Probleme bei der AMT-Bereitstellung für die Out-of-Band-Verwaltung
Letzte Aktualisierung: Juli 2011
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Dieser Abschnitt enthält Informationen zur Problembehandlung, wenn mit der Out-of-Band-Verwaltung in Configuration Manager 2007 SP1 und höher keine AMT-basierten Computer bereitgestellt werden können.
Hinweis
Die Angaben in diesem Thema gelten nur für Configuration Manager 2007 SP1 und spätere Versionen.
Informationen zur Bereitstellung von PKI-Zertifikaten für die Out-of-Band-Verwaltung finden Sie unter:
Informationen zu Problemen bei der Verwendung der Out-of-Band-Verwaltungskonsole, nachdem Computer erfolgreich für AMT bereitgestellt wurden, finden Sie unter Out-of-Band-Verwaltungskonsolenprobleme.
Hinweis
Informationen zu Problemen, die speziell mit AMT zusammenhängen, beispielsweise unterschiedliches Verhalten in Abhängigkeit von der Version, zum Installieren und Konfigurieren des Intel-Konvertierungsprogramms sowie zum Konfigurieren von AMT finden Sie im Intel vPro Expert Center auf den Seiten zur Microsoft vPro-Verwaltbarkeit: https://go.microsoft.com/fwlink/?LinkId=132001.
Weitere Informationen zur Problembehandlung finden Sie im Blog „The Out of Band Management Support Team“ (https://go.microsoft.com/fwlink/?LinkId=183661).
Configuration Manager kann keine Computer für AMT bereitstellen, da eine oder mehrere Voraussetzungen nicht erfüllt sind
Für die Out-of-Band-Verwaltung müssen eine Reihe von Voraussetzungen erfüllt sein, bevor Configuration Manager Computer erfolgreich für AMT bereitstellen kann. Stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie bestimmte Fehler überprüfen.
Lösung
Prüfen Sie anhand des Themas Voraussetzungen für die Out-of-Band-Verwaltung, ob alle Voraussetzungen erfüllt sind.
Configuration Manager kann keine Computer für AMT bereitstellen, da Dateien überschrieben wurden, die mit dem Hotfix 942841 installiert wurden
Das Installieren von Hotfix 942841 ist eine der Voraussetzungen für die Out-of-Band-Verwaltung, wenn die Out-of-Band-Dienstpunktrolle unter Windows Server 2003 Service Pack 2 installiert wurde.
Die mit diesem Hotfix installierten Dateien wurden möglicherweise von einer anderen Softwareinstallation überschrieben, was dazu führt, dass die Bereitstellung für AMT nicht ausgeführt werden kann.
Wenn die richtigen Dateien fehlen, ist dies möglicherweise eine der Ursachen für den folgenden Fehler in der Datei <ConfigMgr-Installationspfad>\Logs\Amtopmgr.log:
Gilt nur für Configuration Manager 2007 SP1: Error: Device internal error. Check Schannel, provision certificate, network configuration, device.
Configuration Manager 2007 SP2 und höher: Error: Device internal error. This may be caused by: 1. Schannel hotfix applied that can send our root certificate in provisioning certificate chain. 2. incorrect network configuration(DHCP option 6 and 15 required for AMT firmware). 3. AMT firmware self signed certificate issue(date zero). 4. AMT firmware is not ready for PKI provisioning. Check network interface is opening and AMT is in PKI mode. 5. Service point is trying to establish connection with wireless IP address of AMT firmware but wireless management has NOT enabled yet. AMT firmware doesn't support provision through wireless connection.
Lösung
Überprüfen Sie, ob die für den Hotfix aufgeführte Dateiversion mit den Dateiinformationen auf dem Standortsystemserver mit dem Out-of-Band-Dienstpunkt übereinstimmen. Wenn dies nicht der Fall ist oder die Hotfix-Dateien möglicherweise überschrieben wurden, installieren Sie den Hotfix neu.
Weitere Informationen zu diesem Hotfix finden Sie unter https://go.microsoft.com/fwlink/?LinkId=106107.
