Voraussetzungen für die Out-of-Band-Verwaltung in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Die Out-of-Band-Verwaltung in System Center 2012 Configuration Manager hat externe Abhängigkeiten sowie Abhängigkeiten innerhalb des Produkts.

System_CAPS_importantWichtig

Die Out-of-Band-Verwaltung in Configuration Manager weist externe Abhängigkeiten zu Intel AMT (Active Management Technology) sowie zu Microsoft PKI-Technologien (Public Key-Infrastruktur) auf.Maßgebliche Konfigurationsinformationen oder technische Details zu diesen externen Abhängigkeiten finden Sie in der Produktdokumentation zu den jeweiligen Technologien.

Informationen zu Intel AMT und Intel-Setup und Konfiguration von Software finden Sie in der Intel-Dokumentation oder in der Dokumentation Ihres Computerherstellers.Weitere Informationen finden Sie unter Intel vPro Expert Center: Microsoft vPro-Verwaltbarkeit.

Weitere Informationen zu den Microsoft PKI-Technologien finden Sie unter Active Directory-Zertifikatdienste.

Externe Abhängigkeiten von Configuration Manager

In der folgenden Tabelle sind die externen Abhängigkeiten für das Ausführen der Out-of-Band-Verwaltung aufgeführt.

Abhängigkeit

Weitere Informationen

Eine Microsoft-Unternehmenszertifizierungsstelle (CA) mit Zertifikatvorlagen, um die Zertifikate bereitzustellen und zu verwalten, die für die Out-of-Band-Verwaltung erforderlich sind.

Die ausstellende Zertifizierungsstelle muss Zertifikatanforderungen der AMT-Computerkonten, die von Configuration Manager während des AMT-Bereitstellungsprozesses in Active Directory-Domänendiensten erstellt werden, automatisch genehmigen.

Zum Widerrufen von AMT-Zertifikaten muss die ausstellende Zertifizierungsstelle mit der Berechtigung "Zertifikate ausstellen und verwalten" für den Server ausgestattet sein, auf dem die Anmeldungspunkt-Standortsystemrolle installiert ist.

System_CAPS_importantWichtig

Von AMT können keine Zertifizierungsstellenzertifikate unterstützt werden, deren Schlüssellänge 2048 Bits überschreitet.

Der Out-of-Band-Dienstpunkt und jeder Desktop- bzw. Laptopcomputer, der out-of-band verwaltet wird, muss über spezifische PKI-Zertifikate verfügen, die unabhängig von Configuration Manager verwaltet werden.

Weitere Informationen zu den Zertifikatanforderungen finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.

Schritt-für-Schritt-Anweisungen finden Sie unter Bereitstellen der Zertifikate für AMT.

Das Computerkonto für den Anmeldungspunkt-Standortsystemserver muss über DCOM-Berechtigungen verfügen, um AMT-Zertifikate von der ausstellenden Zertifizierungsstelle widerrufen zu können.Stellen Sie sicher, dass dieser Standortservercomputer ein Mitglied der Sicherheitsgruppe "Zertifikatdienst-DCOM-Zugriff" (Windows Server 2008) oder CERTSVC_DCOM_ACCESS (Windows Server 2003 SP1 und höher) in der Domäne der ausstellenden Zertifizierungsstelle ist.

Desktop- bzw. Laptopcomputer mit der folgenden Konfiguration:

  • Intel vPro Technologie oder Intel Centrino Pro Technologie

  • Eine unterstützte Version von Intel AMT, der für den Enterprise-Modus mit dem Bereitstellen der PKI konfiguriert ist

  • Intel HECI-Treiber

Informationen zu den AMT-Versionen, die Configuration Manager unterstützt, finden Sie in der Out-of-Band-Verwaltung im Abschnitt der Unterstützte Konfigurationen für den Konfigurations-Manager Thema.

Laden Sie den aktuellen HECI-Treiber von der Intel-Website herunter, und entnehmen Sie der Dokumentation Ihres Computerherstellers weitere Informationen zu den Intel-Anforderungen.

Active Directory-Container und universelle Sicherheitsgruppe:

  • Der Active Directory-Container muss mit den korrekten Sicherheitsberechtigungen für die Domäne der AMT-basierten Computer konfiguriert werden:wenn der Standort AMT-basierte Computer aus mehreren Domänen verwaltet, muss derselbe Containername und Pfad für alle Domänen verwendet werden.

