• Artikel

Voorbeeldscenario voor de uitvoering van out-of Bandbeheer in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notitie

Dit onderwerp wordt behandeld in de gids Activa en naleving in System Center 2012 Configuration Manager en in de gids Scenarios and Solutions Using System Center 2012 Configuration Manager (Scenario's en oplossingen waarvoor wordt gebruikgemaakt van Solutions Using System Center 2012 Configuration Manager).

De volgende secties in dit onderwerp vindt u een voorbeeldscenario voor de uitvoering van out-of bandbeheer in System Center 2012 Configuration Manager, met behulp van een drie gefaseerde benadering:

  • Leider: Een aantal Computers die gebruikmaken van certificaatservices (interne CA) voor de Provisioning certificaat testen

  • Implementatie: Volledige implementatie met een externe Certificeringsinstantie voor de Provisioning certificaat

  • Draadloze ondersteuning toevoegen: Management uitbreiden met draadloze netwerken

In het volgende scenario Trey Research is geïnteresseerd in out-of bandbeheer efficiënter problemen met met computers die niet worden gestart of reageert, vereisen dat op voor routineonderhoud of vereisen de BIOS-instellingen configureren.Dit bedrijf heeft Intel AMT-computers met versies van AMT die worden ondersteund door Configuration Manager, maar er geen aangepaste firmware met de vingerafdruk van het certificaat van hun eigen interne basiscertificeringsinstantie (CA).

Trey Research heeft één Configuration Manager primaire site en alle interne computers bevinden zich in de testnet.treyresearch.net domein.Het bedrijf heeft al een bestaande infrastructuur voor openbare sleutel (PKI)-infrastructuur die gebruikmaakt van Windows Server 2008 Certificate Services en heeft een ondernemingscertificeringsinstantie met Windows Server 2008 Enterprise Edition.

ADAM is de Configuration Manager administratieve gebruiker die is gevraagd om te implementeren out-of bandbeheer via een benadering drie fase.Hij eerst test de functionaliteit met behulp van een klein aantal desktopcomputers en zonder een provisioning certificaat aanschaffen van een externe CA.Als het goed Adam kunt aanschaffen een AMT-levering testen gaan certificaat en alle AMT gebaseerde desktopcomputers inrichten.Voor de fase definitieve implementatie Adam gevraagd om uit te breiden de buiten-band-beheer aan laptops die gebruikmaken van het draadloze netwerk.

Leider: Een aantal Computers die gebruikmaken van certificaatservices (interne CA) voor de Provisioning certificaat testen

Voor de prototype fase te implementeren en testen out-of bandbeheer duurt Adam treffen die worden beschreven in de volgende tabel.

Proces

Verwijzing

ADAM controleert de vereisten voor out-of bandbeheer en wil maken van een siteserver waarop hij de buiten-uitzonderingsservicepunt en het registratiepunt wordt geïnstalleerd.Deze computer heeft de volledig gekwalificeerde domeinnaam (FQDN) van server15.testnet.treyresearch.net.

ADAM bevestigt ook dat de bestaande DHCP en DNS-configuratie voldoet aan de vereisten voor tot.

Zie voor meer informatie over de vereiste items Vereisten voor out-of Bandbeheer in Configuration Manager.

ADAM werkt met zijn Active Directory-service-beheerders om de volgende Windows-beveiligingsgroepen te maken:

  • Een groep met de naam servicepunten voor Configuration Manager buiten-Band die bevat server15.

  • Een groep met de naam Configuration Manager-primaire siteservers die de computeraccount van de primaire site-server bevat.

  • Een universele beveiligingsgroep met de naam Configuration Manager AMT Computers waarin de accounts AMT-computer.

Ze Maak een organisatie-eenheid (OE) in de testnet.treyresearch.net domein voor de gepubliceerde AMT gebaseerde computeraccounts en de zojuist gemaakte groep verlenen Configuration Manager-primaire siteservers de volgende machtigingen voor deze organisatie-eenheid: Computerobjecten maken en Computerobjecten verwijderen.

Zie de documentatie van Active Directory Domain Services voor meer informatie over het maken van groepen en OE's opnemen.

