• Artigo

Introdução à gestão fora de banda no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Gestão fora de banda no System Center 2012 Configuration Manager fornece um controlo de gestão poderosas para computadores que tenham o chip vPro Intel definir e uma versão do Intel Active gestão tecnologia (Intel AMT) que Gestor de configuração suporta.

Fora de banda gestão permite que um utilizador administrativo ligar ao controlador de gestão de AMT de um computador quando o computador estiver desativado, hibernation, ou caso contrário através do sistema operativo.Em contrapartida, gestão de quatro é abordar a clássica que Gestor de configuração e a sua utilização predecessoras, assinando um agente é executada no sistema operativo completo no computador gerido e o controlador de gestão atinge tarefas ao comunicar com o agente de gestão.

Fora de banda gestão supplements quatro gestão.Enquanto a gestão de quatro suporta uma vasta gama de operações porque o respetivo ambiente é o sistema de operativo completo, gestão de quatro poderão não estar funcional se o sistema operativo não está presente ou não está operacional.Nestas situações, utilizando as capacidades suplementares de gestão fora de banda, administrativos os utilizadores podem gerir estas computadores sem necessidade de acesso local para o computador.

Gestão fora de banda incluem as seguintes tarefas:

  • Powering num ou vários computadores (por exemplo, para manutenção em computadores fora horário comercial).

  • Powering desativar um ou vários computadores (por exemplo, as marcas de sistema operativo a responder).

  • Reiniciar um computador nonfunctioning ou booting a partir de um dispositivo localmente ligado ou ficheiro de imagem de arranque boa conhecido.

  • Reposição da imagem de um computador através do arranque a partir de um ficheiro de imagem de arranque localizado na rede ou através de um servidor PXE.

  • Reconfigurar as definições da BIOS no computador selecionado (e ignorar as a palavra-passe da BIOS se isto é suportado pelo fabricante da BIOS).

  • Arranque para um sistema operativo baseado em comandos para executar comandos, ferramentas de reparação ou aplicações de diagnóstico (por exemplo, para atualizar o firmware ou executar uma ferramenta de reparação de disco).

  • Configurar implementações de software agendada para reativação por cima computadores antes dos computadores estão em execução.

Estes fora de tarefas de gestão de banda são suportadas numa ligação com fios, não autenticada e um autenticados 802.1 X wired ligação e ligação sem fios.Fora de banda gestão também tem as seguintes funcionalidades adicionais:

  • Auditoria para funcionalidades AMT selecionadas.

  • Suporte para os Estados de power diferentes, para ajudar a poupar consumo de energia e adherence a política de IT.

  • Armazenamento de dados AMT, onde pode ser guardado até 4096 bytes em carateres ASCII na memória access aleatório nonvolatile (NVRAM) do controlador de gestão.

Por exemplo cenários de como fora de banda gestão pode ser utilizada, consulte o artigo Cenários de exemplo para utilizar gestão fora de banda no Configuration Manager.

Algumas das tarefas anteriores são efetuadas a partir do Gestor de configuração consola, enquanto outras necessitam de executar a fora da consola de gestão de banda que é fornecida com Gestor de configuração.Fora de banda gestão utiliza tecnologia de gestão remota do Windows (WS-homem) para ligar ao controlador de gestão de AMT num computador.

Nota

Fora de banda gestão não é suportado para clientes que são geridos através da Internet com gestão de clientes baseada na Internet.Gestor de configuração clientes que são bloqueados ou não aprovada por Gestor de configuração não pode ser gerido fora de banda.

A tabela seguinte descreve as funcionalidades e opções fornecidos gestão fora de banda no Gestor de configuração.

Funcionalidade ou cenário

Mais informações

Gestão baseado em segurança

Fora de banda gestão integra com uma infraestrutura de chave pública interna (PKI) utilizando os certificados seguintes:

  • Um certificado de aprovisionamento que está instalado a fora do ponto de serviço de banda, que lhe permite computadores ser configuradas para gestão fora de banda.

  • Um certificado de servidor web que está instalado no ponto de inscrição para comunicação protegida com o registo de saída do ponto de serviço de banda durante o processo de aprovisionamento.

  • Um certificado de servidor web que é instalado em cada computador que é gerido fora de banda para que comunicação é autenticada e é encriptada utilizando a segurança de camada de transporte (TLS).

  • Certificados de cliente, se necessário para a autenticação do 802.1 X.

Para mais informações sobre estes certificados, consulte Requisitos de Certificado PKI para o Configuration Manager.

Os administradores devem ser autenticados utilizando o Kerberos antes de poderem gerir computadores utilizando a fora da consola de gestão de banda.

Gestão fora de banda atividade é gravada e syslogs utilizando um registo de auditoria nos computadores baseado em AMT.

Suporte para 802.1 X autenticado redes com fios e redes sem fios:

  • Suporte de autenticado com fios 802.1 X: opções de autenticação de cliente de EAP-TLS ou EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2.