  • Eine universelle Sicherheitsgruppe, die Computerkonten für die AMT-basierten Computer enthält

System_CAPS_noteHinweis

Sie müssen das Active Directory-Schema für die Out-of-Band-Verwaltung nicht erweitern.

Während des AMT-Bereitstellungsprozesses werden von Configuration Manager Computerkonten in diesem Active Directory-Container bzw. dieser Organisationseinheit (OE) erstellt und der universellen Sicherheitsgruppe hinzugefügt.

Für den Standortservercomputer sind die folgenden Berechtigungen erforderlich:

  • Für die OE, die während des AMT-Bereitstellungsprozesses verwendet wird, müssen Alle untergeordneten Objekte erstellen und Alle untergeordneten Objekte löschen gewährt werden, und diese Berechtigungen müssen auf Nur dieses Objekt angewendet werden.

  • Für die universelle Sicherheitsgruppe, die während des AMT-Bereitstellungsprozesses verwendet wird, Ermöglichen Lesen und Schreiben, und wenden Sie auf nur dieses Objekt.

Die folgenden Netzwerkdienste:

  • DHCP-Server mit einem aktiven Bereich

  • DNS-Server zur Namensauflösung

Stellen Sie sicher, dass die DHCP-Bereichsoptionen DNS-Server (006) und den Domänennamen (015) einschließen und dass der DHCP-Server DNS dynamisch mit dem Datensatz der Computerressource aktualisiert.

WINS kann zum Auflösen von Computernamen nicht verwendet werden. Für alle mit der Out-of-Band-Verwaltung verwendeten Verbindungen ist DNS erforderlich.Dies umfasst neben der AMT-Bereitstellung die Verbindung zu AMT-basierten Computern über die Out-of-Band-Verwaltungskonsole.

System_CAPS_noteHinweis

Von AMT kann kein Hosteintrag in DNS registriert werden. Aus diesem Grund müssen Sie sicherstellen, dass DNS entweder von DHCP oder vom Betriebssystem mit einem Hosteintrag für den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des AMT-basierten Computers aktualisiert wird.Alternativ können Sie diese Einträge bei Bedarf manuell in DNS erstellen.Zur Unterstützung der Funkoption ist es wichtig, dass DNS Einträge mit der Funk-IP-Adresse für den vollqualifizierten Domänennamen des AMT-basierten Computers enthält.

Standortsystemrollen-Abhängigkeiten für die Computer, auf denen der Anmeldungspunkt und die Out-of-Band-Dienstpunkt-Standortsystemrollen ausgeführt werden

Informationen hierzu finden Sie im Abschnitt Voraussetzungen für Standortsystemrollen des Themas Unterstützte Konfigurationen für den Konfigurations-Manager.

Die Windows-Remoteverwaltung (WinRM) 1.1 oder höher muss auf Computern mit Windows XP installiert sein, wenn auf diesen die Out-of-Band-Verwaltungskonsole ausgeführt wird.

Weitere Informationen zu WinRM-Versionen finden Sie unter Ein Update ist für das Windows Remote Management-Feature in Windows Server 2003 und Windows XP verfügbar.

MSXML 6.0 wird auf Computern benötigt, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird.

Die Setup-Voraussetzungsprüfung für Configuration Manager schließt die Prüfung auf Microsoft MSXML 6.0 ein.

Die Windows-Funktion Telnet-Client muss auf Computern installiert sein, auf denen Windows 7, Windows Vista oder Windows Server 2008 ausgeführt wird, wenn auf den Computern die Out-of-Band-Verwaltungskonsole und Serial-over-LAN-Befehle ausgeführt werden.

Für Serial-over-LAN wird das Telnet-Protokoll verwendet, um eine Terminal Emulation-Sitzung für den verwalteten Computer auszuführen, in der Sie Befehle und zeichenbasierte Anwendungen verwenden.Weitere Informationen finden Sie unter Einführung zur Out-of-Band-Verwaltung in Configuration Manager.

Computer, die out-of-band verwaltet werden sollen, müssen derselben Active Directory-Gesamtstruktur angehören wie die Standortsystemserver, auf denen der Out-of-Band-Dienstpunkt und der Anmeldungspunkt ausgeführt werden.