ADAM werkt met het team van PKI met de volgende resultaten:

  • De web server-certificaatsjabloon is gedupliceerd en geconfigureerd voor het registratiepunt.Het is geïnstalleerd en geconfigureerd in IIS op server15.

  • Een aangepaste sjabloon is gemaakt te vragen en installeer het certificaat van AMT-provisioning op server15.

  • De web server-certificaatsjabloon is gedupliceerd en geconfigureerd, zodat deze geschikt voor out-of bandbeheer is.

  • Ze identificeren en noteer de vingerafdruk van het certificaat van de basis-CA die handmatig worden toegevoegd aan de AMT-firmware totdat ze een provisioning certificaat van een externe CA aanschaffen heeft.

Zie voor meer informatie over het implementeren van de PKI-certificaten die vereist zijn voor out-of bandbeheer de De certificaten voor AMT implementeren sectie de Voorbeeld van stapsgewijze implementatie van de PKI-certificaten voor Configuration Manager: Windows Server 2008-certificeringsinstantie onderwerp.

Zie PKI-certificaatvereisten voor Configuration Manager voor meer informatie over certificaatvereisten.

Als u de desktop AMT-computers die Adam wordt gebruikt bij de eerste test voorbereiden, controleert Adam dat de AMT firmware configuratie juist is en de certificaatvingerafdruk van hun interne basiscertificeringsinstantie voegt:

  1. Als de computer wordt gestart, drukt hij CTRL + P het ME configureren module.

  2. Selecteert hij Intel (R) ME configuratie, Intel (R) ME functie besturingselement, beheersbaarheid Functieselectie, en vervolgens de Intel AMT (R).Hij wordt afgesloten en de computer opnieuw opgestart.

  3. Hij voert de ME module opnieuw, selecteert Intel (R) AMT configuratie, Setup en configuratie, om te controleren of de waarde voor de huidige bepaling modus is PKI.De waarde is geen PKI, dus hij selecteert TLS PKI, en stelt de configuratie van extern naar inschakelen.

  4. In de TLS-PKI sectie selecteert hij beheren certificaat Hashes, op de toets drukt en typt u de certificaatvingerafdruk van diens interne basiscertificeringsinstantie.

  5. Hij slaat de wijzigingen, afgesloten en de computer opnieuw opstarten.

Zie de documentatie van Intel voor meer informatie.

ADAM vervolgens configureert u de primaire site van Configuration Manager en zorgt ervoor dat de volgende wijzigingen:

  • Hij wordt een nieuwe site system-server geïnstalleerd op server15, geconfigureerd met de FQDN-naam van het intranet van server15.treyresearch.net, en vervolgens wordt de buiten-uitzonderingsservicepunt en het registratiepunt.Hij vervolgens configureert u de Out of Bandbeheer onderdeel.

  • Op de AMT inrichten certificaat -pagina voor de buiten-band-servicepunt zoekopdrachten hij aan het inrichtingsproces AMT-certificaat dat hij geïnstalleerd.

  • Op de Out of Band Management onderdeeleigenschappen in het dialoogvenster hij configureert u het volgende:

    • Op de algemene tabblad hij Hiermee geeft u de organisatie-eenheid dat hij gemaakt in testnet.treyresearch.net, de universele beveiligingsgroep die hij heeft gemaakt, bladert de AMT web server certificaatsjabloon dat hij eerder hebt gemaakt en configureert u een sterk wachtwoord voor het MEBx Account.

    • Op de AMT-instellingen tabblad geeft hij zijn eigen account als een AMT-Account en een Windows-domein globale beveiligingsgroep met help helpdesk technici die zullen worden gebruikt voor de buiten-band-beheerconsole.Hij selecteert u ook de opties seriële inschakelen via LAN en IDE-omleiding, ping antwoorden toestaan, en inschakelen BIOS-wachtwoord overslaan voor power op en opnieuw starten opdrachten.

