Share via

  • 项目

实施带外管理配置管理器中的示例方案

 

适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_note注意

本主题出现在资产和 System Center 2012 Configuration Manager 中的符合性 指南和 Scenarios and Solutions Using System Center 2012 Configuration Manager(使用 System Center 2012 Configuration Manager 的方案和解决方案) 指南中。

本主题中的下列部分提供用于实现中带外管理的示例方案 System Center 2012 Configuration Manager, ,通过使用三个阶段:

  • 试验:实现和测试的几台计算机使用的设置证书的证书服务 (内部 CA)

  • 实施:通过使用外部 CA 来设置证书的完整部署

  • 添加无线支持:将管理扩展到无线网络

Trey Research 希望在以下方案中,在使用带外管理来更有效地解决无法启动或停止响应的计算机,需要开机以进行日常维护或需要重新配置 BIOS 设置。该公司有基于 Intel AMT 的计算机所支持的 AMT 版本的 配置管理器, ,但是它们不包括其自己的内部根证书颁发机构 (CA) 的证书指纹的自定义的固件。

Trey Research 拥有单个 配置管理器 主站点和所有内部计算机驻留在 testnet.treyresearch.net 域。公司已经拥有现有的公钥基础结构 (PKI) 基础结构使用 Windows Server 2008 证书服务,并且包含运行 Windows Server 2008 Enterprise Edition 的企业证书颁发机构。

Adam 是 配置管理器 已要求使用三个阶段实施带外管理的管理用户。他首先测试通过使用小许多台式计算机,并且无需从外部 CA 购买设置证书的功能。如果测试的得好好吧,Adam 可以购买的 AMT 设置证书和设置所有基于 AMT 的台式计算机。有关最终部署阶段中,Adam 需要扩展到使用无线网络的便携式计算机的带外管理的不足。

试验:实现和测试的几台计算机使用的设置证书的证书服务 (内部 CA)

为实现和测试的带外管理在试验阶段,Adam 采取下表中列出的操作过程。

过程

参考

Adam 检查带外管理的先决条件,并决定创建他在其安装带外服务点和注册点外的站点系统服务器。此计算机具有完全限定的域名 (FQDN) 的 server15.testnet.treyresearch.net

Adam 还确认的现有的 DHCP 和 DNS 配置均满足的要求 amt。

有关先决条件的详细信息,请参阅带外管理配置管理器中的先决条件

Adam 的工作方式与他的 Active Directory 服务管理员来创建以下 Windows 安全组:

  • 名为 ConfigMgr 带外服务点并包含 server15 的组。

  • 一个名为组 ConfigMgr 主站点服务器 包含主站点服务器计算机帐户。

  • 一个名为通用安全组 ConfigMgr AMT 计算机 ,其中将包含 AMT 计算机帐户。

然后创建一个组织单位 (OU) 中 testnet.treyresearch.net 域发布基于 AMT 的计算机帐户,并将新创建的组授予 ConfigMgr 主站点服务器 到该 OU 的以下权限:创建计算机对象删除计算机对象

有关如何创建组和 Ou 的详细信息,请参阅 Active Directory 域服务文档。

Adam 的工作原理与 PKI 小组合作,得到下列结果:

  • Web 服务器证书模板是重复并且配置为注册点。它是在安装并配置在 IIS 中 server15

  • 创建了一个自定义模板请求和安装 AMT 设置证书上 server15

  • 复制和配置该属性就适用于带外管理的 web 服务器证书模板。

  • 它们确定并记下的根 CA,必须手动添加到 AMT 固件直到他们从外部 CA 购买设置证书的证书指纹。

有关如何部署带外管理所需的 PKI 证书的指南,请参阅 为 AMT 部署证书Configuration Manager 的 PKI 证书的分步部署示例:Windows Server 2008 证书颁发机构 主题。

有关证书要求的详细信息,请参阅 Configuration Manager 的 PKI 证书要求

若要准备的 Adam 将在初始测试中使用的桌面基于 AMT 的计算机,Adam 检查 AMT 固件配置正确并且将添加其内部根 CA 的证书指纹:

