Share via

  • Статья

Пример сценария использования аппаратного контроллера управления в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteПримечание

Этот раздел отображается в следующей документации: в руководстве Активы и соответствие в System Center 2012 Configuration Manager и в руководстве Сценарии и решения, используя System Center 2012 Configuration Manager.

Следующие подразделы в этом разделе включают пример сценария внедрения использования аппаратного контроллера управления в System Center 2012 Configuration Manager на основе трехэтапного подхода:

  • Пилотный проект. Внедрение и тестирование группы компьютеров, использующих службы сертификатов (внутренний ЦС) для получения сертификата инициализации

  • Внедрение. Полное развертывание с использованием сертификата инициализации, полученного от внешнего ЦС

  • Добавление поддержки беспроводной связи: расширение управления на беспроводные сети

В следующем сценарии компанию Trey Research заинтересовала возможность использования аппаратного контроллера управления для более эффективной диагностики компьютеров, которые не удается запустить, которые не отвечают на запросы, требуют включения питания для профилактического обслуживания или изменения параметров BIOS.Компания располагает компьютерами, основанными на технологии Intel AMT с версиями AMT, поддерживаемыми Configuration Manager. Однако у них нет настроенного встроенного ПО, включающего отпечатки сертификатов собственного корневого центра сертификации.

Инфраструктура Trey Research включает один первичный сайт Configuration Manager, и все внутренние компьютеры компании размещаются в домене testnet.treyresearch.net.В организации имеется инфраструктура открытых ключей (PKI) на базе служб сертификатов Windows Server 2008, а также центр сертификации предприятия под управлением Windows Server 2008 Enterprise Edition.

Александр — пользователь Configuration Manager, которого попросили внедрить использование аппаратного контроллера управления, основываясь на трехэтапном подходе.Сначала он проводит тестирование функциональности, используя небольшое количество настольных компьютеров и не приобретая сертификат инициализации внешнего ЦС.Если результаты тестирования будут удовлетворительными, Александр примет решение о покупке сертификата инициализации AMT для всех настольных компьютеров, поддерживающих AMT.На окончательном этапе развертывания Александра попросили включить в инфраструктуру аппаратного контроллера управления ноутбуки, использующие беспроводную сеть.

Пилотный проект. Внедрение и тестирование группы компьютеров, использующих службы сертификатов (внутренний ЦС) для получения сертификата инициализации

Для этапа пилотного проекта по внедрению и тестированию функции использования аппаратного контроллера управления Александр использовал подход, описанный в следующей таблице.

Как это работает

Справочные сведения

Александр проверяет компоненты, обязательные для использования аппаратного контроллера управления, и решает создать сервер системы сайта, на котором он устанавливает точку обслуживания аппаратного контроллера управления и точку регистрации.Полное доменное имя этого компьютера — server15.testnet.treyresearch.net.

Александр также проверяет соответствие существующих конфигураций DHCP и DNS требованиям AMT.

Дополнительные сведения о необходимых условиях см. в разделе Проверка готовности к использованию аппаратного контроллера управления в Configuration Manager.

Александр совместно с администраторами служб Active Directory создает следующие группы безопасности Windows:

  • группа Внешние точки обслуживания Configuration Manager, в которой содержится server15;

  • группа Серверы первичного сайта Configuration Manager, в которой содержится учетная запись компьютера сервера первичного сайта;

  • универсальная группа безопасности AMT-компьютеры Configuration Manager, которая будет содержать учетные записи AMT-компьютеров.

Затем они создают подразделение в домене testnet.treyresearch.net для опубликованных учетных записей AMT-компьютеров и предоставляют созданной группе Серверы первичного сайта Configuration Manager следующие разрешения для этого подразделения: Создание объектов-компьютеров и Удаление объектов-компьютеров.

Дополнительные сведения о создании групп и подразделений см. в документации доменных служб Active Directory.

Александр работает с группой PKI для получения следующих результатов.

