• 아티클

Configuration Manager에서 대역외 관리를 구현 하기 위한 예제 시나리오

 

적용 대상: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

참고

이 항목은System Center 2012 Configuration Manager의 자산 및 호환성 가이드 및 System Center 2012 Configuration Manager를 사용하는 시나리오 및 솔루션 가이드에 나와 있습니다.

이 항목의 다음 섹션에서 대역외 관리를 구현 하기 위한 예제 시나리오를 제공 System Center 2012 Configuration Manager, 3 단계적 접근 방식을 사용 하 여:

  • 파일럿 실행: 구현 하 고 프로 비전 인증서에 대 한 인증서 서비스 (내부 CA)를 사용 하는 몇 대의 컴퓨터를 테스트 합니다.

  • 롤아웃: 프로 비전 인증서에 대 한 외부 CA를 사용 하 여 전체 배포

  • 무선 지원을 추가 합니다. 무선 네트워크에 관리를 확장 합니다.

다음 시나리오에서 Trey Research 관심은 대역외 관리를 시작 하거나 응답 하지 못하는 컴퓨터를 보다 효율적으로 문제를 해결 하려면 사용 하 여, 일상적인 유지 관리에 대 한 전원을 켜는 필요 하거나 BIOS 설정을 다시 구성 합니다.이 회사는 Intel AMT 기반 컴퓨터에서 지원 되는 AMT 버전 Configuration Manager, 하지만 자신의 내부 루트 CA (인증 기관)의 인증서 지문을 포함 하는 사용자 지정 된 펌웨어를 갖지 않습니다.

Trey Research에는 단일 Configuration Manager 기본 사이트 및 내부 컴퓨터에 있는 모든는 testnet.treyresearch.net 도메인입니다.회사는 Windows Server 2008 인증서 서비스를 사용 하 고 Windows Server 2008 Enterprise Edition을 실행 하는 엔터프라이즈 인증 기관에 있는 기존 공용 키 인프라 (PKI) 인프라에 이미 있습니다.

Adam은는 Configuration Manager 관리 사용자를 한 3 단계 접근 방식을 사용 하 여 대역외 관리를 구현 요청 했습니다.그는 먼저 적은 수의 데스크톱 컴퓨터 및 외부 CA에서 프로 비전 인증서를 구입 하지 않고 사용 하 여 기능을 테스트 합니다.Adam AMT 프로 비전을 구입할 수 있는 잘 이동 하는 테스트 인증서 및 AMT 기반 모든 데스크톱 컴퓨터를 프로 비전 하는 경우.최종 배포 단계에 대 한 Adam 아웃 무선 네트워크를 사용 하는 랩톱을 대역외 관리를 확장 하 라는 메시지가 표시 됩니다.

파일럿 실행: 구현 하 고 프로 비전 인증서에 대 한 인증서 서비스 (내부 CA)를 사용 하는 몇 대의 컴퓨터를 테스트 합니다.

구현 및 대역외 관리 테스트 파일럿 단계에 대 한 Adam 다음 표에 설명 된 작업 과정을 사용 합니다.

프로세스

참조

Adam는 대역외 관리에 대 한 필수 구성 요소를 확인 하 고 대역외 서비스 지점 및 등록 지점 아웃을 설치 했습니다 사이트 시스템 서버 만들기로 결정 했습니다.이 컴퓨터의 정규화 된 도메인 이름 (FQDN)에 server15.testnet.treyresearch.net.

Adam도 기존 DHCP 및 DNS 구성 및 리소스에 대 한 요구 사항을 충족 하는지 확인

필수 구성 요소에 대 한 자세한 내용은 참조 Configuration Manager에서 대역외 관리에 대 한 필수 구성 요소합니다.

다음 Windows 보안 그룹을 만들어 그의 Active Directory 서비스 관리자와 Adam 작동 합니다.

  • 명명 된 그룹 ConfigMgr 아웃 대역외 서비스 지점의 들어 있는 server15.

  • 명명 된 그룹 ConfigMgr 주 사이트 서버 주 사이트 서버 컴퓨터 계정을 포함 하는 합니다.

  • 라는 유니버설 보안 그룹 ConfigMgr AMT 컴퓨터 는 AMT 컴퓨터 계정을 포함 됩니다.

그런 다음 조직 구성 단위 (OU)에서 만드는 testnet.treyresearch.net 게시 된 AMT 기반 컴퓨터 계정 및 권한 부여는 새로 만든된 그룹에 대 한 도메인 ConfigMgr 주 사이트 서버 이 OU에 다음 사용 권한: 컴퓨터 개체를 만들컴퓨터 개체 삭제.

