• Artículo

Introducción a la administración fuera de banda en Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Administración fuera de banda en System Center 2012 Configuration Manager proporciona un control eficaz de administración de equipos que tienen los chips de Intel vPro establecido y una versión de la tecnología de administración activa Intel (Intel AMT) que Configuration Manager admite.

Fuera de banda administración permite que un usuario administrativo conectarse al controlador de administración de AMT del equipo cuando el equipo está apagado, en hibernación, o que no responde a través del sistema operativo.En cambio, la administración en banda es enfocar el clásico que Configuration Manager y su uso predecesoras, mediante el cual un agente se ejecuta en el sistema operativo completo en el equipo administrado y el controlador de administración lleva a cabo tareas mediante la comunicación con el agente de administración.

Administración fuera de banda complementa la administración en banda.Mientras que la administración en banda admite una amplia variedad de operaciones porque su entorno es el sistema operativo completo, gestión en banda no sea funcional si el sistema operativo no está presente o no está operativo.En estas situaciones, mediante las capacidades adicionales de administración fuera de banda, los usuarios administrativos pueden administrar estos equipos sin necesidad de acceso local en el equipo.

Administración fuera de banda son las siguientes tareas:

  • Encendido de uno o varios equipos (por ejemplo, para mantenimiento en equipos fuera del horario comercial).

  • Desconectar uno o varios equipos (por ejemplo, el sistema operativo deja de responder).

  • Reiniciar un equipo que o arrancar desde un dispositivo conectado localmente o un archivo de imagen de arranque buena conocida.

  • Nueva creación de la imagen de un equipo arrancando desde un archivo de imagen de arranque ubicado en la red o mediante un servidor PXE.

  • Volver a configurar la configuración del BIOS en un equipo seleccionado (y omitiendo la contraseña del BIOS si es compatible con el fabricante del BIOS).

  • Arranque en un sistema operativo de línea de comandos para ejecutar comandos, herramientas de reparación o aplicaciones de diagnóstico (por ejemplo, actualización del firmware o ejecución de una herramienta de reparación de disco).

  • Configuración de las implementaciones de software programadas para reactivar equipos antes de que los equipos están ejecutando.

Estas entradas de las tareas de administración de banda son compatibles en una conexión no autenticada, con cable y un autenticado 802.1X con cable conexión y conexión inalámbrica.Fuera de banda administración también tiene las siguientes características adicionales:

  • La auditoría para determinadas características AMT.

  • Compatibilidad para los Estados de energía diferente, para conservar el consumo de energía y el cumplimiento de políticas de TI.

  • Almacenamiento de datos en AMT, donde se pueden guardar hasta 4096 bytes en caracteres ASCII en la memoria de acceso aleatorio no volátil (NVRAM) del controlador de administración.

Por ejemplo escenarios de fuera de banda de administración de uso, vea Escenarios de ejemplo para el uso de administración fuera de banda en Configuration Manager.

Algunas de las tareas anteriores se realizan desde el Configuration Manager de la consola, mientras que otros necesitan que se ejecuta la consola de administración de banda que se suministra con fuera de Configuration Manager.Fuera de banda administración usa tecnología de administración remota de Windows (WS-MAN) para conectarse al controlador de administración de AMT en un equipo.

Nota

Fuera de banda administración no se admite para los clientes que se administran a través de Internet con administración de clientes basada en Internet.Configuration Manager los clientes que están bloqueados o no aprobado por Configuration Manager no pueden administrarse fuera de banda.

En la tabla siguiente se describe las opciones y características proporcionadas por administración fuera de banda en Configuration Manager.

Característica o un escenario

Más información

Administración de seguridad

Fuera de banda administración se integra con una infraestructura de clave pública (PKI) interna mediante los certificados siguientes:

  • Certificado de aprovisionamiento que está instalado en el punto fuera de banda servicio, que permite que los equipos que se configurará para administración fuera de banda.

  • Un certificado de servidor web que está instalado en el punto de inscripción para una comunicación segura con la salida de punto de servicio de banda durante el proceso de aprovisionamiento.

  • Un certificado de servidor web que está instalado en cada equipo que está administrando fuera de banda para que la comunicación se autentica y se cifra mediante seguridad de capa de transporte (TLS).

  • Certificados de cliente, si es necesario para la autenticación 802.1X.

Para obtener más información acerca de estos certificados, consulte Requisitos de certificados PKI para Configuration Manager.

Los administradores deben autenticarse mediante Kerberos antes de que pueden administrar equipos mediante la consola de administración de banda fuera de.

Administración fuera de banda actividad es grabado y auditable mediante el uso de un registro de auditoría en los equipos basados en AMT.

Compatibilidad con 802.1X había autenticado a redes inalámbricas y cableadas:

  • Compatible con 802.1X con cable autenticado X: opciones de autenticación de cliente de EAP-TLS o EAP-TTLS/MSCHAPv2 o PEAPv0/EAP-MSCHAPv2.