  • Шаблон сертификата веб-сервера копируется и настраивается для точки регистрации.Он устанавливается и настраивается в службах IIS на сервере server15.

  • Рабочая группа создает настраиваемый шаблон для запроса и установки сертификата инициализации AMT на сервере server15.

  • Шаблон сертификата веб-сервера копируется и настраивается в соответствии с требованиями использования аппаратного контроллера управления.

  • Специалисты идентифицируют и записывают отпечаток сертификата корневого ЦС, который необходимо вручную добавить во встроенное ПО AMT, пока не будет приобретен сертификат инициализации, выпущенный внешним ЦС.

Сведения о развертывании сертификатов PKI, необходимых для внешнего управления в разделе Развертывание сертификатов для AMT раздела Пошаговый пример развертывания сертификатов PKI для Configuration Manager. Центр сертификации Windows Server 2008 раздела.

Дополнительные сведения о требованиях к сертификатам см. в разделе Требования к PKI-сертификатам для Configuration Manager.

Чтобы подготовить настольные AMT-компьютеры, которые будут использоваться на этапе первоначального тестирования, Александр проверяет правильность конфигурации встроенного ПО AMT и добавляет отпечатки сертификатов внутренних корневых ЦС предприятия.

  1. При запуске компьютера он нажимает клавиши CTRL+P, чтобы настроить модуль ME.

  2. Он последовательно выбирает пункты Intel (R) ME Configuration (Конфигурация Intel (R) ME), Intel (R) ME Feature Control (Управление функцией Intel (R) ME), Manageability Feature Selection (Выбор функций управления) и Intel (R) AMT.Он завершает работу и перезагружает компьютер.

  3. Затем он снова запускает модуль ME и выбирает пункты Intel (R) AMT Configuration (Конфигурация Intel (R) AMT) и Setup and Configuration (Установка и настройка), чтобы убедиться, что параметр Current provision mode (Текущий режим инициализации) имеет значение PKI.Значение этого параметра не PKI, поэтому он выбирает TLS PKI, а затем задает для параметра Remote Configuration (Удаленная настройка) значение Enable (Включить).

  4. В разделе TLS-PKI он выбирает Manage Certificate Hashes (Управление хэшем сертификатов), нажимает клавишу INS и вводит отпечаток сертификата внутреннего корневого ЦС.

  5. Он сохраняет изменения, выходит из меню и перезагружает компьютер.

Дополнительные сведения см. в документации Intel.

Затем Александр настраивает первичный сайт Configuration Manager и выполняет следующие изменения на первичном сайте:

  • устанавливает новый сервер системы сайта на server15, присваивает ему полное доменное имя в интрасети server15.treyresearch.net и устанавливает точку обслуживания аппаратного контроллера управления и точку регистрации.Затем он настраивает компонент Использование аппаратного контроллера управления.

  • На странице Сертификат инициализации AMT для точки обслуживания аппаратного контроллера управления он переходит к ранее установленному сертификату инициализации AMT.

  • В диалоговом окне Свойства компонента использования аппаратного контроллера управления он настраивает следующие параметры:

    • на вкладке Общие он указывает подразделение, созданное в домене testnet.treyresearch.net, созданную универсальную группу безопасности, затем переходит к ранее созданному шаблону сертификата веб-сервера AMT и задает надежный пароль для учетной записи MEBx;

    • на вкладке Параметры AMT указывает в качестве учетной записи пользователя AMT собственную учетную запись и глобальную группу безопасности домена Windows, включающую специалистов службы поддержки, которые будут использовать консоль аппаратного контроллера управления;выбирает параметры Включить последовательную передачу по локальной сети и перенаправление IDE, Разрешить ответы на запросы проверки связи и Разрешить обход пароля BIOS для команд включения питания и перезагрузки.

