur Problembehandlung kein Ergebnis erbracht haben.

Trey Research hat eine Helpdesk-Richtlinie, nach der alle Probleme mit Desktopcomputern, durch die die Geschäftskontinuität verhindert wird, innerhalb eines festgelegten Zeitraums behoben werden müssen.Es werden keine Daten lokal auf den Computern gespeichert, sodass das erneute Aufspielen eines Abbilds auf diese Computer die effizienteste Möglichkeit zur Lösung dieser Art von gemeldeten Problemen darstellt.In der Vergangenheit hat dies jedoch bedeutet, dass ein Helpdesk-Techniker den Standort aufsuchen musste oder dass der Computer zum Helpdesk-Standort hin und wieder zurück transportiert werden musste.

Für ein effizienteres erneutes Aufspielen eines Abbilds bei einem nicht funktionierenden Computer fährt der Helpdesk-Techniker mit der in der folgenden Tabelle beschriebenen Vorgehensweise fort.

Prozess

Weitere Informationen

Der Helpdesk-Techniker sucht den betreffenden Computer in der Configuration Manager-Konsole und vergewissert sich, dass es nicht möglich ist, mit den Remotetools in Configuration Manager eine Verbindung mit dem Clientcomputer herzustellen.

Er stellt eine Verbindung unter Verwendung der Out-of-Band-Konsole her.

Abschnitt Ausführen der Out-of-Band-Verwaltungskonsole in der Out-of-Band-Verwaltung AMT-basierter Computer in Configuration Manager Thema.

Danach führt der Helpdesk-Techniker die folgenden Aktionen aus:

  • Er klickt auf Energiesteuerung, wählt die Startoption für die IDE-Umleitung aus und gibt dann einen Netzwerkpfad für das Abbild zur erneuten Installation des Betriebssystems, der benutzerdefinierten Anwendungen und Einstellungen und des Configuration Manager-Clients ein.Dann klickt er auf Computer neu starten.

Abschnitt Einschalten und Neustarten von Computern in der Out-of-Band-Verwaltung AMT-basierter Computer in Configuration Manager Thema.

Im späteren Verlauf des Tages prüft der Techniker den Status des Computers und vergewissert sich, dass dieser wieder wie gewünscht arbeitet.Er schließt das Helpdeskticket innerhalb der angegebenen Zeit.

Unternehmensspezifischer Prozess.

Das Ergebnis der beschriebenen Vorgehensweise ist das effiziente Aufspielen eines neuen Abbilds auf den Computer ohne lokalen Zugriff, obwohl das Betriebssystem nicht reagiert hat.Dieses Steuerungsniveau hilft bei der rechtzeitigen Lösung kritischer Probleme und sichert ein höheres Maß an Geschäftskontinuität für das Unternehmen.

Konfigurieren der BIOS-Einstellungen

Im folgenden Szenario wird veranschaulicht, wie Sie mithilfe der Out-of-Band-Verwaltung BIOS-Einstellungen für einen Desktopcomputer konfigurieren können, ohne dass dazu ein lokaler Zugriff auf den Computer erforderlich ist.

Der Helpdesk bei Trey Research erhält eine Benachrichtigung, dass zwei neu bereitgestellte Computer nicht erfolgreich gestartet werden können.Dabei handelt es sich um einen benutzerdefinierten Build, und der Techniker vermutet, dass die BIOS-Einstellungen nicht richtig konfiguriert sind.

Zur Prüfung der BIOS-Einstellungen ohne lokalen Zugriff auf den Computer fährt der Helpdesk-Techniker mit der in der folgenden Tabelle beschriebenen Vorgehensweise fort.

Prozess

Weitere Informationen

Der Helpdesk-Techniker sucht den betreffenden Computer im Arbeitsbereich Bestand und Kompatibilität der Configuration Manager-Konsole und stellt über die Out-of-Band-Verwaltungskonsole eine Verbindung mit diesem Computer her.

Abschnitt Ausführen der Out-of-Band-Verwaltungskonsole in der Out-of-Band-Verwaltung AMT-basierter Computer in Configuration Manager Thema.

