• 아티클

Configuration Manager에서 대역외 관리에 대 한 필수 구성 요소

 

적용 대상: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

대역외 관리 System Center 2012 Configuration Manager 는 외부 종속성과 제품 내 종속성.

System_CAPS_important중요

대역외 관리 Configuration Manager Intel Active Management Technology (Intel AMT) 및 Microsoft 공개키 인프라 (PKI) 기술에는 외부 종속성입니다.구성에 대 한 신뢰할 수 있는 정보 또는 이러한 외부 종속성에 대 한 기술 세부 정보에 대 한 관련된 기술에 대 한 제품 설명서를 참조 합니다.

Intel AMT 및 Intel 설치 및 구성 소프트웨어에 대 한 내용은 Intel 설명서 또는 컴퓨터 제조업체의 설명서를 참조 하십시오.추가 정보에 대 한 참조 Intel vPro Expert Center: Microsoft vPro 관리 효율성.

Microsoft 공용 키 인프라 (PKI) 기술에 대 한 정보를 참조 하십시오. Windows Server 2008 Active Directory 인증서 서비스.

Configuration Manager 외부 종속성

다음 표에서 대역외 관리의 부족에 대 한 외부 종속성을 나열 합니다.

종속성

추가 정보

Microsoft 엔터프라이즈 CA (인증 기관) 인증서 템플릿 배포 하 고 대역외 관리에 필요한 인증서를 관리 합니다.

발급 CA 인증서는 AMT 컴퓨터의 요청 된 계정에 자동으로 승인 해야 Configuration Manager AMT 프로 비전 프로세스 중 Active Directory 도메인 서비스를 만듭니다.

AMT 인증서를 해지 하려면 발급 CA는 등록 지점 사이트 시스템 역할이 설치 된 서버에 대 한 인증서 발급 및 관리 권한으로 구성 되어야 합니다.

System_CAPS_important중요

AMT 2048 비트 보다 큰 키 길이 사용 하 여 CA 인증서를 지원할 수 없습니다.

대역외 서비스 지점과 대역외 관리 되는 각 데스크톱 또는 랩톱 컴퓨터의 부재는 독립적으로 관리에서 Configuration Manager는 PKI 인증서를 특정 있어야 합니다.

인증서 요구 사항에 대한 자세한 내용은 Configuration Manager를 위한 PKI 인증서 요구 사항 섹션을 참조하세요.

단계별 지침은 AMT용 인증서 배포을 참조하십시오.

발급 CA에서 AMT 인증서를 해지 하려면 등록 지점 사이트 시스템 서버에 대 한 컴퓨터 계정에 DCOM 권한이 있어야 합니다.이 사이트 시스템 컴퓨터 (Windows Server 2008)에 대 한 인증서 서비스 DCOM 액세스 또는 CERTSVC_DCOM_ACCESS (Windows Server 2003 SP1 이상)에서 발급 CA가 있는 도메인 보안 그룹의 구성원 인지 확인 합니다.

다음 구성 사용 하 여 데스크톱 또는 랩톱 컴퓨터:

  • Intel vPro 기술 또는 Intel Centrino 전문가 기술

  • 지원 되는 PKI의 프로 비전 모드와 엔터프라이즈 모드용으로 구성 하는 Intel AMT 버전

  • Intel HECI 드라이버

AMT 버전에 대 한 내용은 하는 Configuration Manager 을 지 원하는 참조는 섹션에 항목입니다.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigOOB

Intel 웹사이트에서 최신 HECI 드라이버를 다운로드 하 고 Intel 요구 사항에 대 한 컴퓨터 제조업체의 설명서를 참조 하십시오.

Active Directory 컨테이너 및 유니버설 보안 그룹:

  • Active Directory 컨테이너 AMT 기반 컴퓨터 상주 하는 도메인에 대 한 올바른 보안 권한을 구성 해야 합니다.사이트에서 여러 도메인에서 AMT 기반 컴퓨터를 관리 하는 경우 모든 도메인에 대해 동일한 컨테이너 이름 및 경로 사용 해야 합니다.