Configuration Manager kann keine Computer bereitstellen, da einige Infrastrukturserver (DNS und DHCP) eine falsche Konfiguration aufweisen
Damit Sie AMT-basierte Computer bereitstellen können, müssen i. d. R. DNS- und DHCP-Infrastrukturserver entsprechend konfiguriert werden. Erst dann können die AMT-basierten Computer mit ihrem DNS-Domänensuffix konfiguriert werden und ihren Hostnamen in DNS registrieren. Für die Out-of-Band-Bereitstellung ist außerdem möglicherweise ein Eintrag in DNS erforderlich, der AMT-basierten Computern die Ermittlung ihres Bereitstellungsservers erlaubt. Tritt bei einem dieser Schritte ein Fehler auf, kann die AMT-Bereitstellung nicht ausgeführt werden.
Wenn Infrastrukturserver nicht richtig konfiguriert sind, wird in der Datei <ConfigMgr-Installationspfad>\Logs\Amtopmgr.log möglicherweise folgender Fehler angezeigt:
Gilt nur für Configuration Manager 2007 SP1: Error: Device internal error. Check Schannel, provision certificate, network configuration, device.
Configuration Manager 2007 SP2 und höher: Error: Device internal error. This may be caused by: 1. Schannel hotfix applied that can send our root certificate in provisioning certificate chain. 2. incorrect network configuration(DHCP option 6 and 15 required for AMT firmware). 3. AMT firmware self signed certificate issue(date zero). 4. AMT firmware is not ready for PKI provisioning. Check network interface is opening and AMT is in PKI mode. 5. Service point is trying to establish connection with wireless IP address of AMT firmware but wireless management has NOT enabled yet. AMT firmware doesn't support provision through wireless connection.
Lösung
Wenn Sie kein benutzerdefiniertes Firmwareabbild für die AMT-basierten Computer verwenden, muss möglicherweise für den Out-of-Band-Dienstpunkt ein Alias in DNS registriert und ein aktiver DHCP-Bereich mit Optionen für DNS-Server (006) und Domänenname (015) konfiguriert werden. Der DHCP-Server muss außerdem DNS automatisch mit dem Datensatz der Computerressource aktualisieren.
Weitere Informationen zur Notwendigkeit einer Alias-Registrierung in DNS finden Sie unter Entscheiden, ob ein Alias für den Out-of-Band-Dienstpunkt im DNS registriert werden soll.
Weitere Informationen zum Verwenden eines benutzerdefinierten Firmwareabbilds finden Sie unter Entscheiden über die Notwendigkeit eines benutzerdefinierten Firmware-Abbilds vom Computerhersteller.
Configuration Manager kann keine Computer bereitstellen, weil die Active Directory-Organisationseinheit oder der Active Directory-Container nicht vorhanden ist
Wenn Sie in den Eigenschaften der Out-of-Band-Verwaltungskomponente eine Active Directory-Organisationseinheit oder einen Active Directory-Container angegeben haben, die bzw. der in der Domäne des AMT-basierten Computers nicht vorhanden ist, kann die Bereitstellung nicht ausgeführt werden, und die Protokolldatei unter <ConfigMgr-Installationspfad>\Logs\Amtproxymgr.log enthält die folgende Fehlermeldung:
CActiveDirectoryUtils::CreateObject - failed to get container.
AD Task - CreateObject failed.
Neben der Meldung CreateObject failed sind der FQDN des AMT-basierten Computers und der Name der Organisationseinheit bzw. des Containers angegeben, die für die fehlgeschlagene Bereitstellung verwendet wurden.
Ein Fehler bei der Erstellung des Computerobjekts kann unter den folgenden Umständen auftreten:
Die ursprünglich angegebene Organisationseinheit oder der ursprünglich angegebene Container wurde in den Active Directory-Domänendiensten umbenannt.
Die ursprünglich angegebene Organisationseinheit oder der ursprünglich angegebene Container wurde in den Active Directory-Domänendiensten gelöscht.
Vom Out-of-Band-Dienstpunkt wurde die Bereitstellung AMT-basierter Computer aus unterschiedlichen Domänen versucht, und nicht alle Domänen wurden mit der angegebenen Organisationseinheit oder dem angegebenen Container konfiguriert.
Lösung
Wenn in den Eigenschaften der Out-of-Band-Verwaltungskomponente und in den Active Directory-Domänendiensten unterschiedliche Organisationseinheiten oder Container angegeben wurden, die Einstellung so ändern, dass die Werte einander entsprechen.
