Condividi tramite


Introduzione alla gestione fuori banda in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Gestione fuori banda in System Center 2012 Configuration Manager fornisce un controllo di una gestione potente per computer che dispongono di impostare il chip di Intel vPro e una versione di Intel Active Management Technology (Intel AMT) che Configuration Manager supporta.

Fuori banda management consente un utente amministratore di connettersi al controller di gestione AMT del computer quando il computer è spento, in modalità sospensione o in caso contrario non risponde tramite il sistema operativo.Al contrario, gestione in banda è il classico approccio che Configuration Manager e l'utilizzo di versioni precedenti, in cui viene eseguito un agente nel sistema operativo completo sul computer gestito e il controller di gestione esegue attività mediante la comunicazione con l'agente di gestione.

Fuori banda gestione integra gestione in banda.Mentre in-band management supporta una vasta gamma di operazioni perché l'ambiente è il sistema operativo completo, gestione in banda potrebbe non essere disponibile se il sistema operativo non è presente o non è operativo.In queste situazioni, utilizzando la funzionalità supplementari di gestione fuori banda, gli utenti amministrativi possono gestire questi computer senza richiedere l'accesso locale al computer.

Gestione fuori banda includono le seguenti attività:

  • Accensione uno o più computer (ad esempio, per manutenzione di computer fuori dagli orari).

  • Spegnere uno o più computer (ad esempio, blocco del sistema operativo).

  • Il riavvio di un computer non funzionante o l'avvio da un dispositivo connesso in locale o un file di immagine di avvio valido noto.

  • Re-imaging di un computer tramite avvio da un file immagine di avvio che si trova in rete o tramite un server PXE.

  • Riconfigurazione delle impostazioni del BIOS su un computer selezionato (e ignorando la password del BIOS, se sono supportata dal produttore del BIOS).

  • Avvio in un sistema operativo basato su comandi per l'esecuzione di comandi, strumenti di ripristino o applicazioni di diagnostica (ad esempio, aggiornamento del firmware o esecuzione di uno strumento di ripristino del disco).

  • Configurare le distribuzioni software pianificate per riattivare computer prima che il computer è in esecuzione.

Queste tracce dall'attività di gestione di banda sono supportate su una connessione cablata, non autenticata e un autenticato 802.1 X cablata connessione e connessione wireless.Fuori banda gestione presenta inoltre le funzionalità aggiuntive seguenti:

  • Il controllo per alcune funzionalità AMT.

  • Supporto per gli stati di alimentazione differenti, per ottimizzare il consumo energetico e la conformità ai criteri IT.

  • Archiviazione dei dati in cui fino a 4096 byte in caratteri ASCII può essere salvato nella memoria RAM non volatile (NVRAM) del controller di gestione AMT.

Ad esempio gli scenari di timeout della banda gestione utilizzo, vedere Scenari di esempio per l'utilizzo di gestione fuori banda in Configuration Manager.

Alcune delle attività precedenti vengono eseguite dal Configuration Manager della console, mentre altri richiedono che esegue la console fuori banda gestione fornito con Configuration Manager.Fuori banda management utilizza la tecnologia di gestione remota Windows (WS-MAN) per connettersi al controller di gestione AMT in un computer.

Nota

Fuori banda gestione non è supportata per i client gestiti tramite Internet con la gestione client basata su Internet.Configuration Manager i client che sono bloccati o non approvati da Configuration Manager non può essere gestito fuori banda.

Nella tabella seguente vengono descritte le opzioni e funzionalità di gestione fuori banda fornisce in Configuration Manager.

Scenario o funzionalità

Altre informazioni

Gestione basata su protezione

Fuori banda gestione si integra con un'infrastruttura a chiave pubblica (PKI) interna utilizzando i certificati seguenti:

  • Certificato di provisioning installata nel fuori banda nel punto di servizio che consente ai computer di essere configurato per la gestione fuori banda.

  • Un certificato server web che viene installato nel punto di registrazione per le comunicazioni protette con il fuori banda punto di servizio durante il processo di provisioning.

  • Un certificato server web che viene installato in ogni computer gestito fuori banda in modo che la comunicazione è autenticata e crittografata utilizzando Transport Layer Security (TLS).

  • Certificati client, se necessario per l'autenticazione 802.1 X.

Per altre informazioni su questi certificati, vedere Requisiti dei certificati PKI per Configuration Manager.

Gli amministratori devono essere autenticati utilizzando Kerberos prima che possano gestire utilizzando la console fuori banda Gestione computer.

Gestione fuori banda attività è controllabile e registrati tramite un log di controllo nei computer basati su AMT.

Il supporto per 802.1 X autenticata reti cablate e wireless:

  • Supporto di reti cablate autenticate 802.1 X: opzioni di autenticazione client di EAP-TLS, EAP-TTLS/MSCHAPv2 o PEAPv0/EAP-MSCHAPv2.

