Příklad scénáře pro implementaci Správa mimo síť v nástroji Configuration Manager

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Poznámka

Toto téma se zobrazuje v příručka Prostředky a kompatibilita v nástroji System Center 2012 Configuration Manager a v příručce Scenarios and Solutions Using System Center 2012 Configuration Manager (Scénáře a řešení v nástroji System Center 2012 Configuration Manager).

V následujících částech v tomto tématu naleznete příklad scénáře pro implementaci Správa mimo síť v System Center 2012 Configuration Manager, s použitím o tři postupně přístupu:

  • Pilotní nasazení: Implementace a testování několik počítače, které používají certifikační služby (interní CA) pro zřizování certifikát

  • Zavedení: Úplné nasazení s použitím externí CA pro zřizování certifikát

  • Přidání podpoře bezdrátových technologií: Rozšiřte správy k bezdrátovým sítím

V následujících situacích TRI uvažujete v pomocí Správa mimo síť efektivněji řešení počítače, které se nepodařilo spustit nebo zastavit reagovat, vyžadovat přitom zapnout pro pravidelná údržba nebo požadovat změnu konfigurace nastavení systému BIOS.Tato společnost má na základě Intel AMT počítače s verzí AMT, které jsou podporovány v Configuration Manager, avšak nemáte přizpůsobené firmware, který obsahuje kryptografický otisk certifikátu své vlastní interní kořenové certifikační autority (CA).

TRI má jediný Configuration Manager primárního webu a všechny interní počítače jsou umístěny v testnet.treyresearch.net domény.Společnost již má existující infrastruktury infrastruktury veřejných klíčů (PKI), který je pomocí certifikační služby systému Windows Server 2008 a má certifikační autoritu organizace systémem Windows Server 2008 Enterprise Edition.

ADAM je Configuration Manager pro správu uživatele, který požádal implementovat Správa mimo síť pomocí tři fáze přístup.Funkce nejprve testuje pomocí malé čísla stolní počítače a bez zakoupení zřizování certifikát z externí certifikační Autority.Pokud testování přejde dobře Adam můžete zakoupit zřizování AMT a certifikátů zřízení všechny základě AMT stolní počítače.Pro nasazení konečné fázi je vyzván Adam rozšířit mimo Vzdálená správa pro přenosné počítače, které používají bezdrátové sítě.

Pilotní nasazení: Implementace a testování několik počítače, které používají certifikační služby (interní CA) pro zřizování certifikát

Pro úvodní fázi implementovat a testovat Správa mimo síť Adam trvá v průběhu akce, které jsou popsány v následující tabulce.

Proces

Reference

ADAM kontroluje požadavky pro Správa mimo síť a rozhodne, chcete-li vytvořit server webového systému, na kterém má nainstaluje mimo bodu služby IP síť a bod registrace.Tento počítač má plně kvalifikovaný název domény (FQDN) z server15.testnet.treyresearch.net.

ADAM také potvrdí, že stávající konfigurace DHCP a DNS splňuje požadavky pro částka

Další informace o podmínkách naleznete v tématu Předpoklady pro Správa mimo síť v nástroji Configuration Manager.

ADAM funguje s jeho správců služby Active Directory k vytvoření následujících skupin zabezpečení systému Windows:

  • Skupiny s názvem bodů ConfigMgr mimo pásmo služby který obsahuje server15.

  • Skupiny s názvem primární webových serverech nástroje ConfigMgr obsahující účet počítače server primárního webu.

  • Univerzální zabezpečení skupiny s názvem ConfigMgr AMT počítačů která bude obsahovat AMT účty počítačů.

Poté vytvoří jejich organizační jednotku (OU) v testnet.treyresearch.net domény pro účty publikovaných počítače se systémem AMT a udělení nově vytvořené skupiny primární webových serverech nástroje ConfigMgr následující oprávnění pro tuto organizační jednotku: Vytvořit objekty počítače a Odstranit objekty počítače.

Další informace o tom, jak vytvořit skupiny a organizační jednotky naleznete v dokumentaci k Active Directory Domain Services.