Das Vorgehen zum Konfigurieren der Organisationseinheit oder des Containers in den Active Directory-Domänendiensten ist unter Vorbereiten von Active Directory-Domänendiensten für die Out-of-Band-Verwaltung beschrieben.
Das Vorgehen zum Konfigurieren der Organisationseinheit oder des Containers in den Eigenschaften der Out-of-Band-Verwaltungskomponente ist unter Konfigurieren der AMT-Bereitstellung beschrieben.
Configuration Manager kann keine Computer mit separatem Namespace bereitstellen
Die Out-of-Band-Verwaltung unterstützt keine AMT-Bereitstellung von Computern mit separatem Namespace. Um einen separaten Namespace handelt es sich u. a. dann, wenn sich ein AMT-basierter Computer mit dem DNS-Namen computer1.corp.fabrikam.com in einer Active Directory-Domäne befindet, die statt der Bezeichnung corp.fabrikam.com beispielsweise die Bezeichnung na.corp.fabrikam.com hat.
Lösung
Die einzige Möglichkeit, dieses Problem zu umgehen, besteht in der Angleichung des DNS-Namespace an den Active Directory-Namespace.
Bei der In-Band-Bereitsstellung tritt ein Fehler auf, wenn die Computer nicht mit Configuration Manager 2007 SP2 genehmigt wurden
Configuration Manager-Clients müssen für die In-Band-Bereitsstellung an einem Configuration Manager 2007 SP2-Standort im gemischten Modus genehmigt werden. Wenn bei der In-Band-Bereitstellung ein Fehler auftritt, weil ein Client nicht genehmigt wurde, enthält die Datei unter <ConfigMgr-Installationspfad>\Logs\Amtopmgr.log die folgende Fehlermeldung:
Error: Cannot provision computer in-band because the Configuration Manager client is not approved.
Lösung
Genehmigen Sie den Client. Weitere Informationen finden Sie unter Genehmigen von Configuration Manager-Clients. Weitere Informationen zur Genehmigung finden Sie unter Informationen zur Clientgenehmigung in Configuration Manager.
Das AMT-Bereitstellungszertifikat kann nicht konfiguriert werden, da diese Option auf der Registerkarte „Allgemein“ der Eigenschaften der Komponentenkonfiguration für die Out-of-Band-Verwaltung deaktiviert ist Registerkarte „Allgemein“
Wenn Sie die Configuration Manager-Konsole auf einem primären Standort ausführen und eine Verbindung mit einem untergeordneten primären Standort herstellen, wird die Option zum Konfigurieren des AMT-Bereitstellungszertifikats für den untergeordneten Standort deaktiviert.
Das Konfigurieren des AMT-Bereitstellungszertifikats für einen untergeordneten primären Standort auf einem übergeordneten primären Standort wird von Configuration Manager verhindert, da hierdurch das AMT-Bereitstellungszertifikat auf dem übergeordneten Standort überschrieben würde.
Lösung
Konfigurieren Sie das AMT-Bereitstellungszertifikat direkt auf dem untergeordneten Standort.
Configuration Manager kann keine Computer bereitstellen, da auf diesen eine AMT-Version ausgeführt wird, die durch die systemeigenen Funktionen von Configuration Manager nicht unterstützt wird
Eine Bereitstellung von AMT-basierten Computern mit einer AMT-Version, die von den Configuration Manager nicht unterstützt wird, ist nicht möglich. Weitere Informationen zu unterstützten Versionen finden Sie unter Von Configuration Manager 2007 SP1 unterstützte Konfigurationen und Von Configuration Manager 2007 SP2 unterstützte Konfigurationen.
Wenn Sie das Intel WS-MAN-Konvertierungsprogramm installieren sowie konfigurieren und anschließend in Configuration Manager die Unterstützung des Konvertierungsprogramms aktivieren, ist die Bereitstellung der Computer u. U. trotzdem möglich. Diese Computer müssen dann mithilfe der Out-of-Band-Bereitstellungsmethode bereitgestellt werden.
Lösung
Weitere Informationen zum Intel-Konvertierungsprogramm finden Sie unter https://go.microsoft.com/fwlink/?LinkId=108363.
