• 아티클

Configuration Manager에서 대역외 관리 소개

 

적용 대상: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

대역외 관리 System Center 2012 Configuration Manager 설정 Intel vPro 칩이 있는 컴퓨터와 Intel Active Management Technology (Intel AMT)의 버전에 대 한 강력한 관리 제어를 제공 하는 Configuration Manager 를 지원 합니다.

대역외 관리를 사용 하면 컴퓨터가 꺼져, 최대 절전 모드 또는 운영 체제를 통해 응답이 없는 경우 컴퓨터의 AMT 관리 컨트롤러에 연결 관리자가 있습니다.반대로에서 대역외 관리에는 기존의 접근 하는 Configuration Manager 및 해당 선행 작업 사용 가능해 집니다 에이전트 관리 컴퓨터에서 전체 운영 체제에서 실행 하 고 관리 컨트롤러 관리 에이전트와 통신 하 여 작업을 수행 합니다.

대역외 관리에서 대역외 관리를 보충합니다.대역외 관리를 지원 하지만 작업 보다 넓은 범위의 해당 환경이 전체 운영 체제 때문에 운영 체제 없으면 하거나 작동 하지 않는 경우의 대역외 관리 기능 아닐 수 있습니다.이러한 상황에서 대역외 관리의 보조 기능을 사용 하 여 관리자가 관리할 수 이러한 컴퓨터는 컴퓨터에 대 한 로컬 액세스 하지 않고도.

대역외 관리 작업은 다음과 같습니다.

  • 하나 이상의 컴퓨터 (예: 업무 외 시간에 컴퓨터에서 유지 관리)에서 구동 합니다.

  • 전원 끄기 하나 이상의 컴퓨터 (예: 응답 하면 운영 체제 중지) 합니다.

  • 작동 하지 않는 컴퓨터를 다시 시작 하거나 로컬로 연결 된 장치 또는 잘 알려진된 올바른 부팅 이미지 파일에서 부팅 합니다.

  • 네트워크에 있는 부팅 이미지 파일에서 부팅하거나 PXE 서버를 사용하여 컴퓨터를 이미지로 다시 설치합니다.

  • 선택한 컴퓨터 (및이 BIOS 제조업체에서 지원 되는 경우 BIOS 암호 무시)의 BIOS 설정을 다시 구성 합니다.

  • 명령 기반 운영 체제로 부팅하여 명령, 복구 도구 또는 진단 응용 프로그램을 실행(예: 펌웨어 업그레이드 또는 디스크 복구 도구 실행)합니다.

  • 컴퓨터를 실행 하기 전에 컴퓨터의 절전에 대 한 예약 된 소프트웨어 배포를 구성 합니다.

인증 되지 않은 유선된 연결에서 지원 되는 대역외 관리 작업에서 이러한 및 802.1 X 인증 된 유선 연결 및 무선 연결 합니다.대역외 관리는 또한 다음과 같은 추가 기능에 있습니다.

  • 선택한 AMT 기능에 대 한 감사 합니다.

  • 전력 소비 및 IT 정책 준수를 보호 하기 위해 다른 전원 상태에 대 한 지원.

  • 데이터 저장소에 AMT, 여기서 관리 컨트롤러의 비휘발성 메모리 (NVRAM)에 최대 4, 096 바이트의 ASCII 문자를 저장할 수 있습니다.

시나리오의 아웃 밴드의 관리 사용할 수 있는 방법을 참조 하는 예 대역외 관리 구성 관리자에서 사용 하기 위한 예제 시나리오합니다.

앞에서 설명한 작업 중 일부에서 수행 되는 Configuration Manager 와 함께 제공 되는 대역외 관리 콘솔을 실행 해야하는 응용 프로그램도 있지만 콘솔 Configuration Manager합니다.대역외 관리 컴퓨터에서 AMT 관리 컨트롤러에 연결 하려면 Windows 원격 관리 기술을 (WS-MAN)을 사용 합니다.

참고

대역외 관리 인터넷 기반 클라이언트 관리를 사용 하 여 인터넷을 통해 관리 되는 클라이언트에 대 한 지원 되지 않습니다.Configuration Manager 차단 되거나 하 여 승인 되지 않은 연결 되어있는 클라이언트 Configuration Manager 대역외에서 관리할 수 없습니다.

