• Article

Conditions requises pour la gestion hors bande dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

La gestion hors bande de System Center 2012 Configuration Manager présente des dépendances externes et des dépendances au sein du produit.

Important

La gestion hors bande de Configuration Manager comporte des dépendances externes avec Intel Active Management Technology (Intel AMT) et les technologies d'infrastructure à clés publiques (PKI) Microsoft.Pour obtenir des informations de référence sur la configuration ou des détails techniques sur ces dépendances externes, consultez la documentation produit pour les technologies connexes.

Pour plus d'informations sur Intel AMT et le programme d'installation Intel et logiciel de Configuration, consultez la documentation Intel ou la documentation du fabricant de votre ordinateur.Pour plus d'informations, consultez Intel vPro Expert Center : Gestion de Microsoft vPro.

Pour plus d'informations sur les technologies d'infrastructure à clé publique (PKI) de Microsoft, consultez les Services de certificat Active Directory de Windows Server 2008.

Dépendances externes à Configuration Manager

Le tableau suivant répertorie les dépendances externes pour l'exécution de la gestion hors bande.

Dépendance

Plus d'informations

Une autorité de certification d'entreprise Microsoft avec des modèles de certificats pour déployer et gérer les certificats requis pour la gestion hors bande.

L'autorité de certification émettrice doit approuver automatiquement les demandes de certificat des comptes d'ordinateur AMT que Configuration Manager crée dans les services de domaine Active Directory pendant le processus de préparation AMT.

Pour révoquer les certificats AMT, l'autorité de certification émettrice doit être configurée avec l'autorisation d'émettre et de gérer des certificats pour le serveur où est installé le rôle de système de site de point d'inscription.

Important

AMT ne peut pas prendre en charge les certificats émis par une autorité de certification dont la longueur de clé dépasse 2 048 bits.

Le point de service hors bande et chaque ordinateur de bureau ou portable qui est géré hors bande doit disposer de certificats PKI spécifiques gérés indépendamment de Configuration Manager.

Pour plus d'informations sur les certificats requis, voir Configuration requise des certificats PKI pour Configuration Manager.

Pour obtenir des instructions pas à pas, consultez Déploiement des certificats pour AMT.

Le compte d'ordinateur pour le serveur de système de site du point d'inscription doit disposer des autorisations DCOM pour pouvoir révoquer les certificats AMT auprès de l'autorité de certification émettrice.Assurez-vous que l'ordinateur de ce système de site est membre du groupe de sécurité Accès DCOM au service de certificats (pour Windows Server 2008) ou CERTSVC_DCOM_ACCESS (pour Windows Server 2003 SP1 et versions ultérieures) dans le domaine dans lequel réside l'autorité de certification émettrice.

Ordinateurs de bureau ou portables présentant la configuration suivante :

  • Technologie Intel vPro ou Intel Centrino Pro Technology

  • Une version prise en charge de Intel AMT qui est configuré en mode entreprise, avec le mode de disposition de l'infrastructure PKI

  • Pilote Intel HECI

Pour plus d'informations sur les versions d'AMT qui Configuration Manager prend en charge, consultez la Gestion hors bande section dans le Configurations prises en charge pour Configuration Manager rubrique.

Téléchargez le dernier pilote HECI depuis le site Web Intel et consultez la documentation du fabricant de votre ordinateur pour les besoins d'Intel.

Un conteneur Active Directory et un groupe universel de sécurité :

  • Le conteneur Active Directory doit être configuré avec les autorisations de sécurité appropriées pour le domaine dans lequel résident les ordinateurs AMT.Si le site gère des ordinateurs AMT à partir de plusieurs domaines, le même nom de conteneur et le même chemin d'accès doivent être utilisés pour tous les domaines.

  • Un groupe de sécurité universel contenant des comptes d'ordinateur pour les ordinateurs AMT.

Notes

Il n'est pas nécessaire d'étendre le schéma Active Directory pour la gestion hors bande.

Au cours du processus de préparation AMT, Configuration Manager crée des comptes d'ordinateur dans ce conteneur Active Directory ou cette unité d'organisation (UO) et ajoute les comptes au groupe universel de sécurité.

L'ordinateur du serveur de site nécessite les autorisations suivantes :

  • Pour l'unité d'organisation qui est utilisée pendant le processus de préparation AMT : Autoriser Créer tous les objets enfant et Supprimer tous les objets enfant et les appliquer à Cet objet uniquement.

  • Pour le groupe universel de sécurité qui est utilisé pendant le processus de préparation AMT : Autoriser en lecture et écrire, et s'appliquent aux cet objet uniquement.

