• Cikk

Sávon kívüli felügyelet a Configuration Manager előfeltételei

 

Érvényes: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Sávon kívüli felügyelet a System Center 2012 Configuration Manager külső függőségek és függőségek a terméken belül van.

System_CAPS_importantFontos

Sávon kívüli felügyelet a Configuration Manager külső függőségek rendelkezik, Intel aktív felügyeleti Technology (Intel AMT), valamint a Microsoft nyilvános kulcs infrastruktúrájának technológiák.Konfigurációs hiteles adatait, vagy a külső függőségek műszaki részleteit tekintse meg a termék dokumentációjában a kapcsolódó technológiákról.

Intel AMT, a Intel telepítés és a konfigurációs szoftverrel kapcsolatos további tudnivalókért tekintse meg az Intel dokumentáció vagy a dokumentációban a számítógép gyártója.További tudnivalókért tekintse meg a Intel vPro szakértő Center: Microsoft vPro kezeléssel.

A Microsoft nyilvános kulcs infrastruktúrájának technológiákkal kapcsolatos további tudnivalókért tekintse meg Windows Server 2008 Active Directory tanúsítványszolgáltatások.

Függőségek külső Configuration Manager

A következő táblázat felsorolja a külső függőségek a sávon kívüli felügyelet futtatásához.

Függőség

További információ

A Microsoft hitelesítésszolgáltató (CA) tanúsítvány sablonok telepítéséhez és kezeléséhez a sávon kívüli felügyelet szükséges tanúsítványok.

A kiállító hitelesítésszolgáltató automatikusan jóvá kell hagynia a tanúsítvány az AMT-számítógép érkező kérelmeket fiókok, amely Configuration Manager hoz létre az Active Directory tartományi szolgáltatások, hogy az AMT konfigurálási folyamata közben.

AMT-tanúsítványok visszavonása, a tanúsítványok kiállítása és kezelése engedély, a kiszolgáló, amelyen telepítve van-e az a beléptetési pont helyrendszer-szerepkört a kibocsátó hitelesítésszolgáltató kell konfigurálni.

System_CAPS_importantFontos

AMT egy kulcs hossza nagyobb, mint a 2048 bitnél Hitelesítésszolgáltatói tanúsítványok nem támogatja.

A kimenő sávon szolgáltatási pont és minden kezelt sávon kívüli asztali vagy hordozható számítógépen, amelyek egymástól függetlenül kezelt a Configuration Manager adott PKI-tanúsítványok kell rendelkeznie.

További információ a tanúsítványkövetelményekről: PKI-tanúsítványkövetelmények a Configuration Managerben.

A részletes útmutatást lásd: Tanúsítványok központi telepítése AMT-hez.

A beléptetési pont helyrendszer-kiszolgáló számítógépfiókja visszavonni az AMT-tanúsítványokat a kibocsátó hitelesítésszolgáltató DCOM engedélyekkel kell rendelkeznie.Győződjön meg arról, hogy a webhely rendszer számítógépen-e a tanúsítvány szolgáltatás DCOM-hozzáférés (a Windows Server 2008) vagy a CERTSVC_DCOM_ACCESS (a Windows Server 2003 SP1 és újabb) a tartományban, ahol a kibocsátó hitelesítésszolgáltató található-e a biztonsági csoport tagja.

Asztali vagy hordozható számítógépeket a következő beállításokkal:

  • Intel vPro technológia vagy Intel előfordulhat Pro technológia

  • Intel AMT PKI rendelkezés módját, a vállalati üzemmód konfigurált támogatott verziója

  • Intel HECI illesztőprogram

Az AMT-verziók információt, amely Configuration Manager támogatja, tekintse meg a szakasz a című témakört.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigOOB

Töltse le a a legújabb HECI illesztőprogram a Intel webhelyről, és a számítógép gyártójának dokumentációja a Intel követelményeinek.

Active Directory-tároló és univerzális biztonsági csoport:

  • A megfelelő engedélyekkel a tartomány, amelyben az AMT-alapú számítógépek található az Active Directory-tárolóhoz kell konfigurálni.Ha a webhely AMT-alapú számítógépek több tartományból, a ugyanazon tároló neve és elérési útja kell használható minden tartomány.

