Share via

  • Makale

Bant dışı yönetim Yapılandırma Yöneticisi'nde dışında uygulamak için Örnek senaryo

 

Uygulama Alanı: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Not

Bu konu şunları içerir:Varlıklar ve uyum System Center 2012 Configuration Manager'da kılavuzu ve System Center 2012 Configuration Manager Kullanımına Yönelik Senaryolar ve Çözümler kılavuzunda.

Bu konu aşağıdaki bölümlerde Yönetimi'nde bant dışı uygulamak için bir örnek senaryo sağlamak System Center 2012 Configuration Manager, bir üç aşamalı yaklaşım kullanarak:

  • Pilot: Uygulama ve sağlama sertifika için Sertifika Hizmetleri (iç CA) kullanan birkaç bilgisayar sınama

  • Ürün: Bir dış CA sağlama sertifikası kullanarak tam dağıtım

  • Kablosuz destek Ekle: Yönetim ağları Genişlet

Aşağıdaki senaryoda Trey Research ilgili daha verimli bir şekilde başlatın veya yanıt vermeyi başarısız bilgisayarları gidermek için bant dışı yönetim kullanarak, üzerinde bakım için başlatırken gerektiren veya BIOS ayarları yeniden yapılandırma gerektirir.Intel AMT tabanlı bilgisayarlar tarafından desteklenen AMT sürümleriyle bu şirket sahip Configuration Manager, ancak kendi iç kök sertifika yetkilisinin (CA) sertifika parmak izini içeren özelleştirilmiş ürün bilgisi yok.

Trey Research sahip tek bir Configuration Manager birincil site ve tüm iç bilgisayarları bulunan testnet.treyresearch.net etki alanı.Şirket, kuruluş, Windows Server 2008 Enterprise Edition'ı çalıştıran bir sertifika yetkilisi olan ve Windows Server 2008 Sertifika Hizmetleri kullanılarak bir ortak anahtar altyapısı (PKI) altyapısı zaten var.

ADAM olan Configuration Manager üç aşaması yaklaşımı kullanarak bant dışı yönetim uygulamak için sorulan yönetim kullanıcı.Andrew ilk işlevselliği masaüstü bilgisayarlar ve bir dış CA'dan sertifika sağlama satın olmadan küçük bir sayı kullanarak sınar.Test duruma geçtiğinde Adam AMT sağlama satın alabilirsiniz iyi sertifika ve tüm AMT tabanlı masaüstü bilgisayarlar sağlayın.Son dağıtım aşaması için Adam kablosuz ağ kullanan dizüstü bilgisayarları için bant dışı yönetim dışı genişletmek istenir.

Pilot: Uygulama ve sağlama sertifika için Sertifika Hizmetleri (iç CA) kullanan birkaç bilgisayar sınama

Pilot aşaması uygulayan ve bant dışı yönetim test etmek aşağıdaki tabloda açıklanan eylemi kurs Adam alır.

İşlem

Başvuru

ADAM önkoşulları bant dışı yönetim dışında denetler ve kendisinin bant dışı hizmet noktası ve kayıt noktası dışı yükler sitenin sistem sunucusu oluşturmak karar verir.Bu bilgisayar, tam etki alanı adı (FQDN) sahip server15.testnet.treyresearch.net.

Var olan DHCP ve DNS yapılandırmasını tut. gereksinimlerini karşıladığından adam de doğrular

Önkoşullar hakkında daha fazla bilgi için Bant dışı yönetim Yapılandırma Yöneticisi'nde dışında önkoşulları.

ADAM aşağıdaki Windows Güvenlik grupları oluşturma, Active Directory Hizmet yöneticileri ile çalışır:

  • Adlı bir grup ConfigMgr giden bant dışı hizmet noktaları içeren server15.

  • Adlı bir grup ConfigMgr Birincil Site sunucuları birincil site sunucusu bilgisayar hesabının içeren.

  • Adlı bir Evrensel güvenlik grubu ConfigMgr AMT bilgisayarları AMT bilgisayar hesaplarını içerecek.

Bunlar sonra bir kuruluş birimi (OU) oluşturun testnet.treyresearch.net yayımlanan AMT tabanlı bilgisayarı hesaplar ve yeni oluşturulan grubun verilmesi için etki alanı ConfigMgr Birincil Site sunucuları Bu OU aşağıdaki izinleri: Bilgisayar nesnelerini oluşturma ve silmek bilgisayar nesnelerini.

Gruplar ve OU'ları oluşturma hakkında daha fazla bilgi için Active Directory etki alanı Hizmetleri belgelerine bakın.