다음 표에서 대역외 관리에서 제공 하는 옵션 및 기능 설명 Configuration Manager합니다.

기능 또는 시나리오

추가 정보

보안 기반 관리

대역외 관리는 다음과 같은 인증서를 사용 하 여 내부 공용 키 인프라 (PKI)와 통합:

  • 컴퓨터의 대역외 관리를 위해 구성할 수 있는 대역외 서비스 지점에 설치 된 프로 비전 인증서입니다.

  • 에 대 한 등록 지점에 설치 된 웹 서버 인증서를 프로 비전 프로세스 중 대역외 서비스 지점의 부재와 통신을 보호 합니다.

  • 통신 인증 되 고 전송 계층 보안 (TLS)를 사용 하 여 암호화 되어 있도록 대역외 관리 되는 각 컴퓨터에 설치 된 웹 서버 인증서입니다.

  • 802.1 X 인증에 필요한 경우 클라이언트 인증서입니다.

이러한 인증서에 대한 자세한 내용은 Configuration Manager를 위한 PKI 인증서 요구 사항 항목을 참조하세요.

관리자는 대역외 관리 콘솔을 사용 하 여 컴퓨터를 관리할 수 전에 Kerberos를 사용 하 여 인증 되어야 합니다.

대역외 관리 활동 중 이며 기록 된 감사 가능한 AMT 기반 컴퓨터에서 감사 로그를 사용 하 여

802.1 X에 대 한 지원에는 유선된 네트워크 및 무선 네트워크 인증:

  • 인증 된 유선된 802.1 X 지원: EAP-TLS 또는 TTLS/Eap-mschapv2 또는 PEAPv0/Eap-mschapv2의 클라이언트 인증 옵션입니다.

  • 무선 지원: WPA, WPA2 보안, AES 또는 TKIP 암호화, EAP-TLS 또는 TTLS/Eap-mschapv2 또는 PEAPv0/Eap-mschapv2의 클라이언트 인증 옵션입니다.

AMT 프로비전

활성화 하 고 Configuration Manager 클라이언트를 실행 하는 Intel AMT 기반 컴퓨터를 구성 합니다.

향상 된 인벤토리 데이터

AMT 칩 자산 태그, BIOS UUID, 전원 상태, 프로세서, 메모리 및 드라이브 정보 등의 하드웨어 인벤토리 데이터를 제공합니다.

AMT 관리 컨트롤러를 식별 합니다.

AMT 관리 컨트롤러 및 해당 프로 비전 상태를 사용 하 여 컴퓨터를 식별합니다.

이 정보 프로 비전 및 전원 제어와 같은 대역외 관리 활동에 대 한 그룹 컴퓨터에 대 한 쿼리 기반 컬렉션을 작성 하는데 사용할 수 있습니다.

전원 제어

전원 켜기, 전원 끄기, 및 단일 컴퓨터, 선택한 컴퓨터 또는 컴퓨터의 컬렉션에 대 한 다시 시작 기능을 수 있습니다.

컴퓨터 수도 의해 해제 된 예약 된 최종 기한이 예약 된 소프트웨어 배포.

대역외 관리 콘솔

전용된 관리 콘솔에서 실행 되는 Configuration Manager 콘솔 또는 포함 하 여 IDE 리디렉션 및 직렬-over LAN 세션에서 대역외 관리 작업을 시작 하려면 명령 프롬프트입니다.

참고

기능 관리 되는 컴퓨터의 제조업체에 따라 달라질 수 있습니다.예, 제조업체에서 IDE 리디렉션 및 직렬-over LAN 기능을 해제할 수 있습니다.

IDE 리디렉션

해당 디스크를 IDE에서 인터페이스 하는 것이 아니라는 부팅 이미지 파일 또는 로컬로 연결 된 장치에서 부팅 하도록 컴퓨터를 수 있습니다.진단, 복구 또는 하드 디스크 드라이브를 이미징에 대 한 유용 합니다.

Serial over LAN

직렬-over LAN 기술 가상 직렬 포트에서 데이터를 캡슐화 하 고 대역외 관리 콘솔을 설정 하는 기존 네트워크 연결을 통해 보냅니다.

