• Статья

Общие сведения об использовании аппаратного контроллера управления в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Использование аппаратного контроллера управления в System Center 2012 Configuration Manager предоставляет эффективную возможность для управления компьютерами с набором микросхем Intel vPro и версией технологии Intel Active Management Technology (Intel AMT), которую поддерживает Configuration Manager.

Использование аппаратного контроллера управления позволяет пользователю подключаться к management-контроллеру AMT через операционную систему, когда компьютер выключен, находится в режиме гибернации или любым другим образом не отвечает на запросы.В отличие от этого использование клиентского агента управления — это классический подход, который применяется в Configuration Manager и его предшественниках. Он заключается в том, что агент работает в полной операционной системе на управляемом компьютере, а Management-контроллер выполняет задачи путем взаимодействия с агентом управления.

Использование аппаратного контроллера управления дополняет использование клиентского агента управления.Наряду с тем что использование клиентского агента управления поддерживает более широкий диапазон операций, так как его среда является полной операционной системой, оно может не действовать, если операционная система отсутствует или не загружена.В таких случаях дополнительные возможности использования аппаратного контроллера управления помогают пользователям управлять этими компьютерами без необходимости локального доступа к ним.

Задачи использования аппаратного контроллера управления перечислены ниже.

  • Включение одного или нескольких компьютеров (например, для обслуживания компьютеров в нерабочее время).

  • Отключение одного или нескольких компьютеров (например, операционная система не реагирует).

  • Перезапуск неработающего компьютера или загрузка с локально подключенного устройства или известного неповрежденного загрузочного файла образа.

  • Повторное развертывание образа на компьютере с использованием файла загрузочного образа, расположенного в сети, или с использованием сервера PXE.

  • Перенастройка параметров BIOS на выбранном компьютере (и обход пароля BIOS, если это поддерживается производителем BIOS).

  • Загрузка операционной системы с интерфейсом командной строки для выполнения команд, запуска средств восстановления или диагностических приложений (например, обновления встроенного ПО или запуска средства восстановления диска).

  • Настройка запланированных развертываний ПО для перевода компьютеров в рабочий режим перед началом работы.

Указанные задачи использования аппаратного контроллера управления поддерживаются по проводному соединению без проверки подлинности, проводному соединению стандарта 802.1X с проверкой подлинности и по беспроводному соединению.Использование аппаратного контроллера управления также предоставляет следующие дополнительные возможности.

  • Аудит выбранных функций AMT.

  • Поддержка различных состояний электропитания для помощи в экономии электроэнергии и соответствии ИТ-политике.

  • Хранилище данных в AMT, где до 4096 байт символов ASCII можно сохранять в энергонезависимом ОЗУ (NVRAM) Management-контроллера.

Примеры сценариев использования аппаратного контроллера управления см. в разделе Примеры сценариев использования аппаратного контроллера управления в Configuration Manager.

Некоторые из перечисленных выше задач выполняются на консоли Configuration Manager, а для других требуется запуск консоли аппаратного контроллера управления, входящей в состав Configuration Manager.Использование аппаратного контроллера управления основано на технологии удаленного управления Windows (WS-MAN) для подключения к Management-контроллеру AMT на компьютере.

System_CAPS_noteПримечание

Внешнее управление не поддерживается для клиентов, управление которыми осуществляется через Интернет с Интернет Управление клиентами.Configuration Manager Клиенты, которые были заблокированы или не утвержденные Configuration Manager внешнего управления нельзя.

Следующая таблица содержит список параметров и возможностей использования аппаратного контроллера управления в Configuration Manager.

Возможность или сценарий

Дополнительные сведения

Управление на основе безопасности

Использование аппаратного контроллера управления интегрируется с внутренней инфраструктурой открытых ключей (PKI) с помощью следующих сертификатов.

  • Сертификат инициализации, устанавливаемый в точке обслуживания аппаратного контроллера управления, которая позволяет настроить компьютеры для использования аппаратного контроллера управления.

  • Сертификат веб-сервера, устанавливаемый в точке регистрации для обеспечения защищенной связи с точкой обслуживания аппаратного контроллера управления во время процесса инициализации.

  • Сертификат веб-сервера, который устанавливается на каждом компьютере, управляемом с помощью аппаратного контроллера управления, чтобы проверить подлинности и зашифровать канал связи по протоколу TLS.

  • Сертификаты клиентов, если это требуется для проверки подлинности по стандарту 802.1X.

Дополнительные сведения об указанных сертификатах см. в разделе Требования к PKI-сертификатам для Configuration Manager.

Перед тем как управлять компьютерами с помощью консоли аппаратного контроллера управления, администраторам необходимо пройти проверку подлинности по протоколу Kerberos.

Действия по использованию аппаратного контроллера управления регистрируются и подлежат аудиту посредством журнала аудита на компьютерах с поддержкой технологии AMT.

Поддержка для беспроводных сетей и проводных сетей 801.2X с проверкой подлинности.