Die AMT-Versionsinformationen können auf verschiedene Weise überprüft werden, z. B. durch Anzeigen des Werts in der Spalte AMT-Version der Configuration Manager-Konsole oder durch Ausführen des Berichts Bereitstellungsstatus zur Out-of-Band-Verwaltung.
Gehen Sie wie folgt vor, um die Option zur Unterstützung für das Intel-Konvertierungsprogramm zu aktivieren.
So aktivieren Sie die Unterstützung für das Intel WS-MAN-Konvertierungsprogramm
Wechseln Sie zu System CenterConfiguration Manager > Standortdatenbank > Standortverwaltung > <Standortcode> – <Standortname> > Standorteinstellungen > Komponentenkonfiguration.
Klicken Sie mit der rechten Maustaste auf Out-of-Band-Verwaltungskomponente, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte AMT-Einstellungen, aktivieren Sie das Kontrollkästchen Unterstützung für das Intel WS-MAN-Konvertierungsprogramm aktivieren, und klicken Sie auf OK.
Configuration Manager kann keine Computer bereitstellen, da die Berechtigungen für die AMT-Zertifikatvorlage nicht richtig konfiguriert sind
Für den Standortservercomputer sind Windows-Sicherheitsberechtigungen zum Lesen und Registrieren der für das AMT-Webserverzertifikat verwendeten Zertifikatvorlage erforderlich. Wenn diese Berechtigungen nicht ordnungsgemäß festgelegt wurden, wird in der Datei <ConfigMgr-Installationspfad>\Logs\Amtopmgr.log der folgende Fehler angezeigt:
Error: Missed device certificate. To provision device with TLS server or Mutual authentication mode, device certificate is required.
Die ausstellende Zertifizierungsstelle erstellt eine Liste der zurückgewiesenen Zertifikatanforderungen in der Zertifizierungsstellenkonsole unter dem Knoten Fehlgeschlagene Anfragen.
Hinweis
Wenn Sie die Standard-Zertifikatvorlage für Webserver ohne Änderungen verwenden, kann der Standortservercomputer diese nicht für die Bereitstellung von AMT-basierten Computern verwenden.
Lösung
Konfigurieren Sie die verwendete Zertifikatvorlage entweder so, dass der Standortserver über Lese- und Registrierungsberechtigungen verfügt, oder verwenden Sie eine andere Zertifikatvorlage für diese nicht standardmäßige Konfiguration.
Eine schrittweise Anleitung zum ordnungsgemäßen Konfigurieren der AMT-Zertifikatvorlage finden Sie unter Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle.
Configuration Manager kann keine Computer in einer untergeordneten Domäne bereitstellen, da die erforderlichen DCOM-Zugriffsberechtigungen fehlen
Wenn der primäre Standortserver nicht über die DCOM-Zugriffsberechtigungen verfügt, die für die Anforderung von Zertifikaten von der ausstellenden Zertifizierungsstelle erforderlich sind, kann die Bereitstellung nicht ausgeführt werden. In diesem Fall werden die fehlerhaften Bereitstellungsversuche und der folgende „Zugriff verweigert“-Fehler in der Protokolldatei Amtproxyomgr.log angezeigt:
ERROR: ICertRequest2->Submit failed: 0x80070005
Lösung
Stellen Sie sicher, dass der Standortservercomputer ein Mitglied der Sicherheitsgruppe CERTSRV_DCOM_ACCESS (Windows Server 2003) oder Zertifikatdienst-DCOM-Zugriff (Windows Server 2008) in der Domäne der ausstellenden Zertifizierungsstelle ist. Weitere Informationen zu diesen Gruppen und ihrer Verwendung im Zusammenhang mit Zertifizierungsstellen finden Sie in der Dokumentation zu den Windows Server-Zertifikatdiensten.
Configuration Manager kann keine Computer bereitstellen, da die AMT-basierten Computer nicht den richtigen Zertifikatfingerabdruck aufweisen
Configuration Manager können AMT-basierte Computer nur dann bereitstellen, wenn diese in den BIOS-Erweiterungen den konfigurierten Zertifikatfingerabdruck (auch als Zertifikathash bezeichnet) der Stammzertifizierungsstelle aufweisen, die das AMT-Bereitstellungszertifikat ausgegeben hat.
