• Artículo

Requisitos previos para la administración fuera de banda en Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Administración fuera de banda en System Center 2012 Configuration Manager tiene dependencias externas y dependencias dentro del producto.

System_CAPS_importantImportante

Administración fuera de banda en Configuration Manager tiene dependencias externas en tecnología de administración activa Intel (Intel AMT) y en tecnologías de infraestructura de clave pública (PKI) de Microsoft.Para información autorizada sobre configuración o detalles técnicos acerca de estas dependencias externas, consulte la documentación del producto para las tecnologías relacionadas.

Para obtener información acerca de Intel AMT y el programa de instalación de Intel y Software de configuración, consulte la documentación de Intel o el fabricante del equipo.Para obtener más información, consulte Intel vPro Expert Center: VPro facilidad de uso de Microsoft.

Para obtener información acerca de las tecnologías de infraestructura de clave pública (PKI) de Microsoft, consulte Servicios de certificados de Windows Server 2008 Active Directory.

Dependencias externas a Configuration Manager

La tabla siguiente enumeran las dependencias externas de falta de administración de la banda.

Dependencia

Más información

Una Microsoft enterprise entidad de certificación (CA) con plantillas de certificado para implementar y administrar los certificados necesarios para administración fuera de banda.

La CA emisora debe aprobar automáticamente las solicitudes desde el equipo AMT cuentas que el certificado Configuration Manager crea en los servicios de dominio de Active Directory durante el proceso de aprovisionamiento de AMT.

Para revocar certificados AMT, la CA emisora debe configurarse con el permiso emitir y administrar certificados para el servidor donde está instalado el rol de sistema de sitio de punto de inscripción.

System_CAPS_importantImportante

AMT no es compatible con los certificados de CA con una longitud de clave mayor que 2048 bits.

El punto fuera de banda servicio y cada equipo de escritorio o portátil que se administra fuera de banda debe tener los certificados PKI específicos que se administran independientemente desde el Administrador de configuración.

Para obtener más información sobre los requisitos de certificados, consulte Requisitos de certificados PKI para Configuration Manager.

Para obtener instrucciones paso a paso, vea Implementación de los certificados para AMT.

La cuenta de equipo para el servidor de sistema de sitio del punto de inscripción debe tener permisos de DCOM para revocar certificados AMT desde la CA emisora.Asegúrese de que este equipo de sistema de sitio es un miembro del grupo de seguridad CERTSVC_DCOM_ACCESS (para Windows Server 2003 SP1 y versiones posteriores) en el dominio donde reside la CA emisora o acceso de DCOM de certificado de servicio (para Windows Server 2008).

Equipos de escritorio o portátil con la siguiente configuración:

  • Tecnología de Intel vPro o la tecnología Intel Centrino Pro

  • Una versión compatible de Intel AMT que está configurado para el modo de empresa, con el modo de aprovisionamiento de PKI

  • Controlador de Intel HECI

Para obtener información acerca de las versiones AMT que Configuration Manager admite, consulte la sección el tema.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigOOB

Descargue el controlador HECI más reciente desde el sitio Web de Intel y consulte la documentación del fabricante del equipo para los requisitos de Intel.

Un contenedor de Active Directory y un grupo de seguridad universal:

  • El contenedor de Active Directory debe configurarse con los permisos de seguridad correctas para el dominio en el que residen los equipos basados en AMT.Si el sitio administra equipos basados en AMT de varios dominios, deben utilizarse el mismo nombre de contenedor y la ruta de acceso para todos los dominios.

  • Cuentas de un grupo de seguridad universal que contenga el equipo para los equipos basados en AMT.

Nota

No es necesario extender el esquema de Active Directory para administración fuera de banda.

Durante el proceso de aprovisionamiento de AMT, Configuration Manager crea cuentas de equipo en este contenedor de Active Directory o la unidad organizativa (OU) y agrega las cuentas al grupo de seguridad universal.

El equipo del servidor de sitio requiere los permisos siguientes:

  • Para la unidad organizativa que se utiliza durante el proceso de aprovisionamiento de AMT: Permitir crear todos los objetos secundarios y Eliminar todos los objetos secundarios y se aplican a solo este objeto.

  • Para el grupo de seguridad universal que se utiliza durante el proceso de aprovisionamiento de AMT: Permitir lectura y escribir, y se aplican a solo este objeto.

Los siguientes servicios de red:

  • Servidor DHCP con un ámbito activo

  • Servidores DNS para la resolución de nombres

Para DHCP, asegúrese de que las opciones de ámbito DHCP incluyen los servidores DNS (006) y el nombre de dominio (015) y que el servidor DHCP actualiza dinámicamente DNS con el registro de recursos del equipo.