  • Compatibilidad inalámbrica: Seguridad de WPA y WPA2, AES o cifrado TKIP, las opciones de autenticación de cliente de EAP-TLS o EAP-TTLS/MSCHAPv2 o PEAPv0/EAP-MSCHAPv2.

Aprovisionamiento de AMT

Habilita y configura equipos basados en Intel AMT que ejecutan al cliente de Configuration Manager.

Datos de inventario mejorada

Proporciona datos de inventario de hardware desde el chip AMT, por ejemplo, la etiqueta de activo, el UUID de BIOS, estado de energía, procesador, memoria e información de la unidad.

Identificar controladores de administración de AMT

Identifica los equipos con un controlador de administración de AMT y su estado de aprovisionamiento.

Esta información puede utilizarse para crear colecciones basadas en la consulta para agrupar equipos para fuera de las actividades de administración de banda, como el control de aprovisionamiento y la alimentación.

Control de la alimentación

Permite el encendido, apagado y capacidades de reinicio para un único equipo, los equipos seleccionados o una colección de equipos.

Los equipos también pueden reactivarse por las implementaciones de software programadas con una fecha límite programada.

Consola de administración de banda

Una consola de administración dedicada que se ejecuta desde el Configuration Manager de la consola o en un símbolo del sistema, para iniciar la tareas de administración de banda, incluidas las sesiones de redirección y serie a través de LAN del IDE.

Nota

Las capacidades pueden variar según el fabricante del equipo administrado.Por ejemplo, las capacidades de redirección y serie a través de LAN de IDE pueden deshabilitarse por el fabricante.

Redirección de IDE

Permite al equipo arrancar desde un archivo de imagen de arranque o un dispositivo conectado localmente, en lugar de desde su disco IDE de la interfaz.Esto es útil para diagnosticar, reparar o creación de imágenes de una unidad de disco duro.

Serie a través de LAN

Tecnología de serie a través de LAN encapsula los datos de un puerto serie virtual y lo envía a través de la conexión de red existente fuera de la consola de administración de banda establecido.

Tecnología de la serie a través de LAN le permite ejecutar una sesión de emulación de terminal para el equipo administrado, en el que puede ejecutar comandos y las aplicaciones basadas en caracteres.Por ejemplo, podría incluir volver a configurar el BIOS o trabaja junto con la redirección de IDE, puede actualizar el firmware o ejecutar herramientas de diagnóstico.

Extensión de administración fuera de banda en Configuration Manager

Para obtener información técnica adicional admitir y ampliar la administración fuera de banda en Configuration Manager, consulte las ofertas de aplicaciones de Intel en el sitio de Microsoft Pinpoint.

Novedades de Configuration Manager

Nota

La información de esta sección también aparece en la guía Introducción a System Center 2012 Configuration Manager.

Los elementos siguientes son nuevos o han cambiado para la administración fuera de banda desde Configuration Manager 2007:

  • System Center 2012 Configuration Manager ya no admite el aprovisionamiento fuera de banda, que podía utilizarse en Configuration Manager 2007 cuando el cliente de Configuration Manager no estaba instalado o el equipo no tenía un sistema operativo instalado.Para aprovisionar equipos para AMT en System Center 2012 Configuration Manager, deben pertenecer a un dominio de Active Directory, tener el cliente de System Center 2012 Configuration Manager instalado y estar asignados a un sitio primario de System Center 2012 Configuration Manager.

  • Para aprovisionar equipos para AMT, debe instalar el nuevo rol de sistema de sitio, el punto de inscripción, además del punto de servicio fuera de banda.Debe instalar estos dos roles de sistema de sitio en el mismo sitio primario.

  • Hay una nueva cuenta, el cuenta de eliminación de aprovisionamiento de AMT, que se especifica en el Propiedades de componente de administración fuera de banda: Provisioning ficha.Cuando especifica esta cuenta y utiliza la misma cuenta de Windows especificada como cuenta de usuario AMT, puede utilizar esta cuenta para quitar la información de aprovisionamiento de AMT, si tiene que recuperar el sitio.También puede usarla cuando se vuelve a asignar el cliente y no se quita la información de aprovisionamiento de AMT del sitio antiguo.

  • Configuration Manager ya no se genera un mensaje de estado para avisarle de que el certificado de aprovisionamiento de AMT está a punto de caducar.Debe comprobar el período de validez restante usted mismo y asegurarse de que renueva este certificado antes de que expire.

  • La detección de AMT ya no utiliza el puerto TCP 16992; solo se utiliza el puerto TCP 16993.

  • El puerto TCP 9971 ya no se utiliza para conectar el controlador de administración de AMT al punto de servicio fuera de banda para aprovisionar los equipos para AMT.

  • El punto de servicio fuera de banda utiliza HTTPS (de forma predeterminada, el puerto TCP 443) para conectarse al punto de inscripción.