Дополнительные сведения см. в следующих подразделах в разделе Инициализация и настройка AMT-компьютеров в Configuration Manager:

Александр хочет использовать технологию пробуждения по локальной сети для установки критических обновлений программного обеспечения на компьютеры.Он использовал эту функцию раньше и обнаружил, что передача широковещательного трафика, адресованного всем хостам подсети, (вещание на подсеть) приводила к чрезмерному потреблению полосы пропускания каналов связи, и что всего несколько сетевых адаптеров работало с одноадресной передачей.

Он включает функцию пробуждения по локальной сети и решает использовать параметр по умолчанию Использовать команды включения питания, если компьютеры поддерживают эту технологию; в противном случае использовать пакеты пробуждения.

Дополнительные сведения см. в разделе Шаг 6. Настройка отправки сайтом команд включения питания для запланированных действий пробуждения шаг в Инициализация и настройка AMT-компьютеров в Configuration Manager разделе.

Александр добавляет столбец "Состояние AMT" в консоль Configuration Manager и создает новую коллекцию, которая содержит только пять AMT-компьютеров, для оценки пилотного развертывания.Эти компьютеры предназначены только для тестирования и на них установлены различные поддерживаемые версии AMT.Он настраивает эту коллекцию для инициализации AMT.

Дополнительные сведения см. в разделе Шаг 7. Отображение состояния AMT и включение инициализации AMT шаг в Инициализация и настройка AMT-компьютеров в Configuration Manager разделе.

Александр осуществляет мониторинг процесса инициализации AMT.

Дополнительные сведения см. в разделе Шаг 8. Мониторинг инициализации AMT шаг в Инициализация и настройка AMT-компьютеров в Configuration Manager разделе.

После завершения успешной инициализации AMT-компьютеров Александр приступает к тестированию использования аппаратного контроллера управления на этих компьютерах.

Примеры сценариев использования аппаратного контроллера управления см. в разделе Примеры сценариев использования аппаратного контроллера управления в Configuration Manager.

Внедрение. Полное развертывание с использованием сертификата инициализации, полученного от внешнего ЦС

После завершения первоначального тестирования Александр получает согласие руководителей на развертывание использования аппаратного контроллера управления для всех рабочих станций, поддерживающих технологию AMT.Чтобы избежать добавления отпечатка сертификата, выпущенного внутренним корневым ЦС, на каждый AMT-компьютер, Александр приобретает сертификат инициализации, выпущенный внешним ЦС, и устанавливает его на сервер server15 в соответствии с прилагающимися инструкциями.

Затем он выполняет действия, описанные в следующей таблице.

Как это работает

Справочные сведения

Александр снова проверяет наличие компонентов, необходимых для использования аппаратного контроллера управления, чтобы при необходимости внести дополнительные изменения.Он обнаруживает следующее.

  • Некоторые требования к портам необходимо уладить с администратором брандмауэра. Это позволит специалистам службы поддержки подключаться к AMT-компьютерам в удаленных сайтах, защищенных внутренним брандмауэром организации.

  • Некоторые компьютеры службы поддержки по прежнему работают под управлением Windows XP, следовательно, необходимо проверить версию службы удаленного управления Windows и при необходимости обновить ее.

  • Ему необходимо назначить специалистам службы поддержки соответствующую роль безопасности, чтобы они могли запускать консоль аппаратного контроллера управления.

Дополнительные сведения см. в статье Проверка готовности к использованию аппаратного контроллера управления в Configuration Manager.

Александр настраивает свойства точки обслуживания аппаратного контроллера управления, переходит к приобретенному сертификату инициализации AMT и сохраняет изменения.

Дополнительные сведения см. в разделе Шаг 4. Настройка точки регистрации и точки обслуживания аппаратного контроллера управления для инициализации AMT шаг в Инициализация и настройка AMT-компьютеров в Configuration Manager разделе.

Александр создает новые коллекции для постепенного развертывания инициализации AMT для рабочих станций.В течение четырех недель он включает инициализацию AMT для этих коллекций и отслеживает ход выполнения.