  • Univerzális biztonsági csoport, amely tartalmazza a számítógép fiókok az AMT-alapú számítógépek.

System_CAPS_noteMegjegyzés

Nem rendelkezik az Active Directory-sémát a sávon kívüli felügyelet kiterjeszteni.

AMT konfigurálási folyamat során a Configuration Manager hoz létre a számítógépfiók Ez az Active Directory-tároló vagy a szervezeti egység (OU), és a fiókok hozzáadja a univerzális biztonsági csoport.

A helykiszolgáló számítógép megköveteli az alábbi engedélyeket:

  • A szervezeti egység, az AMT konfigurálási folyamata során használt: Engedélyezése gyermekobjektumok létrehozása és Gyermekobjektumok törlése vonatkozik, és csak ezt az objektumot.

  • Az univerzális biztonsági csoport, az AMT konfigurálási folyamata során használt: Engedélyezése olvasható és írási, és alkalmazása csak ezt az objektumot.

A következő hálózati szolgáltatások:

  • DHCP-kiszolgáló egy aktív hatókörű

  • DNS-kiszolgálók névfeloldás

A DHCP győződjön meg arról, hogy a DHCP-hatókör-beállításokat tartalmazza-e a DNS-kiszolgálók (006), és a tartománynevet (015), és az, hogy a DHCP-kiszolgáló dinamikusan DNS frissíti a számítógép rekord.

WINS számítógép nevek nem használható, és a DNS minden olyan kapcsolat, amelyek a sávon kívüli felügyelet használata szükséges.Ez magába foglalja az AMT-alapú számítógépek a csatlakoztatása a kimenő sávon management Console, továbbá AMT telepítéséhez.

System_CAPS_noteMegjegyzés

Győződjön meg arról, hogy DHCP vagy az operációs rendszer frissíti a DNS állomás feljegyzés az AMT-alapú számítógép teljesen minősített tartománynevét (FQDN), AMT a gazdagép-bejegyzés nem lehet regisztrálni a DNS-.Másik lehetőségként létrehozhat kézzel ezek a rekordok a DNS-szükség esetén.Vezeték nélküli támogatási gondoskodjon arról, hogy DNS tartalmaz-e a rekordok az AMT-alapú számítógép teljesen minősített tartománynevét vezeték nélküli IP-címmel.

Hely rendszer szerepkör függőségeit a számítógépek, amelyek futtatni fogják a beléptetési pont és a sávon kívüli szolgáltatási pontot helyrendszer-szerepkörök.

Lásd: című rész, témakör.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Rendszerfelügyeleti webszolgáltatások (WinRM) 1.1-es vagy újabb verzióját futtató számítógépek Windows XP, ha a kimenő sávon management Console futásuk kell telepíteni.

A Rendszerfelügyeleti webszolgáltatások verziók kapcsolatos további információkért tekintse meg a verziók a Rendszerfelügyeleti webszolgáltatások.

Az MSXML 6.0 meg kell adni a kimenő sávon management Console futtató számítógépeken.

A telepítő Előfeltételek checker a Configuration Manager magába foglalja a Microsoft MSXML 6.0 keresése.

A Windows-szolgáltatás, a Telnet-ügyfél, ha a számítógépeket, a kimenő sávon kívüli felügyelet futtatása konzolon, és a hálózati keresztüli soros parancsok végrehajtása Windows 7, Windows Vista vagy Windows Server 2008 rendszerű számítógépek kell telepíteni.

Helyi hálózaton keresztül soros a terminálemuláció munkamenetet a felügyelt számítógép, amelyben futtathatja a parancsok és a karakter-alapú alkalmazások futtatásához a Telnet protokollt használ.További információ: Bevezetés a sávon kívüli felügyelet a Configuration Manager.

Sávon kívüli felügyelni kívánt számítógépekre a helyrendszer-kiszolgálók, amelyek az elévült sávon szolgáltatási pont és a beléptetési pont ugyanabban az Active Directory erdőben kell tartoznia.