그룹 및 Ou를 만드는 방법에 대 한 자세한 내용은 Active Directory 도메인 서비스 설명서를 참조 하십시오.

Adam 다음 결과 함께 PKI 팀과 함께 작동합니다.

  • 웹 서버 인증서 템플릿은 복제 하 고 등록 지점에 대해 구성 됩니다.설치 되어 있고 IIS에서 구성 server15.

  • 요청에 AMT 프로 비전 인증서를 설치 하는 사용자 지정 템플릿을 만든 server15.

  • 웹 서버 인증서 템플릿은 복제 하 고 대역외 관리에 대 한 적절 한 되도록 구성 됩니다.

  • 식별 하며 루트는 외부 CA에서 인증서를 프로 비전을 구매할 때까지 AMT 펌웨어에 수동으로 추가할 수 있는 CA의 인증서 지문을 적어둡니다.

대역외 관리에 필요한 PKI 인증서를 배포 하는 방법에 대 한 지침을 참조 하십시오.는 AMT용 인증서 배포 섹션에 Configuration Manager를 위한 PKI 인증서 배포의 단계별 예: Windows Server 2008 인증 기관 항목입니다.

인증서 요구 사항에 대한 자세한 내용은 Configuration Manager를 위한 PKI 인증서 요구 사항 섹션을 참조하세요.

Adam 초기 테스트에서 사용 하는 데스크톱 AMT 기반 컴퓨터를 준비 하려면 Adam 인지 확인 하는 AMT 펌웨어 구성이 올바른 해당 내부 루트 CA의 인증서 지문을 추가:

  1. ME를 구성 하려면 CTRL + P를 눌러 컴퓨터가 시작 되 면 모듈입니다.

  2. 선택 Intel (R) 나 구성, Intel (R) 나 기능 제어, 관리 효율성 기능 선택, 다음을 선택 하 고 Intel (R) AMT.그는 종료 되 고 컴퓨터를 다시 시작 합니다.

  3. ME를 실행 하는 그 모듈을 다시 선택 Intel (R) AMT 구성, 설치 및 구성, 하는지 확인 하에 대 한 값은 현재 프로 비전 모드PKI.값 되지 않으므로 PKI, 선택 TLS PKI, 설정 및는 원격 구성사용.

  4. TLS PKI 선택 섹션 관리 인증서 해시, Insert 키를 누 및 그의 내부 루트 CA의 인증서 지문을 입력 합니다.

  5. 그는 종료 되 고 변경 내용을 저장 하 고 컴퓨터를 다시 시작 합니다.

자세한 내용은 Intel 설명서를 참조 합니다.

그런 다음 Adam Configuration Manager 기본 사이트를 구성 하 고 변경한 다음:

  • 새 사이트 시스템 서버에 설치 했습니다 server15, 인트라넷 FQDN 사용 하 여이 구성의 server15.treyresearch.net, 대역외 서비스 지점과 등록 지점을 부족을 설치 합니다.다음 구성에서 대역외 관리 구성 요소입니다.

  • AMT 프로 비전 인증서 그가 설치 된 그 AMT 프로 비전 인증서를 대역외 서비스 지점에 대 한 페이지입니다.

  • 대역외 관리 구성 요소 속성 대화 상자에서 다음 구성:

    • 일반 탭에서 만든 그 OU 지정 testnet.treyresearch.net, 만들어지면 그 유니버설 보안 그룹이 AMT 웹 서버 인증서 템플릿의 그 이전에 만든 및 MEBx 계정에 대 한 강력한 암호를 구성 합니다.

    • AMT 설정을 탭, 그 자신의 계정으로 지정 AMT 사용자 계정 및 지원 센터 기술자를 사용 하 여 대역외 관리 콘솔을 포함 하는 Windows 전역 도메인 보안 그룹입니다.또한 옵션 선택 serial over LAN과 IDE 리디렉션을 사용 하도록 설정, ping 응답을 허용, 및 BIOS 설정 암호에 전원에 대 한 무시 하 고 다시 시작 명령을.

자세한 내용은의 다음 섹션을 참조 하십시오.는 프로 비전 및 AMT 기반 컴퓨터에서 Configuration Manager를 구성 하는 방법 항목:

Adam은 LAN 기술에서 절전 모드 해제를 사용 하 여 컴퓨터에 중요 한 소프트웨어 업데이트를 설치 하려고 합니다.그 이전에이 기능을 시도 개이고 서브넷 지향 브로드캐스트 원격 연결을 통해 네트워크 대역폭을 너무 많이 소비 하 고 유니캐스트 전송 작업의 네트워크 어댑터의 일부만 검색 합니다.