Aşağıdaki sonuçları PKI takımınızla adam çalışır:

  • Web sunucusu sertifika şablonu yinelenen ve kayıt noktası için yapılandırılmış.Yüklü ve IIS yapılandırılan server15.

  • İstek ve AMT sağlama sertifika yüklemek için oluşturulan özel bir şablon server15.

  • Web sunucusu sertifika şablonu yinelenen ve bant dışı yönetim için uygun şekilde yapılandırılmış.

  • Bunlar belirlemek ve sertifika parmak izini kök CA'sı, ama bir dış CA'dan sertifika sağlama satın alma kadar el ile AMT bellenim için eklenecek yazın.

Bant dışı yönetim için gerekli PKI sertifikalarını dağıtma hakkında daha fazla yardım için bkz AMT için Sertifikaları Dağıtma içinde bölümünde Configuration Manager için PKI Sertifikalarının Adım Adım Örnek Dağıtımı: Windows Server 2008 Sertifika Yetkilisi konu.

Sertifika gereksinimleri hakkında daha fazla bilgi edinmek için Configuration Manager İçin PKI Sertifikası Gereksinimleri konusuna bakın.

İlk sınamada Adam kullanacağı AMT tabanlı bilgisayarlar hazırlamak için Adam AMT bellenim yapılandırma doğru olduğundan ve kendi iç kök CA'ın sertifika parmak izini ekler denetler:

  1. Bilgisayar başlatıldığında kendisinin ME yapılandırmak için CTRL + P bastığında modülü.

  2. Andrew seçer BENİ Intel (R) yapılandırma, Intel (R) BENİ özellik denetimi, ilgili özellik seçimi, ve sonra Intel (R) AMT.Andrew çıkar ve bilgisayarı yeniden başlatır.

  3. Andrew ME çalışır modülü yeniden seçer AMT Intel (R) yapılandırma, Kurulum ve yapılandırma, doğrulamak için değeri Geçerli sağlama modu olan PKI.Andrew seçer değeri PKI, olmadığından TLS PKI, ve ayarlar Uzak Yapılandırması için Etkinleştir.

  4. İçindeki TLS PKI bölümünde, Andrew seçer yönetmek sertifika karmaları, INSERT tuşuna basar ve kendi iç kök CA'ın sertifika parmak izini türleri.

  5. Kendisi sonlandırılır değişiklikleri kaydeder ve ardından bilgisayar yeniden başlatılır.

Daha fazla bilgi için Intel belgelerine bakın.

ADAM Configuration Manager birincil sitesi yapılandırır ve aşağıdaki değişiklikleri yapar:

  • Yeni bir site sistem sunucusu kendisinin yükler server15, intranet FQDN ile yapılandırır, server15.treyresearch.net, ve bant dışı hizmet noktası ve kayıt noktası dışı yükler.Andrew sonra yapılandırır dışı bant dışı yönetim bileşeni.

  • Üzerinde AMT sağlama sertifika sayfa bant dışı hizmet noktasını, Andrew yüklü AMT sağlama sertifikaya he gözatma için.

  • Üzerinde bant dışı yönetim bileşeni özellikleri iletişim kutusunda, aşağıdaki kendisinin yapılandırır:

    • Üzerinde Genel sekmesi, Andrew belirtir kendisinin oluşturulan OU testnet.treyresearch.net, Andrew oluşturan Evrensel güvenlik grubu taradığında kendisi daha önce oluşturulmuş ve güçlü bir parola MEBx hesabı için yapılandırır AMT web sunucusu sertifika şablonu için.

    • Üzerinde AMT ayarları sekmesi, Andrew belirtir kendi hesabı bir AMT kullanıcı hesabı ve bant dışı Yönetim Konsolu dışı kullanan Yardım Masası mühendisleri içeren bir Windows genel etki alanı güvenlik grubu.Andrew ayrıca seçenekleri seçer LAN ve IDE yeniden yönlendirme seri etkinleştir, ping yanıta izin ver, ve Etkinleştir BIOS parola için güç'ı atlayabilir ve komutları yeniden.

Daha fazla bilgi için aşağıdaki bölümlere bakın Nasıl sağlayın ve Yapılandırma Yöneticisi'nde AMT tabanlı bilgisayarlarda yapılandırmak için Konu:

Wake LAN teknoloji Bilgisayarları'nda kritik yazılım güncelleştirmelerini yüklemek için kullanılacak adam ister.Kendisi bu özellik geçmişte çalışıldı ve alt ağ yönlendirilmiş yayınlar Uzaktan bağlantılar üzerinden çok fazla ağ bant genişliği harcanan ve ağ bağdaştırıcılarını çok tek noktaya yayın aktarımları ile çalışan bulunan.