Danach führt der Helpdesk-Techniker nacheinander die folgenden Aktionen für die einzelnen Computer aus:

  • Er klickt auf Energiesteuerung, wählt die Startoption für das BIOS-Setup aus und klickt dann auf Einschalten.

  • Er klickt auf Serielle Verbindung und wartet, bis die BIOS-Einstellungen angezeigt werden.Wenn sie angezeigt werden, erkennt er, dass der falsche Datenträger für den Start des Computers konfiguriert ist.Er nimmt die erforderlichen Änderungen vor und speichert die neuen BIOS-Einstellungen.

Der Computer startet automatisch neu, und das Betriebssystem wird vom richtigen Datenträger erfolgreich geladen.

Abschnitt Konfigurieren der BIOS-Einstellungen für einen Computer in der Out-of-Band-Verwaltung AMT-basierter Computer in Configuration Manager Thema.

Der Techniker vergewissert sich, dass die beiden Computer jetzt betriebsbereit sind, und schließt das Helpdesk-Ticket.

Unternehmensspezifischer Prozess.

Das Ergebnis der beschriebenen Vorgehensweise ist eine deutlich reduzierte Problemlösungszeit für diese Computer, da kein lokaler Zugriff auf die Computer erforderlich ist.

Problembehandlung bei einem nicht funktionierenden Computer

Im folgenden Szenario wird veranschaulicht, wie Sie mithilfe der Out-of-Band-Verwaltung Diagnosebefehle und Diagnosetools für einen nicht funktionierenden Desktopcomputer (bei dem beispielsweise das Betriebssystem nicht mehr reagiert oder nicht geladen wird) ausführen können, ohne dass dazu ein lokaler Zugriff auf den Computer erforderlich ist.

Der Helpdesk bei Trey Research erhält eine Benachrichtigung, dass ein Computer nicht mehr reagiert.Zur Problembehandlung am Computer fährt der Helpdesk-Techniker mit der in der folgenden Tabelle beschriebenen Vorgehensweise fort.

Prozess

Weitere Informationen

Der Helpdesk-Techniker sucht den betreffenden Computer im Arbeitsbereich Bestand und Kompatibilität der Configuration Manager-Konsole und stellt über die Out-of-Band-Verwaltungskonsole eine Verbindung mit diesem Computer her.

Abschnitt Ausführen der Out-of-Band-Verwaltungskonsole in der Out-of-Band-Verwaltung AMT-basierter Computer in Configuration Manager Thema.

Danach führt der Helpdesk-Techniker die folgenden Aktionen aus:

  • Er klickt auf Energiesteuerung, wählt die Startoption für die IDE-Umleitung aus, gibt den Pfad und die Datei für ein Diagnosetool im Pfad der IDE-Umleitung an und klickt dann auf Computer neu starten.

  • Er klickt auf Serielle Verbindung und wartet, dass der Computer aus dem Abbild startet, in dem das Diagnosetool enthalten ist.Anhand der Diagnose erkennt er, dass der Datenträger einige fehlerhafte Sektoren aufweist.Er wählt die Option zur Reparatur der fehlerhaften Sektoren und beendet das Tool.

  • Er klickt auf Energiesteuerung und danach auf Computer neu starten und schließt die Out-of-Band-Verwaltungskonsole.

Abschnitt Ausführen von Befehlen, Reparaturtools und Diagnoseanwendungen für einen Computer in der Out-of-Band-Verwaltung AMT-basierter Computer in Configuration Manager Thema.

Der Techniker vergewissert sich, dass der Computer neu startet und das Betriebssystem erfolgreich geladen wird.

Da der Computer wieder funktioniert, schließt er das Ticket, legt aber eine Anforderung zum Ersetzen der Festplatte bei, damit dasselbe Problem zukünftig nicht mehr auftritt.

Unternehmensspezifischer Prozess.

Im Ergebnis der beschriebenen Vorgehensweise wird die Problemlösungszeit für diesen Computer deutlich reduziert, da kein lokaler Zugriff auf den Computer erforderlich ist.

Erzielen von Kompatibilität für Softwareupdates durch die Verwendung von Wake-On-LAN und Einschaltbefehlen

Im folgenden Szenario wird veranschaulicht, wie Sie mithilfe der Out-of-Band-Verwaltung mit Softwareupdates in Configuration Manager höhere Erfolgsraten für die Installation von Softwareupdates innerhalb eines vorgegebenen Zeitrahmens erzielen können.