직렬-over LAN 기술을 사용 하면 명령 및 문자 기반 응용 프로그램을 실행할 수 있는 관리 되는 컴퓨터에 대 한 터미널 에뮬레이션 세션을 실행할 수 있습니다.예 BIOS를 다시 구성 하려면 여기에 포함 될 수 있습니다 또는 IDE 리디렉션와 함께 작동, 펌웨어를 업데이트 하거나 실행할 수는 진단 도구입니다.

대역외 관리 구성 관리자에서 확장

추가 기술 정보를 지원 하 고 확장에서 대역외 관리에 대 한 Configuration Manager, 참조 Microsoft Pinpoint 사이트에서 제공 하는 Intel의 응용 프로그램.

Configuration Manager의 새로운 기능

참고

이 섹션의 정보는System Center 2012 Configuration Manager 시작 가이드에도 나옵니다.

다음과 같은 항목이 새로 추가 되거나 변경 된 사항은 이후 대역외 관리 Configuration Manager 2007:

  • System Center 2012 Configuration Manager는 더 이상 대역 외 프로비전을 지원하지 않습니다. 대역 외 프로비전은 Configuration Manager 2007 클라이언트가 설치되지 않았거나 컴퓨터에 운영 체제가 설치되지 않은 경우에 Configuration Manager에서 사용할 수 있었습니다.System Center 2012 Configuration Manager에서 AMT용 컴퓨터를 프로비전하려면 해당 컴퓨터는 Active Directory 도메인에 속하고 System Center 2012 Configuration Manager 클라이언트가 설치되어 있어야 하며 System Center 2012 Configuration Manager 기본 사이트에 할당되어야 합니다.

  • AMT용 컴퓨터를 프로비전하려면 대역 외 서비스 지점 외에 새 사이트 시스템 역할인 등록 지점을 설치해야 합니다.이 두 사이트 시스템 역할은 동일한 기본 사이트에 설치해야 합니다.

  • 새 계정이 AMT 프로 비전 제거 계정을, 에 지정 하는 대역외 관리 구성 요소 속성: 프로 비전 탭 합니다.이 계정을 지정하고 AMT 사용자 계정으로 지정된 동일한 Windows 계정을 사용하면 사이트를 복구해야 할 경우 이 계정을 사용하여 AMT 프로비전 정보를 제거할 수 있습니다.또한 이 계정은 클라이언트가 재할당되고 AMT 프로비전 정보가 이전 사이트에서 제거되지 않은 경우에도 사용할 수 있습니다.

  • Configuration Manager 더이상 상태 메시지 AMT 프로 비전 인증서가 만료 될 경고를 생성 합니다.사용자가 직접 남은 유효 기간을 확인하고 인증서가 만료되기 전에 인증서를 갱신해야 합니다.

  • AMT 검색에서는 더 이상 포트 TCP 16992를 사용하지 않으며 포트 TCP 16993만 사용합니다.

  • AMT 관리 컨트롤러를 대역 외 서비스 지점에 연결하여 AMT용 컴퓨터를 프로비전하는 데 포트 TCP 9971은 더 이상 사용되지 않습니다.

  • 대역 외 서비스 지점에서는 HTTPS(기본 포트: TCP 443)를 사용하여 등록 지점에 연결합니다.

  • WS-MAN 변환기는 더 이상 지원되지 않습니다.

  • 유지 관리 작업 AMT 컴퓨터 암호 다시 설정이 제거되었습니다.

  • 더 이상 각 AMT 사용자 계정에 대해 개별 사용 권한을 선택하지 않습니다.대신 모든 AMT 사용자 계정은 PT 관리(Configuration Manager 2007 SP1) 또는 플랫폼 관리(Configuration Manager 2007 SP2) 권한에 대해 자동으로 구성되며 이에 따라 모든 AMT 기능에 대한 권한을 부여 받습니다.

  • 대역 외 관리 구성 요소 속성에서 유니버설 보안 그룹이 AMT 컴퓨터 계정을 포함하도록 지정해야 합니다. 이 계정은 Configuration Manager에서 AMT 프로비전 프로세스 중에 만들어집니다.

  • 사이트 서버 컴퓨터에는 더 이상 조직 구성 단위(OU)에 대한 모든 권한이 필요하지 않습니다. 이 권한은 AMT 프로비전 중에 사용되었습니다.대신 사이트 서버 컴퓨터는 읽기 구성원 및 작성기 구성원(이 개체만) 권한을 부여합니다.

