Předpoklady pro Správa mimo síť v nástroji Configuration Manager

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Správa mimo síť v System Center 2012 Configuration Manager má vnější závislosti a závislosti v rámci produktu.

System_CAPS_importantDůležité

Správa mimo síť v Configuration Manager má vnější závislosti na aktivní správy technologie Intel (Intel AMT) a na technologiích společnosti Microsoft infrastruktury veřejných klíčů (PKI).Autoritativní informace o konfiguraci nebo podrobné technické informace o těchto vnější závislosti naleznete v dokumentaci k související technologie produktu.

Informace o Intel AMT a Intel instalace a konfigurace softwaru naleznete v dokumentaci Intel nebo v dokumentaci výrobce počítače.Další informace naleznete v tématu Intel vPro Expert Center: Microsoft vPro správy.

Informace o technologiích společnosti Microsoft infrastruktury veřejných klíčů (PKI) naleznete v tématu systému Windows Server 2008 Active Directory Certificate Services.

Externí závislosti na nástroj Configuration Manager

V následující tabulce jsou uvedeny vnější závislosti pro vyčerpání Vzdálená správa.

Závislost

Další informace

Microsoft enterprise certifikačního úřadu (CA) se šablonami certifikátů a nasadit a spravovat certifikáty potřebnou pro Správa mimo síť.

Vystavovatelem musí automaticky schvalovat žádosti z počítače AMT účty, certifikát Configuration Manager během AMT zřizování vytváří ve službě Active Directory Domain Services.

Chcete-li odvolat certifikáty AMT, Vystavovatelem musí být nakonfigurován s oprávnění vydávat a spravovat certifikáty pro server, kde je nainstalován systém role registrace bodu webu.

System_CAPS_importantDůležité

AMT nepodporuje certifikáty certifikační Autority s délkou klíče větší než 2 048 bitů.

Mimo pásmo bodem služby a každý stolní nebo přenosné počítače, který je spravován mimo pásmo musí mít konkrétní certifikátů PKI, které jsou spravována nezávisle z nástroje Configuration Manager.

Další informace o požadavcích na certifikáty naleznete v tématu Požadavky na certifikát PKI pro nástroj Configuration Manager.

Podrobné pokyny najdete v části Nasazení certifikátů pro AMT.

Účet počítače pro registrace bodu webový server musí mít oprávnění DCOM odvolat certifikáty AMT z Vystavovatelem.Ujistěte se, že tento web systému počítač je členem skupiny zabezpečení přístupu k certifikátu služby DCOM (pro Windows Server 2008) nebo CERTSVC_DCOM_ACCESS (pro Windows Server 2003 SP1 nebo novější) v doméně, ve kterém je umístěn Vystavovatelem.

Stolní nebo přenosné počítače s následujícím nastavením:

  • Intel vPro technologie nebo Pro technologie Intel Centrino

  • Podporovaná verze Intel AMT, který je nakonfigurován pro podnikového režimu s režim poskytování infrastruktury veřejných KLÍČŮ

  • Ovladač Intel HECI

Informace o verzích AMT, Configuration Manager podporuje, naleznete v oddílu tématu.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigOOB

Stáhněte si nejnovější ovladač HECI z webu Intel a informace naleznete v dokumentaci výrobce vašeho počítače pro požadavky na Intel.

Kontejner služby Active Directory a skupina universal zabezpečení:

  • Kontejner služby Active Directory musí být nakonfigurován s správná oprávnění zabezpečení pro doménu, ve kterém jsou umístěny počítače se systémem AMT.Pokud na webu spravuje počítačů se systémem AMT z více domén, stejný název kontejneru a cesta musí být používány pro všechny domény.

  • Skupina universal zabezpečení, která obsahuje počítač účtů pro počítače se systémem AMT.

Poznámka

Nemáte, můžete rozšířit schéma služby Active Directory pro Správa mimo síť.

Během procesu zřizování AMT nástroje Configuration Manager vytvoří účty počítačů v tomto kontejneru služby Active Directory nebo organizační jednotku (OU) a přidá účty do skupiny zabezpečení universal.

Do počítače se serverem lokality vyžaduje následující oprávnění:

  • Pro organizační jednotku, který se používá během AMT zřizování: Povolit vytvářet všechny podřízené objekty a Odstranit všechny podřízené objekty a vztahují na pouze tento objekt.

  • Pro skupinu universal zabezpečení, který se používá během AMT zřizování: Povolit čtení a zápisu, a vztahují na pouze tento objekt.

Následující síťové služby:

  • Server DHCP s aktivním oboru

  • Servery DNS pro překlad názvů

Pro server DHCP Ujistěte se, že možnosti oboru DHCP, zahrnují servery DNS (006) a název domény (015) a, že DHCP server dynamicky aktualizuje DNS se záznamem prostředků počítače.

