Bereitstellen und Konfigurieren von AMT-basierten Computern in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Damit Intel AMT-basierte Computer in System Center 2012 Configuration Manager out of band verwaltet werden können, müssen sie bereitgestellt werden, nachdem der Configuration Manager-Client installiert wurde.Für die AMT-Bereitstellung sind Microsoft-Zertifikatdienste mit einer Unternehmenszertifizierungsstelle (CA) sowie die Configuration Manager-Standortsystemrollen "Anmeldungspunkt" und "Out-of-Band-Dienstpunkt" erforderlich.Während des Bereitstellungsprozesses und danach wird die Kommunikation zwischen den AMT-basierten Computern und dem Configuration Manager-Standort durch PKI-Zertifikate (Public Key-Infrastruktur) gesichert.

Führen Sie die Schritte und zusätzlichen Verfahren aus, die in diesem Thema beschrieben werden, um AMT-basierte Computer für die Out-of-Band-Verwaltung bereitzustellen und zu konfigurieren.Diese Informationen umfassen die optionale Konfiguration, AMT-basierte Computer out of band zu verwalten, wenn diese Computer mit einem authentifizierten Kabel- oder Funknetzwerk verbunden sind.Sie können diese optionalen Einstellungen auch nach der Bereitstellung des AMT-basierten Computers konfigurieren und dann den AMT-Verwaltungscontroller aktualisieren.

Schritte zum Bereitstellen und Konfigurieren von AMT-basierten Computern

In der folgenden Tabelle finden Sie die Schritte, Details und weitere Informationen zum Bereitstellen und Konfigurieren von AMT-basierten Computern.

System_CAPS_importantWichtig

Vergewissern Sie sich, dass alle Voraussetzungen zum Bereitstellen und Konfigurieren von AMT-basierten Computern erfüllt sind, bevor Sie diese Schritte ausführen.Weitere Informationen finden Sie unter Voraussetzungen für die Out-of-Band-Verwaltung in Configuration Manager.

Wenn Sie AMT-basierte Computer auf 801.1X-Netzwerken und Funknetzwerken verwalten, überprüfen Sie die Konfiguration Ihres RADIUS-Servers, um zu erfahren, welche 802.1X-Einstellungen für AMT konfiguriert werden müssen.

Zusätzlich gilt: Wenn der AMT-basierte Computerhost für Funknetzwerke konfiguriert ist (entweder durch systemeigene Funktionen im Betriebssystem oder durch Verwendung einer anderen Lösung), müssen die Einstellungen, die Sie im Funkprofil der Out-of-Band-Verwaltung für Netzwerkname (SSID), Sicherheitstyp und Verschlüsselungsverfahren angeben, mit der Konfiguration Ihrer Host-Funkkonfiguration übereinstimmen.

Schritte

Details

Weitere Informationen

Schritt 1: Vorbereiten von Active Directory-Domänendiensten durch das Erstellen von Sicherheitsgruppen und eine Organisationseinheit (OU).

Erstellen Sie zwei Sicherheitsgruppen:

  • Eine Sicherheitsgruppe, die die Computerkonten der primären Standortserver enthält.

  • Eine universelle Sicherheitsgruppe, die Konten für die bereitgestellten AMT-basierten Computer enthält.Gewähren Sie der ersten Sicherheitsgruppe die folgenden Sicherheitsberechtigungen für Nur dieses Objekt: Lesemitglieder und Schreibmitglieder.

Erstellen Sie eine Organisationseinheit in jeder Domäne, die AMT-basierte Computer enthalten soll.Gewähren Sie der ersten Sicherheitsgruppe die folgenden Sicherheitsberechtigungen für Nur dieses Objekt: Computerobjekte erstellen und Computerobjekte löschen.

Weitere Informationen zum Erstellen von Sicherheitsgruppen und Organisationseinheiten finden Sie in der Active Directory-Dokumentation.

Schritt 2: Bestätigen Sie die DHCP-Konfiguration.

Vergewissern Sie sich, dass ein aktiver Bereich besteht, und konfigurieren Sie die folgenden DHCP-Optionen:

  • 006 (DNS-Server)

  • 015 (DNS-Domänenname)

Vergewissern Sie sich außerdem, dass der DHCP-Server für dynamisches Aktualisieren von DNS mit den Datensätzen der Computerressource konfiguriert ist.

Weitere Informationen zum Konfigurieren von DHCP finden Sie in der DHCP-Dokumentation.

Schritt 3: Erstellen und die PKI-Zertifikate ausstellen.

Stellen Sie sicher, dass Sie die folgenden Elemente konfiguriert haben:

  • Webserverzertifikat für den Anmeldungspunkt

  • AMT-Bereitstellungszertifikat

  • AMT-Webserverzertifikatvorlage

  • Nur bei Funkverwaltung: AMT-Clientauthentifizierungs-Zertifikatvorlage

Konfigurieren das Webserver-Zertifikat für den anmeldungspunkt finden Sie in der Bereitstellen des Webserverzertifikats für Standortsysteme, von denen IIS ausgeführt werden im Abschnitt der Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle Thema.