  1. 计算机启动时,他按下 CTRL + P 来配置 ME 模块。

  2. 他选择 Intel (R) 我配置, ,Intel (R) 我功能控制, ,可管理性功能选择, ,然后选择 Intel (R) AMT。他退出并重新启动计算机。

  3. 他负责 ME 模块再次重申,选择 Intel (R) AMT 配置, ,安装和配置, ,若要验证的值为 当前设置模式PKI。该值不是 PKI,因此他选择 TLS PKI, ,并将设置 远程配置启用

  4. TLS PKI 部分中,他选择 管理证书哈希, 、 按 Insert 键,和类型他内部根 CA 的证书指纹。

  5. 他保存更改,退出,并随后重新启动计算机。

有关详细信息,请参阅 Intel 文档。

Adam 然后配置 Configuration Manager 主站点并进行下列更改:

  • 他安装新的站点系统服务器上 server15, ,为其配置了 intranet FQDN 的 server15.treyresearch.net, ,然后安装带外服务点和注册点外。然后,他配置 带外管理 组件。

  • 在上 AMT 设置证书 外带外服务点,他浏览至他安装 AMT 设置证书的页。

  • 在上 带外管理组件属性 对话框中,他将以下配置:

    • 在上 常规 选项卡上,他指定他在中创建的 OU testnet.treyresearch.net, ,他创建了的通用安全组浏览到 AMT web 服务器证书模板他创建更低版本,并为 MEBx 帐户配置强密码。

    • 在上 AMT 设置 选项卡上,他以 AMT 用户帐户和 Windows 域全局安全组包含将使用带外管理控制台的咨询台工程师指定自己的帐户。他还依次选择选项“启用 Serial over LAN 和 IDE 重定向”、“允许 Ping 响应”和“为开机和重新启动命令启用 BIOS 密码绕过”。

有关详细信息,请参阅以下各节中的 如何设置和配置 Configuration Manager 中的基于 AMT 的计算机 主题:

Adam 想要使用唤醒 LAN 技术在计算机上安装关键软件更新。他在过去尝试了此功能,发现子网导向型广播通过远程链接消耗过多网络带宽,而其网络适配器很少可以处理单播传输。

他启用 LAN 唤醒并确定保留默认选项“如果计算机支持此技术,则使用开机命令;否则请使用唤醒数据包”。

有关详细信息,请参阅 步骤 6:将站点配置为发送计划唤醒活动的开机命令 中的步骤 如何设置和配置 Configuration Manager 中的基于 AMT 的计算机 主题。

Adam 将添加到 AMT 状态列 配置管理器 控制台,然后创建一个包含作为其初始试验的只是五个基于 AMT 的计算机的新集合。这些计算机具有仅用于测试且包含不同的受支持的版本的 amt。他配置用于 AMT 设置此集合。

有关详细信息,请参阅 步骤 7:显示 AMT 状态并启用 AMT 设置 中的步骤 如何设置和配置 Configuration Manager 中的基于 AMT 的计算机 主题。

Adam 监视 AMT 设置过程。

有关详细信息,请参阅 步骤 8:监视 AMT 设置 中的步骤 如何设置和配置 Configuration Manager 中的基于 AMT 的计算机 主题。

当针对 AMT 成功设置了计算机时,Adam 启动测试为带外管理这些计算机。

有关示例方案中使用带外管理,请参阅 使用带外管理配置管理器中的示例方案

实施:通过使用外部 CA 来设置证书的完整部署

完成初始测试后,Adam 将从他的经理的带外管理可以推出到所有基于 AMT 的工作站计算机接收确认。为了避免将其内部根 CA 证书的指纹添加到每台基于 AMT 的计算机的需要,Adam 将从外部 CA 那里购买设置证书并将它安装在 server15, ,按照随附的说明。

Adam 然后采取下表中列出的操作过程。

过程

参考

Adam 再次重申,检查带外管理的先决条件以查看是否有他必须做出任何其他更改。他注意到以下:

  • 有一些他必须与相关的防火墙管理员,以便咨询台工程师可以连接到受保护的公司的内部防火墙的远程站点中基于 AMT 的计算机的端口要求。

  • 某些咨询台计算机仍运行 Windows XP 中,并因此他必须检查其版本的 Windows 远程管理 (WinRM) 的这些计算机,如有必要更新的版本。

  • 他必须向适当的安全角色来运行带外管理控制台中添加的咨询台工程师。

有关详细信息,请参阅 带外管理配置管理器中的先决条件

Adam 配置带外服务点扩展的属性,浏览到新购买的 AMT 设置证书,并保存所做的更改。

有关详细信息,请参阅 步骤 4:配置用于 AMT 设置的注册点和带外服务点 中的步骤 如何设置和配置 Configuration Manager 中的基于 AMT 的计算机 主题。

Adam 创建新的集合来逐步让不同出工作站计算机的 AMT 设置。一段的四个星期,他启用 AMT 设置和监视进度这些集合。

有关详细信息,请参阅 步骤 7:显示 AMT 状态并启用 AMT 设置 中的步骤 如何设置和配置 Configuration Manager 中的基于 AMT 的计算机 主题。

此操作过程的结果,所有基于 Intel AMT 的工作站计算机针对 AMT 设置和通过帮助台可以带外管理。能够进行故障排除和修复计算机时极大地无法正常工作操作系统可以减少总体拥有成本公司因为工程师不再需要对计算机的本地访问。

添加无线支持:将管理扩展到无线网络

若要使用带外管理的工作站成功实施后, Trey Research 现在想要扩展到使用无线网络的便携式计算机的此支持。无线网络使用正在运行网络策略服务器 (NPS),并且需要进行身份验证的客户端证书的基于 Windows Server 2008 的服务器。

Adam 采取下表中列出的操作过程。

过程

参考

Adam 检查带外管理的无线支持先决条件,并确认便携式计算机上的 AMT 版本支持的无线配置文件。他将网络策略服务器所需的无线配置设置注释为 WPA2 安全、AES 加密和 EAP-TLS 身份验证。

有关先决条件的详细信息,请参阅带外管理配置管理器中的先决条件

Adam 与 PKI 小组合作,创建基于 AMT 的计算机使用网络策略服务器进行身份验证的其他证书模板配合使用。

有关创建客户端证书模板的详细信息,请参阅"创建和颁发用于 802.1 X 基于 AMT 的计算机的客户端身份验证证书"中 为 AMT 部署证书 部分 Configuration Manager 的 PKI 证书的分步部署示例:Windows Server 2008 证书颁发机构 主题。

有关证书要求的详细信息,请参阅 Configuration Manager 的 PKI 证书要求

Adam 配置 带外管理组件属性:802.1 X 和无线 选项卡:

  • 他创建包含无线网络名称、WPA2-企业安全类型和 AES 加密方法在内的无线配置文件。然后为网络策略服务器选择受信任的根证书,以及先前创建的客户端证书模板。

有关详细信息,请参阅步骤 26 39 中通过 步骤 5:带外管理组件将部署配置如何设置和配置 Configuration Manager 中的基于 AMT 的计算机 主题。

Adam 创建一个新集合的能够支持 AMT 的便携式计算机在上 带外管理 选项卡上,他选择 启用设置基于 AMT 的计算机

Adam 然后监视对这些便携式计算机的设置状态并使用日志文件 Amtopmgr.log 中,验证已成功配置无线配置文件后这些基于 AMT 的计算机。

System_CAPS_tip提示

如果这些便携式计算机已针对 AMT 设置不无线配置文件的情况下,Adam 运行 更新管理控制器内存中的设置数据 命令为要应用的无线设置。有关详细信息,请参阅如何更新为新的 AMT 设置计算机主题中的如何管理 AMT 设置信息在配置管理器部分。

有关监视 AMT 设置的详细信息,请参阅 步骤 8:监视 AMT 设置 中的步骤 如何设置和配置 Configuration Manager 中的基于 AMT 的计算机 主题。

此操作过程的结果,便携式计算机可以现在还进行带外管理的技术支持,从而减少了时间来解决便携式计算机用户报告的问题。