Wenn der Zertifikatfingerabdruck bei der Out-of-Band-Bereitstellung nicht übereinstimmt, wird auf dem Standortsystemserver, auf dem die Out-of-Band-Dienstpunktrolle ausgeführt wird, in der Datei <ConfigMgr-Installationspfad>\Logs\Amtopmgr.log der folgende Fehler angezeigt:
Error: Die Hashliste des AMT-Geräts <UUID> enthält nicht den Bereitstellungsserver-Zertifikathash.
Wenn der Zertifikatfingerabdruck bei der In-Band-Bereitstellung nicht übereinstimmt, enthält die Datei Oobmgmt.log die folgende Fehlermeldung (die Datei befindet sich bei 32-Bit-Arbeitsstationen im Ordner *%Windir%\*System32\CCM\Logs und bei 64-Bit-Arbeitsstationen mit dem Configuration Manager 2007 SP1-Client (oder höher) im Ordner *%Windir%\*SysWOW64\CCM\Logs):
None certificate is valid between device and server certificate hash.
Weitere Informationen zu dieser Voraussetzung finden Sie im Abschnitt „Das AMT-Bereitstellungszertifikat“ unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung.
Lösung
Vergewissern Sie sich, dass der Zertifikatfingerabdruck der Stammzertifizierungsstelle, die das AMT-Bereitstellungszertifikat ausgegeben hat, ordnungsgemäß in den BIOS-Erweiterungen der AMT-basierten Computer angegeben wird.
Wenn Sie eine eigene interne Zertifizierungsstelle zum Ausstellen des AMT-Bereitstellungszertifikats verwenden und den Zertifikatfingerabdruck überprüfen möchten, finden Sie die entsprechenden Informationen unter Suchen des Zertifikatfingerabdrucks des internen Stammzertifikats für die AMT-Bereitstellung.
Informationen zur Vorgehensweise zum Suchen oder Eingeben des Zertifikatfingerabdrucks in den BIOS-Erweiterungen finden Sie in der Dokumentation Ihres Computerherstellers.
Es kann keine In-Band-Bereitstellung ausgeführt werden, da die Computer nicht für die automatische AMT-Bereitstellung konfiguriert sind
Wenn Configuration Manager 2007 SP1 oder ein späterer Client installiert ist, können Sie die In-Band-Bereitstellung für die automatische Bereitstellung dieser Computer für AMT verwenden. Die Bereitstellung kann jedoch nicht ausgeführt werden, wenn eine der folgenden Bedingungen zutrifft:
Die Computer befinden sich in keiner für die automatische AMT-Bereitstellung konfigurierten Sammlung
Die Computer befinden sich in einer für die automatische AMT-Bereitstellung konfigurierten Sammlung, die Option zum Deaktivieren der automatischen AMT-Bereitstellung ist jedoch aktiviert Dies kann auftreten, wenn die Bereitstellungsinformationen vom AMT-basierten Computer entfernt wurden oder der Computer mithilfe eines Exporttools von einer anderen AMT-Verwaltungslösung importiert wurde.
Sie können überprüfen, ob ein AMT-basierter Computer die automatische In-Band-Bereitstellung ausführen kann. Diese Information finden Sie in der Configuration Manager-Spalte Automatische AMT-Bereitstellung, wo entweder Aktiviert oder Deaktiviert angezeigt wird.
Lösung
Gehen Sie wie folgt vor, um eine Sammlung für die automatische In-Band-Bereitstellung zu konfigurieren und den deaktivierten Status eines einzelnen Computers zu ändern, damit dieser für die automatische In-Band-Bereitstellung aktiviert wird.
So konfigurieren Sie eine Sammlung für die automatische In-Band-AMT-Bereitstellung
Klicken Sie mit der rechten Maustaste auf eine Sammlung mit Computern zur In-Band-Bereitstellung, klicken Sie auf Sammlungseinstellungen ändern, und klicken Sie dann auf die Registerkarte Out-of-Band.
Wählen Sie Automatische Bereitstellung von Out-of-Band-Verwaltungscontrollern aktivieren aus, und klicken Sie dann auf „OK“.
So ändern Sie den deaktivierten Status eines einzelnen Computers, damit dieser für die automatische In-Band-Bereitstellung aktiviert wird
- Klicken Sie mit der rechten Maustaste auf eine Sammlung, klicken Sie auf Out-of-Band-Verwaltung, und klicken Sie dann auf Automatische Bereitstellung aktivieren.