Konfigurieren der Zertifikate für AMT finden Sie in der Bereitstellen der Zertifikate für AMT im Abschnitt der Beispiel für die schrittweise Bereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle Thema.

Schritt 4: Konfigurieren Sie die Standortsystemrollen für Amt.

Installieren und konfigurieren Sie die folgenden Standortsystemrollen:

  • Anmeldungspunkt

  • Out-of-Band-Dienstpunkt

Im folgenden Verfahren Schritt 4: Konfigurieren des Anmeldungspunkts und Out-of-Band-Dienstpunkts für die AMT-Bereitstellung in diesem Thema.

Schritt 5: Konfigurieren Sie die Out-of-Band-Verwaltungskomponente.

Geben Sie Einstellungen wie die Organisationseinheit und die Sicherheitsgruppe an, die Sie in Schritt 1 erstellt haben, außerdem die Zertifikatvorlagen, die Sie in Schritt 3 konfiguriert haben, und AMT-Benutzerkonten, wenn Sie die Out-of-Band-Verwaltungskonsole ausführen möchten.

Im folgenden Verfahren Schritt 5: Konfigurieren der Out-of-Band-Verwaltungskomponente in diesem Thema.

Schritt 6: Optional: Konfigurieren Sie den Standort zum Senden von Einschaltbefehlen für geplante Aktivierungsaktivitäten.

Mit dem Einschalten von Computern mithilfe der Out-of-Band-Verwaltung können dem Standort zugewiesene Computer aus dem Ruhezustand aktiviert werden, sodass geplante Verwaltungstasks durchgeführt werden können.

Im folgenden Verfahren Schritt 6: Konfiguration des Standorts zum Senden von Einschaltbefehlen für geplante Reaktivierungsaktivitäten in diesem Thema.

Schritt 7: Das AMT-Status angezeigt, und aktivieren Sie die AMT-Bereitstellung.

Erstellen Sie erforderlichenfalls eine neue Sammlung, in der die bereitzustellenden AMT-basierten Computer enthalten sind.

Optional, jedoch empfohlen: Fügen Sie den AMT-Status zur Configuration Manager-Konsole hinzu.

Wählen Sie in den Sammlungseigenschaften AMT-Bereitstellung für AMT-basierte Computer aktivieren aus.

Im folgenden Verfahren Schritt 7: Anzeige des AMT-Status und Aktivierung der AMT-Bereitstellung in diesem Thema.

Schritt 8: Überwachen der AMT-Bereitstellung.

Beim nächsten Download der Clientrichtlinie durch den Configuration Manager-Client wird vom Client eine Bereitstellungsanforderung an den Out-of-Band-Dienstpunkt gesendet.Wenn die Bereitstellung nicht ausgeführt werden kann, werden gemäß dem Bereitstellungszeitplan, der in den Eigenschaften der Out-of-Band-Verwaltungskomponente konfiguriert ist, automatisch erneute Versuche durchgeführt.

Im folgenden Verfahren Schritt 8: Überwachung der AMT-Bereitstellung in diesem Thema.

Zusätzliche Schritte zum Bereitstellen und Konfigurieren von AMT-basierten Computern

Verwenden Sie die folgenden Informationen, wenn die Schritte in der vorstehenden Tabelle zusätzliche Verfahren erfordern.

Schritt 4: Konfigurieren des Anmeldungspunkts und Out-of-Band-Dienstpunkts für die AMT-Bereitstellung

Mit diesen Verfahren werden die Standortsystemrollen für die AMT-Bereitstellung konfiguriert.Wählen Sie eines der folgenden Verfahren danach aus, ob ein neuer Standortsystemserver für die AMT-Bereitstellung installiert oder ein vorhandener Standortsystemserver verwendet werden soll:

So installieren und konfigurieren Sie die Standortsysteme für die AMT-Bereitstellung: neuer Standortsystemserver

  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Knoten Standortkonfiguration, und klicken Sie dann auf Server und Standortsystemrollen.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Standortsystemserver erstellen.

  4. Geben Sie auf der Seite Allgemein die allgemeinen Einstellungen für den Standortsystemserver an, und klicken Sie dann auf Weiter.

  5. Wählen Sie auf der Seite Systemrollenauswahl in der Liste der verfügbaren Rollen Out-of-Band-Dienstpunkt und Anmeldungspunkt aus, und klicken Sie dann auf Weiter.

    System_CAPS_noteHinweis

    Die Rollen sind für sekundäre Standorte nicht verfügbar.Außerdem kann der Out-of-Band-Dienstpunkt nur auf einem einzigen Standortsystem des primären Standorts installiert werden.

