• Artículo

Escenario de ejemplo para implementar la administración fuera de banda en Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

Este tema aparece en la guía Activos y compatibilidad en System Center 2012 Configuration Manager y la guía Escenarios y soluciones para System Center 2012 Configuration Manager.

Las siguientes secciones de este tema proporcionan un escenario de ejemplo para implementar la administración fuera de banda en System Center 2012 Configuration Manager, mediante el uso de un enfoque de tres fases:

  • Prueba piloto: Implementar y probar algunos de los equipos que usan servicios de certificados (CA interna) para el certificado de aprovisionamiento

  • Implementación: Implementación completa mediante el uso de una CA externa para el certificado de aprovisionamiento

  • Agregue compatibilidad inalámbrica: Extienden la administración de redes inalámbricas

En el siguiente escenario, está interesado Trey Research solucionar más eficazmente los equipos que no pueden iniciar o dejar de responder al utilizar administración fuera de banda, requieren el encendido de mantenimiento rutinario o requieren volver a configurar la configuración del BIOS.Esta empresa tiene equipos basados en Intel AMT con versiones de AMT que son compatibles con Configuration Manager, pero no tienen firmware personalizado que incluya la huella digital del certificado de su propia entidad de certificación (CA) de raíz internos.

Trey Research tiene una sola Configuration Manager sitio primario y todos los equipos internos residen en el testnet.treyresearch.net dominio.La empresa ya tiene una infraestructura existente de la infraestructura de clave pública (PKI) que está usando Servicios de Certificate Server de Windows Server 2008 y tiene una entidad de certificación de empresa ejecuta Windows Server 2008 Enterprise Edition.

ADAM es la Configuration Manager usuario administrativo que se ha solicitado al implementar la administración fuera de banda mediante un enfoque de tres fases.Primero comprueba la funcionalidad mediante el uso de un número pequeño de equipos de escritorio y sin necesidad de adquirir un certificado de aprovisionamiento de una CA externa.Si la prueba va bien, Adam puede adquirir un aprovisionamiento de AMT de certificados y aprovisionar todos los equipos escritorios basado en AMT.La fase de implementación final Adam se solicita al ampliar la administración fuera de banda para equipos portátiles que utilizan la red inalámbrica.

Prueba piloto: Implementar y probar algunos de los equipos que usan servicios de certificados (CA interna) para el certificado de aprovisionamiento

Para que la fase piloto implementar y probar administración fuera de banda, Adam toma el curso de acción que se describen en la tabla siguiente.

Proceso

Referencia

Adán comprueba los requisitos previos para administración fuera de banda y decide crear un servidor de sistema de sitio en el que instala el punto fuera de banda servicio y el punto de inscripción.Este equipo tiene el nombre de dominio completo (FQDN) de server15.testnet.treyresearch.net.

ADAM también confirma que la configuración de DHCP y DNS existente cumple los requisitos para AMT.

Para obtener más información sobre los requisitos previos, consulte Requisitos previos para la administración fuera de banda en Configuration Manager.

ADAM funciona con sus administradores de servicios de Active Directory para crear los siguientes grupos de seguridad de Windows:

  • Un grupo denominado puntos de servicio de banda de Configuration Manager horizontal que contiene server15.

  • Un grupo denominado servidores de sitio principal de ConfigMgr que contiene la cuenta de equipo del servidor de sitio primario.

  • Un grupo de seguridad universal denominado equipos AMT de Configuration Manager que contendrá las cuentas de equipo AMT.

, A continuación, crearon una unidad organizativa (OU) en el testnet.treyresearch.net dominio de cuentas de equipo basados en AMT de publicado y conceder el grupo recién creado servidores de sitio principal de ConfigMgr los siguientes permisos a esta OU: Crear objetos de equipo y Eliminar objetos de equipo.

Para obtener más información sobre cómo crear grupos y unidades organizativas, consulte la documentación de servicios de dominio de Active Directory.

ADAM trabaja con el equipo PKI con los siguientes resultados:

  • La plantilla de certificado de servidor web está duplicada y configurada para el punto de inscripción.Se instala y configura en IIS en server15.

  • Se crea una plantilla personalizada para solicitar e instalar el certificado de aprovisionamiento de AMT en server15.

  • La plantilla de certificado de servidor web se duplican y configurada para que sea adecuado para la administración fuera de banda.

  • Se identifican y anote la huella digital del certificado de la entidad emisora raíz, que debe agregarse manualmente al firmware de AMT hasta que adquirir un certificado de aprovisionamiento de una CA externa.

Para obtener instrucciones sobre cómo implementar los certificados PKI necesarios para administración fuera de banda, consulte el Implementación de los certificados para AMT sección el Ejemplo paso a paso de implementación de los certificados PKI para Configuration Manager: Entidad de certificación de Windows Server 2008 tema.

Para obtener más información sobre los requisitos de certificados, consulte Requisitos de certificados PKI para Configuration Manager.