Bei der In-Band-Bereitsstellung von Computern, die zuvor mit Configuration Manager ermittelt wurden, tritt ein Fehler auf
Bei der In-Band-Bereitsstellung eines AMT-basierten Computers mit Configuration Manager 2007 SP1 und höher tritt ein Fehler auf, wenn der Computer vor dem Bereitstellungsprozess bereits mit Configuration Manager ermittelt wurde. Nach Ausführung des Assistenten für den Import eines Computers für die Out-of-Band-Verwaltung fehlt in diesem Fall der Standortcode im Clientdatensatz, sodass keine erfolgreiche Bereitstellung möglich ist.
Lösung
Dieses Problem wurde in Configuration Manager 2007 SP2 behoben. Sollte ein Upgrade auf Configuration Manager 2007 SP2 nicht möglich sein, kann zur erfolgreichen Out-of-Band-Bereitstellung vor der Ausführung des Assistenten der Clientdatensatz in der Configuration Manager-Konsole gelöscht werden. Alternativ können Sie die In-Band-Bereitstellung verwenden.
Computer können keine Out-of-Band-Bereitstellung ausführen, weil der Alias für den Out-of-Band-Dienstpunkt nicht im DNS registriert ist
Wenn ein Alias des Bereitstellungsservers automatisch im DNS registriert wird, damit für AMT-basierte Computer die Out-of-Band-Bereitstellung möglich ist, müssen Sie nach der Installation des Out-of-Band-Dienstpunkts die Option Bereitstellungsserver als Alias in DNS registrieren aktivieren. Andernfalls wird der Alias vom Standortserver nicht registriert. Daher können Computer, die eine Out-of-Band-Bereitstellung ausführen möchten, nicht auf ihren Bereitstellungsserver zugreifen.
Wenn die Out-of-Band-Bereitstellung nicht ausgeführt werden kann, weil vom Standortserver der Alias des Bereitstellungsservers in DNS nicht registriert werden konnte, wird möglicherweise der folgende Fehler in der Protokolldatei <ConfigMgr-Installationspfad>\Logs\Amtopmgr.log nach der folgenden Anweisung erstellt: Send request to AMT proxy component to add the alias ProvisionServer.<domain_suffix> in the DNS. The machine’s FQDN is <out_of_band_service_point_FQDN>.domain_suffix>:
Unable to create instruction file for AMT Proxy task: <ConfigMgrInstallationPath>\MP\OUTBOXES\Amtproxy.box
Lösung
Vergewissern Sie sich, dass der Out-of-Band-Dienstpunkt installiert ist. Deaktivieren Sie die Option Bereitstellungsserver als Alias in DNS registrieren, und aktivieren Sie die Option dann erneut.
Weitere Informationen zum Registrieren eines Alias des Bereitstellungsservers finden Sie unter Entscheiden, ob ein Alias für den Out-of-Band-Dienstpunkt im DNS registriert werden soll und Registrieren eines Alias in DNS für den Out-of-Band-Dienstpunkt.
Weitere Informationen zum Installieren des Out-of-Band-Dienstpunkts finden Sie unter Installieren des Out-of-Band-Dienstpunkts.
Configuration Manager kann keine Computer für AMT bereitstellen, da diese für eine andere AMT-Verwaltungslösung bereitgestellt sind
Configuration Manager kann keine automatische Verwaltung für AMT-basierte Computer ausführen, die von einer anderen AMT-Verwaltungslösung bereitgestellt wurden.
Lösung
Entscheiden Sie sich für eine Migrationsstrategie, um diese Computer mit Configuration Manager bereitzustellen. Hierzu stehen Ihnen folgende Optionen zur Verfügung:
Verwender der In-Band-Bereitstellung mit Configuration Manager.
Verwender der Out-of-Band-Bereitstellung mit Configuration Manager und einem Exportdienstprogramm.
Verwender der Out-of-Band-Bereitstellung mit Configuration Manager ohne Exportdienstprogramm.
Weitere Informationen finden Sie unter Entscheiden, wie die Migration von einer AMT-basierten Verwaltungslösung zu einer Out-of-Band-Verwaltung in Configuration Manager erfolgen soll.
