• 项目

带外管理在 Configuration Manager 简介

 

适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

带外管理为 System Center 2012 Configuration Manager 计算机具有 Intel vPro 芯片组和 Intel 主动管理技术 (Intel AMT) 的版本中提供功能强大的管理控制的 配置管理器 支持。

带外管理允许管理用户时计算机已关闭、 休眠还是通过操作系统无响应的其他连接到计算机的 AMT 管理控制器。与此相反,带内管理是传统方法 配置管理器 及其前置任务使用,因此在被管理的计算机上运行完全操作系统中的代理和管理控制器通过与管理代理通信完成任务。

带外管理是对带内管理的补充。虽然带内管理支持更多的操作,这是因为它的环境是完整的操作系统,但是如果操作系统不存在或不可操作,带内管理可能不起作用。在这些情况下,通过使用带外管理的补充功能的管理用户可以管理这些计算机而无需对计算机的本地访问。

带外管理任务包括:

  • 打开一台或多台计算机的电源(例如,在工作时间以外对计算机进行维护)。

  • 关闭一台或多台计算机的电源(例如,操作系统停止响应)。

  • 重新启动未正常运行的计算机,或从本地连接的设备或已知正常的启动映像文件来启动计算机。

  • 通过从位于网络上的启动映像文件启动或使用 PXE 服务器来重新镜像计算机。

  • 重新配置选定计算机上的 BIOS 设置,绕过 BIOS 密码(如果 BIOS 制造商支持)。

  • 启动到基于命令的操作系统以运行命令、修复工具或诊断应用程序(例如,升级固件或运行磁盘修复工具)。

  • 配置计划的软件部署来唤醒计算机之前计算机正在运行。

在未经身份验证的有线连接上支持这些带外管理任务并经过身份验证的 802.1 X 有线连接和无线连接。带外管理还具有下列附加功能:

  • 对所选 AMT 功能进行审核。

  • 支持不同的电源状态,以帮助节省耗电并且遵守 IT 策略。

  • 使用 AMT 存储数据,可以在管理控制器的稳定随机存取内存 (NVRAM) 中保存多达 4096 个字节的 ASCII 字符。

有关如何使用带外管理的示例方案,请参阅使用带外管理配置管理器中的示例方案

某些上述任务执行从 配置管理器 控制台中,而其他人需要运行与提供的带外管理控制台外 配置管理器。带外管理使用 Windows 远程管理技术 (WS-MAN) 来连接到 AMT 管理控制器的计算机上。

System_CAPS_note注意

对于使用基于 Internet 的客户端管理通过 Internet 管理的客户端,不支持带外管理。配置管理器 被阻止或通过未经批准的客户端 配置管理器 无法进行带外管理。

下表概述了的带外管理中提供的选项和功能 配置管理器。

功能或方案

更多信息

基于安全的管理

带外管理与内部公钥基础结构 (PKI) 通过使用以下证书集成:

  • 安装在带外服务点,则允许计算机配置为带外管理的设置证书。

  • 受保护的通信使用带外服务点在设置过程中的注册点安装 web 服务器证书。

  • 每个这样的通信进行身份验证并且使用传输层安全性 (TLS) 加密的带外管理的计算机安装 web 服务器证书。

  • 客户端证书(如果 802.1X 身份验证需要)。

有关这些证书的详细信息,请参阅 Configuration Manager 的 PKI 证书要求

管理员必须通过它们可以通过使用带外管理控制台管理计算机之前使用 Kerberos 身份验证。

带外管理活动是通过在基于 AMT 的计算机上使用审核日志记录,并且可审核。

对经过 802.1X 身份验证的有线网络和无线网络的支持:

  • 经过身份验证的有线的 802.1 X 支持: EAP-TLS 或 EAP-TTLS/MSCHAPv2 或 PEAPv0/Eap-mschapv2 的客户端身份验证选项。

  • 无线支持:WPA 和 WPA2 安全、AES 或 TKIP 加密、EAP-TLS、EAP-TTLS/MSCHAPv2 或 PEAPv0/EAP-MSCHAPv2 的客户端身份验证选项。

AMT 设置

启用并配置正在运行 Configuration Manager 客户端的基于 Intel AMT 的计算机。

增强的清单数据

提供 AMT 芯片中的硬件清单数据,如资产标记、BIOS UUID、电源状态、处理器、内存和驱动器信息。

标识 AMT 管理控制器

确定与 AMT 管理控制器和其设置状态的计算机。

此信息可用于构建基于查询的集合,对用于带外管理活动(如设置和电源控制)的计算机进行分组。

电源控制

启用开机、 关机和一台计算机、 所选的计算机或的计算机集合的重新启动功能。

此外可以通过已计划的截止时间的计划的软件部署唤醒计算机。

带外管理控制台

从运行的专用的管理控制台 配置管理器 控制台中,或在命令提示符下启动带外管理任务,包括 IDE 重定向和 serial over LAN 会话。

System_CAPS_note注意

因被管理的计算机的制造商不同,功能可能各异。例如,制造商可能禁用 IDE 重定向和 Serial over LAN 功能。

IDE 重定向

允许计算机从启动映像文件或本地连接的设备而不是从它的磁盘 IDE 接口来启动。这可用于诊断、 修复或镜像硬盘磁盘驱动器。

Serial over LAN

Serial over LAN 技术封装来自虚拟串行端口的数据并将其发送外带外管理控制台建立的现有网络连接。

Serial over LAN 技术允许您运行终端仿真会话为被管理的计算机,您可以在其中运行命令和基于字符的应用程序。例如,这可能包括重新配置 BIOS,或与 IDE 重定向结合使用,您可以更新固件或运行诊断工具。

