• Artikel

Inleiding tot out-of Bandbeheer in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Out-of bandbeheer in System Center 2012 Configuration Manager biedt een krachtige beheerfuncties voor computers waarop de Intel vPro-chipset en een versie van Intel Active Management-technologie (Intel AMT) die Configuration Manager ondersteunt.

Buiten-bandbeheer management kiest, kan een gebruiker met beheerdersrechten verbinding maken met een computer AMT management controller wanneer de computer is uitgeschakeld in de slaapstand of anderszins niet reageert via het besturingssysteem.Daarentegen in band-beheer is het klassieke benadering die Configuration Manager en het gebruik van voorafgaande taken, waarbij een agent op de beheerde computer in het volledige besturingssysteem wordt uitgevoerd en de management controller taken door te communiceren met de management agent uitvoert.

Buiten-bandbeheer aanvulling management-band beheer.Tijdens het in-band beheer ondersteunt een groter aantal bewerkingen omdat de omgeving het volledige besturingssysteem is, in-band beheer mogelijk niet functioneel als het besturingssysteem niet aanwezig is of niet operationeel is.In deze gevallen kunnen met behulp van de aanvullende mogelijkheden van out-of bandbeheer gebruikers met beheerrechten beheren deze computers zonder lokale toegang tot de computer.

Out-of bandbeheer zijn taken:

  • Dat op een of meer computers (bijvoorbeeld voor het onderhoud op computers buiten kantooruren).

  • Een of meer computers uitgezet (bijvoorbeeld het besturingssysteem reageert niet meer).

  • Een weliswaar computer opnieuw is opgestart of het opstarten van een lokaal verbonden apparaat of een bekende goede boot afbeeldingsbestand selecteren.

  • Het opnieuw aanbrengen van een installatiekopie op een computer door opstarten vanaf een installatiekopiebestand dat zich op het netwerk bevindt of via een PXE-server.

  • De BIOS-instellingen op een geselecteerde computer (en zonder de BIOS-wachtwoord als dit wordt ondersteund door de fabrikant BIOS) opnieuw configureren.

  • Opstarten naar een op opdrachten gebaseerd besturingssysteem voor het uitvoeren van opdrachten, herstelhulpprogramma's of diagnostische toepassingen (bijvoorbeeld voor het upgraden van de firmware of het uitvoeren van een hulpprogramma voor schrijfherstel).

  • Configuratie van geplande software-implementaties computers geactiveerd voordat de computers wordt uitgevoerd.

Deze buiten band beheertaken worden ondersteund op een niet-geverifieerde bekabelde verbinding en een geverifieerde 802. 1 X bekabelde verbinding en draadloze verbinding.Buiten-bandbeheer heeft management ook de volgende extra functies:

  • Controle voor geselecteerde AMT-onderdelen.

  • Ondersteuning voor verschillende power statussen, zodat het energieverbruik en naleving IT-beleid.

  • Opslag van gegevens in AMT, waarbij maximaal 4096 bytes ASCII-tekens in de permanente RAM-geheugen (NVRAM) van de management controller kan worden opgeslagen.

Voorbeeld scenario's van hoe af van de band management kan worden gebruikt, Zie Voorbeeld scenario's voor het gebruik van out-of Bandbeheer in Configuration Manager.

Enkele van de voorafgaande taken worden uitgevoerd vanuit de Configuration Manager console, terwijl andere gebruikers is vereist u de buiten-band management console die wordt geleverd dat met Configuration Manager.Buiten-bandbeheer maakt management Windows remote management-technologie (WS-Management) verbinding met de AMT management controller op een computer.

Notitie

Buiten-bandbeheer wordt management niet ondersteund voor clients die via het Internet met Internet-gebaseerd clientbeheer worden beheerd.Configuration Manager clients die zijn geblokkeerd of niet-goedgekeurde door Configuration Manager buiten het bereik kan niet worden beheerd.

De volgende tabel geeft een overzicht van de opties en functies die buiten het band-beheer voorziet in Configuration Manager.