No se puede utilizar WINS para resolver nombres de equipo y se requiere DNS para todas las conexiones que usan administración fuera de banda.Esto incluye la conexión a equipos basados en AMT desde la consola de administración de banda, fuera de además para aprovisionamiento de AMT.

Nota

AMT no puede registrar un registro de host en DNS, por lo que debe asegurarse de que DHCP o el sistema operativo actualiza DNS con un registro de host para el nombre del equipo basado en AMT de dominio completo (FQDN).Como alternativa, puede crear manualmente estos registros en DNS según sea necesario.Para la compatibilidad inalámbrica, asegúrese de que DNS contiene registros con la dirección IP inalámbrica para el nombre de dominio completo del equipo basado en AMT.

Roles de sistema de sitio del punto de dependencias de rol de sistema de sitio para los equipos que ejecutarán el punto de inscripción y el servicio fuera de banda.

Consulte la sección del tema .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Administración remota de Windows (WinRM) 1.1 o posterior debe instalarse en equipos que ejecutan Windows XP si se ejecuta fuera de la consola de administración de la banda.

Para obtener más información acerca de las versiones de WinRM, consulte versiones de administración remota de Windows.

MSXML 6.0 es necesario en equipos que ejecutan la consola fuera de banda administración.

Comprobador de los requisitos previos de instalación para Configuration Manager incluye la comprobación de Microsoft MSXML 6.0.

La característica de Windows, el cliente Telnet, debe instalarse en equipos que ejecutan Windows 7, Windows Vista o Windows Server 2008, si los equipos ejecutan la administración fuera de banda de la consola y ejecutan comandos de serie a través de LAN.

Serie sobre LAN utiliza el protocolo Telnet para ejecutar una sesión de emulación de terminal para el equipo administrado, en el que puede ejecutar comandos y las aplicaciones basadas en caracteres.Para obtener más información, vea Introducción a la administración fuera de banda en Configuration Manager.

Equipos para la gestión fuera de banda deben pertenecer al mismo bosque de Active Directory que los servidores de sistema de sitio que se ejecutan fuera de punto de servicio de banda y el punto de inscripción.

Además, los equipos deben compartir el mismo espacio de nombres; no se admiten los espacios de nombres.

Los siguientes escenarios de identifican los equipos que no se admiten para administración fuera de banda.AMT debe deshabilitarse en estos equipos:

  • Equipos de grupo de trabajo.

  • Equipos que residen en un bosque de Active Directory distinto de los equipos que ejecutan el servicio fuera de banda seleccione rol de sistema de sitio y el punto de inscripción.

  • Equipos que residen en el mismo bosque de Active Directory, como los servidores de sistema de sitio que se ejecutan fuera de banda, punto y el punto de inscripción de servicio pero no comparten el mismo espacio de nombres (espacio de nombres no contiguo).

    Por ejemplo, un equipo basado en AMT con el FQDN de computer1.northwindtraders.com no se pueden aprovisionar por fuera de sistema de sitio del punto de servicio de banda con el FQDN de contoso.com, aunque pertenezcan al mismo bosque de Active Directory.

  • Equipos que residen en el mismo bosque de Active Directory que el punto fuera de banda servicio servidor de sistema de sitio, pero tiene un espacio de nombres no contiguo, por ejemplo, un equipo de basado en AMT que tiene un nombre DNS de computer1.corp.fabrikam.com y reside en un dominio de Active Directory denominado na.corp.fabrikam.com.

Los dispositivos de red intermedios como enrutadores y firewalls y Firewall de Windows, si procede, deben permitir el tráfico asociado de la actividad de administración de la banda.

Utilizan los siguientes puertos de administración fuera de banda:

  • Desde el punto fuera de banda servicio al punto de inscripción: HTTPS (de forma predeterminada, el puerto TCP 443).

  • Desde fuera de banda de servidor de sistema de sitio de punto de servicio a los controladores de administración de AMT para control de energía iniciadas desde la consola de Configuration Manager y programa actividades, el aprovisionamiento y la detección: TCP 16993.

  • Desde equipos que ejecuten la consola de administración de banda fuera de administración de AMT controladores para todas las tareas de administración se inician desde la consola fuera de banda administración (incluidos comandos de encendido): TCP 16993.

  • Desde equipos que ejecutan la consola de administración de banda fuera de controladores de administración de AMT de serie sobre LAN y redireccionamiento IDE: TCP 16995.

IPv4.