Les services réseau suivants :

  • Un serveur DHCP avec une étendue active

  • Des serveurs DNS pour la résolution de noms

Pour DHCP, vérifiez que les options d'étendue DHCP incluent les serveurs DNS (006) et le nom de domaine (015) et que le serveur DHCP met à jour DNS de manière dynamique avec l'enregistrement des ressources des ordinateurs.

WINS ne peut pas être utilisé pour la résolution de noms d'ordinateur, et DNS est nécessaire pour toutes les connexions utilisées pour la gestion hors bande.Cela comprend la connexion à des ordinateurs basés sur AMT à partir de la console de gestion hors bande, outre la préparation AMT.

Notes

AMT ne peut pas inscrire un enregistrement hôte dans DNS ; vous devez donc vous assurer que DHCP ou le système d'exploitation met à jour DNS avec un enregistrement hôte pour le nom de domaine complet de l'ordinateur basé sur AMT.Vous pouvez également créer manuellement ces enregistrements dans DNS le cas échéant.Pour la prise en charge sans fil, assurez-vous que DNS contient des enregistrements avec l'adresse IP sans fil pour le nom de domaine complet de l'ordinateur basé sur AMT.

Dépendances de rôle de système du site pour les ordinateurs qui exécuteront le point d'inscription et les rôles de système de site du point de service hors bande.

Consultez la section Configuration requise pour les rôles de système de site dans la rubrique Configurations prises en charge pour Configuration Manager.

Windows Remote Management (WinRM) 1.1 ou version ultérieure doit être installé sur les ordinateurs Windows XP s'ils exécutent la console de gestion hors bande.

Pour plus d'informations sur les versions de WinRM, voir Versions de la Gestion à distance de Windows.

MSXML 6.0 est requis sur les ordinateurs qui exécutent la console de gestion hors bande.

Le vérificateur des prérequis de configuration pour Configuration Manager inclut la vérification de Microsoft MSXML 6.0.

Le client Telnet, qui est une fonction Windows, doit être installé sur les ordinateurs exécutant Windows 7, Windows Vista ou Windows Server 2008, s'il est prévu qu'ils utilisent la console de gestion hors bande et qu'ils exécutent des commandes série sur réseau local

La fonction série sur réseau local utilise le protocole Telnet pour exécuter une session d'émulation de terminal pour l'ordinateur géré, dans laquelle vous pouvez exécuter des commandes et des applications en mode textePour plus d'informations, voir Introduction à la gestion hors bande dans Configuration Manager.

Les ordinateurs devant être gérés hors bande doivent appartenir à la même forêt Active Directory que les serveurs de système de site qui exécutent le point de service hors bande et le point d'inscription.

En outre, les ordinateurs doivent partager le même espace de noms ; espaces de noms disjoints ne sont pas pris en charge.

Les scénarios suivants identifient les ordinateurs qui ne sont pas pris en charge pour la gestion hors bande.AMT doit être désactivé sur ces ordinateurs :

  • Ordinateurs d'un groupe de travail.

  • Ordinateurs résidant dans une forêt Active Directory différente des ordinateurs qui exécutent le rôle de système de site du point de service hors bande et le point d'inscription.

  • Ordinateurs résidant dans la même forêt Active Directory que les serveurs de système de site qui exécutent le point de service hors bande et le point d'inscription mais ne partagent pas le même espace de noms (espace de noms non contigu).

    Par exemple, un ordinateur AMT avec le nom de domaine complet (FQDN) computer1.northwindtraders.com ne peut pas être configuré par le système de site de point de service hors bande dont le FQDN est contoso.com, même s'ils appartiennent à la même forêt Active Directory.

  • Ordinateurs résidant dans la même forêt Active Directory en tant que point de service hors bande hors serveur de système de site, mais un espace de noms disjoint, par exemple, un ordinateur AMT qui a un nom DNS est Computer1.corp.fabrikam.com et se trouve dans un domaine Active Directory nommé na.corp.fabrikam.com.

Les périphériques réseau intervenants, tels que les routeurs et les pare-feu, ainsi que le pare-feu Windows, le cas échéant, doivent autoriser le trafic associé à l'activité de gestion hors bande.

La gestion hors bande utilise les ports suivants :

  • Depuis le point de service hors bande jusqu'au point d'inscription : HTTPS (par défaut, le port TCP 443).

  • Entre le serveur de système de site de point de service hors bande et les contrôleurs de gestion AMT pour le contrôle de l'alimentation lancé à partir de la console de Configuration Manager et des activités planifiées, la configuration et la découverte : TCP 16993.

  • Entre les ordinateurs qui exécutent la console de gestion hors bande et les contrôleurs de gestion AMT pour toutes les tâches de gestion lancées depuis la console de gestion hors bande (y compris les commandes de mise sous tension) : TCP 16993.