Der Standortserver kann keine Zertifikate für AMT-basierte Computer sperren
Wenn der primäre Standortserver für die ausstellende Zertifizierungsstelle nicht über die Berechtigung Zertifikate ausstellen und verwalten verfügt, kann die Zertifikatsperrung für Zertifikate, die für AMT-basierte Computer ausgestellt wurden, nicht ausgeführt werden. Im Zertifizierungsstellen-Knoten Fehlgeschlagene Anfragen wird ein neuer Eintrag erstellt.
Suchen Sie zur Identifizierung dieser Bedingung auf dem Standortservercomputer nach einem der folgenden Einträge in der Protokolldatei <ConfigMgr-Installationspfad>\Protokolle\Amtproxymgr.log:
Error: CCAUtils::RevokeCertificate Zertifikatssperrung von <Zertifikat-ID> fehlgeschlagen mit 0x80070005 SMS_AMT_PROXY_COMPONENT <Datum> <Uhrzeit> 2632 (0x0A48)
Error: CCAUtils::RevokeExistedCertificate Zertifikatssperrung von <Zertifikat-ID> fehlgeschlagen. SMS_AMT_PROXY_COMPONENT <Datum> <Uhrzeit> 2632 (0x0A48)
Lösung
Gewähren Sie dem primären Standortserver für die ausstellende Zertifizierungsstelle die Berechtigung Zertifikate ausstellen und verwalten.
Weitere Informationen zur Zertifikatssperrung bei der Out-of-Band-Verwaltung finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung.
Configuration Manager kann keine Computer für AMT bereitstellen, da das Stammzertifizierungsstellen-Zertifikat eine Schlüssellänge von mehr als 2048 Bit aufweist
AMT-basierte Computer unterstützen keine Stammzertifizierungsstellen-Zertifikate, deren Schlüssellänge 2048 Bits überschreitet. In diesem Szenario schlägt die Bereitstellung fehl und erzeugt die folgenden Fehler in der Protokolldatei <ConfigMgrInstallationPath>\Logs\Amtproxymgr.log:
Error 0x80090304 returned by InitializeSecurityContext during follow up TLS handshaking with server.
**** Error 0x193b95c returned by ApplyControlToken
Verbindung konnte nicht hergestellt und Core-Version des Computers <IP-Adresse des bereitzustellenden Computers> konnte nicht abgerufen werden.
Lösung
Verwenden Sie eine Zertifizierungsstelle, deren Stammzertifikat eine Schlüssellänge von maximal 2048 Bit aufweist.
Weitere Informationen finden Sie unter Voraussetzungen für die Out-of-Band-Verwaltung und Zertifikatanforderungen für die Out-of-Band-Verwaltung.
Die AMT-Verwaltungscontroller können nicht aktualisiert oder von den AMT-Verwaltungscontrollern können keine Bereitstellungsinformationen entfernt werden, weil bei der Prüfung der Zertifikatsperrliste ein Fehler aufgetreten ist
Wenn die Version der Windows-Remoteverwaltung (WinRM) auf dem Computer, auf welchem der Out-of-Band-Dienstpunkt ausgeführt wird, die Prüfung der Zertifikatsperrliste auf das Zertifikat des AMT-basierten Computers unterstützt, auf die Zertifikatsperrliste jedoch nicht zugegriffen werden kann (z. B., weil sie offline ist), tritt beim Aktualisieren des AMT-Verwaltungscontrollers sowie beim Entfernen von Bereitstellungsinformationen von diesem ein Fehler auf. In diesem Fall enthält die Protokolldatei unter <ConfigMgr-Installationspfad>\Logs\Amtopmgr.log für den zugehörigen AMT-basierten Computer die folgende Fehlermeldung:
Description: A security error occurred und Error code: 0x80072F8F
Hinweis
Die auf Computern mit Windows Server 2008 R2 installierte WinRM-Version unterstützt die Prüfung der Zertifikatsperrliste.
Wenn die Prüfung der Zertifikatsperrliste fehlschlägt, sind davon auch alle anderen Out-of-Band-Verwaltungsaktionen betroffen. Dies sind u. a. Energiesteuerungsaktionen, die Aktivierung oder Deaktivierung der Überwachung sowie der Verbindungsaufbau zum AMT-basierten Computer mithilfe der Out-of-Band-Verwaltungskonsole. Weitere Informationen zur Prüfung der Zertifikatsperrliste bei der Out-of-Band-Verwaltung finden Sie im Abschnitt „CRL-Prüfung und Zertifikatsperrung für Out-of-Band-Verwaltungszertifikate“ unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung.