  • Поддерживает проверку подлинности проводной сети 802. 1 X: возможности проверки подлинности клиентов EAP-TLS или EAP-TTLS/MSCHAPv2 или PEAPv0/EAP-MSCHAPv2.

  • Поддержка беспроводных сетей. Безопасность WPA и WPA2, шифрование AES или TKIP, возможности проверки подлинности клиентов EAP-TLS, EAP-TTLS/MSCHAPv2 или PEAPv0/EAP-MSCHAPv2.

Инициализация AMT

Включение и настройка компьютеров, работающих на основе технологии Intel AMT с запущенным клиентом Configuration Manager.

Расширенные инвентарные данные

Получение данных по инвентаризации оборудования с микросхемы AMT, например ярлыка, идентификатора BIOS UUID, состояния электропитания, сведений о процессоре, памяти и дисках.

Определение Management-контроллеров AMT

Определение компьютеров с Management-контроллером AMT и их состояния инициализации.

Полученные сведения можно использовать для создания коллекций на основе запросов, чтобы объединить компьютеры для действий с аппаратным контроллером управления, например для инициализации и управления питанием.

Управление питанием

Возможность включения, выключения и перезапуска отдельного компьютера, выбранных компьютеров или коллекции компьютеров.

Компьютеры можно также переводить в рабочий режим во время запланированных развертываний ПО с заданным сроком выполнения.

Консоль аппаратного контроллера управления

Выделенная консоль управления, которая запускается с консоли Configuration Manager или из командной строки для выполнения задач использования аппаратного контроллера управления, включая перенаправление IDE и сеансы последовательного подключения по локальной сети.

System_CAPS_noteПримечание

Доступные возможности могут различаться в зависимости от изготовителя управляемого компьютера.Например, возможность перенаправления IDE и последовательного подключения по локальной сети может быть отключена изготовителем.

Перенаправление IDE

Возможность компьютера загружаться из файла загрузочного образа или с локально подключенного устройства вместо интерфейса IDE диска.Такую возможность полезно использовать для диагностики, восстановления или развертывания образов на жестком диске.

Последовательное подключение по локальной сети

Технология последовательного подключения по локальной сети позволяет инкапсулировать данные, поступающие из виртуального последовательного порта, и отправить их с помощью существующего сетевого подключения, установленного консолью аппаратного контроллера управления.

С помощью технологии последовательного подключения по локальной сети можно запустить сеанс эмуляции терминала для управляемого компьютера, в котором доступно выполнение команд и приложений с текстовым интерфейсом.Например, к таким возможностям может относиться повторная настройка BIOS, либо в сочетании с перенаправлением IDE можно обновить встроенное ПО или запустить средства диагностики.

Расширение внешнего управления в Configuration Manager

Дополнительные технические сведения для поддержки и расширения внешнего управления в Configuration Manager, в разделе Intel предложений приложения на сайте Microsoft Pinpoint.

Новые возможности Configuration Manager

System_CAPS_noteПримечание

Сведения из этого раздела также содержатся в в руководстве Приступая к работе с System Center 2012 Configuration Manager.

Следующие элементы представлены впервые или были изменены для поддержки использования аппаратного контроллера управления после выпуска Configuration Manager 2007.

  • System Center 2012 Configuration Manager больше не поддерживает инициализацию с помощью аппаратного контроллера управления, которую можно было использовать в Configuration Manager 2007, когда клиент Configuration Manager не установлен или на компьютере отсутствует операционная система.Чтобы инициализировать компьютеры для AMT в System Center 2012 Configuration Manager, они должны входить в домен Active Directory, содержать установленный клиент System Center 2012 Configuration Manager и относиться к первичному сайту System Center 2012 Configuration Manager.

  • Чтобы инициализировать компьютеры для AMT, помимо точки обслуживания аппаратного контроллера управления, необходимо установить новую системную роль сайта — точку регистрации.Обе указанные системные роли необходимо установить на одном первичном сайте.

  • Нет учетной записи, запись удаления инициализации AMT, которая указывается на управления компонента свойства внешнего: Provisioning вкладки.Когда указана эта учетная запись и используется та же учетная запись Windows, которая указана в качестве учетной записи пользователя AMT, данная учетная запись может применяться для удаления сведений об инициализации AMT, если требуется восстановить сайт.Кроме того, ее можно использовать в случае, если клиент был повторно назначен и сведения об инициализации AMT не были удалены на старом сайте.

  • Configuration Manager больше не создает сообщение о состоянии для предупреждения о том, что сертификата обеспечения AMT является с истекающим сроком действия.Оставшийся период действия необходимо отслеживать самостоятельно, чтобы гарантировать обновление этого сертификата до его окончания.

  • При обнаружении AMT больше не используется TCP-порт 16992. Для этих целей используется только TCP-порт 16993.

  • TCP-порт 9971 больше не используется для подключения Management-контроллера AMT к точке обслуживания аппаратного контроллера управления с целью инициализации компьютеров для AMT.