  • Entre les ordinateurs qui exécutent la console de gestion hors bande et les contrôleurs de gestion AMT pour la redirection IDE et série sur réseau local : TCP 16995.

IPv4.

IPv6 n'est pas pris en charge.La gestion hors bande utilise IPv4 uniquement.

Les environnements IPSec complets ne sont pas pris en charge.

Ne configurez pas de stratégies IPSec pour la communication AMT entre le serveur de système de site de point de service hors bande et les ordinateurs gérés hors bande.

Prise en charge d'infrastructure des réseaux filaires authentifiés 802.1X et sans fil :

  • Prise en charge de réseau filaire authentifié 802.1X : Options d'authentification client de EAP-TLS, EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2.

  • Prise en charge sans fil : Sécurité WPA et WPA2, chiffrement AES ou TKIP, options d'authentification client de EAP-TLS, EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2.

Notes

Si vous utilisez des méthodes d'authentification client de EAP-TLS ou EAP-TTLS/MSCHAPv2 avec un certificat client, la solution RADIUS doit prendre en charge l'authentification en utilisant le format suivant : domaine\compte_ordinateur.

Pour gérer les ordinateurs AMT configurés hors bande lorsqu'ils sont connectés à un réseau filaire authentifié 802.1X ou un réseau sans fil, vous devez disposer d'une infrastructure de prise en charge pour ces environnements.Ces réseaux peuvent être configurés à l'aide d'une solution Microsoft RADIUS, par exemple serveur NPS Windows Server 2008.Autres solutions RADIUS peuvent être utilisées si elles sont 802. 1 X conforme et de prise en charge pour que les options de configuration répertoriées authentification câblée 802. 1 X et sans fil support.

Pour plus d'informations sur le serveur Windows NPS sur Windows Server 2008, consultez Serveur Windows NPS.

Pour plus d'informations sur d'autres solutions RADIUS, consultez Intel vPro Expert Center : Gestion de Microsoft vPro.

Dépendances de Configuration Manager

Le tableau suivant répertorie les dépendances au sein de Configuration Manager pour l'exécution de la gestion hors bande.

Dépendance

Plus d'informations

Le site principal doit exécuter System Center 2012 Configuration Manager et avoir installé le point de service hors bande et le point d'inscription.

Le point de service hors bande doit se trouver dans la même forêt Active Directory que le serveur de site et vous pouvez installer un seul point de service hors bande dans chaque site principal.

Étape 4 : Configuration du point d'inscription et du point de service hors bande pour la préparation AMT 

Le client Configuration Manager doit être installé sur les ordinateurs que vous souhaitez gérer hors bande et ces ordinateurs doivent être affectés à un site principal.

Important

Les ordinateurs Intel AMT qui sont affectés au même site Configuration Manager doivent posséder un nom d'ordinateur unique, même s'ils appartiennent à différents domaines et disposent par conséquent d'un nom de domaine complet unique.

 Installation de clients sur des ordinateurs Windows dans Configuration Manager

Pour configurer la gestion hors bande, vous devez disposer des autorisations de sécurité suivantes :

  • Site : Lecture et Modifier

  • Profil d'inscription de périphérique mobile : Lecture, Créer, Modifier, Effectuer l'analyse du site et Gérer des certificats pour le déploiement de système d'exploitation

Le rôle de sécurité Administrateur complet inclut ces autorisations.

Pour gérer les ordinateurs hors bande, vous devez disposer des autorisations de sécurité suivantes pour les regroupements contenant les ordinateurs :

  • Préparer AMT : Cette autorisation de sécurité vous permet de gérer les ordinateurs AMT à partir de la console Configuration Manager, qui inclut la découverte de l'état des contrôleurs de gestion AMT, la configuration des ordinateurs pour AMT et les actions d'audit relatives à l'activation et l'application des paramètres du journal d'audit, la désactivation de l'audit et la suppression du journal d'audit.

  • Contrôler AMT : Cette autorisation de sécurité vous permet d'afficher et de gérer les ordinateurs à l'aide de la console de gestion hors bande et de lancer des actions de contrôle de l'alimentation dans la console Configuration Manager.Le rôle de sécurité Outils de contrôle à distance inclut l'autorisation Contrôler AMT.

  • Lecture et Modifier les paramètres de regroupement pour activer la préparation AMT pour le regroupement.

  • Préparer AMT, Lecture et Lire la ressource pour supprimer les informations de configuration et mettre à jour les contrôleurs de gestion AMT.

Pour plus d'informations sur la configuration des autorisations de sécurité, consultez Configurer l'administration basée sur des rôles.

Point de Reporting Services

Pour utiliser les rapports Configuration Manager pour la gestion hors bande, vous devez installer et configurer un point de Reporting Services.

Pour plus d'informations, voir Rapports dans Configuration Manager.