À propos de la configuration AMT pour la gestion hors bande

Mis à jour: juin 2011

S'applique à: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Les ordinateurs doivent être configurés pour AMT avant de pouvoir utiliser la gestion hors bande dans Configuration Manager 2007 SP1 et versions ultérieures.

Au cours de la configuration AMT, les interactions externes suivantes ont lieu entre Configuration Manager et l'infrastructure réseau :

• Le serveur de site vérifie la base de données Configuration Manager pour s'assurer qu'un certificat d'infrastructure à clés publiques (PKI) avec fonction d'authentification de serveur n'est pas déjà émis pour l'ordinateur AMT. Si un certificat est détecté, il est révoqué.

• Le serveur de site demande un ou plusieurs certificats PKI auprès d'une autorité de certification de publication interne pour les ordinateurs AMT. Dans Configuration Manager 2007 SP1 uniquement, un seul certificat est requis pour la fonction d'authentification de serveur. Cette demande de certificat contient le nom de domaine complet de l'ordinateur à gérer hors bande et utilise un modèle de certificat configuré avec une fonction d'authentification de serveur. En outre, dans Configuration Manager 2007 SP2 et versions ultérieures, si un certificat client a été configuré pour un réseau 802.1X authentifié ou pour un ou plusieurs réseaux sans fil, ce certificat est également demandé. Ces certificats contiennent également le nom de domaine complet de l'ordinateur à gérer hors bande et utilisent un modèle de certificat configuré avec une fonction d'authentification du client. Le serveur de l'autorité de certification émettrice approuve les demandes et les certificats sont accordés à l'ordinateur du serveur de site.

• Les ordinateurs AMT sont publiés en tant que compte AMT sur les services de domaine Active Directory. Un lien vers l'objet Ordinateur Windows est également créé dans les services de domaine Active Directory.

• Un nom principal de service (SPN) est enregistré pour les ordinateurs AMT dans les services de domaine Active Directory afin que les administrateurs puissent s'y connecter à l'aide de la console de gestion hors bande.

• Lors de la configuration intrabande pour Configuration Manager 2007 SP2 et versions ultérieures, les comptes AMT sont automatiquement ajoutés au groupe de sécurité spécifiés pour les réseaux 802.1X et sans fil. Cependant, cette option n'est pas activée par défaut.

De plus, une fois que le composant de gestion hors bande du serveur de site est connecté à l'ordinateur AMT à l'aide du compte de configuration et du numéro de port appropriés, les interactions internes suivantes ont lieu entre Configuration Manager et la mémoire RAM non volatile (NVRAM) du contrôleur de gestion dans l'ordinateur AMT :

• Le certificat PKI avec fonction d'authentification de serveur récupéré par le serveur de site est installé sur l'ordinateur AMT, y compris la chaîne de certificats allant jusqu'au certificat de l'autorité de certification racine. Pour Configuration Manager 2007 SP2 et versions ultérieures, les certificats PKI avec fonction d'authentification du client récupéré par le serveur de site sont également installés sur l'ordinateur AMT, ainsi que le certificat racine du serveur RADIUS.

• Le nom de domaine complet (FQDN) de l'ordinateur AMT est récupéré depuis la base de données Configuration Manager, puis est défini dans AMT sur l'ordinateur AMT. L'heure du système est configurée en fonction de l'heure de l'ordinateur Windows.

• Les paramètres AMT définis dans Configuration Manager, notamment l'utilisation de la redirection IDE et série sur réseau local, la réponse à une requête de ping du réseau et la prise en charge d'une interface Web sont également configurés dans AMT sur les ordinateurs AMT. Dans Configuration Manager 2007 SP2, le paramètre d'alimentation y est également inclus. Outre les paramètres AMT, le mot de passe AMT distant est redéfini avec un mot de passe fort et aléatoire, tous les comptes d'utilisateurs AMT sont supprimés et la prise en charge de l'authentification Kerberos est activée sur l'ordinateur AMT.

Pour plus d'informations sur la configuration d'un ordinateur, consultez Comment configurer les ordinateurs pour AMT.

Pour plus d'informations sur les certificats utilisés lors de la configuration AMT, consultez À propos de certificats pour la gestion hors bande.