  • AMT 기반 컴퓨터에 대 한 컴퓨터를 포함 하는 유니버설 보안 그룹을 차지 합니다.

참고

대역외 관리에 대 한 Active Directory 스키마를 확장할 필요가 없습니다.

AMT 프로 비전 프로세스 중 Configuration Manager이 Active Directory 컨테이너 또는 조직 구성 단위 (OU)에 컴퓨터 계정의 만들고 유니버설 보안 그룹에 계정을 추가 합니다.

사이트 서버 컴퓨터에는 다음 권한이 필요합니다.

  • AMT 프로 비전 프로세스 중에 사용 되는 OU: 허용 모든 자식 개체 만들기모든 자식 개체 삭제 에 적용 하 고 이 개체만.

  • AMT 프로 비전 프로세스 중에 사용 되는 유니버설 보안 그룹: 허용 읽기쓰기, 적용 및 이 개체만.

다음 네트워크 서비스:

  • 활성화 범위는 DHCP 서버

  • 이름 확인에 대 한 DNS 서버

DHCP, DNS 서버 (006) 및 도메인 이름 (015) DHCP 범위 옵션을 포함 하 고 DHCP 서버 컴퓨터 리소스 레코드와 DNS를 동적으로 업데이트를 확인 합니다.

컴퓨터 이름을 확인 하기 위한 WINS를 사용할 수 없습니다 및 대역외 관리에 사용 되는 모든 연결에 DNS가 필요 합니다.연결할 AMT 기반 컴퓨터에 대역외 관리 콘솔에서 또한 AMT 프로 비전 포함 됩니다.

참고

DHCP 또는 운영 체제는 AMT 기반 컴퓨터의 정규화 된 도메인 이름 (FQDN)에 대 한 호스트 레코드를 DNS 업데이트를 확인 해야 하므로 AMT DNS에서 호스트 레코드를 등록할 수 없습니다.또는 수동으로 만들면 이러한 레코드 DNS에서 필요에 따라 됩니다.무선 지원에 대 한 DNS AMT 기반 컴퓨터의 정규화 된 도메인 이름에 대 한 무선 IP 주소를 사용 하 여 레코드를 포함 되어있는지 확인 합니다.

등록 지점 및 대역외 서비스 지점 사이트 시스템 역할을 실행 하는 컴퓨터에 대 한 사이트 시스템 역할 종속성.

항목의 섹션을 참조하세요.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Windows 원격 관리 (WinRM) 1.1 이상 대역외 관리 콘솔을 실행 하는 경우 Windows XP를 실행 하는 컴퓨터에 설치 되어야 합니다.

WinRM 버전에 대 한 자세한 내용은 참조 버전의 Windows 원격 관리.

MSXML 6.0 대역외 관리 콘솔을 실행 하는 컴퓨터에 필요 합니다.

에 대 한 설치 필수 구성 요소 검사에서 Configuration Manager Microsoft MSXML 6.0에 대 한 확인을 포함 합니다.

텔넷 클라이언트는 Windows 기능을 대역외 관리를 실행할 컴퓨터 콘솔 및 직렬-over LAN 명령을 수행 하는 경우 Windows 7, Windows Vista 또는 Windows Server 2008을 실행 하는 컴퓨터에 설치 되어야 합니다.

LAN 통한 직렬 명령 및 문자 기반 응용 프로그램을 실행할 수 있는 관리 되는 컴퓨터에 대 한 터미널 에뮬레이션 세션을 실행 하려면 텔넷 프로토콜을 사용 합니다.자세한 내용은 Configuration Manager에서 대역외 관리 소개 항목을 참조하세요.

컴퓨터를 대역외 관리 하도록 대역외 서비스 지점 및 등록 지점 아웃을 실행 하는 사이트 시스템 서버와 동일한 Active Directory 포리스트에 속해야 합니다.

