• Articolo

Prerequisiti per la gestione fuori banda in Configuration Manager

 

Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Gestione fuori banda in System Center 2012 Configuration Manager ha dipendenze esterne e dipendenze all'interno del prodotto.

System_CAPS_importantImportante

Gestione fuori banda in Configuration Manager ha dipendenze esterne su Intel Active Management Technology (Intel AMT) e sulle tecnologie di infrastruttura a chiave pubblica (PKI) di Microsoft.Per informazioni rilevanti sulla configurazione o informazioni tecniche dettagliate su queste dipendenze esterne, vedere la documentazione del prodotto per le tecnologie correlate.

Per informazioni su Intel AMT e Intel il programma di installazione e configurazione Software, vedere la documentazione di Intel o la documentazione fornita dal produttore del computer.Per ulteriori informazioni, vedere Intel vPro Expert Center: Microsoft vPro Manageability.

Per informazioni sulle tecnologie di infrastruttura a chiave pubblica (PKI) di Microsoft, vedere Windows Server 2008 Servizi certificati Active Directory.

Dipendenze esterne a Configuration Manager

Nella tabella seguente sono elencate le dipendenze esterne per l'esaurimento di gestione fuori banda.

Dipendenza

Altre informazioni

Una Microsoft autorità di certificazione (CA) con modelli di certificato per distribuire e gestire i certificati necessari per la gestione fuori banda.

La CA emittente deve approvare automaticamente i certificati richieste dal computer AMT account che Configuration Manager durante il processo di provisioning AMT creato in servizi di dominio Active Directory.

Per revocare i certificati AMT, la CA emittente deve essere configurata con l'autorizzazione rilascia e Gestisci certificati per il server in cui è installato il ruolo del sistema del sito punto di registrazione.

System_CAPS_importantImportante

AMT non è in grado di supportare i certificati CA con una lunghezza di chiave superiore a 2048 bit.

Fuori banda punto per servizi e ogni computer desktop o portatile gestito fuori banda devono disporre di certificati PKI specifici che vengono gestiti in modo indipendente da Configuration Manager.

Per altre informazioni sui requisiti dei certificati, vedere Requisiti dei certificati PKI per Configuration Manager.

Per istruzioni dettagliate, vedere Distribuzione dei certificati per AMT.

L'account computer per il server del sistema sito punto di registrazione deve disporre delle autorizzazioni DCOM per revocare i certificati AMT dalla CA emittente.Assicurarsi che il computer del sistema del sito sia un membro del gruppo di protezione Certificate Service DCOM Access (per Windows Server 2008) o CERTSVC_DCOM_ACCESS (per Windows Server 2003 SP1 e versioni successive) nel dominio in cui risiede la CA emittente.

Computer desktop o portatili con la seguente configurazione:

  • Tecnologia Intel vPro o la tecnologia Intel Centrino Pro

  • Una versione supportata di Intel AMT configurato per la modalità di organizzazione, con la modalità di provisioning dell'infrastruttura PKI

  • Driver Intel HECI

Per informazioni sulle versioni AMT che Configuration Manager supportati, vedere il sezione il argomento.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigOOB

Scaricare il driver HECI più recente dal sito Web di Intel e consultare la documentazione del produttore del computer per i requisiti di Intel.

Un contenitore Active Directory e un gruppo di protezione universale:

  • Contenitore di Active Directory deve essere configurato con le autorizzazioni di sicurezza corrette per il dominio in cui risiedono i computer basati su AMT.Se il sito di gestire computer basati su AMT da più domini, il nome del contenitore stesso e il percorso deve essere utilizzati per tutti i domini.

  • Gruppo di protezione universale che contiene computer account per i computer basati su AMT.

Nota

Non è necessario estendere lo schema di Active Directory per gestione fuori banda.

Durante il processo di provisioning AMT, Configuration Manager crea gli account computer nel contenitore di Active Directory o unità organizzativa (OU) e aggiunge l'account al gruppo di protezione universale.

Computer server del sito richiede le autorizzazioni seguenti:

  • Per l'unità Organizzativa che viene utilizzato durante il processo di provisioning AMT: Consenti Crea tutti gli oggetti figlio e eliminare tutti gli oggetti figlio e si applicano a solo questo oggetto.

  • Per il gruppo di protezione universale che vengono utilizzate durante il processo di provisioning AMT: Consenti lettura e scrivere, e si applicano a solo questo oggetto.