Kendisi yerel ağda Uyandırma sağlar ve varsayılan seçeneği tutmak karar kullanım güç komutlar bilgisayar bu teknoloji; destekliyorsa Aksi takdirde kullanmak Uyanma paketlerinin.

Daha fazla bilgi için Adım 6: Zamanlanmış Uyanma etkinlikler için komutları güç göndermek için Site yapılandırma adımı Nasıl sağlayın ve Yapılandırma Yöneticisi'nde AMT tabanlı bilgisayarlarda yapılandırmak için konu.

ADAM ekler için AMT durum sütunu Configuration Manager Konsol ve kendi ilk pilot yalnızca beş AMT tabanlı bilgisayarlarda içeren yeni bir koleksiyon oluşturur.Bu bilgisayarlar yalnızca sınama için yüklenir ve Tut. desteklenen farklı sürümleri içerirAndrew AMT sağlama için bu toplama yapılandırır.

Daha fazla bilgi için 7. Adım: AMT durumu ve etkinleştirme AMT sağlama görüntüleme adımı Nasıl sağlayın ve Yapılandırma Yöneticisi'nde AMT tabanlı bilgisayarlarda yapılandırmak için konu.

ADAM AMT sağlama işlemi izler.

Daha fazla bilgi için 8. Adım: AMT sağlama izleme adımı Nasıl sağlayın ve Yapılandırma Yöneticisi'nde AMT tabanlı bilgisayarlarda yapılandırmak için konu.

Bilgisayarları başarıyla AMT için hazırlandı olduğunda, bu bilgisayarlar için bant dışı yönetim dışında test Adam başlatır.

Örneğin bant dışı yönetim, kullanarak senaryolarını bakın Bant dışı yönetim Yapılandırma Yöneticisi'nde dışında kullanmak için örnek senaryolar.

Ürün: Bir dış CA sağlama sertifikası kullanarak tam dağıtım

İlk test tamamlandığında Adam tüm iş istasyonu AMT tabanlı bilgisayarlar için alınması, bant dışı yönetim dışında kendi yöneticisinden onay alır.Her AMT tabanlı bilgisayarı için kendi iç kök CA sertifikasının parmak eklemek için gereksinimini ortadan kaldırmak için Adam sağlama bir sertifika bir dış CA'dan satın almalar ve üzerinde yükler server15, eşlik eden yönergeler.

ADAM sonra aşağıdaki tabloda açıklanan eylemi kurs alır.

İşlem

Başvuru

ADAM önkoşulları bant dışı yönetim dışında yeniden ek değişiklikler yapmak için sahip olup olmadığını denetler.Andrew aşağıdaki Notlar:

  • Kendisi için güvenlik duvarı yönetici ilişkilendirilmesi gerektiğini ve böylece Yardım Masası mühendisleri AMT tabanlı bilgisayarlar şirket içi güvenlik duvarı tarafından korunan uzak sitelerdeki bağlanabilir bağlantı noktası gereksinimler vardır.

  • Bazı Yardım Masası bilgisayarları yine de Windows XP çalıştıran ve bu nedenle kendisi gerekir bu bilgisayarlar için Windows Uzaktan Yönetim (WinRM) sürümünü denetleyin ve gerekiyorsa sürümü güncelleştirin.

  • Andrew Yardım Masası mühendisleri Yönetim Konsolu bant dışı çalıştırmak için uygun güvenlik rolüne eklemeniz gerekir.

Daha fazla bilgi için, bkz. Bant dışı yönetim Yapılandırma Yöneticisi'nde dışında önkoşulları.

ADAM özelliklerini bant dışı hizmet noktasını yapılandırır, yeni satın alınan AMT sağlama sertifika taradığında ve değişiklikleri kaydeder.

Daha fazla bilgi için 4. Adım: Kayıt noktası ve bant dışı hizmet noktasını AMT sağlama için yapılandırma adımı Nasıl sağlayın ve Yapılandırma Yöneticisi'nde AMT tabanlı bilgisayarlarda yapılandırmak için konu.

ADAM aşamalı olarak iş istasyonu bilgisayarlar için AMT sağlama kullanıma geri dönmek için yeni bir koleksiyon oluşturur.Dört hafta diliminde kendisinin bu koleksiyonları AMT sağlama ve izleyiciler ilerlemesinin sağlar.

Daha fazla bilgi için 7. Adım: AMT durumu ve etkinleştirme AMT sağlama görüntüleme adımı Nasıl sağlayın ve Yapılandırma Yöneticisi'nde AMT tabanlı bilgisayarlarda yapılandırmak için konu.