Wake on LAN 통해 그의 기본 옵션을 유지 하기로 사용 하 여 전원 켜기 명령 하는 컴퓨터에이 기술을; 지 원하는 경우 절전 모드 해제 패킷을 사용 그렇지 않은 경우.

자세한 내용은 참조는 6단계: 예약 된 절전 활동에 대 한 전원 켜기 명령을 보내도록 사이트를 구성 합니다. 의 단계는 프로 비전 및 AMT 기반 컴퓨터에서 Configuration Manager를 구성 하는 방법 항목입니다.

Adam AMT 상태 열에 추가 하는 Configuration Manager 콘솔 및 그의 초기 파일럿으로 방금 5 AMT 기반 컴퓨터를 포함 하는 새 컬렉션을 만듭니다.이러한 컴퓨터는 테스트용 으로만 및 지원 되는 다른 버전의 및 리소스를 포함 합니다.이 컬렉션 AMT 프로 비전에 대 한 구성합니다.

자세한 내용은 참조는 7단계: AMT 상태 및 활성화 AMT 프로 비전을 표시합니다. 의 단계는 프로 비전 및 AMT 기반 컴퓨터에서 Configuration Manager를 구성 하는 방법 항목입니다.

Adam AMT 프로 비전 프로세스를 모니터링 합니다.

자세한 내용은 참조는 8단계: AMT 프로 비전 모니터링 의 단계는 프로 비전 및 AMT 기반 컴퓨터에서 Configuration Manager를 구성 하는 방법 항목입니다.

AMT 용 컴퓨터를 프로 비전 성공적으로 Adam 대역외 관리를 위해 이러한 컴퓨터에 테스트를 시작 합니다.

시나리오의 대역외 관리를 사용 하 여 참조 하는 예 대역외 관리 구성 관리자에서 사용 하기 위한 예제 시나리오합니다.

롤아웃: 프로 비전 인증서에 대 한 외부 CA를 사용 하 여 전체 배포

초기 테스트 완료 되 면 Adam 대역외 관리 모든 워크스테이션 AMT 기반 컴퓨터에 롤아웃할 수 있는 그의 관리자에서 확인을 받습니다.각 AMT 기반 컴퓨터를 내부 루트 CA 인증서의 손도장 (thumbprint)을 추가 하는 요구 사항을 제거 하려면 Adam 외부 CA에서 프로 비전 인증서를 구입 하 고에 설치 server15, 함께 제공 된 지침에 따라 합니다.

그런 다음 Adam 다음 표에 설명 된 작업 과정을 됩니다.

프로세스

참조

Adam 그 확인 하는 추가 변경 되었는지 확인 하려면 대역외 관리에 대 한 필수 구성 요소 다시 확인 합니다.그 다음 정보:

  • 지원 센터 기술자 내부 회사 방화벽에 의해 보호 되는 원격 사이트에 AMT 기반 컴퓨터에 연결할 수 있도록 그 방화벽 관리자 관련 되어야 하는 포트 요구 사항이 있습니다.

  • 일부 도움말 아직 Windows XP를 실행 하는 기술 지원팀 컴퓨터 및 따라서 그 해야 해당 버전의 Windows 원격 관리 (WinRM)에 대 한 이러한 컴퓨터를 확인 하 고 업데이트 버전 필요한 경우.

  • 대역외 관리 콘솔을 실행 하려면 적절 한 보안 역할에 지원 센터 기술자를 추가 해야 했습니다.

자세한 내용은 Configuration Manager에서 대역외 관리에 대 한 필수 구성 요소 항목을 참조하세요.

Adam의 대역외 서비스 지점 속성을 구성 하 고가 새로 구매한 AMT 프로 비전 인증서를 찾을, 변경 내용을 저장 합니다.

자세한 내용은 참조는 4단계: AMT 프로 비전에 대 한 등록 지점 및 대역외 서비스 지점 구성 의 단계는 프로 비전 및 AMT 기반 컴퓨터에서 Configuration Manager를 구성 하는 방법 항목입니다.

Adam은 워크스테이션 컴퓨터에 대 한 AMT 프로 비전 롤아웃하기 점진적으로 새 컬렉션을 만듭니다.4 주 동안, 그에 AMT 프로 비전 및 모니터 진행률에 대 한 이러한 컬렉션 수 있습니다.

자세한 내용은 참조는 7단계: AMT 상태 및 활성화 AMT 프로 비전을 표시합니다. 의 단계는 프로 비전 및 AMT 기반 컴퓨터에서 Configuration Manager를 구성 하는 방법 항목입니다.