No se admite IPv6.Fuera de banda administración usa solo IPv4.

No se admiten los entornos de IPsec completos.

No configure las directivas de IPsec para la comunicación de AMT entre equipos que se administrarán fuera de banda y fuera de un servidor de sistema de sitio del punto de servicio de banda.

Compatibilidad de infraestructura con 802.1X había autenticado a redes inalámbricas y cableadas:

  • Son compatibles con 802.1X con cable autenticado X: Opciones de autenticación de cliente de EAP-TLS o EAP-TTLS/MSCHAPv2 o PEAPv0/EAP-MSCHAPv2.

  • Compatibilidad inalámbrica: Seguridad de WPA y WPA2, AES o cifrado TKIP, las opciones de autenticación de cliente de EAP-TLS o EAP-TTLS/MSCHAPv2 o PEAPv0/EAP-MSCHAPv2.

Nota

Si utiliza métodos de autenticación de cliente EAP-TLS o EAP-TTLS/MSCHAPv2 con un certificado de cliente, la solución RADIUS debe admitir la autenticación utilizando el siguiente formato: domain\computer_account.

Para administrar equipos basados en AMT fuera de banda en 802.1X de red cableada autenticada o una conexión inalámbrica, debe tener una infraestructura de soporte para estos entornos.Estas redes pueden configurarse mediante el uso de una solución de Microsoft RADIUS, como servidor de directivas de red en Windows Server 2008.Otras soluciones RADIUS pueden utilizarse si son compatibles con 802.1X y compatibilidad con para que las opciones de configuración enumeradas autenticado 802.1X con cable de soporte y compatibilidad con dispositivos inalámbrico.

Para obtener más información sobre el servidor de directivas de red en Windows Server 2008, consulte el servidor de directivas de red.

Para obtener más información acerca de otras soluciones RADIUS, consulte Intel vPro Expert Center: VPro facilidad de uso de Microsoft.

Dependencias de Configuration Manager

La siguiente tabla enumera las dependencias de Configuration Manager para ejecutar administración fuera de banda.

Dependencia

Más información

Debe ejecutar el sitio primario System Center 2012 Configuration Manager y ha instalado el punto fuera de banda servicio y el punto de inscripción.

El punto fuera de banda servicio debe estar en el mismo bosque de Active Directory que el servidor de sitio, y puede instalar solo un punto fuera de banda servicio en cada sitio primario.

Paso 4: Configurar el punto de inscripción y fuera de banda de punto de servicio para el aprovisionamiento de AMT 

Los equipos que desee administrar fuera de banda deben tener el Configuration Manager cliente instalado y debe asignarse a un sitio primario.

System_CAPS_importantImportante

Equipos basados en AMT de Intel que se asignan al mismo Configuration Manager sitio debe tener un nombre único, incluso si pertenecen a dominios distintos y, por tanto, tienen un FQDN único.

 Instalación de clientes en equipos Windows en Configuration Manager

Para configurar la administración fuera de banda, debe tener los permisos de seguridad siguientes:

  • Site: Lectura y modificar

  • Perfil de inscripción de dispositivos móviles: Lectura, crear, modificar, sitio del panel de instrumentos, y Administrar certificados para la implementación del sistema operativo

El Administrador total rol de seguridad incluye estos permisos.

Para administrar equipos fuera de banda, debe tener los siguientes permisos de seguridad para las colecciones que contienen los equipos:

  • Aprovisionar AMT: Este permiso de seguridad le permite administrar equipos AMT desde la consola de Configuration Manager, que incluye la detección del estado de los controladores de administración de AMT, el aprovisionamiento de equipos para AMT y las acciones de auditoría de habilitar y aplicar la configuración de registro de auditoría, deshabilitar la auditoría y borrar el registro de auditoría.

  • Controlar AMT: Este permiso de seguridad permite ver y administrar equipos mediante la consola de administración de banda fuera de para iniciar acciones de alimentación en la consola de Configuration Manager.El Herramientas remotas rol de seguridad incluye el controlar AMT permiso.

  • Lectura y Modificar valor de la colección para habilitar el aprovisionamiento de AMT para la colección.

  • Aprovisionar AMT, lectura, y leer recurso para quitar información de aprovisionamiento y actualizar los controladores de administración de AMT.

Para obtener más información acerca de cómo configurar permisos de seguridad, consulte Configurar la administración basada en roles.

Punto de servicios de informes.

Usar Configuration Manager informes para administración fuera de banda, debe instalar y configurar informes de un punto de servicios.

Para obtener más información, vea Generación de informes en Configuration Manager.