Darüber hinaus müssen Computer denselben Namespace frei. nicht zusammenhängenden Namespaces werden nicht unterstützt.

Die Out-of-Band-Verwaltung der nachfolgend aufgeführten Computer wird nicht unterstützt.Deaktivieren Sie AMT auf diesen Computern:

  • Arbeitsgruppencomputer

  • Computer, die sich in einer anderen Active Directory-Gesamtstruktur befinden wie die Computer, auf denen der Out-of-Band-Dienstpunkt und der Anmeldungspunkt ausgeführt werden

  • Computer, die sich in derselben Active Directory-Gesamtstruktur wie die Standortsystemserver mit dem Out-of-Band-Dienstpunkt und dem Anmeldungspunkt befinden, die jedoch nicht denselben Namespace verwenden (separater Namespace)

    Beispiel: Ein AMT-basierter Computer mit dem FQDN „computer1,northwindtraders.com“ kann nicht vom Standortsystem mit dem Out-of-Band-Dienstpunkt mit dem FQDN „contoso.com“ bereitgestellt werden, auch wenn sie derselben Active Directory-Gesamtstruktur angehören.

  • Computer, die sich in derselben Active Directory-Gesamtstruktur wie der Out-of-Band-Dienstpunkt Standortserver System jedoch einen unzusammenhängenden Namespace haben – z. B. ein AMT-basierten Computer, der einen DNS-Namen "Computer1.corp.Fabrikam.com" und befindet sich in einer Active Directory-Domäne mit dem Namen na.corp.fabrikam.com.

Von beteiligten Netzwerkgeräten wie Routern und Firewalls (einschließlich der Windows-Firewall) muss der Datenverkehr der Out-of-Band-Verwaltungsaktivität zugelassen werden.

Die folgenden Ports werden von der Out-of-Band-Verwaltung verwendet:

  • Vom Out-of-Band-Dienstpunkt zum Anmeldungspunkt: HTTPS (standardmäßig TCP-Port 443)

  • Vom Standortsystemserver des Out-of-Band-Dienstpunkts zu den AMT-Verwaltungscontrollern zur Energiesteuerung (Initiierung in der Configuration Manager-Konsole) sowie zur Ausführung geplanter Aktivitäten, Bereitstellung und Ermittlung: TCP 16993.

  • Von Computern, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird, zu AMT-Verwaltungscontrollern für alle in der Configuration Manager-Konsole initiierten Verwaltungstasks (z. B. Einschaltbefehle): TCP 16993.

  • Von Computern, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird, zu AMT-Verwaltungscontrollern für Serial over LAN (SOL) und IDE-Redirect: TCP 16995

IPv4

IPv6 wird nicht unterstützt.Für die Out-of-Band-Verwaltung wird ausschließlich IPv4 verwendet.

Vollständige IPsec-Umgebungen werden nicht unterstützt.

Konfigurieren Sie keine IPsec-Richtlinien für die AMT-Kommunikation zwischen dem Standortsystemserver mit dem Out-of-Band-Dienstpunkt und Computern, die mittels Out-of-Band-Kommunikation verwaltet werden.

Infrastrukturunterstützung für 802.1X-authentifizierte Kabel- und Funknetzwerke:

  • Unterstützung für 802.1X-Kabelnetzwerke: Clientauthentifizierung mit EAP-TLS, EAP-TTLS/MSCHAPv2 oder PEAPv0/EAP-MSCHAPv2

  • Funknetzwerkunterstützung: Sicherheit mit WPA und WPA2; AES oder TKIP-Verschlüsselung; Clientauthentifizierung mit EAP-TLS, EAP-TTLS/MSCHAPv2 oder PEAPv0/EAP-MSCHAPv2

System_CAPS_noteHinweis

Wenn Sie mit einem Clientzertifikat Clientauthentifizierungsmethoden EAP-TLS oder EAP-TTLS/MSCHAPv2 verwenden, die RADIUS-Lösung muss unterstützen die Authentifizierung mithilfe des folgenden Formats: domäne\computerkonto.