  • Точка обслуживания аппаратного контроллера управления использует протокол HTTPS (по умолчанию через TCP-порт 443) для подключения к точке регистрации.

  • Транслятор WS-MAN больше не поддерживается.

  • Задача обслуживания Сброс пароля компьютера с поддержкой технологии AMT удалена.

  • Теперь больше не требуется выбирать отдельные разрешения для каждой учетной записи пользователя AMT.Вместо этого все учетные записи пользователей AMT автоматически настраиваются для права Администрирование PT (Configuration Manager 2007 с пакетом обновления 1 (SP1)) или Администрирование платформы (Configuration Manager 2007 с пакетом обновления 2 (SP2)), которое предоставляет разрешения для всех функций AMT.

  • В окне Свойства компонента использования аппаратного контроллера управления необходимо указать универсальную группу безопасности, чтобы добавить учетные записи компьютеров AMT, которые Configuration Manager создает в процессе инициализации AMT.

  • Для сервера сайта больше не требуется полный доступ к подразделению, используемому во время инициализации AMT.Вместо этого он предоставляет разрешения на чтение и запись участников (только для этого объекта).

  • Теперь для точки регистрации вместо сервера первичного сайта требуется разрешение на выдачу и управление сертификатами в выдающем центре сертификации.Такое разрешение необходимо для отзыва сертификатов AMT.Как и в версии Configuration Manager 2007, для взаимодействия с выдающим центром сертификации этой учетной записи компьютера требуются разрешения DCOM.Чтобы настроить данную возможность, убедитесь, что для ОС Windows Server 2008 учетная запись компьютера, выступающего сервером системы сайта точки регистрации, входит в группу безопасности "Доступ DCOM службы сертификации" или для ОС Windows Server 2003 с пакетом обновления 1 (SP1) и более поздних версий входит в группу безопасности CERTSVC_DCOM_ACCESS в домене, где располагается выдающий центр сертификации.

  • В шаблонах для сертификата веб-сервера AMT и клиентского сертификата AMT стандарта 802.1X больше не используется параметр Предоставляется в запросе, а для учетной записи сервера сайта больше не требуются разрешения для следующих шаблонов сертификатов.

    • Для шаблона сертификата веб-сервера AMT: на вкладке Субъект выберите пункт Строится на основе данных Active Directory, а затем выберите Обычное имя для параметра Формат имени субъекта.На вкладке Безопасность предоставьте разрешения уровня Чтение и Регистрация для универсальной группы безопасности, указанной в окне Свойства компонента использования аппаратного контроллера управления.

    • Для шаблона клиентского сертификата AMT стандарта 802.1X: на вкладке Субъект выберите пункт Строится на основе данных Active Directory, а затем выберите Обычное имя для параметра Формат имени субъекта.Снимите флажок в поле DNS-имя, после чего выберите Имя участника-пользователя (UPN) в качестве альтернативного имени субъекта.На вкладке Безопасность предоставьте разрешения уровня Чтение и Регистрация для универсальной группы безопасности, указанной в окне Свойства компонента точки использования аппаратного контроллера управления.

  • Для сертификата инициализации AMT больше не требуется возможность экспорта закрытого ключа.

  • По умолчанию точка обслуживания аппаратного контроллера управления проверяет, отозван ли сертификат инициализации AMT.Это происходит при первом запуске системы сайта и при изменении сертификата инициализации AMT.Этот параметр можно отключить в окне Свойства точки обслуживания аппаратного контроллера управления.

  • На консоли аппаратного контроллера управления можно включить или отключить параметр Проверка списка отзыва сертификатов для сертификата веб-сервера AMT.Чтобы изменить параметры, перейдите в меню Средства и выберите Параметры.Новый параметр будет использован при подключении к компьютеру с поддержкой AMT в следующий раз.

  • Если сертификат для компьютера с поддержкой AMT отозван, причина отзыва меняется на Прекращение работы вместо Заменен.

  • Компьютерам с поддержкой AMT, назначенным одному и тому же сайту Configuration Manager, необходимо присвоить уникальные имена компьютеров, даже если они относятся к разным доменам и поэтому имеют уникальное полное доменное имя.

  • При повторном назначении компьютера с поддержкой AMT другому сайту Configuration Manager необходимо сначала удалить сведения об инициализации AMT, снова выполнить назначение клиента, а затем инициализировать его для AMT.

  • Права безопасности Просмотр контроллеров управления и Управление контроллерами управления в Configuration Manager 2007 теперь соответственно называются Инициализация AMT и Управление AMT.Разрешение Управление AMT автоматически добавляется в роль безопасности Оператор средств удаленного управления.Если пользователь назначен роли безопасности Оператор средств удаленного управления и требуется, чтобы этот пользователь инициализировал компьютеры с поддержкой технологии AMT или управлял журналом аудита AMT, к этой роли безопасности необходимо добавить разрешение Инициализация AMT или убедиться в том, что пользователь относится к другой роли безопасности, содержащей данное разрешение.