在 Configuration Manager 带外管理扩展

若要支持和扩展中带外管理的其他技术信息 配置管理器, ,请参阅 Intel Microsoft 查明其站点上的应用程序产品/服务

Configuration Manager 中的新增功能

System_CAPS_note注意

本节中的信息还出现在System Center 2012 Configuration Manager 入门指南中。

以下各项新功能或带外管理以来已更改为 Configuration Manager 2007:

  • System Center 2012 Configuration Manager 不再支持带外设置,当未安装 Configuration Manager 2007 客户端或者计算机未安装操作系统时,可以在 配置管理器 中使用带外设置。要为 System Center 2012 Configuration Manager 中的 AMT 设置计算机,计算机必须属于 Active Directory 域、安装 System Center 2012 Configuration Manager 客户端,以及分配给 System Center 2012 Configuration Manager 主站点。

  • 要针对 AMT 设置计算机,你必须安装新站点系统角色、注册点以及带外服务点。你必须将这些站点系统角色安装在同一主站点上。

  • 有了一个新帐户 AMT 设置删除帐户, ,它指定上 带外管理组件属性:资源调配 选项卡。当你指定此帐户并使用指定为 AMT 用户帐户的同一 Windows 帐户时,如果必须还原站点,则可以使用此帐户删除 AMT 设置信息。当重新分配了客户端,并且未在旧站点上删除 AMT 设置信息时,你也可以使用此帐户。

  • 配置管理器 不再生成状态消息来警告你 AMT 设置证书即将过期。你必须自己检查剩余的有效期,并确保在其过期之前续订此证书。

  • AMT 发现不再使用端口 TCP 16992;仅使用端口 TCP 16993。

  • 端口 TCP 9971 不再用于将 AMT 管理控制器连接到带外服务点来针对 AMT 设置计算机。

  • 带外服务点使用 HTTPS(默认情况下使用端口 TCP 443)连接到注册点。

  • 不再支持 WS-MAN 转换器。

  • 已经删除了“重置 AMT 计算机密码”维护任务。

  • 你不再为每个 AMT 用户帐户选择个别权限。相反,为自动配置所有 AMT 用户帐户 PT 管理 (Configuration Manager 2007 SP1) 或 平台管理 (Configuration Manager 2007 SP2) 权限,会将所有 AMT 功能的权限授予该权限。

  • 您必须指定在一个通用安全组 带外管理组件属性 以包含 AMT 计算机帐户的 配置管理器 在 AMT 设置过程期间创建。

  • 站点服务器计算机不再需要对组织单位 (OU) 的完全控制权限,在 AMT 设置过程中会使用此权限。相反,它会授予“读取成员”和“编写成员”(仅限此对象)权限。

  • 注册点(而不是主站点服务器计算机)现在在证书颁发机构 (CA) 上需要“颁发和管理证书”权限。吊销 AMT 证书需要此权限。如在 Configuration Manager 2007 中一样,此计算机帐户需要 DCOM 权限与颁发证书的 CA 通信。为了配置此项,对于 Windows Server 2008,请确保注册点站点系统服务器的计算机帐户是“证书服务 DCOM 访问”安全组的成员,或者对于 Windows Server 2003 SP1 及更高版本,请确保是颁发证书的 CA 所在域中 CERTSVC_DCOM_ACCESS 安全组的成员。

  • AMT Web 服务器证书和 AMT 802.1X 客户端证书的证书模板不再使用“在请求中提供”,站点服务器计算机帐户不再需要对以下证书模板的权限:

    • 对于 AMT Web 服务器证书模板:在“使用者”选项卡,选择“用 Active Directory 中的信息生成”,然后为“使用者名称格式”选择“公用名”。在“安全”选项卡上,对于你在“带外管理组件属性”中指定的通用安全组,必须向其授予“读取”和“注册”权限。

    • 对于 AMT 802.1X 客户端证书模板:在“使用者”选项卡,选择“用 Active Directory 中的信息生成”,然后为“使用者名称格式”选择“公用名”。清除“DNS 名称”复选框,然后选择“用户主体名称(UPN)”作为替代使用者名称。在“安全”选项卡上,对于你在“带外管理点组件属性”中指定的通用安全组,必须向其授予“读取”和“注册”权限。

  • AMT 设置证书不再要求能够导出私钥。

  • 默认情况下,带外服务点会检查 AMT 设置证书是否要进行证书吊销。这发生在首次运行站点系统时,以及 AMT 设置证书发生更改时。你可以在“带外服务点属性”中禁用此选项。

  • 你可以在带外管理控制台中为 AMT Web 服务器证书启用或禁用“CRL 检查”。要更改设置,请单击“工具”菜单,然后单击“选项”。在你下次连接到基于 AMT 的计算机时,会使用新设置。

  • 吊销基于 AMT 的计算机的证书时,吊销原因现在是“停止操作”,而不是“被取代”。

  • 分配给相同 配置管理器 站点的基于 AMT 的计算机必须具有唯一计算机名称,即使因它们属于不同域而具有唯一 FQDN 也不例外。

  • 将一个 配置管理器 站点中的基于 AMT 的计算机重新分配给另一个站点时,必须首先删除 AMT 设置信息,重新分配客户端,然后针对 AMT 重新设置此客户端。

  • 安全权限 查看管理控制器管理管理控制器 中 Configuration Manager 2007 现在名为 设置 AMT控制 AMT, 分别。“控制 AMT”权限会自动添加到“远程工具操作人员”安全角色中。如果将管理用户分配给“远程工具操作人员”安全角色,并且你想让此管理用户设置基于 AMT 的计算机或控制 AMT 审核日志,则必须将“设置 AMT”权限添加到此安全角色中,或者确保管理用户属于包含此权限的另一个安全角色。