Ezenkívül a számítógépek kell osztania ugyanazt a névteret; különálló névtereket nem támogatottak.

Az alábbi esetekben a számítógépek, amelyek nem támogatottak a sávon kívüli felügyelet azonosításához.AMT ezeken a számítógépeken le kell tiltani:

  • Munkacsoport számítógépek.

  • Egy másik Active Directory-erdő a számítógépekről, a kimenő sávon szolgáltatást futtató számítógépek a helyrendszer-szerepkört és a beléptetési pont pont.

  • A számítógépek, az ugyanazon az Active Directory-erdő találhatók, a helyrendszer-kiszolgálók, amelyek a a sávon kívüli szolgáltatási pont és a beléptetési pont, de nem ugyanazt a ugyanazt a névteret (nem összefüggő névtér).

    Például egy computer1.northwindtraders.com teljesen minősített Tartománynevét AMT-alapú számítógép nem lehet kiépíteni által az elévült sávon szolgáltatási pont helyrendszer contoso.com, teljesen minősített Tartománynevét, még akkor is, ha az ugyanahhoz az Active Directory-erdő tartoznak.

  • Számítógépek, amelyek a sávon kívüli szolgáltatási pontot a kimenő ugyanabban az Active Directory erdőben találhatók a rendszer helykiszolgáló, de különálló névtér rendelkezik – például egy AMT-alapú számítógép, amely egy DNS-neve computer1.corp.fabrikam.com van, és a na.corp.fabrikam.com nevű Active Directory-tartományban található.

Közbenső hálózati eszközök, például útválasztók és a tűzfalak és a Windows tűzfal, ha alkalmazható, engedélyeznie kell a sávon tevékenységből társított forgalmat.

A következő portok sávon kívüli felügyelet által használt:

  • A sávon kívüli szolgáltatási pontot a beléptetési pont a kimenő: HTTPS (alapértelmezés szerint TCP 443-as port).

  • A a sávon kívüli szolgáltatási pont helyrendszer-kiszolgáló az AMT-felügyeleti vezérlőket power Control kezdeményezni a Configuration Manager-konzolon, és ütemezett tevékenységeket, telepítési és felderítési: TCP 16993.

  • A kimenő sávon management Console AMT-felügyeleti futtató számítógépekről vezérlőket az összes felügyeleti feladat kezdeményezni a kimenő sávon felügyeleti konzol (beleértve a power a parancsok): TCP 16993.

  • Operációs rendszert futtató számítógépekről a kimenő sávon management Console az AMT-felügyeleti vezérlőket a sorozatszám LAN- és IDE átirányítás keresztül: TCP 16995.

IPv4.

IPv6 nem támogatott.Sávon kívüli felügyeleti parancs csak IPv4 protokollt.

Teljes IPsec-környezetben nem támogatottak.

IPSec-házirend a AMT-sávon szolgáltatási pont helyrendszer-kiszolgáló az elévült, és a rendszer kezeli a sávon kívüli számítógépek közötti kommunikáció nem állítja be.

Infrastruktúra-támogatás a 802.1 X hitelesített vezetékes hálózatok és vezeték nélküli hálózatok:

  • Hitelesített vezetékes 802.1 X támogatja: Ügyfél-hitelesítési lehetőségek EAP-TLS vagy EAP-TTLS/MSCHAPv2 vagy PEAPv0/EAP-MSCHAPv2.

  • Vezeték nélküli támogatása: WPA és WPA2 biztonsági, AES vagy TKIP titkosítási, EAP-TLS vagy EAP-TTLS/MSCHAPv2 vagy PEAPv0/EAP-MSCHAPv2 ügyfél-hitelesítés beállításai.

System_CAPS_noteMegjegyzés

Ügyfél-hitelesítési módszerek EAP-TLS vagy EAP-TTLS/MSCHAPv2 ügyféltanúsítványt használja, ha a RADIUS-megoldás támogatnia kell hitelesítést, a következő formátumban: domain\computer_account.