  6. Ändern Sie auf der Seite Out-of-Band-Dienstpunkt nicht die Standardeinstellungen für die geplanten Einschaltbefehle, sofern Ihre Netzwerkinfrastruktur keine Feinabstimmung dieser Einstellungen erfordert.Klicken Sie auf Weiter.

  7. Klicken Sie auf der Seite AMT-Bereitstellungszertifikat auf Durchsuchen, um das AMT-Bereitstellungszertifikat auszuwählen, das Sie in Schritt 3 der vorstehenden Tabelle erstellt haben.Sie können auch den Zertifikatfingerabdruck eingeben.

  8. Entscheiden Sie, ob das Kontrollkästchen Überprüfung der Zertifikatsperrlisten für das AMT-Bereitstellungszertifikat aktivieren deaktiviert werden muss, und klicken Sie dann auf Weiter.

    System_CAPS_noteHinweis

    Mit einer Aktivierung der Option, die Zertifikatsperrliste (Certificate Revocation List, CRL) zu prüfen, ist zwar mehr Sicherheit gegeben, doch wenn bei aktivierter Option ein Zugriff auf die CRL durch den Out-of-Band-Dienstpunkt nicht möglich ist, werden die Computer vom Out-of-Band-Dienstpunkt nicht für AMT bereitgestellt.Wenn Ihr AMT-Bereitstellungszertifikat von einer externen Zertifizierungsstelle bezogen wurde, ist bei der Aktivierung der CRL-Prüfung direkter Internetzugriff für den Out-of-Band-Dienstpunkt erforderlich, da Webproxyzugriffe von dieser Option nicht unterstützt werden.

  9. Überprüfen Sie die Einstellungen auf der Seite Einstellungen des Anmeldungspunkts.Behalten Sie die Standardeinstellungen bei, sofern für Ihre Umgebung keine Änderungen erforderlich sind.Klicken Sie auf Weiter.

  10. Schließen Sie den Assistenten ab.

So installieren und konfigurieren Sie die Standortsysteme für die AMT-Bereitstellung: bestehender Standortsystemserver

  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

  2. In der Administration Arbeitsbereich erweitern Standortkonfiguration, auf Server und Standortsystemrollen, und wählen Sie dann den Server, den Sie für die AMT-Bereitstellung verwenden möchten.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Erstellen auf Standortsystemrollen hinzufügen.

  4. Geben Sie auf der Seite Allgemein die allgemeinen Einstellungen für den Standortsystemserver an, und klicken Sie dann auf Weiter.

  5. Wählen Sie auf der Seite Systemrollenauswahl in der Liste der verfügbaren Rollen Out-of-Band-Dienstpunkt und Anmeldungspunkt aus, und klicken Sie dann auf Weiter.

    System_CAPS_noteHinweis

    Die Rollen sind für sekundäre Standorte nicht verfügbar.Außerdem kann der Out-of-Band-Dienstpunkt nur auf einem einzigen Standortsystem des primären Standorts installiert werden.

  6. Ändern Sie auf der Seite Out-of-Band-Dienstpunkt nicht die Standardeinstellungen für die geplanten Einschaltbefehle, sofern Ihre Netzwerkinfrastruktur keine Feinabstimmung dieser Einstellungen erfordert.Klicken Sie auf Weiter.

  7. Klicken Sie auf der Seite AMT-Bereitstellungszertifikat auf Durchsuchen, um das AMT-Bereitstellungszertifikat auszuwählen, das Sie in Schritt 3 der vorstehenden Tabelle erstellt haben.Sie können auch den Zertifikatfingerabdruck eingeben.

  8. Entscheiden Sie, ob das Kontrollkästchen Überprüfung der Zertifikatsperrlisten für das AMT-Bereitstellungszertifikat aktivieren deaktiviert werden muss, und klicken Sie dann auf Weiter.

    System_CAPS_noteHinweis

    Mit einer Aktivierung der Option, die Zertifikatsperrliste (Certificate Revocation List, CRL) zu prüfen, ist zwar mehr Sicherheit gegeben, doch die AMT-Bereitstellung kann nicht ausgeführt werden, wenn ein Zugriff des Out-of-Band-Dienstpunkts auf die CRL nicht möglich ist.Wenn Ihr AMT-Bereitstellungszertifikat von einer externen Zertifizierungsstelle bezogen wurde, ist Internetzugriff für den Out-of-Band-Dienstpunkt erforderlich.

  9. Überprüfen Sie die Einstellungen auf der Seite Einstellungen des Anmeldungspunkts.Behalten Sie die Standardeinstellungen bei, sofern für Ihre Umgebung keine Änderungen erforderlich sind.Klicken Sie auf Weiter.

  10. Schließen Sie den Assistenten ab.

Schritt 5: Konfigurieren der Out-of-Band-Verwaltungskomponente

Bei diesem Verfahren wird die Out-of-Band-Verwaltungskomponente konfiguriert.