Mise à jour des données dans la mémoire du contrôleur de gestion

Les ordinateurs déjà configurés pour AMT ne sont pas reconfigurés de façon dynamique avec les nouveaux paramètres définis dans Configuration Manager. Si vous modifiez les paramètres AMT dans Configuration Manager après avoir configuré les ordinateurs pour AMT, vous devez lancer une opération sur les ressources informatiques afin de mettre à jour les données dans la mémoire du contrôleur de gestion. La mise à jour des données dans la mémoire du contrôleur de gestion pour un ordinateur AMT vous permet de récupérer les configurations et paramètres AMT les plus récents. Le nom principal de service de l'ordinateur AMT est également enregistré et son objet Active Directory est actualisé (ou publié, s'il n'existe pas). La mise à jour des données dans la mémoire du contrôleur de gestion n'entraîne pas la révocation du certificat AMT pour l'authentification du serveur, mais elle révoque tout certificat d'authentification de client qui a été configuré pour les réseaux 802.1X câblés authentifiés ou sans fil. De nouveaux certificats d'authentification de client sont demandés s'ils sont spécifiés dans la configuration des réseaux 802.1X câblés authentifiés ou sans fil.

Si la prise en charge des réseaux de ce type est configurée pour Configuration Manager 2007 SP2, cela inclut la mise à jour du contrôleur de gestion sur ces réseaux, moyennant les avertissements suivants :

• Si l'ordinateur AMT est connecté à un réseau sans fil, les paramètres des profils sans fil ne sont pas mis à jour.

• Si l'ordinateur AMT est connecté à un réseau 802.1X câblé authentifié, les paramètres de cette configuration sont mis à jour. Si les nouveaux paramètres sont incompatibles avec les paramètres réseau requis, la connexion est interrompue dans le cas où le système d'exploitation n'est pas en cours d'exécution.

Suppression des informations de configuration AMT

Dans certaines situations, il se peut que vous souhaitiez supprimer les informations de configuration d'un ordinateur AMT, par exemple, lorsque vous ne souhaitez plus que l'ordinateur soit géré hors bande via Configuration Manager 2007, mais que vous souhaitez utiliser une autre solution de gestion hors bande. Les options suivantes permettent de supprimer les informations de configuration de l'ordinateur :

• Vous pouvez supprimer les données de configuration du contrôleur de gestion tout en conservant les informations d'identification de l'ordinateur, notamment son nom, son adresse IP et son suffixe DNS. Les informations de configuration comprennent l'activation de la redirection IDE et série sur réseau local, la prise en charge des requêtes de ping du réseau et l'activation de l'interface Web.

• Si vous le souhaitez, vous pouvez également supprimer les données de configuration et d'identification du contrôleur de gestion.

Dans les deux cas, tous les certificats installés dans AMT sont révoqués, et le nom principal de service et le compte AMT sont supprimés des services de domaine Active Directory.

Les informations de configuration AMT peuvent être automatiquement reconfigurées par Configuration Manager après leur suppression. Par exemple, c'est le cas par défaut si l'ordinateur AMT peut effectuer la configuration intrabande et qu'il fait partie d'un regroupement dont l'option de configuration AMT automatique est activée. Cela est également le cas par défaut si l'ordinateur AMT peut effectuer la configuration hors bande. Cependant, lorsque vous sélectionnez l'option de suppression des informations de configuration, vous pouvez désactiver la configuration automatique et la réactiver ultérieurement si nécessaire.

Pour plus d'informations sur la suppression des informations de configuration pour un ordinateur AMT et la réactivation de la configuration automatique, consultez Comment supprimer les informations de configuration des ordinateurs AMT.

Modification du nom d'ordinateurs AMT et changements de domaine

Si vous renommez un ordinateur déjà configuré pour AMT par Configuration Manager ou que vous déplacez cet ordinateur vers un autre domaine, vous devez supprimer toutes les informations de configuration de l'ordinateur AMT, puis le reconfigurer. Vous pouvez supprimer les informations de configuration avant ou après avoir renommé ou déplacé l'ordinateur. Toutefois, ne reconfigurez pas l'ordinateur avant de l'avoir renommé ou déplacé de domaine. Si vous n'effectuez pas ces opérations, l'ordinateur AMT ne pourra pas être géré hors bande après avoir été renommé ou déplacé.

Lorsque vous supprimez des informations de configuration, sélectionnez l'option permettant de supprimer à la fois les données de configuration et les informations d'identification du contrôleur de gestion, ainsi que, lorsque c'est possible, l'option permettant de désactiver la configuration automatique. Réactivez cette option une fois que l'ordinateur a été renommé ou changé de domaine.

Voir aussi

Tâches

Comment exécuter la console de gestion hors bande

Concepts

À propos de certificats pour la gestion hors bande
Certificats requis pour la gestion hors bande
Processus Configuration Manager de configuration AMT pour la gestion hors bande
Comment migrer d'une solution de gestion basée sur AMT vers une gestion hors bande dans Configuration Manager
Présentation de la gestion hors bande