Trey Research verfügt über eine Sicherheitsrichtlinie, die erfordert, dass auf allen Windows-Computern im Netzwerk kritische Sicherheitsupdates innerhalb von zwei Wochen nach der Veröffentlichung installiert werden müssen.Die Installation dieser Softwareupdates auf Servern hat eine Erfolgswahrscheinlichkeit von 100 Prozent, die Erfolgsrate bei Desktopcomputern beträgt jedoch nur 80 Prozent, obwohl der Configuration Manager-Administrator diese bereits innerhalb einer Woche nach Veröffentlichung bereitgestellt hat.Bei näherer Betrachtung wird erkannt, dass die Computer, auf denen die Softwareupdates nicht installiert sind, aus verschiedenen Gründen ausgeschaltet werden – beispielsweise weil Benutzer im Urlaub oder krank sind oder weil die Computer nicht täglich verwendet und nur eingeschaltet werden, wenn sie für eine bestimmte Anwendung oder einen bestimmten Prozess benötigt werden.

Die Sicherheitsrichtlinie verbietet außerdem das Senden von Reaktivierungspaketen über das Netzwerk, es gibt aber oft nicht genug Zeit, den jeweiligen Computer ausfindig zu machen, einzuschalten und die erforderlichen Softwareupdates zu installieren, um die Konformitätsfristen einzuhalten.

Damit die Kompatibilitätsstufen rechtzeitig und auf effiziente Weise erreicht werden können, entscheidet sich Adam für die in der folgenden Tabelle beschriebene Vorgehensweise.

Prozess

Weitere Informationen

Adam aktiviert Wake-on-LAN für die primären Standorte in der Hierarchie und wählt die Option Nur AMT-Einschaltbefehle verwenden aus.

Schritt Schritt 6: Konfiguration des Standorts zum Senden von Einschaltbefehlen für geplante Reaktivierungsaktivitäten in der Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager Thema.

Er überprüft die Paketübertragungseinstellungen in den Eigenschaften des Out-of-Band-Dienstpunkts und nimmt einige kleinere Änderungen vor.

Schritt Schritt 4: Konfigurieren des Anmeldungspunkts und Out-of-Band-Dienstpunkts für die AMT-Bereitstellung in der Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager Thema.

Er liest in der Dokumentation die Informationen über die zusätzliche Zeit, die möglicherweise für das Einschalten mehrerer Computer erforderlich ist, und plant dies entsprechend, indem er verschiedene Sammlungen von Computern so erstellt, dass die Bereitstellungen der Softwareupdates stapelweise konfiguriert werden können.

 Erstellen von Sammlungen in Configuration Manager

Adam beobachtet die Installation der kritischen Softwareupdates aufmerksam.Für die Computer, auf denen die Installation noch nicht erfolgt ist, erstellt er eine neue Bereitstellung, die die Softwareupdates enthält. Diesmal ist sie allerdings auch für Wake-On-LAN konfiguriert.Er teilt diese Softwareupdate-Bereitstellung stapelweise auf die von ihm erstellten Sammlungen auf.

Vorgänge und Wartungstasks für Softwareupdates in Configuration Manager

Im Ergebnis der beschriebenen Vorgehensweise werden kritische Softwareupdates innerhalb von einer Woche auf der Mehrzahl der Computer installiert.Auf diese Weise bleibt noch eine komfortable Restzeit von einer Woche zum Auffinden und Korrigieren der wenigen Desktopcomputer, bei denen das Softwareupdate noch durchgeführt werden muss, weil der Computer möglicherweise in den Ruhezustand versetzt wurde, bevor die Softwareupdatebereitstellung empfangen wurde, oder weil der Computer nicht eingeschaltet war.

Durch die Verwendung einer Kombination aus Softwareupdates mit Fristen für die Mehrzahl der Computer, Wake-On-LAN mit Einschaltbefehlen für die wenigen ausgeschalteten Computer und manueller Einflussnahme für die geringe Anzahl an nicht kompatiblen Computern kann Trey Research nun Monat für Monat die Kompatibilitätsstufen einhalten.