Zur Out-of-Band-Verwaltung von AMT-basierten Computern in einem 802.1X-authentifizierten Kabel- oder -Funknetzwerk benötigen Sie eine Infrastruktur, die diese Umgebung unterstützt.Diese Netzwerke können mithilfe einer Microsoft RADIUS-Lösung, wie Network Policy Server unter Windows Server 2008 konfiguriert werden.Andere RADIUS-Lösungen können verwendet werden, sofern sie 802.1X-kompatiblen und Support angezeigten die Konfigurationsoptionen für verdrahtete 802.1 X-Unterstützung und Unterstützung für drahtlose authentifizierte.

Weitere Informationen zum Netzwerkrichtlinienserver unter Windows Server 2008 finden Sie unter Network Policy Server (Netzwerkrichtlinienserver).

Weitere Informationen zu anderen RADIUS-Lösungen, finden Sie unter Intel vPro Expert Center: Microsoft vPro-Verwaltbarkeit.

Abhängigkeiten in Configuration Manager

In der folgenden Tabelle sind die Abhängigkeiten in Configuration Manager für das Ausführen der Out-of-Band-Verwaltung aufgelistet.

Abhängigkeit

Weitere Informationen

Am primären Standort muss System Center 2012 Configuration Manager ausgeführt werden. Zudem müssen der Out-of-Band-Dienstpunkt und der Anmeldungspunkt installiert sein.

Der Out-of-Band-Dienstpunkt muss sich in derselben Active Directory-Gesamtstruktur wie der Standortserver befinden. An jedem primären Standort können Sie nur jeweils einen Out-of-Band-Dienstpunkt installieren.

Schritt 4: Konfigurieren des Anmeldungspunkts und Out-of-Band-Dienstpunkts für die AMT-Bereitstellung 

Auf Computern, die Sie out of band verwalten möchten, muss der Configuration Manager-Client installiert sein. Außerdem müssen diese Computer einem primären Standort zugewiesen sein.

System_CAPS_importantWichtig

Intel AMT-basierte Computer, die demselben Configuration Manager-Standort zugewiesen sind, müssen einen eindeutigen Computernamen haben, auch wenn sie verschiedenen Domänen angehören und daher einen eindeutigen FQDN aufweisen.

 Installieren von Clients auf Windows-Computern in Configuration Manager

Zum Konfigurieren der Out-of-Band-Verwaltung müssen Sie über die folgenden Sicherheitsberechtigungen verfügen:

  • Standort: Lesen und Ändern

  • Anmeldungsprofil für mobile Geräte: Lesen, Erstellen, Ändern, Messungsstandort und Zertifikate für Betriebssystembereitstellung verwalten

In der Sicherheitsrolle Hauptadministrator sind diese Berechtigungen enthalten.

Für die Out-of-Band-Verwaltung von Computern müssen Sie über die folgenden Sicherheitsberechtigungen für die Sammlungen verfügen, in denen diese Computer enthalten sind:

  • AMT bereitstellen: Diese Sicherheitsberechtigung ermöglicht Ihnen das Verwalten von AMT-Computern über die Configuration Manager-Konsole, was das Ermitteln des Status der AMT-Verwaltungscontroller, das Bereitstellen von Computern für AMT und Überwachungsaktionen wie das Aktivieren und Anwenden von Überwachungsprotokolleinstellungen, das Deaktivieren der Überwachung und das Löschen des Überwachungsprotokolls umfasst.

  • AMT steuern: Diese Sicherheitsberechtigung erlaubt die Anzeige und Verwaltung von Computern mithilfe der Out-of-Band-Verwaltungskonsole und das Initiieren von Energiesteuerungsaktionen in der Configuration Manager-Konsole.In der Sicherheitsrolle Remotetools ist die Berechtigung AMT steuern enthalten.

  • Lesen und Sammlungseinstellungen ändern: Mit diesen Sicherheitsberechtigungen können Sie die AMT-Bereitstellung für die Sammlung aktivieren.

  • AMT bereitstellen, Lesen und Ressource lesen: Mit diesen Sicherheitsberechtigungen können Sie Bereitstellungsinformationen entfernen und AMT-Verwaltungscontroller aktualisieren.

Weitere Informationen zum Konfigurieren von Sicherheitsberechtigungen finden Sie unter Konfigurieren der rollenbasierten Verwaltung.

Reporting Services-Punkt

Zur Verwendung von Configuration Manager-Berichten für die Out-of-Band-Verwaltung müssen Sie einen Reporting Services-Punkt installieren und konfigurieren.

Weitere Informationen finden Sie unter Berichterstattung in Configuration Manager.