• 發行項

實作頻外管理 Configuration Manager 中的範例案例

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_note注意事項

本主題顯示於System Center 2012 Configuration Manager 中的資產與相容性指南和 Scenarios and Solutions Using System Center 2012 Configuration Manager (使用 System Center 2012 Configuration Manager 的案例和解決方案)指南中。

本主題中的下列章節提供範例案例中的頻外管理實作 System Center 2012 Configuration Manager, ,使用三個階段的方式:

  • 試驗:實作和測試使用佈建憑證的憑證服務 (內部 CA) 的少數電腦

  • 導入:使用外部 CA 佈建憑證完整部署

  • 加入無線支援:將管理延伸到無線網路

Trey Research 想要在下列案例中,您可以使用頻外管理更有效率地疑難排解無法啟動或停止回應的電腦,需要進行例行維護及支援上或需要重新設定 BIOS 設定。此公司具有 Intel AMT 電腦與版本所支援的金額 Configuration Manager, ,但它們並沒有包含自己的內部的根憑證授權單位 (CA) 的憑證指紋的自訂的韌體。

Trey Research 有單一 Configuration Manager 主要站台和所有內部的電腦位於 testnet.treyresearch.net 網域。公司已經有現有的公開金鑰基礎結構 (PKI) 基礎結構使用 Windows Server 2008 憑證服務,且具有執行 Windows Server 2008 Enterprise Edition 企業憑證授權單位。

Adam Configuration Manager 要求使用三階段的方式來實作頻外管理的系統管理使用者。他使用少數的桌上型電腦和沒有購買佈建憑證從外部的 CA 會先測試功能。如果測試下移告訴你吧,Adam 可以購買金額佈建憑證以及佈建所有 AMT 型桌面電腦。在最終部署階段 Adam 會延伸到使用無線網路的膝上型電腦的頻外管理的要求。

試驗:實作和測試使用佈建憑證的憑證服務 (內部 CA) 的少數電腦

若要實作和測試頻外管理在試驗階段 Adam 會採取的動作如下表中簡述。

程序

參考

Adam 檢查頻外管理的必要條件,並決定要建立站台系統伺服器他會安裝不足的寬線服務點和註冊點。此電腦具有完整格式的網域名稱 (FQDN) 的 server15.testnet.treyresearch.net

Adam 也會確認現有的 DHCP 和 DNS 組態符合 AMT.的需求

如需有關必要條件的詳細資訊,請參閱 頻外管理 Configuration Manager 中的必要條件

Adam 的運作方式與他的 Active Directory 服務系統管理員建立下列 Windows 安全性群組:

  • 名為群組 ConfigMgr 外頻外服務點 包含 server15

  • 名為群組 ConfigMgr 主要站台伺服器 包含主要站台伺服器電腦帳戶。

  • 名為萬用安全性群組 ConfigMgr AMT 電腦 ,就會包含 AMT 電腦帳戶。

他們再建立組織單位 (OU) 中 testnet.treyresearch.net 授與新建立的群組與已發行之的金額為基礎的電腦帳戶的網域 ConfigMgr 主要站台伺服器 這個 OU 的下列權限:建立電腦物件刪除電腦物件

如需有關如何建立群組和 Ou 的詳細資訊,請參閱 Active Directory 網域服務文件。

Adam 的運作方式與 PKI 小組結果如下:

  • Web 伺服器憑證範本是重複而且設定的註冊點。就會安裝並設定 IIS 的 server15

  • 自訂範本建立要求和 AMT 佈建將憑證安裝到 server15

  • Web 伺服器憑證範本是重複而且設定使其適合頻外管理。

  • 他們識別並記下的根 CA,必須手動新增至 AMT 韌體直到它們外部 CA 購買的佈建憑證的憑證指紋。

如需有關如何部署頻外管理所需的 PKI 憑證的指導,請參閱 部署 AMT 的憑證 一節中 為 Configuration Manager 部署 PKI 憑證的逐步範例:Windows Server 2008 憑證授權單位 主題。

如需憑證需求的詳細資訊,請參閱Configuration Manager 的 PKI 憑證需求

若要準備的金額為基礎桌上型電腦 Adam 用於初始測試,Adam 會檢查 AMT 韌體設定正確並將其內部的根 CA 的憑證指紋:

  1. 當電腦啟動時,他按下 CTRL + P 設定 ME 模組。

  2. 他選取 Intel (R) ME 組態, ,Intel (R) ME 功能控制, ,管理能力特徵, ,然後選取 Intel (R) AMT。他會結束並重新啟動電腦。

  3. 他會執行與我再次選取模組 Intel (R) AMT 設定, ,安裝及設定, 、 確認的值 目前佈建模式PKI。值不是 PKI,讓他選取 TLS PKI, ,並設定 遠端組態啟用

  4. TLS PKI 他選取區段 管理憑證雜湊, 、 按下 [插入] 鍵和型別其內部的根 CA 的憑證指紋。

  5. 他將儲存的變更,就會結束,並再重新啟動電腦。

如需詳細資訊,請參閱 Intel 文件。

Adam 設定 Configuration Manager 主要站台然後進行下列變更:

  • 他在安裝新的站台系統伺服器 server15, 、 設定與內部網路 FQDN 的 server15.treyresearch.net, ,然後安裝不足的寬線服務點和註冊點。他接著會設定 出頻外管理 元件。

  • AMT 佈建憑證 不足的頻外服務點他所安裝的金額佈建憑證他瀏覽的頁面。

  • 出頻外管理元件屬性 ] 對話方塊中,他會設定下列:

    • 一般 索引標籤上,他指定他中建立的 OU testnet.treyresearch.net, ,他建立萬用安全性群組瀏覽至 AMT web 伺服器憑證範本他先前建立並 MEBx 帳戶設定增強式密碼。

    • AMT 設定 索引標籤上,他指定自己的帳戶做為 AMT 使用者帳戶和 Windows 全域網域安全性群組包含說明支援工程師會使用不足的頻外管理主控台。他也會選取選項 啟用序列透過 LAN 和 IDE 的重新導向, ,允許 ping 回應, ,和 啟用 BIOS 密碼上略過電源並重新啟動命令

如需詳細資訊,請參閱下列章節說明 如何佈建和 Configuration Manager 中設定 AMT 型電腦 主題:

Adam 想要在技術上使用喚醒電腦上安裝重要的軟體更新。他已在過去中嘗試這項功能並發現子網路導向廣播耗用太多的網路頻寬,透過遠端連結和其網路介面卡的幾個從事單點傳送傳輸。

他啟用網路喚醒並決定要保留預設選項 命令上的使用電源如果電腦支援這項技術; 否則使用喚醒封包

如需詳細資訊,請參閱 步驟 6:設定命令上傳送電力排程喚醒活動網站 中的步驟 如何佈建和 Configuration Manager 中設定 AMT 型電腦 主題。

Adam 新增 AMT 狀態] 欄 Configuration Manager 主控台,然後建立包含五金額為基礎的電腦為他初始試驗的新集合。這些電腦是僅供測試,而且包含不同的支援的版本的 AMT.他會設定此金額佈建的集合。

如需詳細資訊,請參閱 步驟 7:顯示 AMT 狀態和啟用 AMT 佈建 中的步驟 如何佈建和 Configuration Manager 中設定 AMT 型電腦 主題。

Adam 監視佈建程序的金額。

如需詳細資訊,請參閱 步驟 8:監視 AMT 佈建 中的步驟 如何佈建和 Configuration Manager 中設定 AMT 型電腦 主題。

當電腦都已成功佈建的金額時,Adam 會開始測試這些電腦的頻外管理。

例如頻外管理使用的情況下會看到 頻外管理 Configuration Manager 中使用的範例案例

導入:使用外部 CA 佈建憑證完整部署

完成初始測試時 Adam 會從他的經理可以推出到所有以金額為基礎的工作站電腦的頻外管理接收確認。若要消除將其內部的根 CA 憑證的指紋加入至每個 AMT 架構的電腦的要求,Adam 從外部 CA 購買佈建的憑證並將它安裝在 server15, ,根據隨附的指示。

Adam 然後會採取的動作如下表中簡述。

程序

參考

Adam 同樣會頻外管理的必要條件檢查以查看是否有他必須進行的任何其他變更。他附註:

  • 沒有他必須與相關的防火牆管理員以便協助支援工程師可以連線到內部公司防火牆所保護的遠端站台中的金額電腦的連接埠需求。

  • 一些幫助支援工程師電腦仍執行 Windows XP 和因此他必須檢查這些電腦其版本的 Windows 遠端管理 (WinRM) 和更新版本。

  • 他必須加入執行不足的頻外管理主控台將適當的安全性角色的協助支援工程師。

如需詳細資訊,請參閱頻外管理 Configuration Manager 中的必要條件

Adam 設定的寬線服務點外的內容、 瀏覽至新購買的金額佈建的憑證,並儲存變更。

如需詳細資訊,請參閱 步驟 4:設定註冊端點和頻外服務端點的向外 AMT 佈建 中的步驟 如何佈建和 Configuration Manager 中設定 AMT 型電腦 主題。

Adam 會建立新的集合來逐漸展 AMT 佈建的工作站電腦。四週的期間他可讓這些集合 AMT 佈建和監視進度。

如需詳細資訊,請參閱 步驟 7:顯示 AMT 狀態和啟用 AMT 佈建 中的步驟 如何佈建和 Configuration Manager 中設定 AMT 型電腦 主題。

此課程中的動作,因為所有 Intel 金額為基礎的工作站電腦會佈建的金額和可以管理超出技術支援人員。疑難排解和修復電腦時作業系統無法大幅正常運作的能力會減少整體擁有成本公司因為工程師不再需要本機電腦的存取權。

加入無線支援:將管理延伸到無線網路

之後若要使用頻外管理工作站成功首度發行、 Trey Research 現在想要擴充此一支援使用無線網路的膝上型電腦。無線網路使用 Windows Server 2008 為基礎的伺服器執行網路原則伺服器 (NPS) 且需要用戶端憑證以進行驗證。

Adam 會採取的動作如下表中簡述。

程序

參考

Adam 檢查頻外管理的無線支援必要條件並確認金額的膝上型電腦上的版本支援的無線設定檔。他會註明所需的網路原則伺服器 WPA2 安全性、 AES 加密以及 EAP-TLS 驗證的無線組態設定。

如需有關必要條件的詳細資訊,請參閱 頻外管理 Configuration Manager 中的必要條件

Adam 搭配 PKI 小組建立以金額為基礎的電腦用來向網路原則伺服器的其他憑證範本。

如需有關如何建立用戶端憑證範本的詳細資訊,請參閱 「 建立和發行 802.1 X AMT 型電腦的用戶端驗證憑證 」 中 部署 AMT 的憑證 區段 為 Configuration Manager 部署 PKI 憑證的逐步範例:Windows Server 2008 憑證授權單位 主題。

如需憑證需求的詳細資訊,請參閱Configuration Manager 的 PKI 憑證需求

Adam 設定 出頻外管理元件屬性:802.1 X 和無線 ] 索引標籤:

  • 他會建立包含無線網路名稱、 WPA2 企業的安全性類型和 AES 的加密方法的無線設定檔。他接著會選取網路原則伺服器和用戶端憑證範本稍早建立的信任的根憑證。

如需詳細資訊,請參閱步驟 26 39 中透過 步驟 5:設定向外的頻外管理元件 一節中 如何佈建和 Configuration Manager 中設定 AMT 型電腦 主題。

Adam 建立新的集合可以支援 AMT.的膝上型電腦在 出頻外管理 他選取索引標籤上, 啟用 AMT 型電腦佈建

Adam 監視這些膝上型電腦的佈建狀態然後會使用記錄檔 Amtopmgr.log,來確認這些金額為基礎的電腦已成功設定無線設定檔。

System_CAPS_tip提示

如果這些膝上型電腦都已佈建的金額沒有無線設定檔、 Adam 執行 更新管理控制器記憶體中佈建資料 命令取得要套用的無線設定。如需詳細資訊,請參閱 如何更新電腦的新 AMT 設定 一節中 如何管理 AMT 佈建在 「 組態管理員 」 中的資訊 主題。

如需有關監視 AMT 佈建的詳細資訊,請參閱 步驟 8:監視 AMT 佈建 中的步驟 如何佈建和 Configuration Manager 中設定 AMT 型電腦 主題。

因為此類行動膝上型電腦可以現在也超出範圍由管理服務台、 可以縮短解決問題的膝上型電腦使用者所報告的時間。