  • El traductor de WS-MAN ya no se admite.

  • La tarea de mantenimiento Restablecer contraseñas de equipo AMT se quitó.

  • Ya no puede seleccionar permisos individuales para cada cuenta de usuario AMT.En cambio, todas las cuentas de usuario AMT se configuran automáticamente para el derecho de Administración de PT (Configuration Manager 2007 SP1) o Administración de plataforma (Configuration Manager 2007 SP2), que concede permisos para todas las características de AMT.

  • Debe especificar un grupo de seguridad universal en las Propiedades de componente de administración fuera de banda para que contenga las cuentas de equipo AMT que Configuration Manager crea durante el proceso de aprovisionamiento de AMT.

  • El equipo de servidor de sitio ya no requiere control total sobre la unidad organizativa (OU) que se utiliza durante el aprovisionamiento de AMT.En su lugar, concede permisos de lectura de miembros y de escritura de miembros (solo este objeto).

  • El punto de inscripción, en lugar del equipo de servidor de sitio primario, requiere ahora el permiso de emisión y administración de certificados de la entidad de certificación (CA) emisora.Este permiso es necesario para revocar certificados AMT.Como en Configuration Manager 2007, esta cuenta de equipo requiere permisos de DCOM para comunicarse con la CA emisora.Para configurar esto, asegúrese de que la cuenta de equipo del servidor de sistema de sitio de punto de inscripción, en el caso de Windows Server 2008, es miembro del grupo de seguridad Acceso DCOM a Serv. de certif., o, en el caso de Windows Server 2003 SP1 y versiones posteriores, es miembro del grupo de seguridad CERTSVC_DCOM_ACCESS en el dominio donde reside la CA emisora.

  • Las plantillas de certificado para el certificado de servidor web AMT y el certificado de cliente 802.1X AMT ya no utilizan Proporcionado por el solicitante, y la cuenta de equipo del servidor de sitio ya no necesita permisos para las siguientes plantillas de certificado:

    • Para la plantilla del certificado de servidor web AMT: En la pestaña Sujeto, seleccione Construido a partir de esta información de Active Directory y, a continuación, seleccione Nombre común para el Formato de nombre de sujeto.En la pestaña Seguridad, conceda los permisos Leer e Inscribir al grupo de seguridad universal que especifique en Propiedades de componente de administración fuera de banda.

    • Para la plantilla del certificado de cliente 802.1X AMT: En la pestaña Sujeto, seleccione Construido a partir de esta información de Active Directory y, a continuación, seleccione Nombre común para el Formato de nombre de sujeto.Desactive la casilla Nombre DNS y, a continuación, seleccione Nombre principal del usuario (UPN) como nombre de sujeto alternativo.En la pestaña Seguridad, conceda los permisos Leer e Inscribir al grupo de seguridad universal que especifique en Propiedades de componente de administración fuera de banda.

  • El certificado de aprovisionamiento de AMT ya no requiere que se pueda exportar la clave privada.

  • De forma predeterminada, el punto de servicio fuera de banda comprueba el certificado de aprovisionamiento de AMT en lo que respecta a la revocación de certificados.Esto ocurre cuando se ejecuta el sistema del sitio por primera vez, y cuando se cambia el certificado de aprovisionamiento de AMT.Puede deshabilitar esta opción en Propiedades de punto de servicio fuera de banda.

  • Puede habilitar o deshabilitar Comprobación de CRL para el certificado de servidor web AMT en la consola de administración fuera de banda.Para cambiar la configuración, haga clic en el menú Herramientas y, a continuación, en Opciones.La nueva configuración se utiliza la próxima vez que se conecte a un equipo basado en AMT.

  • Si se revoca un certificado de un equipo basado en AMT, la razón para la revocación es ahora Cese de operación en lugar de Se reemplazó.

  • Los equipos basados en AMT que se asignan al mismo sitio de Configuration Manager deben tener un nombre de equipo único, aunque pertenezcan a distintos dominios y tengan por tanto un FQDN único.

  • Cuando se reasigne un equipo basado en AMT de un sitio de Configuration Manager a otro, se debe en primer lugar quitar la información de aprovisionamiento de AMT, reasignar el cliente y, a continuación, aprovisionar el cliente de nuevo para AMT.

  • Los derechos de seguridad Ver controladores de administración y Administrar controladores de administración de Configuration Manager 2007 se denominan ahora Aprovisionar AMT y Controlar AMT, respectivamente.El permiso Controlar AMT se agrega automáticamente al rol de seguridad Operador de herramientas remotas.Si se asigna un usuario administrativo al rol de seguridad Operador de herramientas remotas y desea que este usuario administrativo aprovisione los equipos basados en AMT o controle el registro de auditoría de AMT, debe agregar el permiso Aprovisionar AMT a este rol de seguridad, o asegurarse de que el usuario administrativo pertenece a otro rol de seguridad que incluye este permiso.