Bu kurs eylemin sonucu olarak tüm iş istasyonu Intel AMT tabanlı bilgisayarlar için AMT sağlandı ve bant dışında Yardım Masası tarafından yönetilebilir.Sorun giderme ve işletim sistemi büyük ölçüde çalışmadığında bilgisayarları onarma olanağı mühendisleri artık yerel bilgisayar erişmesi için toplam sahip olma maliyeti şirket için azaltır.

Kablosuz destek Ekle: Yönetim ağları Genişlet

Bant dışı yönetim kullanmak iş istasyonları başarılı ürün sonra Trey Research kablosuz ağ kullanan dizüstü bilgisayarları için bu destek genişletmek şimdi ister.Ağ İlkesi Sunucusu (NPS) çalıştıran ve kimlik doğrulaması için bir istemci sertifikası gereklidir ve Windows Server 2008 tabanlı bir sunucu kablosuz ağ kullanır.

Aşağıdaki tabloda açıklanan eylemi kurs adam alır.

İşlem

Başvuru

ADAM bant dışı yönetim dışında kablosuz destek önkoşulları denetler ve dizüstü bilgisayarları AMT sürümlerinde kablosuz profillerini destekler onaylar.Ağ İlkesi Sunucusu tarafından WPA2 güvenlik, AES şifreleme ve EAP-TLS kimlik doğrulaması gereken kablosuz yapılandırma ayarlarını kendisinin notlar.

Önkoşullar hakkında daha fazla bilgi için Bant dışı yönetim Yapılandırma Yöneticisi'nde dışında önkoşulları.

Ağ İlkesi Sunucusu ile kimlik doğrulaması için AMT tabanlı bilgisayarlarda kullanan bir ek sertifika şablonu oluşturmak için PKI takım adam çalışır.

İstemci sertifika şablonu oluşturma hakkında daha fazla bilgi için "802.1 X AMT tabanlı bilgisayarlarda istemci kimlik doğrulama sertifikalarını verme" içinde bkz: oluşturma ve AMT için Sertifikaları Dağıtma bölümünü Configuration Manager için PKI Sertifikalarının Adım Adım Örnek Dağıtımı: Windows Server 2008 Sertifika Yetkilisi konu.

Sertifika gereksinimleri hakkında daha fazla bilgi edinmek için Configuration Manager İçin PKI Sertifikası Gereksinimleri konusuna bakın.

ADAM yapılandırır bant dışı yönetim bileşeni özellikleri: 802.1 X ve kablosuz sekmesi:

  • Andrew kablosuz ağ adı, WPA2-Kurumsal güvenlik türü ve AES şifreleme yöntemi içeren bir kablosuz profilini oluşturur.Andrew sonra güvenilen kök sertifika ağ ilke sunucusu ve daha önce oluşturulmuş istemci sertifika şablonu seçer.

39 in 26 adımlarını daha fazla bilgi için bkz 5. Adım: Bant dışı yönetim bileşeni dışı yapılandırma içinde bölümünde Nasıl sağlayın ve Yapılandırma Yöneticisi'nde AMT tabanlı bilgisayarlarda yapılandırmak için konu.

ADAM tut. destekleyebilir dizüstü bilgisayarları için yeni bir koleksiyon oluştururÜzerinde dışı bant dışı yönetim sekmesi, Andrew seçer AMT tabanlı bilgisayarlar için sağlama etkinleştir.

ADAM bu dizüstü bilgisayarları sağlama durumunu izler ve kablosuz profili bu AMT tabanlı bilgisayarlar için başarılı bir şekilde yapılandırıldığını doğrulamak için günlük dosyasını Amtopmgr.log'dan, kullanır.

System_CAPS_tipİpucu

Bu dizüstü bilgisayarları zaten kablosuz profili için AMT hazırlanan, Adam çalışır güncelleştirme sağlama veri yönetim denetleyicisi bellekte kablosuz ayarların uygulanabilmesi komutu.Daha fazla bilgi için Yeni AMT ayarlarını bilgisayarları güncelleştirme içinde bölümünde AMT sağlama bilgilerini Configuration Manager'da yönetilmesi konu.

AMT sağlama izleme hakkında daha fazla bilgi için 8. Adım: AMT sağlama izleme adımı Nasıl sağlayın ve Yapılandırma Yöneticisi'nde AMT tabanlı bilgisayarlarda yapılandırmak için konu.

Bu eylem kurs sonucu olarak, dizüstü bilgisayarları da bant dışında dizüstü kullanıcılar tarafından raporlanan sorunları gidermek için zamanı azaltır Yardım Masası tarafından yönetilebilir.