Voor meer informatie raadpleegt u de volgende secties in de Het inrichten en AMT gebaseerde Computers in Configuration Manager configureren onderwerp:

Adam wil essentiële software-updates installeren op computers met Wake op LAN-technologie.Hij heeft geprobeerd deze functie in het verleden en ontdekt dat subnet gericht uitzendingen te veel netwerkbandbreedte ten opzichte van de externe koppelingen verbruikt en enkele van hun netwerkadapters heeft gewerkt met unicast-verzendingen.

Hij kan Wake on LAN en besluit om te zorgen dat de optie van Gebruik power op opdrachten als de computer ondersteunt deze technologie; anders gebruiken wake-uppakketten.

Zie voor meer informatie de Stap 6: Configureren van de Site voor het verzenden van kracht op opdrachten voor geplande Wake-uppakketten activiteiten stap het Het inrichten en AMT gebaseerde Computers in Configuration Manager configureren onderwerp.

ADAM voegt toe aan de kolom AMT Status naar de Configuration Manager console en maakt u een nieuwe verzameling met slechts vijf AMT gebaseerde computers als zijn initiële leider.Deze computers zijn alleen voor testdoeleinden en andere ondersteunde versies van bedrag bevattenHij configureert u deze verzameling voor AMT-levering.

Zie voor meer informatie de Stap 7: De AMT-Status en het inschakelen van de AMT-levering weergeven stap het Het inrichten en AMT gebaseerde Computers in Configuration Manager configureren onderwerp.

ADAM controleert of de AMT inrichtingsproces.

Zie voor meer informatie de Stap 8: Monitoring AMT-levering stap het Het inrichten en AMT gebaseerde Computers in Configuration Manager configureren onderwerp.

Wanneer de computers zijn is ingericht voor AMT, begint Adam testen van deze computers voor out-of bandbeheer.

Voorbeeld scenario's van het gebruik van out-of bandbeheer, Zie Voorbeeld scenario's voor het gebruik van out-of Bandbeheer in Configuration Manager.

Implementatie: Volledige implementatie met een externe Certificeringsinstantie voor de Provisioning certificaat

Wanneer het oorspronkelijke testen is voltooid, ontvangt Adam bevestiging van zijn manager die buiten het band-beheer kan worden in tegenstelling tot alle AMT gebaseerde workstation-computers.Als de vereiste de vingerafdruk van hun interne basis-CA-certificaat toevoegen aan elke AMT gebaseerde computer bepaalde, Adam een provisioning certificaat van een externe CA aankopen en installeert op server15, volgens de bijbehorende instructies.

ADAM neemt de cursus komen die in de volgende tabel worden beschreven.

Proces

Verwijzing

ADAM controleert de vereisten voor out-of bandbeheer opnieuw om te zien of er extra wijzigingen die hij heeft zijn te maken.Hij opmerkingen bij de volgende:

  • Er zijn vereisten voor poorten die hij betrekking op de firewall-beheerder hebben moet zodat help helpdesk technici verbinding kunnen maken met AMT-computers in de externe sites die worden beschermd door de firewall intern bedrijf.

  • Sommige help helpdesk computers nog steeds Windows XP wordt uitgevoerd en zodat hij moet controleren van deze computers voor de versie van Windows Remote Management (WinRM) en de versie bijwerken, indien nodig.

  • Hij moet help helpdesk technici toevoegen aan een beveiligingsrol voor een juiste om uit te voeren van de buiten-band-beheerconsole.

Zie Vereisten voor out-of Bandbeheer in Configuration Manager voor meer informatie.

ADAM configureert u de eigenschappen van de buiten-band-servicepunt, bladert het nieuwe AMT provisioning certificaat en de wijzigingen worden opgeslagen.

Zie voor meer informatie de Stap 4: Het registratiepunt en van de Uitzonderingsservicepunt configureren voor AMT-levering stap het Het inrichten en AMT gebaseerde Computers in Configuration Manager configureren onderwerp.

ADAM maakt nieuwe collecties geleidelijk implementeert AMT-levering voor workstation-computers.Gedurende een periode van vier weken kan hij deze collecties voor AMT inrichten en monitors die momenteel worden uitgevoerd.

