Informationen zur AMT-Bereitstellung für die Out-of-Band-Verwaltung

Letzte Aktualisierung: Juni 2011

Betrifft: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Die Out-of-Band-Verwaltung von AMT-basierten Computern in Configuration Manager 2007 SP1 oder höher ist erst nach erfolgter AMT-Bereitstellung (Installation und Konfiguration) möglich.

Die AMT-Bereitstellung bewirkt die folgenden externen Interaktionen zwischen Configuration Manager und der Netzwerkinfrastruktur:

• Der Standortserver prüft die Configuration Manager-Datenbank, um sicherzustellen, dass noch kein Zertifikat für eine Public Key-Infrastruktur (PKI) mit Serverauthentifizierung für den AMT-basierten Computer ausgestellt wurde. Enthält die Datenbank ein Zertifikat, wird dieses gesperrt.

• Der Standortserver fordert für den AMT-basierten Computer ein oder mehrere PKI-Zertifikate von einer internen Zertifizierungsstelle an. In Configuration Manager 2007 SP1 wird zur Serverauthentifizierung nur ein einzelnes Zertifikat angefordert. Die Zertifikatanforderung enthält den FQDN des Computers, für den die Out-of-Band-Verwaltung eingerichtet werden soll, und verwendet eine Zertifikatsvorlage, die mit Serverauthentifizierung konfiguriert ist. Zusätzlich gilt: Wenn in Configuration Manager 2007 SP2 und höher ein Clientzertifikat für ein 802.1X-authentifiziertes Netzwerk oder für ein oder mehrere Drahtlosnetzwerke konfiguriert wurde, werden diese Zertifikate auch angefordert. Diese Zertifikate enthalten ebenfalls den FQDN des Computers, für den die Out-of-Band-Verwaltung eingerichtet werden soll, und sie verwenden eine Zertifikatsvorlage, die mit Clientauthentifizierung konfiguriert wurde. Der Server der ausstellenden Zertifizierungsstelle (CA) genehmigt die Anforderungen, und die Zertifikate werden dem Standortservercomputer zugewiesen.

• Die AMT-basierten Computer werden als AMT-Konto in den Active Directory-Domänendiensten mit einer Verknüpfung zum Windows-Computerobjekt in den Active Directory-Domänendiensten veröffentlicht.

• In den Active Directory-Domänendiensten wird ein Dienstprinzipalname (Service Principal Name, SPN) für die AMT-basierten Computer registriert, damit Administratoren über die Out-of-Band-Verwaltungskonsole auf sie zugreifen können.

• Bei Configuration Manager 2007 SP2 und höher werden die AMT-Konten bei der In-Band-Bereitstellung automatisch der Sicherheitsgruppe hinzugefügt, die für 802.1X- und Drahtlosnetzwerke angegeben wurde. Diese Option ist standardmäßig nicht aktiviert.

Zusätzlich kommt es zu folgenden internen Interaktionen zwischen Configuration Manager und dem NVRAM-Speicher (Nonvolatile Random Access Memory) des Verwaltungscontrollers im AMT-basierten Computer, nachdem die Out-of-Band-Verwaltungskomponente auf dem Standortserver über ein spezielles AMT-Bereitstellungskonto und eine Portnummer eine Verbindung zum AMT-basierten Computer herstellt:

• Das vom Standortserver abgerufene PKI-Zertifikat mit Serverauthentifizierung wird auf dem AMT-basierten Computer installiert, einschließlich der Zertifikatkette bis zum Zertifikat der Stammzertifizierungsstelle. Bei Configuration Manager 2007 SP2 und höher werden zusätzlich die vom Standortserver abgerufenen PKI-Zertifikate mit Clientauthentifizierung zusammen mit dem Stammzertifikat für den RADIUS-Server auf dem AMT-basierten Computer installiert.

• Der vollständig qualifizierte Domänenname (FQDN) des AMT-basierten Computers wird von der Configuration Manager-Datenbank abgefragt und in AMT auf dem AMT-basierten Computer konfiguriert. Die Windows-Computerzeit wird zur Konfiguration der Systemzeit verwendet.

• Die AMT-Einstellungen in Configuration Manager werden in AMT auf den AMT-basierten Computern konfiguriert. Sie legen beispielsweise fest, ob ein System IDER und SOL (Serial over LAN) verwendet, auf Netzwerk-Pings reagiert und eine Weboberfläche unterstützt. In Configuration Manager 2007 SP2 schließt dies auch die Einstellung des Energiezustands mit ein. Zusätzlich zu den AMT-Einstellungen werden auf dem AMT-basierten Computer das AMT-Remotekennwort auf ein zufälliges und sicheres Kennwort gesetzt, alle AMT-Benutzerkonten gelöscht und die Unterstützung für Kerberos-Authentifizierung aktiviert.

Weitere Informationen zur Bereitstellung von Computern finden Sie unter Bereitstellen von Computern für AMT.

Weitere Informationen zu den Zertifikaten, die für die AMT-Bereitstellung verwendet werden, finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung.