So konfigurieren Sie die Out-of-Band-Verwaltungskomponente

  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

  2. In der Administration Arbeitsbereich, erweitern Sie Standortkonfiguration und klicken Sie dann auf Sites.

  3. Klicken Sie auf der Registerkarte Startseite in der Gruppe Einstellungen auf Standortkomponenten konfigurieren, und klicken Sie dann auf Out-of-Band-Verwaltung.

  4. Wählen Sie den Anmeldungspunkt aus, den Sie im zuvor beschriebenen Verfahren erstellt haben.

  5. Geben Sie die Organisationseinheit und dann die universelle Gruppe an, die Sie in Schritt 1 der vorstehenden Tabelle konfiguriert haben.

  6. Geben Sie das AMT-Webserverzertifikat an, das Sie in Schritt 3 der vorstehenden Tabelle konfiguriert haben.

  7. Entscheiden Sie, ob das Kontrollkästchen für die CRL-Überprüfung deaktiviert werden soll.

    System_CAPS_noteHinweis

    Wenn diese Option ausgewählt ist, muss eine Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) für das AMT-Webserverzertifikat durch die Computer möglich sein, von denen AMT-basierte Computer out of band verwaltet werden, bevor eine erfolgreiche Verbindung hergestellt werden kann.In der Standardeinstellung wird die CRL von der ausstellenden Zertifizierungsstelle veröffentlicht.Mit der Aktivierung der Option, die CRL zu prüfen, ist zwar mehr Sicherheit gegeben, doch wenn kein Zugriff auf die CRL möglich ist, kann die Verbindung nicht hergestellt werden.Zu den Computern, von denen AMT-basierte Computer verwaltet werden, gehören der Standortserver sowie Computer, auf denen die Out-of-Band-Verwaltungskonsole ausgeführt wird.

  8. Klicken Sie auf Festlegen, und geben Sie ein sicheres Kennwort für das MEBx-Konto (Management Engine BIOS Extension) an, welches für den ersten authentifizierten Zugriff zum Verwalten von AMT-basierten Computern verwendet wird.

    System_CAPS_noteHinweis

    Beim Kennwort muss die Groß- und Kleinschreibung beachtet werden, und es muss mindestens 8 Zeichen (maximal 32 Zeichen) umfassen, wobei mindestens ein Großbuchstabe, ein Kleinbuchstabe, eine Zahl und ein Symbol zu verwenden sind.Symbole sind z. B.: !@ # $ % ^ & * und ausschließen: (Doppelpunkt) "" (doppelte Anführungszeichen), _ (Unterstrich).

  9. Klicken Sie auf die Registerkarte AMT-Einstellungen.

  10. Klicken Sie auf das Symbol NeuSymbol „Neu“, um AMT-Benutzerkonten anzugeben, mit deren Hilfe die Out-of-Band-Verwaltungskonsole ausgeführt werden soll.Geben Sie als bewährte Methode Sicherheitsgruppen anstelle von einzelnen Benutzerkonten an.

  11. Entscheiden Sie, ob der Standardwert für die Verwaltbarkeit von Immer aktiviert auf Host ist aktiviert geändert werden muss.

    System_CAPS_noteHinweis

    Die Einstellung Host ist aktiviert kann zur Reduzierung des Stromverbrauchs beitragen, wenn auf dem AMT-basierten Computer der Standbymodus aktiviert oder das Betriebssystem heruntergefahren ist.Möglicherweise sind Sie auch gemäß Unternehmensrichtlinie dazu verpflichtet.Wird jedoch die Einstellung Host ist aktiviert ausgewählt und ist auf dem AMT-basierten Computer ein Energiezustand aktiviert, von dem eine Out-of-Band-Kommunikation nicht unterstützt wird, so erfolgt keine Reaktion des AMT-basierten Computer auf die Out-of-Band-Kommunikation.In diesem Szenario weist nichts darauf hin, dass Sie keine Verbindung mit dem AMT-basierten Computer herstellen können, da er für einen Energiezustand konfiguriert wurde, der Verwaltbarkeit nicht unterstützt.

  12. Klicken Sie auf Erweiterte Einstellungen, entscheiden Sie, ob Standardeinstellungen geändert werden sollen, und klicken Sie dann auf OK.

    System_CAPS_noteHinweis

    Weitere Informationen zu den erweiterten Einstellungen:

    • Weboberfläche aktivieren: Aktiviert oder deaktiviert für den AMT-basierten Computer die Option, Firmwareinformationen im AMT-Webbrowser anzuzeigen.Diese Option ist standardmäßig nicht aktiviert.

    • Serial over LAN- und IDE-Umleitung aktivieren: Aktiviert oder deaktiviert die Optionen für Serial over LAN (SOL) und IDE-Redirect auf dem AMT-basierten Computer.Diese Option ist standardmäßig aktiviert.

    • Pingantworten zulassen: Aktiviert oder deaktiviert die Option des AMT-Verwaltungscontrollers, auf Pinganforderungen des Netzwerks zu antworten, wenn der Controller ICMP-Datagramme erhält.Diese Option ist standardmäßig nicht aktiviert.