WINS nelze použít pro překlad názvů počítačů a DNS je vyžadována pro všechna připojení, které jsou použití Správa mimo síť.Jedná se o připojení na počítačích se systémem AMT mimo pásmo Konzola pro správu, navíc k zřizování AMT.

Poznámka

AMT nelze zaregistrovat záznamu hostitele v serveru DNS, proto musíte zajistit, že DHCP nebo v operačním systému aktualizuje DNS s záznamu hostitele pro počítač na základě AMT plně kvalifikovaný název domény (FQDN).Alternativně můžete ručně vytvořit tyto záznamy v serveru DNS podle potřeby.K podpoře bezdrátových technologií Ujistěte se, že DNS obsahuje záznamy s adresou IP bezdrátové sítě pro počítače na základě AMT plně kvalifikovaný název domény.

Závislosti rolí systému lokality pro počítače, které budou spuštěny bod registrace a mimo pásmo služby bodu role systému webového serveru.

Viz část v tématu .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Vzdálená správa systému Windows (WinRM) 1.1 nebo vyšší musí být nainstalována v počítačích se systémem Windows XP, pokud by spuštěny mimo pásmo management Console.

Další informace o verzích WinRM naleznete v tématu verze systému Windows Remote Management.

Analyzátor MSXML 6.0 je vyžadována v počítačích se systémem mimo pásmo management Console.

Kontrola požadavků instalační program pro Configuration Manager zahrnuje kontroly pro službu Microsoft MSXML 6.0.

Funkce systému Windows, klient služby Telnet, musí být nainstalována v počítačích se systémem Windows 7, Windows Vista nebo Windows Server 2008, je-li spustit mimo Vzdálená správa počítače konzoly a provádění příkazů sériové přes LAN.

Sériové přes sítě LAN používá protokol Telnet, chcete-li spustit relaci terminálové emulace pro spravovaný počítač, ve kterém můžete spustit příkazy a aplikace založené na znak.Další informace naleznete v části Úvod do Správa mimo síť v nástroji Configuration Manager.

Počítače, které lze spravovat mimo pásmo musí patřit do stejné doménové struktuře služby Active Directory jako servery webového systému, které běží mimo bodu služby IP síť a bod registrace.

Kromě toho musí počítače sdílejí stejný obor názvů; nesouvislé obory názvů nejsou podporovány.

V následujících případech určit počítače, které nejsou podporovány pro Správa mimo síť.V těchto počítačích je třeba zakázat AMT:

  • Počítače ve skupině.

  • Počítače, které se nacházejí v jiné doménové struktuře služby Active Directory z počítačů, které běží mimo pásmo služby bodu roli systému webu a bod registrace.

  • Počítače, které se nacházejí ve stejné struktuře služby Active Directory jako servery webového systému, které běží mimo pásmo service bodu a bod registrace, ale nesdílejí stejný obor názvů (nesouvislý obor názvů).

    Můžete například počítač s procesorem AMT s plně kvalifikovaný název domény computer1.northwindtraders.com nelze zřídit podle mimo pásmo služba bodu webový systém s plně kvalifikovaný název domény contoso.com, i v případě, že patří do stejné doménové struktuře služby Active Directory.

  • Počítače, které se nacházejí ve stejné struktuře služby Active Directory jako mimo pásmo bodu služby webového serveru systému, ale mají nesouvislý obor názvů – například na základě AMT počítač, který má název DNS computer1.corp.fabrikam.com a je umístěn v doméně služby Active Directory s názvem na.corp.fabrikam.com.

Požadovanými síťová zařízení, například směrovače a brány firewall a brána Windows Firewall v případě potřeby musí umožňovat přenos přidružený mimo pásmo správy aktivit.

Následující porty jsou používány Správa mimo síť:

  • Z mimo pásmo bodu služby k bodu registrace: Protokol HTTPS (ve výchozím nastavení portu TCP 443).

  • Služba bodu serveru se systémem k řadiči pro správu AMT pro řízení spotřeby z mimo pásmo inicializováno z konzoly nástroje Configuration Manager a naplánované aktivity, zřizování a zjišťování: TCP 16993.

  • Z počítačů se systémem mimo pásmo Konzola pro správu ke správě AMT řadiče pro všechny úlohy správy inicializováno z mimo pásmo management Console (včetně zapnutí příkazy): TCP 16993.

  • Z počítačů se systémem mimo pásmo management Console na řadiči pro správu AMT pro sériové prostřednictvím sítě LAN a rozhraní IDE přesměrování: TCP 16995.

IPv4.

Protokol IPv6 není podporován.Mimo pásmo použije správy pouze protokol IPv4.

Úplná prostředí IPsec nejsou podporovány.