ADAM funguje s týmem PKI s těmito výsledky:

  • Šablona certifikátu webového serveru je duplicitní a konfigurována pro bod registrace.Je nainstalována a nakonfigurována ve službě IIS na server15.

  • Vytvoření vlastní šablony vyžádat a nainstalovat certifikát zřizování AMT na server15.

  • Šablona certifikátu webového serveru je duplicitní a nakonfigurován tak, že je vhodné, správa mimo síť.

  • Tyto identifikovat a poznamenejte si kryptografický otisk certifikátu kořenové certifikační Autority, která musí být ručně přidán do firmwaru AMT, dokud si kupují zřizování certifikát z Certifikačního úřadu externí.

Pokyny týkající se nasazení certifikátů PKI, které jsou nezbytné pro Správa mimo síť, naleznete Nasazení certifikátů pro AMT v oddílu Podrobný příklad nasazení certifikátů PKI pro nástroj Configuration Manager: certifikační autorita systému Windows Server 2008 tématu.

Další informace o požadavcích na certifikáty naleznete v tématu Požadavky na certifikát PKI pro nástroj Configuration Manager.

Připravit stolní počítače na základě AMT používající Adam v úvodním testování, Adam zkontroluje, zda je správná konfigurace firmwaru AMT a přidá kryptografický otisk certifikátu jejich interní kořenové certifikační Autority:

  1. Při spuštění počítače, mu stiskne klávesu CTRL + P Konfigurace ME modulu.

  2. Vybere Intel (R) ME Configuration, Intel (R) ME funkce řízení, Výběr funkce správy, a pak vybere Intel (R) AMT.Mu ukončení a restartování počítače.

  3. Mu spouští ME modulu znovu, vybere Intel (R) AMT konfigurace, instalace a konfigurace, chcete-li ověřit, zda hodnota pro aktuální režim poskytování je PKI.Hodnota není PKI, takže vybere TLS PKI, a nastaví Konfigurace vzdálené na Povolit.

  4. V TLS PKI oddílu vybere Spravovat hodnoty hash certifikátu, stiskne klávesu Insert a typy kryptografický otisk certifikátu jeho interní kořenové certifikační Autority.

  5. Mu uloží změny výstupů a potom restartuje počítač.

Další informace naleznete v dokumentaci k Intel.

ADAM potom konfiguruje primární lokality nástroje Configuration Manager a provede následující změny:

  • Mu nainstaluje nový server webového systému na server15, nakonfiguruje jej s intranetu plně kvalifikovaný název domény tohoto server15.treyresearch.net, a poté nainstaluje mimo bodu služby IP síť a bod registrace.Mu pak nastaví mimo Vzdálená správa součástí.

  • Na certifikát zřizování AMT stránku pro mimo pásmo bodu služby, přejde he pro zřizování certifikátu AMT, který má nainstalován.

  • Na z vlastnosti komponenty vzdálené správy dialogové okno má konfigurovat následující:

    • Na Obecné na kartě mu určuje organizační jednotku, kterou vytvořil v testnet.treyresearch.net, skupiny universal zabezpečení, který vytvořil, prohlíží AMT šablona certifikátu webového serveru, že dříve vytvořenou a nakonfiguruje silné heslo pro účet MEBx.

    • Na AMT nastavení na kartě mu určuje svůj vlastní účet jako uživatelský účet AMT a skupinu zabezpečení globální domény systému Windows, který obsahuje inženýry nápovědy oddělení technické podpory, kteří budou používat mimo pásmo management Console.Vybere také možnosti Povolit sériové prostřednictvím sítě LAN a rozhraní IDE přesměrování, Povolit ping odpovědi, a heslo povolit BIOS vynechat power přihlašování a restartujte příkazy.

Další informace naleznete v následujících částech v Zřízení a konfiguraci počítačů se systémem AMT v produktu Configuration Manager tématu:

Adam chce na technologii LAN použít k instalaci důležité aktualizace softwaru v počítačích probuzení.Má mu byl proveden pokus tuto funkci v minulosti a zjištěno, že podsítě řízené vysílání spotřebovávají příliš velkou šířku pásma sítě přes vzdálené odkazy a málo z jejich síťové adaptéry práce s jednosměrového vysílání.