    • BIOS-Kennwortumgehung für Start- und Neustartbefehle aktivieren: Aktiviert oder deaktiviert die Option, eine BIOS-Aufforderung für ein konfiguriertes Kennwort beim Einschalten oder Neustarten eines AMT-basierten Computers zu umgehen.In der Standardeinstellung ist diese Option aktiviert.

    • Kerberos-Takttoleranz (Minuten): Gibt die zulässige Zeittoleranz zwischen dem Verwaltungscontroller und dem Zeitstempel von empfangenen Meldungen an.Ein kürzerer Zeitraum ist hilfreich, um Replay-Angriffe zu vermeiden, jedoch kann ein zu kurzer Zeitraum dazu führen, dass gültige Verbindungen zurückgewiesen werden.Die Standardeinstellung ist 5 Minuten.

  13. Klicken Sie auf Einstellungen des Überwachungsprotokolls.Überprüfen Sie die AMT-Funktionen, die überwacht werden sollen, entscheiden Sie, ob Standardeinstellungen geändert werden sollen, und klicken Sie dann auf OK.

    System_CAPS_noteHinweis

    Durch das Auswählen der zu überwachenden Funktionen wird nicht die Überwachung selbst aktiviert.Sie können die Überwachung auf ausgewählten AMT-basierten Computern nach deren Bereitstellung aktivieren.Weitere Informationen finden Sie unter So aktivieren Sie die Überwachung und aktualisieren Überwachungseinstellungen auf AMT-basierten Computern.

  14. Klicken Sie auf die Registerkarte Bereitstellung.

  15. Wenn Sie ein AMT-Bereitstellungs- und Ermittlungskonto angeben müssen, klicken Sie auf das Symbol NeuSymbol „Neu“, und geben Sie mindestens ein Konto an.

    System_CAPS_noteHinweis

    Geben Sie ein AMT-Bereitstellungs- und -Ermittlungskonto an, wenn eine der folgenden Bedingungen zutrifft:

    • Der AMT-basierte Computer wurde noch nie bereitgestellt, und der Hersteller hat ihn mit einem benutzerdefinierten MEBx-Kennwort geliefert(das Kennwort lautet nicht admin).Fügen Sie in diesem Fall ein AMT-Bereitstellungs- und Ermittlungskonto mit der Bezeichnung admin hinzu, für welches Sie das vom Hersteller bereitgestellte Kennwort angeben.

    • Der AMT-basierte Computer wurde noch nie bereitgestellt, und der Hersteller hat ihn mit dem Standard-MEBx-Kennwort admin geliefert, Sie haben das MEBx-Kennwort jedoch anschließend in den BIOS-Erweiterungen des Computers geändert.Fügen Sie in diesem Fall ein AMT-Bereitstellungs- und Ermittlungskonto mit der Bezeichnung admin hinzu, für welches Sie das in den BIOS-Erweiterungen konfigurierte Kennwort angeben.

    • Der AMT-basierte Computer wurde zuvor mithilfe einer anderen AMT-Verwaltungslösung bereitgestellt, und die Bereitstellungsinformationen wurden teilweise entfernt (entweder durch die Verwaltungslösung oder weil die BIOS-Erweiterungen lokal konfiguriert wurden).Fügen Sie in diesem Fall ein AMT-Bereitstellungs- und Ermittlungskonto mit der Bezeichnung admin hinzu, für welches Sie das Kennwort des AMT-Remoteverwaltungskontos angeben, das von der anderen Verwaltungslösung konfiguriert wurde, um diese Computer mithilfe von Configuration Manager zu ermitteln bzw. bereitzustellen.

  16. Konfigurieren Sie den AMT-Bereitstellungszeitplan.

  17. Klicken Sie auf Festlegen, um das Konto zur Aufhebung der AMT-Bereitstellung anzugeben.Geben Sie ein Windows-Konto, das als AMT-Benutzerkonto in Schritt 10 angegeben ist.Außerdem müssen Sie dieses Konto der lokalen Administratorengruppe auf dem Out-Band-dienstpunktcomputer hinzufügen.

    System_CAPS_noteHinweis

    Bei einer Standortwiederherstellung kann dieses Konto verwendet werden, um die AMT-Bereitstellungsinformationen von Computern zu entfernen und diese dann neu bereitzustellen.

    Weitere Informationen zum Entfernen von AMT-Bereitstellungsinformationen finden Sie unter Entfernen von AMT-Informationen.

  18. Wenn AMT-basierte Computer bei einer bestehenden Verbindung mit authentifizierten 802.1X-Kabel- und -Funknetzwerken verwaltet werden sollen, klicken Sie auf die Registerkarte 802.1X und Funk. Klicken Sie anderenfalls auf OK, um das Dialogfeld Eigenschaften für die Out-of-Band-Verwaltungskomponente zu schließen.