Para preparar los equipos basados en AMT escritorios que Adam usará en las pruebas iniciales, Adam comprueba que la configuración de firmware AMT es correcta y agrega la huella digital del certificado de la CA raíz interna:

  1. Cuando se inicia el equipo, presiona CTRL + P para configurar el ME módulo.

  2. Selecciona Intel (R) ME configuración, Intel (R) ME Control de la característica, selección de características de facilidad de uso, y, a continuación, se selecciona Intel (R) AMT.Se cierra y reinicia el equipo.

  3. Dirige el ME nuevo, se selecciona el módulo configuración de AMT de Intel (R), la instalación y configuración, para comprobar que el valor de la modo de aprovisionamiento actual es PKI.El valor no es PKI, así que selecciona TLS PKI, y establece el Configuración remota a Habilitar.

  4. En el TLS PKI sección, selecciona administrar valores de hash de certificado, presiona la tecla Insertar, tipos y la huella digital del certificado de su CA raíz interna.

  5. Guarda los cambios, se cierra y, a continuación, reinicia el equipo.

Para obtener más información, consulte la documentación de Intel.

ADAM, a continuación, configura el sitio principal de Configuration Manager y realiza los cambios siguientes:

  • Instala un nuevo servidor de sistema de sitio en server15, se configura con el FQDN de intranet de server15.treyresearch.net, y, a continuación, instala el punto fuera de banda servicio y el punto de inscripción.A continuación, configura la administración fuera de banda componente.

  • En el certificado de aprovisionamiento de AMT página para el punto fuera de banda servicio, exploraciones para el certificado de aprovisionamiento de AMT, instaló.

  • En el Propiedades de componente de administración fuera de banda cuadro de diálogo, configura lo siguiente:

    • En el General ficha, especifica la unidad organizativa que creó en testnet.treyresearch.net, el grupo de seguridad universal que creó, se desplaza a la plantilla de certificado de servidor de web AMT que creó anteriormente y configura una contraseña segura para la cuenta MEBx.

    • En el configuración de AMT ficha, especifica su propia cuenta como una cuenta de usuario de AMT y un grupo de seguridad global de dominio de Windows que contiene los ingenieros de soporte que van a usar la consola fuera de banda administración.También selecciona las opciones Habilitar serie sobre LAN y redireccionamiento IDE, Permitir respuestas de ping, y contraseña de BIOS permiten pasar por alto de energía en y reinicie comandos.

Para obtener más información, vea las secciones siguientes en el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema:

ADAM desea usar Wake en la tecnología de LAN para instalar actualizaciones críticas de software en equipos.Ha intentado esta característica en el pasado y descubre que las difusiones dirigidas de subred consumen demasiado ancho de banda de red sobre los vínculos remotos y que algunos de sus adaptadores de red ha funcionado con transmisiones de unidifusión.

Permite Wake on LAN y decide mantener la opción predeterminada de Use comandos de encendido si el equipo es compatible con esta tecnología; en caso contrario, usar paquetes de reactivación.

Para obtener más información, consulte el Paso 6: Configurar el sitio para enviar potencia de comandos para las actividades programadas de reactivación paso a paso el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema.

ADAM agrega la columna de estado de AMT para la Configuration Manager de la consola y crea una nueva colección que contiene sólo cinco equipos basados en AMT como su piloto inicial.Estos equipos son solo para pruebas y contienen diferentes versiones compatibles de AMT.Configura esta colección para el aprovisionamiento de AMT.

Para obtener más información, consulte el Paso 7: Mostrar el estado de AMT y aprovisionamiento de AMT habilitar paso a paso el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema.

ADAM supervisa el proceso de aprovisionamiento de AMT.

Para obtener más información, consulte el Paso 8: Supervisión de aprovisionamiento de AMT paso a paso el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema.

Cuando los equipos correctamente aprovisionados para AMT, Adam inicia la prueba de estos equipos para administración fuera de banda.

Por ejemplo los escenarios de uso de administración fuera de banda, consulte Escenarios de ejemplo para el uso de administración fuera de banda en Configuration Manager.

Implementación: Implementación completa mediante el uso de una CA externa para el certificado de aprovisionamiento

Cuando se completa la comprobación inicial, Adam recibe confirmación de su jefe que pueda extenderse a todos los equipos de estación de trabajo basados en AMT de administración fuera de banda.Para eliminar la necesidad de agregar la huella digital de su certificado de CA raíz interna para cada equipo basado en AMT, Adam adquiere un certificado de aprovisionamiento de una CA externa y se instala en server15, según las instrucciones que lo acompaña.

ADAM, a continuación, toma el curso de acción que se describen en la tabla siguiente.

Proceso

Referencia

ADAM comprueba los requisitos previos para administración fuera de banda de nuevo, si hay cambios adicionales que tiene que hacer.Observar lo siguiente:

  • Existen requisitos de puertos que debe relacionar con el administrador del servidor de seguridad para que los ingenieros de soporte pueden conectarse a equipos basados en AMT en sitios remotos que están protegidos por el firewall interno de la empresa.