Functie of scenario

Meer informatie

Beheer op basis van beveiliging

Buiten-bandbeheer integreert management met behulp van de volgende certificaten met een interne PKI (PKI):

  • Een provisioning certificaat dat is geïnstalleerd op de buiten-band-servicepunt, waarmee computers die moeten worden geconfigureerd voor buiten-band-beheer.

  • Een webserver-certificaat dat is geïnstalleerd op het registratiepunt voor beveiligde communicatie met de buiten uitzonderingsservicepunt tijdens het inrichtingsproces.

  • Een webserver-certificaat dat is geïnstalleerd op elke computer die wordt beheerd buiten-bandbeheer zodat communicatie wordt geverifieerd en is versleuteld met behulp van laag TLS (Transport Security).

  • Clientcertificaten, indien nodig voor 802. 1 X-verificatie.

Zie PKI-certificaatvereisten voor Configuration Manager voor meer informatie over deze certificaten.

Beheerders moeten worden geverifieerd met Kerberos voordat ze computers beheren kunnen via de buiten-band-beheerconsole.

Out-of bandbeheer is activiteit opgenomen en controleerbare met behulp van een controlelogboek op de AMT-computers.

Ondersteuning voor 802.1 X geverifieerde bekabelde netwerken en draadloze netwerken:

  • Ondersteuning voor geverifieerde bekabelde 802.1 X: client verificatie-opties van EAP-TLS of EAP-TTLS/MSCHAPv2 of PEAPv0/EAP-MSCHAPv2.

  • Ondersteuning voor draadloze: WPA en WPA2-beveiliging, AES of TKIP-codering, verificatie-opties van EAP-TLS of EAP-TTLS/MSCHAPv2 of PEAPv0/EAP-MSCHAPv2 client.

AMT-inrichting

Schakelt en Intel AMT gebaseerde computers waarop de Configuration Manager-client configureert.

Uitgebreide inventarisatiegegevens

Hardware-inventarisatiegegevens uit de AMT-chiparchitectuur, zoals inventarislabel, BIOS UUID energieniveau, processor, geheugen en stationsinformatie biedt.

AMT management controllers identificeren

Computers met een AMT management controller en de provisioning status aangegeven.

Deze informatie kan worden gebruikt voor het bouwen van verzamelingen op basis van een query naar groep computers voor buiten band activiteiten, zoals het inrichtingsproces en energiebeheer.

Power-besturingselement

Kunt inschakelen, uitschakelen en opnieuw opstarten opties voor één computer, de geselecteerde computers of een verzameling computers.

Computers kunnen ook worden energie van door geplande software-installaties met een geplande deadline.

Buiten band management console

Een speciale management console die wordt uitgevoerd vanuit de Configuration Manager console of vanaf een opdrachtprompt initiëren buiten band beheertaken, waaronder IDE-omleiding en serie via LAN-sessies.

Notitie

Mogelijkheden kunnen variëren afhankelijk van de fabrikant van de beheerde computer.IDE-omleiding en serie via LAN-mogelijkheid kan bijvoorbeeld worden uitgeschakeld door de fabrikant.

IDE-omleiding

Kan de computer worden opgestart vanaf een afbeeldingbestand boot of lokaal verbonden apparaat in plaats van de schijf IDE-interface.Dit is handig voor het diagnosticeren, herstellen of imaging een vaste schijf.

Serienummer via LAN

Serienummer via LAN-technologie omsluit de gegevens van een virtuele seriële poort en verzonden via de bestaande netwerkverbinding die de buiten-band-beheerconsole vastgesteld.

Serienummer via LAN-technologie kunt u een sessie terminalemulatie voor de beheerde computer, waarin u, opdrachten en tekens gebaseerde toepassingen uitvoeren kunt uitvoeren.Bijvoorbeeld, bijvoorbeeld opnieuw configureren van de BIOS of in combinatie met de IDE-omleiding werkt, kunt u de firmware bijwerken of diagnostische hulpprogramma's uitvoeren.

Out-of Bandbeheer in Configuration Manager uitbreiden

Aanvullende technische informatie te ondersteunen en uitbreiden van band-beheer in Configuration Manager, Zie aanbiedingen van Intel van toepassing op de site Microsoft Pinpoint.