또한 컴퓨터는 동일한 네임 스페이스를 공유 해야 합니다. 비연속 네임 스페이스 지원 되지 않습니다.

다음 시나리오는 대역외 관리에 대 한 지원 하지 않는 컴퓨터를 식별 합니다.이러한 컴퓨터에서 AMT은 사용 하지 않도록 설정 해야 합니다.

  • 작업 그룹 컴퓨터입니다.

  • 대역외 서비스의 확장을 실행 하는 컴퓨터에서 다른 Active Directory 포리스트에 있는 컴퓨터에 사이트 시스템 역할 및 등록 지점 가리킵니다.

  • 에 있는 컴퓨터에 동일한 Active Directory 포리스트에 밴드의 부재를 실행 하는 사이트 시스템 서버 서비스 지점 및 등록 지점 하지만 동일한 네임 스페이스 (연속 되지 않은 네임 스페이스)을 공유 하지 않습니다.

    예를들어 computer1.northwindtraders.com의 FQDN으로 AMT 기반 컴퓨터를 사용 하는 동일한 Active Directory 포리스트에 속해 있는 경우에 contoso.com의 FQDN으로 대역외 서비스 지점 사이트 시스템의 부족 하 여 프로비저닝할 수 없습니다.

  • 대역외 서비스 지점으로 동일한 Active Directory 포리스트에 있는 컴퓨터에 사이트 시스템 서버 있지만 비연속 네임 스페이스가 — 예는 AMT 기반 컴퓨터 DNS 이름이 computer1.corp.fabrikam.com 및 na.corp.fabrikam.com 라는 Active Directory 도메인에 상주 하는 합니다.

라우터 및 방화벽 및 해당 하는 경우 Windows 방화벽 같은 중간 네트워크 장치에 연결 된 대역외 관리 활동에서 트래픽을 허용 해야 합니다.

다음 포트는 대역외 관리에 사용 됩니다.

  • 등록 지점에 대역외 서비스 지점의 제한: HTTPS (기본적으로 포트 TCP 443).

  • 밴드의 부재에서 전원 제어에 대 한 AMT 관리 컨트롤러에 서비스 지점 사이트 시스템 서버 Configuration Manager 콘솔에서 시작 하 고 예약 된 작업, 프로 비전 및 검색: TCP 16993 합니다.

  • AMT 관리 대역외 관리 콘솔을 실행 하는 컴퓨터에서 모든 관리 작업에 대 한 컨트롤러 대역외 관리 콘솔 (포함 하 여 전원 켜기 명령)에서 시작 합니다. TCP 16993 합니다.

  • over LAN과 IDE 리디렉션을 serial AMT 관리 컨트롤러를 대역외 관리 콘솔을 실행 하는 컴퓨터: TCP 16995 합니다.

I p v 4입니다.

I p v 6이 지원 되지 않습니다.대역외 관리만 i p v 4를 사용합니다.

전체 IPsec 환경 지원 되지 않습니다.

AMT 부족 대역외 서비스 지점 사이트 시스템 서버와 대역외 관리 되는 컴퓨터 간의 통신에 대 한 IPsec 정책을 구성 하지 마십시오.

인프라 지원에 대 한 802.1 X 인증 유선된 네트워크 및 무선 네트워크:

  • 인증 된 유선된 802.1 X를 지원합니다. EAP-TLS 또는 TTLS/Eap-mschapv2 또는 PEAPv0/Eap-mschapv2의 클라이언트 인증 옵션입니다.

  • 무선 지원: WPA, WPA2 보안, AES 또는 TKIP 암호화, EAP-TLS 또는 TTLS/Eap-mschapv2 또는 PEAPv0/Eap-mschapv2의 클라이언트 인증 옵션입니다.

참고

클라이언트 인증서와 EAP TLS 또는 TTLS/Eap-mschapv2 인증 방법 클라이언트를 사용 하는 경우 RADIUS 솔루션 다음 형식을 사용 하 여 인증을 지원 해야 합니다: domain\computer_account.