  • Algunos ayudan a los equipos de escritorio aún ejecutan Windows XP y, por lo que debe comprobar estos equipos para su versión de la administración remota de Windows (WinRM) y actualizar la versión, si es necesario.

  • Debe agregar un rol de seguridad adecuado para ejecutar la consola de administración de banda fuera de ingenieros de soporte.

Para obtener más información, vea Requisitos previos para la administración fuera de banda en Configuration Manager.

ADAM configura las propiedades de la salida de punto de servicio de banda, examina el certificado de aprovisionamiento de AMT recién adquirido y guarda los cambios.

Para obtener más información, consulte el Paso 4: Configurar el punto de inscripción y fuera de banda de punto de servicio para el aprovisionamiento de AMT paso a paso el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema.

Adán crea nuevas recopilaciones gradualmente desplegar el aprovisionamiento de AMT para equipos de estación de trabajo.Durante un período de cuatro semanas, habilita estas colecciones para el progreso de monitores y aprovisionamiento de AMT.

Para obtener más información, consulte el Paso 7: Mostrar el estado de AMT y aprovisionamiento de AMT habilitar paso a paso el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema.

Como resultado de este curso de acción, todos los equipos de estación de trabajo basados en Intel AMT aprovisionados para AMT y pueden administrarse fuera de banda por el departamento de soporte técnico.La capacidad de solucionar problemas y reparar equipos cuando el sistema operativo no funciona en gran medida reduce el costo total de propiedad para la empresa, porque los ingenieros ya no requieren acceso local en el equipo.

Agregue compatibilidad inalámbrica: Extienden la administración de redes inalámbricas

Después de la ejecución correcta de estaciones de trabajo al utilizar administración fuera de banda, Trey Research ahora desea ampliar esta compatibilidad a los equipos portátiles que utilizan la red inalámbrica.La red inalámbrica utiliza un servidor basado en Windows Server 2008 que se ejecuta el servidor de directivas de redes (NPS) y requiere un certificado de cliente para la autenticación.

ADAM toma el curso de acción que se describen en la tabla siguiente.

Proceso

Referencia

Adán comprueba los requisitos previos de compatibilidad inalámbrica para administración fuera de banda y confirma que las versiones de AMT en los equipos portátiles es compatible con perfiles inalámbricos.Observar los valores de configuración inalámbrica requeridos por el servidor de directivas de red como la seguridad de WPA2, el cifrado AES y la autenticación EAP-TLS.

Para obtener más información sobre los requisitos previos, consulte Requisitos previos para la administración fuera de banda en Configuration Manager.

ADAM funciona con el equipo PKI para crear una plantilla de certificado adicional que los equipos basados en AMT se utilizan para autenticar con el servidor de directivas de red.

Para obtener más información acerca de cómo crear la plantilla de certificado de cliente, vea "Creación y emisión de los certificados de autenticación del cliente 802.1X AMT-Based Computers" en la Implementación de los certificados para AMT sección de la Ejemplo paso a paso de implementación de los certificados PKI para Configuration Manager: Entidad de certificación de Windows Server 2008 tema.

Para obtener más información sobre los requisitos de certificados, consulte Requisitos de certificados PKI para Configuration Manager.

Adán configura la Propiedades de componente de administración fuera de banda: 802.1X e inalámbricas ficha:

  • Crea un perfil inalámbrico que contiene el nombre de red inalámbrica, el tipo de seguridad de WPA2-Enterprise y el método de cifrado de AES.A continuación, selecciona el certificado raíz de confianza para el servidor de directivas de red y la plantilla de certificado de cliente que creó anteriormente.

Para obtener más información, consulte los pasos 26 al 39 en la Paso 5: Configuración de componente de administración de banda sección el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema.

Adán crea una nueva colección para equipos portátiles que pueden admitir AMT.En el administración fuera de banda ficha, selecciona Habilitar aprovisionamiento para equipos basados en AMT.

ADAM, a continuación, supervisa el estado de aprovisionamiento para estos equipos portátiles y utiliza el archivo de registro Amtopmgr.log, para comprobar que el perfil inalámbrico está configurado correctamente para estos equipos basados en AMT.

System_CAPS_tipSugerencia

Si estos equipos portátiles se han aprovisionado para AMT sin el perfil inalámbrico, Adam se ejecuta el actualización de aprovisionamiento de datos en memoria del controlador de administración comando aplicar la configuración inalámbrica.Para obtener más información, consulte la sección Cómo actualizar los equipos para la nueva configuración de AMT del tema Cómo administrar la información en el Administrador de configuración de aprovisionamiento de AMT.

Para obtener más información acerca de la supervisión de aprovisionamiento de AMT, consulte la Paso 8: Supervisión de aprovisionamiento de AMT paso a paso el Cómo crear y configurar los equipos basados en AMT en Configuration Manager tema.

Como resultado de este curso de acción, los equipos portátiles pueden administrarse ahora también fuera de banda por el departamento de soporte técnico, lo que reduce el tiempo para resolver los problemas notificados por los usuarios de equipos portátiles.