Zie voor meer informatie de Stap 7: De AMT-Status en het inschakelen van de AMT-levering weergeven stap het Het inrichten en AMT gebaseerde Computers in Configuration Manager configureren onderwerp.

Als gevolg van deze cursus komen alle Intel AMT-Werkstationcomputers worden ingericht voor AMT en buiten-bandbeheer kunnen worden beheerd door de helpdesk.De mogelijkheid om problemen op te herstellen computers wanneer het besturingssysteem niet aanzienlijk functioneert minder totale gebruikskosten voor het bedrijf omdat technici lokale toegang tot de computer niet meer nodig.

Draadloze ondersteuning toevoegen: Management uitbreiden met draadloze netwerken

Na de geslaagde implementatie voor workstations gebruiken out-of bandbeheer wil Trey Research nu deze ondersteuning naar laptopcomputers die gebruikmaken van het draadloze netwerk uitbreiden.Het draadloze netwerk maakt gebruik van een Windows Server 2008-server waarop NPS Network Policy Server () wordt uitgevoerd en een clientcertificaat voor verificatie vereist.

ADAM neemt de cursus komen die in de volgende tabel worden beschreven.

Proces

Verwijzing

ADAM controleert de ondersteuning voor draadloze vereisten voor out-of bandbeheer en controleert u of de versies van AMT op de laptops draadloze profielen wordt ondersteund.Hij opmerkingen bij de configuratie-instellingen die voor de Network Policy Server als WPA2-beveiliging, AES-codering en EAP-TLS-verificatie vereist zijn.

Zie voor meer informatie over de vereiste items Vereisten voor out-of Bandbeheer in Configuration Manager.

ADAM werkt met het team van PKI een extra certificaatsjabloon die de AMT-computers gebruiken om te verifiëren met de Network Policy Server maken.

Zie voor meer informatie over het maken van de client certificaatsjabloon "Maken en de Client verificatie certificaten voor 802. 1 X AMT gebaseerde Computers" in de De certificaten voor AMT implementeren sectie van de Voorbeeld van stapsgewijze implementatie van de PKI-certificaten voor Configuration Manager: Windows Server 2008-certificeringsinstantie onderwerp.

Zie PKI-certificaatvereisten voor Configuration Manager voor meer informatie over certificaatvereisten.

ADAM configureert u de Out of Band Management onderdeeleigenschappen: 802. 1 X- en Wireless tabblad:

  • Hij maakt een draadloze profiel met de naam, het type van WPA2-Enterprise en de versleutelingsmethode van AES.Hij selecteert vervolgens de vertrouwd basiscertificaat van de Network Policy Server en de client certificaatsjabloon dat eerder is gemaakt.

Zie voor meer informatie stap 26 tot en met 39 in de Stap 5: Configureren van de buiten-Band-Management-onderdeel sectie de Het inrichten en AMT gebaseerde Computers in Configuration Manager configureren onderwerp.

ADAM Hiermee maakt u een nieuwe verzameling voor laptops die ondersteuning bieden voor tot.Op de Out of Bandbeheer tabblad selecteert hij inschakelen voor AMT-computers inrichten.

ADAM controleert de status van de provisioning van deze laptops, en maakt gebruik van het logboekbestand Amtopmgr.log, om te controleren of het draadloze-profiel is geconfigureerd voor deze AMT-computers.

Tip

Adam wordt uitgevoerd als deze laptops al voor AMT zonder het draadloze profiel voorzien zijn, de inrichten gegevens bijwerken in het geheugen van Management Controller opdracht voor het draadloze instellingen worden toegepast.Zie het gedeelte Het bijwerken van Computers voor nieuwe AMT-instellingen in het onderwerp AMT-Inrichtingsgegevens in Configuration Manager beheren voor meer informatie.

Zie voor meer informatie over het controleren van AMT-levering de Stap 8: Monitoring AMT-levering stap het Het inrichten en AMT gebaseerde Computers in Configuration Manager configureren onderwerp.

Als gevolg van deze cursus komen worden laptops nu ook beheerd buiten-bandbeheer door de helpdesk, waardoor de tijd voor het oplossen van problemen, zoals gemeld door gebruikers van laptops.