802.1 X 인증 된 유선된 네트워크 또는 무선 연결에서 대역외 AMT 기반 컴퓨터를 관리 하려면 이러한 환경에 대 한 지원 인프라가 있어야 합니다.Windows Server 2008에서 네트워크 정책 서버와 같은 Microsoft RADIUS 솔루션을 사용 하 여 이러한 네트워크를 구성할 수 있습니다.802.1 X 호환 및 지원에 대 한 구성 옵션 나열 된 인증 유선된 802.1 X 지원 및 무선 지원 되는 경우에 다른 RADIUS 솔루션을 사용할 수 있습니다.

Windows Server 2008에서 네트워크 정책 서버에 대 한 자세한 내용은 참조 네트워크 정책 서버.

다른 RADIUS 솔루션에 대 한 자세한 내용은 참조 Intel vPro Expert Center: Microsoft vPro 관리 효율성.

Configuration Manager 종속성

다음 표에서 내 종속성 Configuration Manager 실행 대역외 관리에 대 한 합니다.

종속성

추가 정보

기본 사이트를 실행 해야 System Center 2012 Configuration Manager 부족 대역외 서비스 지점과 등록 지점을 설치 하 고 있습니다.

대역외 서비스 지점 사이트 서버와 동일한 Active Directory 포리스트에 있어야 하 고 각 기본 사이트에서 대역외 서비스 지점을 하나만 설치할 수 있습니다.

4단계: AMT 프로 비전에 대 한 등록 지점 및 대역외 서비스 지점 구성 

대역외 관리 하려는 컴퓨터에 있어야는 Configuration Manager 클라이언트 설치와 기본 사이트에 할당 되어야 합니다.

System_CAPS_important중요

Intel AMT 기반 컴퓨터에 동일한 할당 되는 Configuration Manager 경우에 다른 도메인에 속해 고유 FQDN이 있는 따라서 사이트는 고유한 컴퓨터 이름에 있어야 합니다.

 Configuration Manager에서 Windows 기반 컴퓨터에 클라이언트를 설치하는 방법

대역외 관리를 구성 하려면 다음 보안 권한이 있어야 합니다.

  • Site: 읽기수정

  • 모바일 장치 등록 프로필: 읽기, 만들, 수정, 사이트 미터링, 및 운영 체제 배포에 대 한 인증서 관리

전체 관리자 보안 역할에는 이러한 사용 권한을 포함 합니다.

대역외에서 컴퓨터를 관리 하려면 컴퓨터를 포함 하는 컬렉션에 대 한 다음 보안 권한이 있어야 합니다.

  • AMT 프로 비전: 이 보안 권한을 사용 하면 검색 AMT 및 감사 동작을 사용 하도록 설정 하 고 감사 로그 설정, 해제, 감사 및 감사 로그 지우기 적용에 대 한 컴퓨터를 프로 비전 되는 AMT 관리 컨트롤러의 상태를 포함 하는 Configuration Manager 콘솔에서 AMT 컴퓨터를 관리할 수 있습니다.

  • AMT 제어: 이 보안 권한을 보고 대역외 관리 콘솔을 사용 하 여 컴퓨터를 관리 하 고 Configuration Manager 콘솔에서 전원 제어 작업을 시작할 수 있습니다.원격 도구 보안 역할에 포함 되어는 AMT 제어 권한.

  • 읽기컬렉션 설정 수정 컬렉션에 대 한 AMT 프로 비전 할 수 있도록 합니다.

  • AMT 프로 비전, 읽기, 및 리소스 읽기 를 프로 비전 정보를 제거 하 고 AMT 관리 컨트롤러를 업데이트 합니다.

보안 권한을 구성 하는 방법에 대 한 자세한 내용은 참조 역할 기반 관리 구성합니다.

보고 서비스 지점.

사용 하 여 Configuration Manager 보고 서비스 지점을 보고 대역외 관리를 설치 및 구성 해야 합니다.

자세한 내용은 Configuration Manager의 보고 기능 항목을 참조하세요.