Wat is er nieuw in Configuration Manager

Notitie

De informatie in deze sectie komt ook voor in de gids Getting Started with System Center 2012 Configuration Manager (Aan de slag met System Center 2012 Configuration Manager).

De volgende items zijn nieuwe of gewijzigde voor out-of bandbeheer sinds Configuration Manager 2007:

  • System Center 2012 Configuration Manager biedt geen ondersteuning meer voor buiten-bandinrichtinting, zoals dit Configuration Manager 2007 kon worden gebruikt wanneer de Configuration Manager-client niet was geïnstalleerd of wanneer er geen besturingssysteem op de computer was geïnstalleerd.Voor het inrichten van computers voor AMT in System Center 2012 Configuration Manager is het noodzakelijk dat deze tot een Active Directory-domein behoren, dat de System Center 2012 Configuration Manager-client is geïnstalleerd en dat deze worden toegewezen aan een primaire site van System Center 2012 Configuration Manager.

  • U moet voor het inrichten van computers voor AMT de nieuwe sitesysteemrol, het inschrijvingspunt en het buiten-bandservicepunt installeren.U moet beide sitesysteemrollen op dezelfde primaire site installeren.

  • Er is een nieuw account de AMT inrichten verwijdering Account, die u hebt opgegeven op de Out of Band Management onderdeeleigenschappen: Provisioning tabblad.Wanneer u dit account opgeeft en u hetzelfde Windows-account gebruikt als dat wat als een AMT-gebruikersaccount is opgegeven, kunt u dit account gebruiken om de AMT-inrichtingsinformatie te verwijderen als u de site moet herstellen.U kunt dit mogelijk ook gebruiken als de client opnieuw is toegewezen en de AMT-inrichtingsinformatie nog niet van de oude site is verwijderd.

  • Configuration Manager niet langer genereert een statusbericht gewaarschuwd dat de AMT inrichten certificaat is bijna verlopen.U moet zelf de resterende geldigheidsperiode controleren en er voor zorgen dat u dit certificaat vernieuwd voordat dit verloopt.

  • TCP-poort 16992 wordt niet meer gebruikt voor AMT-detectie. Hiervoor wordt alleen TCP-poort 16993 gebruikt.

  • TCP-poort 9971 wordt niet meer gebruikt om de AMT-beheercontroller te verbinden met het buiten-bandservicepunt voor het inrichten van computers voor AMT.

  • Het buiten-bandservicepunt gebruikt HTTPS (standaard TCP-poort 443) om verbinding te maken met het inschrijvingspunt.

  • De WS-MAN-vertaler wordt niet meer ondersteund.

  • De onderhoudstaak AMT-computerwachtwoorden opnieuw instellen is verwijderd.

  • U selecteert niet langer afzonderlijke machtigingen voor elk AMT-gebruikersaccount.In plaats daarvan worden alle AMT-gebruikersaccounts automatisch geconfigureerd voor het recht PT-beheer (Configuration Manager 2007 SP1) of Platformbeheer (Configuration Manager 2007 SP2) waarmee machtigingen voor alle AMT-functies worden verleend.

  • U moet een universele beveiligingsgroep opgeven in het venster Eigenschappen van Buiten-bandbeheercomponent voor de AMT-computeraccounts die tijdens het ATM-inrichtingsproces door Configuration Manager worden gemaakt.

  • De siteservercomputer hoeft niet langer over Volledig beheer-machtigingen te beschikken voor de organisatie-eenheid die tijdens ATM-inrichting wordt gebruikt.In plaats daarvan worden er machtigingen voor lezen en machtigingen voor schrijven (die alleen voor dit object gelden) toegewezen.

  • In plaats van de primaire servercomputer heeft het inschrijvingspunt voortaan de machtiging Certificaten verlenen en beheren voor de uitgevende certificeringsinstantie nodig.Deze machtiging is vereist voor het intrekken van AMT-certificaten.Zoals in Configuration Manager 2007 heeft dit computeraccount DCOM-machtigingen nodig voor het communiceren met de uitgevende certificeringsinstantie.Als u dit wilt configureren, moet u in het geval van Windows Server 2008, ervoor zorgen dat het computeraccount van de sitesysteemserver van het inschrijvingspunt lid is van de groep DCOM voor certificaatservice. In het geval van Windows Server 2003 SP1 en later moet u ervoor zorgen dat dit computeraccount lid is van de beveiligingsgroep CERTSVC_DCOM_ACCESS in het domein waarin de uitgevende certificeringsinstantie zich bevindt.