  • Supporto senza fili: Protezione WPA e WPA2, AES o TKIP, opzioni di autenticazione client di EAP-TLS, EAP-TTLS/MSCHAPv2 o PEAPv0/EAP-MSCHAPv2.

Provisioning AMT

Attiva e configura i computer basati su Intel AMT che eseguono il client di Configuration Manager.

Dati di inventario avanzata

Fornisce il chip AMT, ad esempio tag asset, UUID del BIOS, stato di alimentazione, processore, memoria e informazioni sulle unità dati di inventario hardware.

Identificare i controller di gestione AMT

Identifica i computer con un controller di gestione AMT e il relativo stato di provisioning.

Queste informazioni è utilizzabile per creare raccolte basate su query per gruppo di computer per da attività di gestione di banda, ad esempio il controllo di provisioning e potenza.

Controllo dell'alimentazione

Consente di accendere, spegnere e le funzionalità di riavvio per un singolo computer, i computer selezionati o un insieme di computer.

Computer può essere riattivato dalle distribuzioni di software pianificate che hanno una scadenza pianificata.

Dalla console di gestione di banda

Una console di gestione dedicato che viene eseguita dal Configuration Manager console o in un prompt dei comandi, avviare da attività di gestione di banda, incluse le sessioni di reindirizzamento e seriale-over-LAN IDE.

Nota

Funzionalità possono variare a seconda del produttore del computer gestito.Funzionalità di reindirizzamento e seriale-over-LAN IDE, ad esempio, può essere disabilitata dal produttore.

Reindirizzamento IDE

Consente al computer di eseguire l'avvio da un file immagine di avvio o un dispositivo connesso in locale anziché dal relativo disco IDE interfaccia.Ciò è utile per la diagnosi, ripristino o imaging di un'unità disco rigido.

Seriale su LAN

Tecnologia seriale-over-LAN incapsula i dati da una porta seriale virtuale e lo invia tramite la connessione di rete esistente che stabilito fuori banda console di gestione.

La tecnologia seriale-over-LAN consente di eseguire una sessione di emulazione di terminale per il computer gestito, in cui è possibile eseguire comandi e le applicazioni basate su caratteri.Ad esempio, potrebbe trattarsi di riconfigurazione del BIOS o funziona in combinazione con il reindirizzamento IDE, è possibile aggiornare il firmware o eseguire gli strumenti di diagnostica.

Estensione di gestione fuori banda in Configuration Manager

Per informazioni tecniche aggiuntive supportare ed estendere gestione fuori banda in Configuration Manager, vedere offerte application Intel sul sito Microsoft Pinpoint.

Novità di Configuration Manager

Nota

Le informazioni contenute in questa sezione appaiono anche in nella Guida Introduzione a System Center 2012 Configuration Manager.

I seguenti elementi sono nuovi o sono stati modificati per gestione fuori banda poiché Configuration Manager 2007:

  • System Center 2012 Configuration Manager non supporta più il provisioning fuori banda, che si poteva utilizzare in Configuration Manager 2007 quando non era installato il client di Configuration Manager oppure sul computer non era installato un sistema operativo.Per effettuare il provisioning dei computer per AMT in System Center 2012 Configuration Manager, essi devono appartenere a un dominio Active Directory, il client di System Center 2012 Configuration Manager deve essere stato installato e assegnato a un sito primario di System Center 2012 Configuration Manager.

  • Per effettuare il provisioning dei computer per AMT, è necessario installare il nuovo ruolo del sistema del sito e il punto di registrazione, oltre al punto di servizio fuori banda.È necessario installare entrambi questi ruoli del sistema del sito nello stesso sito primario.

  • Esiste un nuovo account, il Account di rimozione Provisioning AMT, che specificano nel proprietà componente Gestione fuori banda: Provisioning scheda.Una volta specificato questo account e utilizzato lo stesso account Windows specificato come Account utente AMT, è possibile utilizzare questo account per rimuovere le informazioni di provisioning AMT se occorre ripristinare il sito.Inoltre, potrebbe essere possibile utilizzarlo quando il client è stato riassegnato e le informazioni di provisioning AMT non sono state rimosse dal vecchio sito.

  • Configuration Manager non genera un messaggio di stato per avvisare l'utente che il certificato di provisioning AMT sta per scadere.È necessario verificare di persona il periodo di validità rimanente e assicurarsi di rinnovare questo certificato prima della scadenza.

  • L'individuazione AMT non utilizza più la porta TCP 16992; l'unica porta utilizzata è la TCP 16993.

  • Per effettuare il provisioning dei computer per AMT, la porta TCP 9971 non è più utilizzata per connettere il controller di gestione AMT al punto di servizio fuori banda.

  • Il punto di servizio fuori banda utilizza HTTPS (per impostazione predefinita, la porta TCP 443) per connettersi al punto di registrazione.