  19. Wählen Sie zum Konfigurieren der 802.1X-Authentifizierung für Kabelnetzwerke 802.1X-Authentifizierung für Kabelnetzwerkzugriff aktivieren, und klicken Sie dann auf Konfigurieren.

  20. Klicken Sie im Dialogfeld Zugriffssteuerung für 802.1X-Kabelnetzwerke auf Auswählen, und wählen Sie unter Vertrauenswürdiges Stammzertifikat eine Option aus.

  21. Geben Sie im Dialogfeld Vertrauenswürdiges Stammzertifikat für RADIUS-Authentifizierung mit einer der folgenden Methoden das vertrauenswürdige Stammzertifikat an, und klicken Sie dann auf OK:

    • Bei der Angabe des vertrauenswürdigen Stammzertifikats durch Auswählen einer Unternehmenszertifizierungsstelle aus der Gesamtstruktur vergewissern Sie sich, dass die Option Von Zertifizierungsstelle ausgewählt ist, bevor Sie anschließend die Zertifizierungsstelle in der Liste auswählen.

    • Zur Angabe des vertrauenswürdigen Stammzertifikats durch Auswahl einer Datei im Format DER-codiert-binär X.509 (.cer)- oder base-64-codiert X.509 (.cer), die das exportierte vertrauenswürdige Zertifikat enthält, klicken Sie auf Aus Datei und auf Durchsuchen, wählen Sie die CER-Datei aus, und klicken Sie dann auf Öffnen.

  22. Wählen Sie im Dropdownfeld die zu verwendende Clientauthentifizierungsmethode aus.

  23. Wenn Sie die Clientauthentifizierungsmethode EAP-TTLS/MSCHAPv2 oder PEAPv0/EAP-MSCHAPv2 ausgewählt haben und auch ein Clientzertifikat zur Authentifizierung verwenden möchten, klicken Sie auf Clientzertifikat verwenden.

  24. Wenn Clientzertifikat verwenden ausgewählt wird, klicken Sie auf Auswählen, geben Sie die für das Clientzertifikat zu verwendende ausstellende Zertifizierungsstelle sowie die in Schritt 3 in der vorherigen Tabelle erstellte RADIUS-Clientzertifikatvorlage an, und klicken Sie dann auf OK.

  25. Wenn keine Funkeinstellungen konfiguriert werden müssen, klicken Sie auf OK, um das Dialogfeld Eigenschaften für die Out-of-Band-Verwaltungskomponente zu schließen.

  26. Klicken Sie zum Erstellen und Konfigurieren eines Funkprofils auf das Symbol NeuSymbol „Neu“.

  27. In der -Drahtlosprofils (Dialogfeld), geben Sie einen Anzeigenamen für die Namen der Profilname.

  28. Geben Sie den Namen des Funknetzwerks im Feld Netzwerkname (SSID) ein.

  29. Geben Sie im Feld Sicherheitstyp den Sicherheitstyp an.

  30. Geben Sie im Feld Verschlüsselungsmethode die Verschlüsselungsmethode an.

  31. Klicken Sie auf Auswählen, um das vertrauenswürdige Stammzertifikat für den RADIUS-Server anzugeben.

  32. Geben Sie im Dialogfeld Vertrauenswürdiges Stammzertifikat für RADIUS-Authentifizierung mit einer der folgenden Methoden das vertrauenswürdige Stammzertifikat an, und klicken Sie dann auf OK:

    • Bei der Angabe des vertrauenswürdigen Stammzertifikats durch Auswählen einer Unternehmenszertifizierungsstelle aus der Gesamtstruktur vergewissern Sie sich, dass die Option Von Zertifizierungsstelle ausgewählt ist, bevor Sie anschließend die Zertifizierungsstelle in der Liste auswählen.

    • Zur Angabe des vertrauenswürdigen Stammzertifikats durch Auswahl einer Datei im Format DER-codiert-binär X.509 (.cer)- oder base-64-codiert X.509 (.cer), die das exportierte vertrauenswürdige Zertifikat enthält, klicken Sie auf Aus Datei und auf Durchsuchen, wählen Sie die CER-Datei aus, und klicken Sie dann auf Öffnen.

  33. Wählen Sie im Dropdownfeld die zu verwendende Clientauthentifizierungsmethode aus.

  34. Wenn Sie die Clientauthentifizierungsmethode EAP-TTLS/MSCHAPv2 oder PEAPv0/EAP-MSCHAPv2 ausgewählt haben und auch ein Clientzertifikat zur Authentifizierung verwenden möchten, klicken Sie auf Clientzertifikat verwenden.

  35. Wenn Clientzertifikat verwenden ausgewählt wird, klicken Sie auf Auswählen, geben Sie die für das Clientzertifikat zu verwendende ausstellende Zertifizierungsstelle sowie die in Schritt 3 in der vorherigen Tabelle erstellte RADIUS-Clientzertifikatvorlage an, und klicken Sie dann auf OK.