Aktualisieren der Daten im Speicher des Verwaltungscontrollers

Computer, deren AMT-Bereitstellung bereits abgeschlossen ist, werden nicht dynamisch mit neuen AMT-Einstellungen in Configuration Manager konfiguriert. Wenn Sie die AMT-Einstellungen in Configuration Manager nach der AMT-Bereitstellung von AMT-basierten Computern ändern, müssen Sie auf diesen Computerressourcen eine Aktion initiieren, um die Daten im Speicher des Verwaltungscontrollers zu aktualisieren. Beim Aktualisieren der Daten im Speicher des Verwaltungscontrollers übernehmen AMT-basierte Computer die aktuellen AMT-Einstellungen und -Konfigurationen. Zusätzlich wird der SPN des AMT-basierten Computers neu registriert, und das zugehörige Active Directory-Objekt wird aktualisiert (bzw. veröffentlicht, falls es noch nicht vorhanden ist). Das Aktualisieren der Daten im Speicher des Verwaltungscontrollers führt nicht zu einer Sperrung des AMT-Zertifikats für die Serverauthentifizierung, doch es hat zur Folge, dass sämtliche Clientauthentifizierungszertifikate, die für 802.1X-authentifizierte Kabel- oder Drahtlosnetzwerke konfiguriert wurden, gesperrt werden. Neue Clientauthentifizierungszertifikate werden angefordert, wenn diese in der 802.1X-authentifizierten Kabel- oder Drahtloskonfiguration angegeben wurden.

Wenn Sie in Configuration Manager 2007 SP2 Unterstützung für 802.1X-authentifizierte Kabel- oder Drahtlosnetzwerke konfiguriert haben, wird das Aktualisieren des Verwaltungscontrollers in diesen Netzwerken mit folgenden Einschränkungen unterstützt:

• Wenn der AMT-basierte Computer mit einem Drahtlosnetzwerk verbunden ist, werden die Einstellungen in den Drahtlosnetzwerkprofilen nicht aktualisiert.

• Wenn der AMT-basierte Computer mit einem 802.1X-authentifizierten Kabelnetzwerk verbunden ist, werden die Einstellungen für diese Konfiguration aktualisiert. Wenn die neuen Einstellungen nicht mit den erforderlichen Netzwerkeinstellungen kompatibel sind, wird die Verbindung, wenn das Betriebssystem nicht ausgeführt wird, getrennt.

Entfernen der AMT-Bereitstellungsinformationen

Es kann vorkommen, dass Sie die Bereitstellungsinformationen für einen AMT-basierten Computer entfernen möchten, zum Beispiel, wenn Sie einen Computer nicht länger über Configuration Manager 2007 per Out-of-Band-Verwaltung verwalten möchten, sondern stattdessen eine andere Out-of-Band-Lösung nutzen möchten. Folgende Optionen stehen zur Verfügung, um Bereitstellungsinformationen vom Computer zu entfernen:

• Sie können die Konfigurationsdaten vom Verwaltungscontroller entfernen, Identifizierungsinformationen wie Namen, IP-Adresse und DNS-Suffix jedoch beibehalten. Die Konfigurationsdaten geben an, ob ein System IDER und SOL (Serial over LAN) verwendet, auf Netzwerk-Pings reagiert und eine Weboberfläche unterstützt.

• Sie können Konfigurationsdaten und Identifizierungsinformationen vom Verwaltungscontroller entfernen.

In beiden Fällen werden alle installierten AMT-Zertifikate gesperrt, der SPN gelöscht und das ATM-Konto aus den Active Directory-Domänendiensten gelöscht.

Nach dem Löschen der AMT-Bereitstellungsinformationen kann er ggf. durch Configuration Manager automatisch erneut bereitgestellt werden. Dies entspricht z. B. dem Standardverfahren, wenn der AMT-basierte Computer in-band bereitgestellt werden kann und sich in einer Sammlung befindet, für die die automatische AMT-Bereitstellung aktiviert wurde. Dies gilt ebenfalls standardmäßig, wenn der AMT-basierte Computer out-of-band bereitgestellt werden kann. Wenn Sie die Option zum Entfernen der Bereitstellungsinformationen auswählen, können Sie die automatische Bereitstellung jedoch auch deaktivieren und bei Bedarf später erneut aktivieren.

Weitere Informationen zum Entfernen von Bereitstellungsinformationen für AMT-basierte Computer and Verwenden der automatischen erneuten Bereitstellung finden Sie unter Entfernen von Bereitstellungsinformationen für AMT-basierte Computer.

Umbenennen von AMT-basierten Computern und Domänenänderungen

Wenn Sie einen Computer, der bereits von Configuration Manager für AMT bereitgestellt wurde, umbenennen oder in eine andere Domäne verschieben, müssen Sie alle Bereitstellungsinformationen im AMT-basierten Computer entfernen und den Computer anschließend erneut bereitstellen. Sie können die Bereitstellungsinformationen vor oder nach dem Umbenennen bzw. Verschieben des Computers entfernen. Führen Sie die erneute Bereitstellung des Computers jedoch erst durch, nachdem die Namensänderung oder der Domänenwechsel abgeschlossen ist. Wenn Sie diese Verfahren nicht ausführen, ist nach der Änderung des Namens oder dem Domänenwechsel keine Out-of-Band-Verwaltung für den AMT-basierten Computer möglich.

Löschen Sie beim Entfernen der Bereitstellungsinformationen sowohl die Konfigurationsdaten als auch die Identifizierungsinformationen vom Verwaltungscontroller. Deaktivieren Sie gegebenenfalls auch die automatische Bereitstellung, und reaktivieren Sie sie nach der Namensänderung und dem Domänenwechsel.

Siehe auch

Tasks

Ausführen der Out-of-Band-Verwaltungskonsole

Konzepte

Informationen zu Zertifikaten für die Out-of-Band-Verwaltung
Zertifikatanforderungen für die Out-of-Band-Verwaltung
AMT-Bereitstellungsvorgang für die Out-of-Band-Verwaltung in Configuration Manager
Entscheiden, wie die Migration von einer AMT-basierten Verwaltungslösung zu einer Out-of-Band-Verwaltung in Configuration Manager erfolgen soll
Übersicht über die Out-of-Band-Verwaltung