  • Suporte sem fios: WPA e WPA2 segurança, AES ou encriptação TKIP, opções de autenticação de cliente de EAP-TLS ou EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2.

Aprovisionamento de AMT

Ativa e configura baseado em Intel AMT computadores que estejam a executar o cliente do Configuration Manager.

Dados de inventário melhoradas

Fornece dados de inventário de hardware de chip AMT, como etiqueta de elementos, da BIOS UUID, estado de energia, processador, memória e informações de unidade.

Identificar controladores de gestão de AMT

Identifica os computadores com um controlador de gestão de AMT e o respetivo estado de aprovisionamento.

Esta informação pode ser utilizada para construir baseados na consulta coleções de sites para o grupo de computadores para fora de atividades de gestão de banda, tais como controlo de aprovisionamento e power.

Controlo de Power

Permite ligar, desligar e capacidades de reinício para um único computador, computadores selecionados ou uma coleção de computadores.

Também podem ser woken computadores para cima por implementações de software agendadas que tenham um prazo agendado.

Fora da consola de gestão de banda

Uma consola de gestão dedicado que está a ser executada a partir de Gestor de configuração consola ou uma linha de comandos, para iniciar fora de tarefas de gestão de banda, incluindo sessões IDE redirecionamento e série-sobre-LAN.

Nota

Capacidades podem variar consoante o fabricante do computador gerido.Por exemplo, a capacidade de redirecionamento e série-sobre-LAN IDE pode ser desativada pelo fabricante.

Redirecionamento IDE

Permite que o computador para arrancar a partir de um ficheiro de imagem de arranque ou dispositivo ligado localmente em vez do respetivo disco IDE interface.Isto é útil para diagnosticar, reparar ou imaging uma unidade de disco rígido.

Série ao longo de LAN

Tecnologia de série-sobre-LAN encapsula os dados a partir de uma porta virtual série e envia-a sobre a ligação de rede existente que estabelecida a fora da consola de gestão de banda.

Tecnologia de série-sobre-LAN permite-lhe executar uma sessão de terminal emulation para o computador gerido, na qual pode executar comandos e aplicações baseadas em caráter.Por exemplo, isto pode incluir reconfigurar da BIOS ou trabalhar em conjunto com o redirecionamento de IDE, pode atualizar o firmware ou executar ferramentas de diagnóstico.

Expandir gestão fora de banda no Configuration Manager

Para obter mais informações técnicas suportar e estender gestão fora de banda no Gestor de configuração, consulte o artigo ofertas de aplicação da Intel no site Microsoft Pinpoint.

Novidades do Configuration Manager

Nota

As informações desta secção também constam de o manual Getting Started with System Center 2012 Configuration Manager (Introdução ao System Center 2012 Configuration Manager).

Os seguintes itens novos e alteradas para gestão fora de banda desde Configuration Manager 2007:

  • O System Center 2012 Configuration Manager já não suporta o aprovisionamento fora de banda, o qual podia ser utilizado no Configuration Manager 2007 quando o cliente do Gestor de configuração não se encontrava, ou quando o computador não dispunha de um sistema operativo instalado.Para aprovisionar computadores para AMT no System Center 2012 Configuration Manager, estes necessitam de pertencer a um domínio do Active Directory, de ter o cliente do System Center 2012 Configuration Manager instalado e de estarem atribuídos a um site primário do System Center 2012 Configuration Manager.

  • Para aprovisionar computadores para AMT deverá instalar a nova função do sistema de sites e o ponto de inscrição, além do ponto de serviço fora de banda.É necessário instalar estas duas funções de sistema do site no mesmo site primário.

  • Existe uma nova conta, o conta remoção de aprovisionamento do AMT, que especificar no fora de propriedades de componentes de gestão do banda: Fornecimento separador.Se especificar esta conta e utilizar a mesma conta do Windows que foi especificada como uma conta de utilizador AMT, poderá utilizar esta para remover as informações de aprovisionamento AMT, caso necessite de recuperar o site.Poderá igualmente conseguir utilizá-lo se o cliente tiver sido reatribuído e as informações de aprovisionamento de AMT não tiverem sido removidas do site antigo.

  • Gestor de configuração já não gera uma mensagem de estado para avisar o utilizador que o certificado de aprovisionamento de AMT está prestes a expirar.É necessário verificar pessoalmente o período de validade restante e certificar-se de que renova este certificado antes de expirar.

  • A deteção AMT já não utiliza a porta TCP 16992, apenas a porta TCP 16993.

  • A porta TCP 9971 já não é utilizada para ligar o controlador de gestão de AMT ao ponto de serviço fora de banda para o aprovisionamento de computadores para AMT.

  • O ponto de serviço fora de banda utiliza HTTPS (por predefinição, a porta TCP 443) para estabelecer a ligação ao ponto de inscrição.