  36. Erstellen Sie zusätzliche Funkprofile nach Bedarf.

  37. Zum Ändern der Reihenfolge der Funkprofile wählen Sie ein Funkprofil aus und klicken dann auf das Symbol Nach untenSymbol „Nach-unten“ oder Nach obenSymbol „Nach-oben“.Auf den AMT-basierten Computern wird der Verbindungsaufbau mit jedem Funkprofil versucht, bis eine Verbindung hergestellt ist. Das Profil, mit dem die Verbindung erfolgreich hergestellt wird, wird von den Computern während der gesamten Sitzung weiter verwendet.

  38. Wenn Sie die Einstellungen eines Funkprofils ändern müssen, wählen Sie das Funkprofil aus, und klicken Sie dann auf das Symbol EigenschaftenEigenschaftensymbol.

  39. Klicken Sie auf OK, um das Dialogfeld Eigenschaften für die Out-of-Band-Verwaltungskomponente zu schließen.

Schritt 6: Konfiguration des Standorts zum Senden von Einschaltbefehlen für geplante Reaktivierungsaktivitäten

Mithilfe dieses Verfahrens können vom primären Standortserver bei geplanten Bereitstellungen, während des Ruhezustands oder bei ausgeschaltetem Computer Einschaltbefehle an AMT-basierte Computer gesendet werden.

So konfigurieren Sie den Standort, dass Einschaltbefehle für geplante Reaktivierungsaktivitäten gesendet werden

  1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

  2. Erweitern Sie im Arbeitsbereich Verwaltung den Knoten Standortkonfiguration, klicken Sie auf Standorte, und wählen Sie den zu konfigurierenden primären Standort aus.

  3. Klicken Sie auf der Registerkarte Startseite auf Eigenschaften, und klicken Sie dann auf die Registerkarte Wake-On-LAN.

  4. Aktivieren Sie das Kontrollkästchen Wake-On-LAN für diesen Standort aktivieren, und wählen Sie dann eine der folgenden Optionen aus:

    - **AMT-Einschaltbefehle verwenden, sofern die Computer diese Technologie unterstützen, andernfalls Aktivierungspakete verwenden**
    
    - **Nur AMT-Einschaltbefehle verwenden**
    
    System_CAPS_warningWarnung

    Nach dem Festlegen der Reaktivierungsoption für den Standort wird für alle Bereitstellungen, die für Wake-On-LAN konfiguriert sind, dieselbe Einstellung verwendet.Sie können nicht individuell festlegen, welche Bereitstellungen verwendet werden sollen. Beispielsweise können Sie nicht festlegen, dass für alle Softwareupdatebereitstellungen nur Reaktivierungspakete oder für bestimmte Tasksequenzen nur Einschaltbefehle verwendet werden.

  5. Klicken Sie auf OK.

System_CAPS_noteHinweis

Führen Sie aufgrund des zusätzlichen zum Festlegen, Verwalten und Beenden einer Out-of-Band-Sitzung benötigten Aufwands Ihre eigenen Tests durch, sodass Sie genau beurteilen können, wie lange die Reaktivierung mehrerer Computer mithilfe von AMT-Einschaltbefehlen in Ihrer Umgebung dauert (z. B. über langsame WAN-Verbindungen zu Computern an sekundären Standorten).Auf diese Weise können Sie bestimmen, ob die Reaktivierung mehrerer Computer für geplante Aktivitäten mittels Einschaltbefehlen und Out-of-Band-Kommunikation durchführbar ist, wenn eine große Anzahl von Computern in einer kurzen Zeitspanne erneut aktiviert werden sollen.

Schritt 7: Anzeige des AMT-Status und Aktivierung der AMT-Bereitstellung

Mithilfe dieses Verfahrens wird die Spalte "AMT-Status" in der Configuration Manager-Konsole hinzugefügt und die AMT-Bereitstellung aktiviert.

So zeigen Sie die Spalte "AMT-Status" in der Configuration Manager-Konsole an und aktivieren die AMT-Bereitstellung für eine Sammlung

  1. Klicken Sie in der Configuration Manager-Konsole auf Bestand und Kompatibilität.

  2. Erweitern Sie im Arbeitsbereich Bestand und Kompatibilität den Knoten Geräte, und wählen Sie die Gerätesammlung mit den darin enthaltenen AMT-basierten Computern aus.

  3. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf eine beliebige Spaltenüberschrift, und wählen Sie AMT-Status aus.

  4. Klicken Sie auf der Registerkarte Startseite in der Gruppe Sammlung auf Out-of-Band verwalten, und klicken Sie dann auf AMT-Status ermitteln.Klicken Sie zum Bestätigen der Aktion auf OK.