I servizi di rete seguenti:

  • Server DHCP con un ambito attivo

  • Server DNS per la risoluzione dei nomi

Per DHCP, verificare che le opzioni di ambito DHCP includono i server DNS (006) e il nome di dominio (015) e che il server DHCP aggiorna dinamicamente DNS con il record di risorse del computer.

WINS non può essere utilizzato per la risoluzione dei nomi di computer e il DNS è necessario per tutte le connessioni che utilizzano gestione fuori banda.Ciò include la connessione a computer basati su AMT da fuori banda management console inoltre al provisioning AMT.

Nota

AMT non può registrare un record host nel DNS, è necessario assicurarsi che con un record host per il nome di dominio completo del computer basato su AMT (FQDN) DNS Aggiorna DHCP o il sistema operativo.In alternativa, è possibile creare manualmente questi record in DNS in base alle esigenze.Per il supporto wireless, assicurarsi che DNS contiene record con l'indirizzo IP wireless per nome di dominio completo del computer basato su AMT.

Dipendenze di ruoli del sistema del sito per i computer che eseguiranno il punto di registrazione e il servizio fuori banda punto ruoli del sistema del sito.

Vedere la sezione nell'argomento .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Gestione remota Windows (WinRM) 1.1 o versione successiva deve essere installato nei computer che eseguono Windows XP se eseguite fuori banda console di gestione.

Per ulteriori informazioni sulle versioni di gestione remota Windows, vedere versioni di gestione remota Windows.

È necessario MSXML 6.0 nei computer che eseguono la console fuori banda management.

Controllo dei prerequisiti di installazione per Configuration Manager include il controllo per Microsoft MSXML 6.0.

La funzionalità di Windows, Telnet Client, deve essere installata nei computer che eseguono Windows 7, Windows Vista o Windows Server 2008, se il computer di eseguire la gestione fuori banda console ed eseguire comandi seriale-over-LAN.

Seriale su LAN utilizza il protocollo Telnet per l'esecuzione di una sessione di emulazione di terminale per il computer gestito, in cui è possibile eseguire comandi e le applicazioni basate su caratteri.Per altre informazioni, vedere Introduzione alla gestione fuori banda in Configuration Manager.

Computer per la gestione fuori banda devono appartenere alla stessa foresta di Active Directory come server di sistema del sito che eseguono il fuori banda punto per servizi e il punto di registrazione.

Inoltre, i computer devono condividere lo stesso spazio dei nomi; non sono supportati gli spazi dei nomi non contigui.

I seguenti scenari identificano i computer che non sono supportati per la gestione fuori banda.AMT deve essere disabilitata in questi computer:

  • Computer del gruppo di lavoro.

  • Computer che risiedono in una foresta di Active Directory diversa da computer che eseguono il servizio fuori banda punto ruolo del sistema del sito e il punto di registrazione.

  • Computer che risiedono nella stessa foresta di Active Directory come server di sistema del sito che eseguono il fuori banda punto e il punto di registrazione del servizio ma non condividono lo spazio dei nomi stesso (spazio dei nomi non contiguo).

    Ad esempio, un computer basato su AMT con il nome FQDN del computer1.northwindtraders.com non può eseguire il provisioning di sistema del sito punto di servizio di banda insufficiente con il nome FQDN di contoso.com, anche se appartengono alla stessa foresta di Active Directory.

  • Computer che risiedono nella stessa foresta di Active Directory come il punto fuori banda servizio server di sistema del sito ma dispone di uno spazio dei nomi non contiguo, ad esempio, un basati su AMT computer che dispone di un nome DNS di computer1.corp.fabrikam.com e si trova in un dominio di Active Directory denominato na.corp.fabrikam.com.

I dispositivi di rete quali router e firewall e Windows Firewall, se applicabile, devono consentire il traffico associato all'esterno di attività di gestione di banda.

Le porte seguenti vengono utilizzate da Gestione fuori banda:

  • Dal punto di servizio di banda al punto di registrazione fuori: HTTPS (per impostazione predefinita, la porta TCP 443).

  • Da fuori banda server di sistema del sito di punto di servizio a controller di gestione AMT per il controllo dell'alimentazione avviata dalla console di Configuration Manager e pianificato le attività, il provisioning e individuazione: TCP 16993.

  • Da computer che eseguono la console fuori banda gestione alla gestione di AMT controller per tutte le attività di gestione avviate da fuori banda console di gestione (inclusi comandi di accensione): TCP 16993.

  • Dal computer che eseguono la console fuori banda gestione ai controller di gestione AMT seriale su LAN e reindirizzamento IDE: TCP 16995.

IPv4.

IPv6 non è supportata.Fuori banda gestione utilizza solo IPv4.