Mu povolí Wake on LAN a rozhodne se zachovat výchozí možnost použití zapnout příkazy Pokud počítač podporuje této technologie, jinak používat paketů funkce wake-up.

Další informace naleznete Krok 6: Konfigurace webu odeslat napájení na příkazy pro plánované funkce Wake-Up aktivity Krok Zřízení a konfiguraci počítačů se systémem AMT v produktu Configuration Manager tématu.

Přidá ADAM ve sloupci Stav AMT do Configuration Manager konzoly a vytvoří novou kolekci, která obsahuje pouze pět počítačů se systémem AMT jako jeho počáteční pilotní nasazení.Tyto počítače jsou pro testování pouze a obsahuje různé podporovaná verze částkaMá-li konfigurovat této kolekce pro zřizování AMT.

Další informace naleznete Krok 7: Zobrazení stavu AMT a zřizování AMT povolení Krok Zřízení a konfiguraci počítačů se systémem AMT v produktu Configuration Manager tématu.

ADAM monitoruje AMT zřizování.

Další informace naleznete Krok 8: Monitorování zřizování AMT Krok Zřízení a konfiguraci počítačů se systémem AMT v produktu Configuration Manager tématu.

Pokud tyto počítače jsou úspěšném zřízení pro AMT, Adam spustí testování těchto počítačů pro Správa mimo síť.

Například scénáře použití Správa mimo síť, viz Příklad scénáře pro použití Správa mimo síť v nástroji Configuration Manager.

Zavedení: Úplné nasazení s použitím externí CA pro zřizování certifikát

Po dokončení počáteční testování obdrží Adam potvrzení z jeho správce, který Správa mimo síť může být nasazen do všech počítačů, na základě AMT pracovní stanice.Odstranit požadavek na přidání kryptografický otisk certifikátu jejich interní kořenové certifikační Autority každý AMT do počítače se systémem, Adam nákupy zřizování certifikát z Certifikačního úřadu externí a nainstaluje ji server15, včetně doprovodné pokynů.

ADAM pak trvá v průběhu akce, které jsou popsány v následující tabulce.

Proces

Reference

ADAM ověří předpoklady pro správu band znovu, zda jsou k dispozici žádné další změny, které má provést.Zjistí následující:

  • Existují požadavky na porty, které mu musí souviset s Správce brány firewall tak, aby Nápověda oddělení technické podpory engineers může připojit k počítačů se systémem AMT ve vzdálené servery, které jsou chráněné službou interní brány firewall.

  • Některé Nápověda oddělení technické podpory počítače stále systémem Windows XP, a proto povinen zkontrolujte těchto počítačů pro jejich verzi vzdálené správy systému Windows (WinRM) a v případě potřeby aktualizace verze.

  • Nápověda oddělení technické podpory engineers mu nutné přidat příslušnou rolí zabezpečení ke spuštění mimo pásmo management Console.

Další informace naleznete v části Předpoklady pro Správa mimo síť v nástroji Configuration Manager.

ADAM konfigurovat vlastnosti mimo pásmo bodu služby, přejde na nově zakoupený certifikát zřizování AMT a uloží změny.

Další informace naleznete Krok 4: Konfigurace bodu registrace a bod mimo IP síť služby pro zřizování AMT Krok Zřízení a konfiguraci počítačů se systémem AMT v produktu Configuration Manager tématu.

ADAM vytvoří nové kolekce postupně rozbalíte zřizování AMT pro počítače pracovní stanice.Po dobu čtyř týdnů že umožňuje tyto kolekce pro zřizování a sledování průběhu AMT.

Další informace naleznete Krok 7: Zobrazení stavu AMT a zřizování AMT povolení Krok Zřízení a konfiguraci počítačů se systémem AMT v produktu Configuration Manager tématu.