AMT-alapú számítógépek egy 802.1 X hitelesített vezetékes vagy vezeték nélküli kapcsolatot a sávon kívüli kezeléséhez, rendelkeznie kell egy támogató infrastruktúra, ezek a környezetben.Ezek a hálózatok beállítható, hogy a Microsoft RADIUS megoldást, például a Windows Server 2008 hálózati házirend-kiszolgáló használatával.RADIUS-megoldásait használható, ha azok a 802.1 X-kompatibilis, és a konfigurációs beállításokat felsorolt támogatási hitelesített vezetékes 802.1 X támogatási és a vezeték nélküli támogatás.

Windows Server 2008 hálózati házirend-kiszolgáló kapcsolatos további tudnivalókért tekintse meg a hálózati házirend-kiszolgáló.

Más RADIUS-megoldásokkal kapcsolatos további tudnivalókért tekintse meg a Intel vPro szakértő Center: Microsoft vPro kezeléssel.

A Configuration Manager függőségei

A következő táblázat felsorolja a függőségei belül Configuration Manager futtatásával sávon kívüli felügyelet.

Függőség

További információ

Az elsődleges hely futnia kell System Center 2012 Configuration Manager és a kimenő sávon szolgáltatási pont és a beléptetési pont telepítve.

A sávon kívüli szolgáltatási pontot ki kell a helykiszolgáló ugyanazt az Active Directory erdőben, és telepítheti sávon kívüli szolgáltatási pont csak az egyiket minden elsődleges helyen.

4. lépés: A beléptetési pont és a sávon kívüli szolgáltatási pontot konfigurálása az AMT telepítéséhez. 

Sávon kívüli kezelni kívánt számítógépek kell rendelkeznie a Configuration Manager ügyfél telepítve, és az elsődleges helyen kell rendelni.

System_CAPS_importantFontos

Intel AMT-alapú számítógépek azonos rendelt Configuration Manager helyhez tartoznia kell egy egyedi nevet, akkor is, ha azok különböző tartományba tartozik, és ezért a teljes tartománynév egyedi.

 Ügyfélszoftverek telepítése Windows-alapú számítógépekre a Configuration Manager segítségével

Sávon kívüli felügyelet konfigurálásához az a következő biztonsági engedélyekkel kell rendelkeznie:

  • Site: Olvasható és módosítása

  • Mobileszköz beléptetési profilban: Olvasható, létrehozása, módosítása, hely mérje, és tanúsítványok kezelése az operációs rendszer telepítése

A teljes rendszergazdai biztonsági szerepkör tartalmazza az alábbi engedélyeket.

Sávon kívüli számítógépek felügyeletére, az a gyűjtemények, amely a számítógépeket tartalmaznak a következő biztonsági engedélyekkel kell rendelkeznie:

  • AMT kiépíteni: A biztonsági engedély AMT-számítógépek kezelése a Configuration Manager-konzolon, amely tartalmazza az AMT-felügyeleti vezérlők, ha a számítógépeket az AMT- és a naplózási műveletek alkalmazása a naplófájl-beállítások, a naplózás, és a naplózási napló törlése letiltása és engedélyezése állapotának felderítésére teszi lehetővé.

  • AMT vezérlő: A biztonsági engedély lehetővé teszi, hogy a nézetben és a kimenő sávon management Console segítségével a számítógépek felügyeletére, és elindíthatja a power vezérlő műveleteket a Configuration Manager-konzolon.A Távirányító eszközök biztonsági szerepkör tartalmazza a vezérlő AMT engedéllyel.

  • Olvasható és gyűjtemény beállítás módosítása engedélyezése az AMT telepítéséhez. gyűjtésére.

  • Rendelkezés AMT, olvasható, és olvasható erőforrás konfigurálási adatainak eltávolítása, és frissíti az AMT-felügyeleti vezérlőket.

Biztonsági engedélyeinek konfigurálásával kapcsolatos további tudnivalókért tekintse meg a Szerepkör alapú felügyelet konfigurálása.

Jelentéskészítési szolgáltatási pont.

Használandó Configuration Manager a sávon kívüli felügyelet, akkor telepítenie és konfigurálnia kell a jelentéskészítési szolgáltatási pont jelenti.

További információ: Jelentéskészítés a Configuration Manageralkalmazásban.