  • Il traduttore WS-MAN non è più supportato.

  • L'attività di manutenzione Reimposta password computer AMT è stata rimossa.

  • Non è più possibile selezionare autorizzazioni individuali per ciascun Account utente AMT.Invece, tutti gli Account utente AMT sono automaticamente configurati per l'Amministrazione PT (Configuration Manager 2007 SP1) o l'Amministrazione piattaforma (Configuration Manager 2007 SP2), che garantiscono le autorizzazioni a tutte le funzionalità AMT.

  • È necessario specificare un gruppo di protezione universale in Proprietà del componente di gestione fuori banda che contenga gli account di computer AMT che Configuration Manager crea durante il processo di provisioning AMT.

  • Il computer del server di sito non richiede più il Controllo completo per l'unità organizzativa che viene utilizzata durante il provisioning AMT.Garantisce, invece, le autorizzazioni dei membri di lettura e di scrittura (solo questo oggetto).

  • Il punto di registrazione, e non il computer del server del sito primario, richiede ora l'autorizzazione Rilascia e gestisci certificati per l'autorità di certificazione emittente.Questa autorizzazione è necessaria per revocare i certificati AMT.Come in Configuration Manager 2007, questo account computer richiede le autorizzazioni DCOM per comunicare con l'autorità di certificazione emittente.Per configurarlo, assicurarsi che per Windows Server 2008, l'account computer del server del sistema del sito del punto di registrazione sia membro del gruppo di protezione Certificate Service DCOM Access oppure, per Windows Server 2003 SP1 e versioni successive, membro del gruppo di protezione CERTSVC_DCOM_ACCESS nel dominio in cui risiede l'autorità di certificazione emittente.

  • I modelli per il certificato server Web AMT e il certificato client AMT 802.1X non utilizzano più Inserisci nella richiesta e l'account computer del server del sito non richiede più le autorizzazioni per i seguenti modelli di certificato:

    • Per il modello di certificato del server Web AMT: Nella scheda Oggetto, selezionare Genera a partire da queste informazioni di Active Directory, quindi selezionare Nome comune per il Formato nome oggetto.Nella scheda Sicurezza, concedere le autorizzazioni Lettura e Registrazione al gruppo di protezione universale specificato in Proprietà del componente di gestione fuori banda.

    • Per il modello di certificato client AMT 802.1X: Nella scheda Oggetto, selezionare Genera a partire da queste informazioni di Active Directory, quindi selezionare Nome comune per il Formato nome oggetto.Cancellare il contenuto della casella di controllo Nome DNS, quindi selezionare Nome entità utente (UPN) come nome oggetto alternativo.Nella scheda Sicurezza, concedere le autorizzazioni Lettura e Registrazione al gruppo di protezione universale specificato in Proprietà del componente del punto di gestione fuori banda.

  • Il certificato di provisioning AMT non richiede più che la chiave privata possa essere esportata.

  • Per impostazione predefinita, il punto di servizio fuori banda controlla il certificato di provisioning AMT per la revoca dei certificati.Ciò si verifica quando viene eseguito prima il sistema del sito e quando viene modificato il certificato di provisioning AMT.È possibile disattivare questa opzione in Proprietà punto di servizio fuori banda.

  • È possibile abilitare o disabilitare il controllo CRL per il certificato del server Web AMT nella console di gestione fuori banda.Per modificare le impostazioni, fare clic sul menu Strumenti, quindi su Opzioni.La nuova impostazione è utilizzata quando ci si riconnette a un computer basato su AMT.

  • Quando viene revocato un certificato per un computer basato su AMT, il motivo della revoca è ora Termine operazione invece di Sostituito.

  • I computer basati su AMT a cui è stato assegnato lo stesso sito di Configuration Manager devono avere un nome computer unico, anche quando appartengono a domini differenti e quindi hanno un FQDN unico.

  • Quando si riassegna un computer basato su AMT da un sito di Configuration Manager a un altro, è necessario per prima cosa rimuovere le informazioni di provisioning AMT, riassegnare il client, quindi rieffettuare il provisioning del client per AMT.

  • I privilegi di protezione Visualizza controller di gestione e Gestisci controller di gestione in Configuration Manager 2007 si chiamano adesso rispettivamente Esegui il provisioning AMT e Controlla AMT.L'autorizzazione Controlla AMT viene automaticamente aggiunta al ruolo di protezione Operatore strumenti remoti.Se un utente amministratore viene assegnato al ruolo di protezione Operatore strumenti remoti e si desidera che tale utente amministratore effettui il provisioning dei computer basati su AMT o controlli il registro di controllo AMT, è necessario aggiungere l'autorizzazione Esegui il provisioning AMT a questo ruolo di protezione oppure assicurarsi che l'utente amministratore appartenga a un altro ruolo di protezione che include tale autorizzazione.