  • O conversor WS-MAN já não é suportado.

  • A tarefa de manutenção Repor palavras-passe de computadores AMT foi removida.

  • Já não é necessário selecionar permissões individuais para cada Conta de Utilizador de AMT.Em vez disso, todas as Contas de Utilizador AMT são automaticamente configuradas para os direitos Administração de PT (Configuration Manager 2007 SP1) ou Administração de plataforma (Configuration Manager 2007 SP2), os quais atribuem permissões para todas as funcionalidades AMT.

  • Necessita de especificar um grupo de segurança universal nas Propriedades do Componente de Gestão Fora de Banda para incluir as contas de computador AMT criadas pelo Gestor de configuração durante o processo de aprovisionamento AMT.

  • O computador do servidor de sites já não necessita do Controlo Total da unidade organizacional (UO) que é utilizado durante o aprovisionamento AMT.Em vez disso, atribuir as permissões Ler Membros e Escrever Membros (apenas a este objeto).

  • O ponto de inscrição, em vez do computador do servidor de sites primário passou a necessitar da permissão Emitir e Gerir Certificados na Autoridade de Certificação (AC) emissora.Esta permissão é necessária para revogar certificados AMT.Tal como no Configuration Manager 2007, esta conta de computador necessita de permissões DCOM para comunicar com a AC emissora.Para configurar esta opção, certifique-se de no Windows Server 2008 a conta de computador do servidor do sistema de sites do ponto de inscrição é membro do grupo de segurança Acesso DCOM do Serviço de Certificados ou, no caso do Windows Server 2003 SP1 ou posterior, membro do grupo de segurança CERTSVC_DCOM_ACCESS no domínio no qual a AC emissora reside.

  • Os modelos de certificados para o certificado de servidor Web de AMT e certificado de cliente AMT 802.1X já não utilizam a opção Fornecer no pedido e a conta do computador do servidor de sites já não necessita de permissões para os seguintes modelos de certificados:

    • Para o modelo de certificado de servidor Web AMT: No separador Assunto, selecione Incorporar a partir destas informações do Active Directory e, em seguida, selecione Nome comum como Formato de nome do requerente.No separador Segurança, atribua as permissões Ler e Inscrever ao grupo de segurança universal que especificou nas Propriedades do Componente de Gestão Fora de Banda.

    • Para o modelo de certificado de cliente AMT 802.1X: No separador Assunto, selecione Incorporar a partir destas informações do Active Directory e, em seguida, selecione Nome comum como Formato de nome do requerente.Desative a caixa de verificação Nome DNS e, em seguida, selecione Nome principal de utilizador (UPN) como nome de requerente alternativo.No separador Segurança, atribua as permissões Ler e Inscrever ao grupo de segurança universal que especificou em Propriedades do Componente do Ponto de Gestão Fora de Banda.

  • O certificado de aprovisionamento AMT já não necessita que a chave privada possa ser exportada.

  • Por predefinição, o ponto de serviço fora de banda verifica o certificado de aprovisionamento AMT relativamente à revogação de certificados.Esta situação ocorre quando o sistema de sites é executado pela primeira vez e quando o certificado de aprovisionamento AMT é alterado.Pode desativar esta opção nas Propriedades do Ponto de Serviço Fora de Banda.

  • Pode ativar ou desativar a Verificação CRL para o certificado do servidor Web AMT na consola de gestão fora de banda.Para alterar as definições, clique no menu Ferramentas e, em seguida, clique em Opções.A nova definição é utilizada quando voltar a estabelecer a ligação a um computador baseado em AMT.

  • Quando um certificado para um computador baseado em AMT é revogado, o motivo da revogação é atualmente Cessar a Operação, em vez de Substituído.

  • Os computadores baseados em AMT que forem atribuídos ao mesmo site do Gestor de configuração necessitam de ter um nome de computador exclusivo, mesmo que pertençam a domínios diferentes e, por conseguinte, disponham de um FQDN exclusivo.

  • Para reatribuir um computador baseado em AMT entre dois sites do Gestor de configuração, necessitará em primeiro lugar de eliminar as informações de aprovisionamento de AMT, de reatribuir o cliente e de executar novamente o cliente para AMT.

  • Os direitos de segurança Ver controladores de gestão e Gerir controladores de gestão do Configuration Manager 2007 são atualmente designados Aprovisionar AMT e Controlar AMT, respetivamente.A permissão Controlar AMT é automaticamente adicionada à função de segurança Operador de Ferramentas Remotas.Se um utilizador administrativo for atribuído à função de segurança Operador de Ferramentas Remotas e pretender que este utilizador administrativo aprovisione computadores baseados em AMT ou controle o registo de auditoria de AMT, necessitará de adicionar a permissão Aprovisionar AMT a esta função de segurança, ou de certificar-se de que o utilizador administrativo pertence a outra função de segurança que inclua esta permissão.