V důsledku tohoto postupu všechny počítače se systémem Intel AMT pracovní stanice jsou zajištěna pro AMT a může být AMT vzdáleně spravuje oddělení technické podpory.Schopnost řešení problémů a opravit počítače, když operačního systému nefunguje značně snižuje celkových nákladů na vlastnictví společnosti, protože inženýři již vyžadují místní přístup k počítači.

Přidání podpoře bezdrátových technologií: Rozšiřte správy k bezdrátovým sítím

Po úspěšné vydaných pro pracovní stanice používat Správa mimo síť TRI nyní chce rozšířit tuto podporu pro přenosné počítače, které používají bezdrátové sítě.Bezdrátová síť používá server se systémem Windows Server 2008, který je spuštěn Server NPS (Network Policy Server) a vyžaduje klientský certifikát pro ověřování.

ADAM trvá v průběhu akce, které jsou popsány v následující tabulce.

Proces

Reference

ADAM kontroluje požadavky podpoře bezdrátových technologií pro Správa mimo síť a potvrdí, že verzích AMT přenosných počítačů podporuje bezdrátové profily.Zjistí, nastavení bezdrátové konfigurace, které jsou vyžadovány Network Policy Server jako zabezpečení standardu WPA2, AES šifrování a ověřování protokolu EAP-TLS.

Další informace o podmínkách naleznete v tématu Předpoklady pro Správa mimo síť v nástroji Configuration Manager.

ADAM funguje s týmem PKI a umožňuje vytvořit šablonu další certifikát, který počítače se systémem AMT použít k ověřování pomocí Network Policy Server.

Další informace o vytváření šablony klientského certifikátu, naleznete v části "Vytváření a vystavitele certifikáty pro ověřování klienta pro 802. 1 X počítačů se systémem AMT" v Nasazení certifikátů pro AMT část Podrobný příklad nasazení certifikátů PKI pro nástroj Configuration Manager: certifikační autorita systému Windows Server 2008 tématu.

Další informace o požadavcích na certifikáty naleznete v tématu Požadavky na certifikát PKI pro nástroj Configuration Manager.

Nakonfiguruje ADAM z vlastnosti komponenty vzdálené správy: 802.1 X a bezdrátových kartu:

  • Vytváření bezdrátový profil, který obsahuje název bezdrátové sítě, typ zabezpečení WPA2-podnikové a metodou šifrování AES.Potom vybere důvěryhodných kořenových certifikátů pro Network Policy Server a šabloně certifikátu klienta, který byl dříve vytvořen.

Další informace naleznete v části kroky 26 až 39 Krok 5: Konfigurace mimo pásmo komponenty správy v oddílu Zřízení a konfiguraci počítačů se systémem AMT v produktu Configuration Manager tématu.

ADAM vytvoří nové kolekce pro přenosné počítače, které podporují částkaNa mimo Vzdálená správa na kartě vybere Povolit zřizování pro počítače se systémem AMT.

ADAM pak sleduje stav zřizování pro tyto přenosné počítače a používá soubor protokolu Amtopmgr.log, chcete-li ověřit, zda bezdrátový profil byl úspěšně nakonfigurován pro tyto počítače se systémem AMT.

Tip

Je-li tyto přenosné počítače jsou již zřízeno pro AMT bez profilu bezdrátového připojení, spustí Adam aktualizace zřizování Data v paměti řadič správy příkazu pro nastavení bezdrátové sítě, které se má použít.Další informace najdete v části K aktualizaci počítačů pro nové nastavení AMT v tématu Jakým způsobem spravovat v produktu Configuration Manager informace o zřizování AMT.

Další informace o sledování zřizování AMT, naleznete Krok 8: Monitorování zřizování AMT Krok Zřízení a konfiguraci počítačů se systémem AMT v produktu Configuration Manager tématu.

V důsledku tohoto postupu přenosné počítače lze nyní také spravovat mimo pásmo podle oddělení technické podpory, která snižuje dobu, chcete-li vyřešit problémy hlášené uživatelům přenosných počítačů.

Viz také

Technická referenční příručka pro správu Band v produktu Configuration Manager