  5. Klicken Sie auf der Registerkarte Startseite auf Eigenschaften.

  6. Klicken Sie im Dialogfeld "Sammlungseigenschaften" auf die Registerkarte Out-of-Band-Verwaltung.

  7. Wählen Sie Bereitstellung für AMT-basierte Computer aktivieren aus, und klicken Sie dann auf OK.

  8. Bei Konfiguration der Out-of-Band-Verwaltung für 802.1X-authentifizierte Kabelnetzwerke und 802.1X-Funknetzwerke: Stellen Sie sicher, dass mindestens eine der folgenden Netzwerkverbindungen für die AMT-basierten Computer betriebsbereit ist:

    - Verbindung mit einem Ethernet-Port, auf dem eine 802.1X-Authentifizierung nicht erforderlich ist
    
    - Verbindung über das Betriebssystem mit einem 802.1X-authentifizierten Netzwerk
    

    Wenn Sie die Out-of-Band-Verwaltung in Funknetzwerken verwenden, müssen Sie außerdem sicherstellen, dass die DNS-Server über einen Hosteintrag für den AMT-basierten Computer verfügen, in dem die Funk-IP-Adresse vermerkt ist.AMT kann keinen Hosteintrag in DNS registrieren. Aus diesem Grund müssen Sie sicherstellen, dass DNS entweder von DHCP oder vom Betriebssystem auf dem Hostcomputer aktualisiert wird, damit die Funk-IP-Adressen der AMT-basierten Computer in ihre vollqualifizierten Domänennamen (FQDN) aufgelöst werden können.Alternativ können Sie diese Einträge bei Bedarf manuell in DNS erstellen.

Schritt 8: Überwachung der AMT-Bereitstellung

Mithilfe der Option AMT-Status ermitteln können Sie den aktuellen Status manuell ermitteln. Der Wert wird allerdings auch nach Abschluss des AMT-Bereitstellungsprozesses automatisch aktualisiert.

Überwachen Sie den AMT-Status mithilfe der folgenden Methoden:

  • Anzeigen der Spalte AMT-Status in der Configuration Manager-Konsole

  • Erstellen von abfragebasierten Sammlungen mit dem Wert AMT-Status

  • Anzeigen des Berichts Computer mit Out-of-Band-Verwaltungscontrollern

Weitere Informationen zum AMT-Status finden Sie unter AMT-Status und Out-of-Band-Verwaltung in Configuration Manager.

Identifizieren von Computern mit 802.1X-Netzwerk-Verbindungsbereitstellungen

Da die Einstellungen für 802.1X erst nach dem Bereitstellen des AMT-basierten Computers über eine nicht authentifizierte Ethernet-Verbindung angewendet werden, erhalten Sie durch den AMT-Status Bereitgestellt keine Bestätigung darüber, dass der Computer über eine Funk- oder kabelgebundene 802.1X-Netzwerkverbindung out-of-band verwaltet werden kann.Gehen Sie wie folgt vor, um zu überprüfen, ob die Einstellungen für 802.1X erfolgreich angewendet wurden.

So überprüfen Sie, ob AMT-basierte Computer für authentifizierte Kabel- und Funknetzwerkverbindungen konfiguriert sind
  1. Suchen Sie auf der Out-of-Band-Dienstpunkt, und öffnen Sie die Datei <Configmgrinstallationspfad> \Logs\Amtopmgr.log.

  2. Suchen Sie eine der folgenden Textzeichenfolgen, wobei <Wireless_profile> ist der angegebene Name des Drahtlosprofils:

    - Suchen Sie nach **Begin to set Wired 8021x Profile...** und anschließend nach **Set Wired 8021x Profile Success...**, um zu überprüfen, ob die Einstellungen für authentifizierte Kabelnetzwerke erfolgreich konfiguriert wurden.
    
    - Suchen Sie nach **Set wireless profile: \<wireless\_profile\>** und anschließend nach **Successfully add wireless profile \<wireless\_profile\>**, um zu überprüfen, ob die Einstellungen für Funkprofile erfolgreich konfiguriert wurden.
    
    - Zur Identifizierung eines Fehlers, der beim Konfigurieren eines Funkprofils aufgetreten ist, weil ein angegebenes Konfigurationselement nicht funktionstüchtig war (es wurde beispielsweise ein Clientzertifikat angegeben, das nicht ausgestellt werden konnte), suchen Sie nach **Set wireless profile: \<wireless\_profile\>**, der Fehlerursache (z. B. **No client Certificate**) und dann nach **The wireless profile: \<wireless\_profile\> is invaid. Skip adding...**.
    
    - Zur Identifizierung eines Fehlers, der beim Aktualisieren von Funkprofilen auftritt, weil der AMT-basierte Computer derzeit an ein Funknetzwerk angeschlossen ist, suchen Sie nach **The wireless connection is active, skip setting wifi profiles**.
    
  3. Schließen Sie die Protokolldatei, und ergreifen Sie Korrekturmaßnahmen, wenn die Einstellungen nicht erfolgreich angewendet wurden.