  • Met de aanvraag meeleveren wordt niet meer gebruikt voor de certificaatsjablonen voor het AMT-webservercertificaat en het AMT 802.1X-clientcertificaat en het computeraccount van de siteserver hoeft niet meer over machtigingen voor de volgende certificaatsjablonen te beschikken:

    • Voor de sjabloon AMT-webservercertificaat: Selecteer op het tabblad Onderwerp de optie Op basis van Active Directory-informatie samenstellen en selecteer vervolgens Algemene naam voor Indeling van de onderwerpnaam.Verleen op het tabblad Beveiliging de machtigingen Lezen en Inschrijven aan de universele beveiligingsgroep die u opgeeft in het venster Eigenschappen van Buiten-bandbeheercomponen.

    • Voor de AMT 802. 1 X-clientcertificaatsjabloon: Selecteer op het tabblad Onderwerp de optie Op basis van Active Directory-informatie samenstellen en selecteer vervolgens Algemene naam voor Indeling van de onderwerpnaam.Schakel het selectievakje DNS-naam uit en selecteer vervolgens Principal-naam van gebruiker (UPN-naam) als de alternatieve onderwerpnaam.Verleen op het tabblad Beveiliging de machtigingen Lezen en Inschrijven aan de universele beveiligingsgroep die u opgeeft in het venster Eigenschappen van Buiten-bandbeheercomponen.

  • Het AMT-inrichtingscertificaat vereist niet langer dat de persoonlijke sleutel kan worden geëxporteerd.

  • Het buiten-bandservicepunt controleert het AMT-inrichtingscertificaat standaard in verband met certificaatintrekking.Dit gebeurt wanneer het sitesyteem voor het eerst wordt uitgevoerd en wanneer het AMT-inrichtingscertificaat is gewijzigd.U kunt deze optie uitschakelen in het venster Eigenschappen van buiten-bandservicepunt.

  • U kunt in de buiten-bandbeheerconsole CRL-controle in- of uitschakelen voor het AMT-webservercertificaat.Als u de instellingen wilt wijzigen, klikt u op het menu Extra en vervolgens klikt u op Opties.De nieuwe instelling wordt gebruikt wanneer u de volgende keer verbinding met een op AMT gebaseerde computer maakt.

  • Wanneer een certificaat voor een op AMT gebaseerde computer wordt ingetrokken, is de intrekkingsreden voortaan Bewerking gestaakt in plaats van Vervangen.

  • Op AMT gebaseerde computers die aan dezelfde Configuration Manager-site zijn toegewezen, moeten een unieke computernaam hebben. Dit geldt zelfs wanneer ze tot verschillende domeinen behoren en daardoor een unieke FQDN-naam hebben.

  • Wanneer een op AMT gebaseerde computer uit een Configuration Manager-site opnieuw aan een andere site toewijst, moet u eerst de AMT-inrichtingsinformatie verwijderen. U moet vervolgens de client opnieuw toewijzen en tot slot moet u de client opnieuw inrichten voor AMT.

  • De beveiligingsrechten Beheercontrollers weergeven en Beheercontrollers beheren in Configuration Manager 2007 heten voortaan respectievelijk AMT inrichten en AMT beheren.De machtiging AMT beheren wordt automatisch toegevoegd aan de beveiligingsrol Operator voor externe hulpprogramma's.Als aan een beheergebruiker de beveiligingsrol Operator voor externe hulpprogramma's is toegewezen en u wilt dat deze beheergebruiker op AMT gebaseerde computers kan inrichten of het AMT-controlelogboek kan beheren, moet u de machtiging AMT inrichten aan deze beveiligingsrol toevoegen of u moet ervoor zorgen dat de beheergebruiker deel uitmaakt van een andere beveiligingsrol die deze machtiging omvat.