Ambienti IPsec completi non sono supportati.

Non configurare i criteri IPsec per le comunicazioni tra computer che verranno gestiti fuori banda e di server di sistema del sito punto di servizio di banda insufficiente di AMT.

Un'infrastruttura di supporto per 802.1 X autenticata reti cablate e wireless:

  • Supporto di reti cablate autenticate 802.1 X: Opzioni di autenticazione client di EAP-TLS, EAP-TTLS/MSCHAPv2 o PEAPv0/EAP-MSCHAPv2.

  • Supporto senza fili: Protezione WPA e WPA2, AES o TKIP, opzioni di autenticazione client di EAP-TLS, EAP-TTLS/MSCHAPv2 o PEAPv0/EAP-MSCHAPv2.

Nota

Se si utilizzano metodi di autenticazione client di EAP-TLS o EAP-TTLS/MSCHAPv2 con un certificato client, la soluzione RADIUS deve supportare l'autenticazione utilizzando il formato seguente: domain\computer_account.

Per gestire computer basati su AMT fuori banda su un 802.1 X per reti cablate autenticate o una connessione wireless, è necessario disporre di un'infrastruttura di supporto per questi ambienti.Queste reti è configurabile tramite una soluzione Microsoft RADIUS, ad esempio Server dei criteri di rete in Windows Server 2008.Se sono compatibile con 802.1 X e le opzioni di configurazione elencate per il supporto autenticato cablate 802.1 X supporto e wireless, è possono utilizzare altre soluzioni RADIUS.

Per ulteriori informazioni sui Server dei criteri di rete in Windows Server 2008, vedere Server dei criteri di rete.

Per ulteriori informazioni sulle altre soluzioni RADIUS, vedere Intel vPro Expert Center: Microsoft vPro Manageability.

Dipendenze di Configuration Manager

Nella tabella seguente vengono elencate le dipendenze all'interno di Configuration Manager per l'esecuzione di gestione fuori banda.

Dipendenza

Altre informazioni

Il sito primario deve essere in esecuzione System Center 2012 Configuration Manager e aver installato il fuori banda punto per servizi e il punto di registrazione.

Il punto fuori banda servizio necessario nella stessa foresta di Active Directory come server del sito ed è possibile installare un solo dal punto di servizio di banda in ciascun sito primario.

Passaggio 4: Configurare il punto di registrazione e punto fuori banda del servizio per il Provisioning AMT 

Computer che si desidera gestire fuori banda devono avere la Configuration Manager client installato e deve essere assegnato a un sito primario.

System_CAPS_importantImportante

Computer basati su AMT Intel assegnati alla stessa Configuration Manager sito deve avere un nome univoco, anche quando appartengono a domini diversi e pertanto hanno un FQDN unico.

 Come installare i client in computer basati su Windows in Configuration Manager

Per configurare Gestione fuori banda, è necessario disporre di autorizzazioni di sicurezza seguenti:

  • Site: Lettura e modificare

  • Profilo di registrazione del dispositivo mobile: Lettura, creare, modificare, metro sito, e la gestione dei certificati per la distribuzione del sistema operativo

Il amministratore completo ruolo di sicurezza include queste autorizzazioni.

Per gestire computer fuori banda, è necessario disporre delle seguenti autorizzazioni di sicurezza per le raccolte che contengono i computer:

  • Provisioning AMT: Questa autorizzazione di sicurezza consente di gestire i computer AMT dalla console di Configuration Manager, che include lo stato del controller di gestione AMT, il provisioning di computer per AMT e le azioni di controllo di attivazione e l'applicazione delle impostazioni del Registro di controllo, la disattivazione di controllo e la cancellazione del Registro di controllo di individuazione.

  • Controllo AMT: Questa autorizzazione di sicurezza consente di visualizzare e gestire i computer utilizzando la console fuori banda management e avviare azioni di controllo alimentazione nella console di Configuration Manager.Il Remote Tools il ruolo di sicurezza include le Controlla AMT autorizzazione.

  • Lettura e Modifica impostazione raccolta per abilitare il provisioning AMT per la raccolta.

  • Provisioning AMT, lettura, e Leggi risorsa per rimuovere informazioni di provisioning e aggiornare i controller di gestione AMT.

Per ulteriori informazioni su come configurare le autorizzazioni di sicurezza, vedere Configurare l'amministrazione basata su ruoli.

Punto di Reporting services.

Utilizzare Configuration Manager report per gestione fuori banda, è necessario installare e configurare punti di reporting services.

Per altre informazioni, vedere Reporting di Configuration Manager.