Дополнительные сведения см. в разделе Шаг 7. Отображение состояния AMT и включение инициализации AMT шаг в Инициализация и настройка AMT-компьютеров в Configuration Manager разделе.

После выполнения этих действий завершается подготовка всех рабочих станций, поддерживающих технологию Intel AMT, к использованию аппаратного контроллера управления специалистами службы поддержки.Возможность диагностировать и устранять неполадки компьютеров с неработающей операционной системой значительно снижает общую стоимость владения для организации, так как позволяет отказаться от локального присутствия специалистов.

Добавление поддержки беспроводной связи: расширение управления на беспроводные сети

После успешного развертывания функции использования аппаратного контроллера управления на рабочих станциях компания Trey Research предполагает расширить эту функцию на ноутбуки, использующие беспроводную сеть.В беспроводной сети используется сервер под управлением Windows Server 2008, на котором запущен сервер политики сети (NPS), а для проверки подлинности требуется сертификат клиента.

Александр выполняет действия, описанные в следующей таблице.

Как это работает

Справочные сведения

Александр проверяет готовность среды к поддержке использования аппаратного контроллера управления по беспроводной сети и убеждается, что версии AMT на ноутбуках будут поддерживать профили беспроводной связи.Он обращает внимание на такие параметры конфигурации беспроводной связи, необходимые для сервера политики сети, как защита WPA2, шифрование AES и проверка подлинности EAP-TLS.

Дополнительные сведения о необходимых условиях см. в разделе Проверка готовности к использованию аппаратного контроллера управления в Configuration Manager.

Совместно с группой PKI Александр создает дополнительный шаблон сертификата, который будет использоваться сервером политики сети для проверки подлинности компьютеров, основанных на AMT.

Дополнительные сведения о создании шаблона сертификата клиента см. в разделе «Создание и выдача сертификатов проверки подлинности клиента 802. 1 X AMT-компьютеры» в Развертывание сертификатов для AMT разделе Пошаговый пример развертывания сертификатов PKI для Configuration Manager. Центр сертификации Windows Server 2008 раздела.

Дополнительные сведения о требованиях к сертификатам см. в разделе Требования к PKI-сертификатам для Configuration Manager.

Адам настраивает из свойств компонента внешнего управления: 802.1 X и беспроводных вкладки:

  • Он создает профиль беспроводной связи, который содержит имя беспроводной сети, тип безопасности "WPA2-предприятие" и метод шифрования AES.Затем он выбирает доверенный корневой сертификат для сервера политики сети и созданный ранее шаблон сертификата клиента.

Дополнительные сведения см. в разделе действия с 26 по 39 дюймов Шаг 5. Настройка компонента использования аппаратного контроллера управления раздела Инициализация и настройка AMT-компьютеров в Configuration Manager раздела.

Александр создает новую коллекцию для ноутбуков, поддерживающих технологию AMT.На вкладке Использование аппаратного контроллера управления он устанавливает флажок Включить инициализацию для AMT-компьютеров.

Затем он отслеживает состояние инициализации для таких ноутбуков и использует файл журнала Amtopmgr.log для проверки успешности настройки профиля беспроводной сети для таких AMT-компьютеров.

System_CAPS_tipСовет

Если инициализация AMT уже выполнена на этих компьютерах без профиля беспроводной связи, Александр выполняет команду Обновить данные инициализации в памяти management-контроллера.Дополнительные сведения см. в разделе Обновление компьютеров для новых параметров AMT раздела Управление данными инициализации AMT в Configuration Manager раздела.

Дополнительные сведения о мониторинге инициализации AMT см. в разделе Шаг 8. Мониторинг инициализации AMT шаг в Инициализация и настройка AMT-компьютеров в Configuration Manager разделе.

Выполнение этих действий позволило подготовить ноутбуки к использованию аппаратного контроллера управления специалистами службы поддержки, что, в свою очередь, позволило сократить время разрешения проблем, возникающих у пользователей ноутбуков.