동작의이 코스에서는 결과로 모든 워크스테이션 Intel AMT 기반 컴퓨터는 AMT에 대 한 프로 비전 및 지원 센터 대역외에서 관리할 수 있습니다.문제를 해결 하 고 운영 체제 크게 작동 하지 않는 경우 컴퓨터를 복구 하는 기능 엔지니어는 컴퓨터에 대 한 로컬 액세스를 더이상 필요 하기 때문에 회사에 대 한 총소유 비용을 줄입니다.

무선 지원을 추가 합니다. 무선 네트워크에 관리를 확장 합니다.

대역외 관리를 사용 하 여 워크스테이션에 대 한 성공적인 출시 후 Trey Research는 이제 무선 네트워크를 사용 하는 랩톱 컴퓨터에이 지원을 확장 하 려 합니다.무선 네트워크 정책 서버 NPS (네트워크)를 실행 중이 고 클라이언트 인증서 인증을 위해 필요 하는 Windows Server 2008 기반 서버를 사용 합니다.

Adam 다음 표에 설명 된 작업 과정을 사용 합니다.

프로세스

참조

Adam는 무선 지원 필수 구성 요소에 대 한 대역외 관리를 확인 하 고 무선 프로필의 랩톱에서 AMT의 버전을 지원 하는지 확인 합니다.그 WPA2 보안, AES 암호화 및 EAP-TLS 인증으로 네트워크 정책 서버에 필요한 무선 구성 설정을 인식 합니다.

필수 구성 요소에 대 한 자세한 내용은 참조 Configuration Manager에서 대역외 관리에 대 한 필수 구성 요소합니다.

Adam은 AMT 기반 컴퓨터를 네트워크 정책 서버를 사용 하 여 인증을 사용 하는 추가 인증서 템플릿을 만들려면 PKI 팀과 함께 작동 합니다.

클라이언트 인증서 템플릿을 만드는 방법에 대 한 자세한 내용은 "만들기 및 802.1 X AMT 기반 컴퓨터에 대 한 클라이언트 인증 인증서를 발급"의 참조는 AMT용 인증서 배포 의 섹션은 Configuration Manager를 위한 PKI 인증서 배포의 단계별 예: Windows Server 2008 인증 기관 항목입니다.

인증서 요구 사항에 대한 자세한 내용은 Configuration Manager를 위한 PKI 인증서 요구 사항 섹션을 참조하세요.

구재석은 구성 된 대역외 관리 구성 요소 속성: 802.1 X 및 무선 탭:

  • 그는 무선 네트워크 이름, 보안에 대 한 유형의 WPA2-엔터프라이즈 및 aes 암호화 방법을 포함 하는 무선 프로필을 만듭니다.그는 다음 네트워크 정책 서버와 이전 작성 된 클라이언트 인증서 템플릿에 대 한 신뢰할 수 있는 루트 인증서에 선택 합니다.

자세한 정보에 대 한 참조에서 39-26 단계는 5단계: 대역외 관리 구성 요소의 출력을 구성합니다. 섹션에 프로 비전 및 AMT 기반 컴퓨터에서 Configuration Manager를 구성 하는 방법 항목.

Adam 및 리소스를 지원할 수 있는 랩톱에 대 한 새 컬렉션을 만듭니다.에 대역외 관리 선택 탭 AMT 기반 컴퓨터에 대 한 프로 비전 사용.

그런 다음 Adam 이러한 랩톱에 대 한 프로 비전 상태를 모니터링 하 고 Amtopmgr.log, 로그 파일을 사용 하 여 이러한 AMT 기반 컴퓨터에 대 한 무선 프로필은 성공적으로 구성 되었는지 확인 하려면.

System_CAPS_tip

Adam를 실행 하는 경우 이러한 랩톱 이미 프로 비전 된 AMT에 대 한 무선 프로필 없이,는 컨트롤러 메모리 관리에에서 프로 비전 데이터 업데이트 적용할 무선 설정에 대 한 명령입니다.자세한 내용은 참조는 새로운 AMT 설정에 대 한 컴퓨터를 업데이트 하는 방법 섹션에 AMT 프로 비전 정보 Configuration Manager에서 관리 하는 방법 항목.

AMT 프로 비전을 모니터링 하는 방법에 대 한 자세한 내용은 참조는 8단계: AMT 프로 비전 모니터링 의 단계는 프로 비전 및 AMT 기반 컴퓨터에서 Configuration Manager를 구성 하는 방법 항목입니다.

동작의이 코스에서는 결과로 랩톱 이제도 관리할 수 있습니다 대역외 지원팀 랩톱 사용자가 보고 한 문제를 해결 하는 시간이 줄어듭니다.