Lösung
Die Prüfung der Zertifikatsperrliste in diesem Fall kann durch Configuration Manager nicht deaktiviert werden. Stellen Sie sicher, dass der Zugriff auf die Zertifikatsperrliste gewährleistet ist und dass der AMT-basierte Computer über ein gültiges Zertifikat verfügt. Anstatt mithilfe von Configuration Manager können Sie die Bereitstellungsinformationen auch entfernen, indem Sie die BIOS-Erweiterungen auf dem AMT-basierte Computer konfigurieren.
Wenn die Bereitstellungsinformationen entfernt werden soIlen, weil der AMT-basierten Computer nicht mehr als vertrauenswürdig eingestuft wird, auf die Zertifikatsperrliste jedoch weiterhin nicht zugegriffen werden kann, sollten Sie eine der folgenden Maßnahmen ergreifen, um Ihr Netzwerk zu schützen:
Blockieren Sie, wenn auf dem AMT-basierten Computer der Configuration Manager 2007 SP2-Client ausgeführt wird, letzteren. Dadurch werden vom Standortserver sämtliche Zertifikate für die Out-of-Band-Verwaltung gesperrt, welche für diesen Computer ausgestellt wurden, und das zugehörige AMT-Konto wird in den Active Directory-Domänendiensten gelöscht. Weitere Informationen zum Blockieren von Clients auf AMT-basierten Computern finden Sie unter Informationen zum Blockieren von Clients und zur Out-of-Band-Verwaltung.
Wenn auf dem AMT-basierten Computer der Configuration Manager 2007 SP2-Client nicht ausgeführt wird, sperren Sie sämtliche Zertifikate für die Out-of-Band-Verwaltung, welche für diesen Computer ausgestellt wurden, manuell, und löschen Sie das zugehörige AMT-Konto in den Active Directory-Domänendiensten ebenfalls manuell.
Hinweis
Suchen Sie zum Ermitteln des AMT-Zertifikats auf der ausstellenden Zertifizierungsstelle das Zertifikat, das für den Standortserver mit dem FQDN des AMT-basierten Computer als Zertifikatantragsteller ausgestellt wurde. Suchen Sie zum Ermitteln des AMT-Kontos in der Domäne des Computers die Organisationseinheit oder den Container, die bzw. der in den Eigenschaften der Out-of-Band-Verwaltungskomponente auf der Registerkarte Allgemein angegeben wurde. Das Konto weist das folgende Format auf: <Computername>$iME.
Configuration Manager 2007 SP2 kann keine AMT-basierten Computer mit Drahtlosverbindung bereitstellen oder aktualisieren
Configuration Manager 2007 SP2 unterstützt zwar die Out-of-Band-Verwaltung AMT-basierter Computer in einem Drahtlosnetzwerk, der AMT-Verwaltungscontroller kann jedoch nicht mit Configuration Manager über eine Drahtlosverbindung bereitgestellt oder aktualisiert werden. In diesem Fall schlägt der Versuch, den Namen in die IP-Adresse der Drahtlosverbindung aufzulösen fehl, und die Verbindung wird nicht hergestellt. Wenn bei diesem Vorgang in einem Drahtlosnetzwerk ein Fehler auftritt, enthält die Protokolldatei unter <ConfigMgr-Installationspfad>\Logs\Amtopmgr.log die folgende Fehlermeldung:
Error: Can not finish WSMAN call with target device. 1. Check if there is a winhttp proxy to block connection. 2. Service point is trying to establish connection with wireless IP address of AMT firmware but wireless management has NOT enabled yet. AMT firmware doesn't support provision through wireless connection. 3. For greater than 3.x AMT, there is a known issue in AMT firmware that WSMAN will fail with FQDN longer than 44 bytes.
Lösung
Schließen Sie den AMT-basierten Computer an ein verkabeltes Netzwerk an, und versuchen Sie die Bereitstellung oder Aktualisierung erneut.
Siehe auch
Konzepte
Protokolldateien für die Out-of-Band-Verwaltung
Andere Ressourcen
Problembehandlung bei der Out-of-Band-Verwaltung
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com