  • 이제 기본 사이트 서버 컴퓨터가 아닌 등록 지점에는 발급 CA(인증 기관)에 대한 인증서 발급 및 관리 권한이 필요합니다.AMT 인증서를 해지하려면 이 권한이 필요합니다.Configuration Manager 2007의 경우처럼 이 컴퓨터 계정에는 발급 CA와 통신하기 위한 DCOM 권한이 필요합니다.이를 구성하려면 등록 지점 사이트 시스템 서버의 컴퓨터 계정은 보안 그룹인 인증서 서비스 DCOM 액세스의 구성원(Windows Server 2008의 경우)이거나 발급 CA가 상주하는 도메인에서 보안 그룹 CERTSVC_DCOM_ACCESS의 구성원(Windows Server 2003 SP1 이상의 경우)이어야 합니다.

  • AMT 웹 서버 인증서 및 AMT 802.1X 클라이언트 인증서에 대한 인증서 템플릿에는 더 이상 요청에서 제공이 사용되지 않으며 사이트 서버 컴퓨터 계정에는 다음 인증서 템플릿에 대한 권한이 더 이상 필요하지 않습니다.

    • AMT 웹 서버 인증서 템플릿의 경우: 주체 탭에서 이 Active Directory 정보로 만듦을 선택한 다음 주체 이름 형식에 대해 일반 이름을 선택합니다.보안 탭에서 대역 외 관리 구성 요소 속성에 지정한 유니버설 보안 그룹에 읽기등록 권한을 부여합니다.

    • AMT 802.1X 클라이언트 인증서 템플릿의 경우: 주체 탭에서 이 Active Directory 정보로 만듦을 선택한 다음 주체 이름 형식에 대해 일반 이름을 선택합니다.DNS 이름 확인란을 선택 취소한 다음 **UPN(사용자 계정 이름)**을 대체 주체 이름으로 선택합니다.보안 탭에서 대역 외 관리 지점 구성 요소 속성에 지정한 유니버설 보안 그룹에 읽기등록 권한을 부여합니다.

  • AMT 프로비전 인증서에 대해 더 이상 개인 키를 내보낼 필요가 없습니다.

  • 기본적으로 대역 외 서비스 지점에서는 AMT 프로비전 인증서에 대해 인증서 해지 여부를 확인합니다.이 작업은 사이트 시스템을 처음 실행할 때, 그리고 AMT 프로비전 인증서가 변경될 때 실행됩니다.이 옵션은 대역 외 서비스 지점 속성에서 비활성화할 수 있습니다.

  • AMT 웹 서버 인증서에 대한 CRL 확인은 대역 외 관리 콘솔에서 활성화하거나 비활성화할 수 있습니다.설정을 변경하려면 도구 메뉴를 클릭한 다음 옵션을 클릭합니다.새로운 설정은 다음에 AMT 기반 컴퓨터에 연결할 때 사용됩니다.

  • AMT 기반 컴퓨터용 인증서가 해지되면 해지 이유는 이제 교체됨이 아닌 사용 중단입니다.

  • 동일한 Configuration Manager 사이트에 할당된 AMT 기반 컴퓨터는 다른 도메인에 속해 고유 FQDN이 있는 경우에도 고유 컴퓨터 이름을 보유해야 합니다.

  • AMT 기반 컴퓨터를 한 Configuration Manager 사이트에서 다른 사이트에 재할당할 경우 먼저 AMT 프로비전 정보를 제거하고 클라이언트를 재할당한 후 클라이언트를 AMT에 대해 다시 프로비전해야 합니다.

  • 보안 권한을 관리 컨트롤러 보기관리 컨트롤러 관리 에서 Configuration Manager 2007 이제 이름이 지정 AMT 프로 비전AMT 제어, 각각.AMT 제어 권한은 원격 도구 운영자 보안 역할에 자동으로 추가됩니다.관리자가 원격 도구 운영자 보안 역할에 할당된 경우 이 관리자가 AMT 기반 컴퓨터를 프로비전하거나 AMT 감사 로그를 제어하도록 하려면 이 보안 역할에 AMT 프로비전 권한을 추가하거나 관리자를 이 권한이 포함된 다른 보안 역할에 속하도록 해야 합니다.