Zásady protokolu IPsec pro AMT komunikace mezi mimo pásmo služba bodu webový server a počítače, které budou spravovány mimo IP síť není nakonfigurována.

Podpora infrastrukturní 802. 1 X ověřen pevné sítě a bezdrátové sítě:

  • Ověřený pevné 802. 1 X podpory: Možnosti ověřování klienta protokolu EAP-TLS nebo EAP-TTLS/MSCHAPv2 nebo PEAPv0/EAP-MSCHAPv2.

  • Podpoře bezdrátových technologií: Zabezpečení WPA a WPA2, AES nebo šifrování TKIP, možnosti ověřování klienta protokolu EAP-TLS nebo EAP-TTLS/MSCHAPv2 nebo PEAPv0/EAP-MSCHAPv2.

Poznámka

Pokud používáte metody ověřování klienta protokolu EAP-TLS nebo EAP-TTLS/MSCHAPv2 pomocí klientského certifikátu, řešení RADIUS musí podporovat ověřování pomocí následující formát: domain\computer_account.

Ke správě počítačů AMT AMT vzdáleně v protokolu 802. 1 X ověřený pevné sítě nebo prostřednictvím bezdrátového připojení, musí mít podpůrná infrastruktura pro tyto prostředí.Tyto sítě lze nakonfigurovat pomocí řešení společnosti Microsoft RADIUS, jako je například Network Policy Server v systému Windows Server 2008.Další řešení RADIUS lze použít, pokud se jedná o protokolu 802. 1 X, vyhovující a podpory, který uvedené možnosti konfigurace pro ověření pevné 802. 1 X podporu a podpoře bezdrátových technologií.

Další informace o Network Policy Server v systému Windows Server 2008, naleznete v části Network Policy Server.

Další informace o dalších řešení RADIUS, naleznete v části Intel vPro Expert Center: Microsoft vPro správy.

Závislosti nástroje Configuration Manager

V následující tabulce jsou uvedeny závislosti v rámci Configuration Manager pro provoz Správa mimo síť.

Závislost

Další informace

Primární lokalita musí být spuštěna System Center 2012 Configuration Manager a nainstalovali mimo bodu služby IP síť a bod registrace.

Mimo pásmo bod služby musí v doménové struktuře služby Active Directory jako webový server a můžete nainstalovat pouze jeden bod mimo IP síť služby v každé primárního webu.

Krok 4: Konfigurace bodu registrace a bod mimo IP síť služby pro zřizování AMT 

Počítače, které chcete spravovat mimo pásmo musí mít Configuration Manager klient nainstalován a musí být přiřazen k primární lokalitě.

System_CAPS_importantDůležité

Intel AMT počítačů se systémem přiřazených ke stejné Configuration Manager webu musí mít jedinečný název počítače, i v případě, že patří do různých doménách a proto mít jedinečné plně kvalifikovaný název domény.

 Instalace klientů v počítačích se systémem Windows v nástroji Configuration Manager

Pokud chcete nakonfigurovat Správa mimo síť, musí mít následující oprávnění zabezpečení:

  • Site: Čtení a Změnit

  • Profilu registrace mobilního zařízení: Čtení, vytvořit, Změnit, provádějte měření webu, a Správa certifikátů pro nasazení operačního systému

Úplná správce role zabezpečení obsahuje tato oprávnění.

Ke správě počítačů mimo pásmo, musí mít následující oprávnění zabezpečení pro kolekce, které obsahují počítače:

  • Zřízení AMT: Toto oprávnění zabezpečení slouží ke správě počítačů AMT z konzoly nástroje Configuration Manager, což zahrnuje zjišťování stavu řadiči pro správu AMT zajišťování počítačů pro AMT a auditování akce povolení a použití nastavení protokolu auditu, zakázání auditování a vymazání protokolu auditu.

  • Řídit AMT: Toto oprávnění zabezpečení slouží k zobrazení a Správa počítačů pomocí mimo pásmo Konzola pro správu a zahájit činnosti řízení spotřeby v konzole nástroje Configuration Manager.Nástroje pro vzdálenou role zabezpečení zahrnuje AMT ovládací prvek oprávnění.

  • Čtení a změnit nastavení kolekce Chcete-li povolit zřizování AMT pro kolekci.

  • AMT poskytování, čtení, a zdrojů pro čtení k odebrání informací o zřizování a aktualizaci AMT řadiči pro správu.

Další informace o tom, jak nakonfigurovat oprávnění zabezpečení naleznete v tématu Konfigurace správy na základě rolí.

Bod služby Reporting services.

Chcete-li použít Configuration Manager zpráv za Správa mimo síť, musíte nainstalovat a nakonfigurovat bod služby reporting services.

Další informace naleznete v části Vytváření sestav v nástroji Configuration Manager.

Viz také

Plánování Správa mimo síť v nástroji Configuration Manager