Beispielszenarien für die Implementierung der Out-of-Band-Verwaltung

Artikel
12/19/2014

Letzte Aktualisierung: Oktober 2004

Betrifft: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Die folgenden Abschnitte dieses Themas enthalten Beispielszenarien für die Implementierung einer Out-of-Band-Verwaltung in Configuration Manager 2007 SP1 und höher:

Out-of-Band-Bereitstellung für neue AMT-basierte Computer
In-Band-Bereitstellung für AMT-basierte Configuration Manager-Clientcomputer
AMT-Bereitstellung für ein Drahtlosnetzwerk mit Configuration Manager 2007 SP2

Hinweis

Die Angaben in diesem Thema gelten nur für Configuration Manager 2007 SP1 und spätere Versionen.

In den folgenden Szenarien verfügt das Unternehmen bereits über eine bestehende PKI-Infrastruktur und verwendet dazu Windows Server 2003-Zertifikatdienste. Darüber hinaus verfügt es über eine Unternehmenszertifizierungsstelle, die auf Microsoft Windows Server 2003 Enterprise Edition ausgeführt wird.

Out-of-Band-Bereitstellung für neue AMT-basierte Computer

Dieses Szenario zeigt, wie die Out-of-Band-Bereitstellung für AMT-basierte Computer oder neue Computer verwendet werden kann, auf denen kein Betriebssystem installiert ist.

Die Firma A. Datum Corporation erhält eine Lieferung mit neuen Computern, die AMT-basiert sind und alle Voraussetzungen für die Out-of-Band-Verwaltung in Configuration Manager 2007 erfüllen. Dieses Unternehmen hat vor kurzem seinen zentralen Standort auf Configuration Manager 2007 SP1 aktualisiert, an anderen Standorten wird Configuration Manager 2007 jedoch weiterhin ausgeführt, und auf sämtlichen Configuration Manager-Clients wird ebenfalls Configuration Manager 2007 ausgeführt.

Für die In-Band-Bereitstellung dieser Computer müssen die Clients auf eine Version aktualisiert werden, die AMT in Configuration Manager 2007 SP1 oder höher unterstützt.

Torsten Arndt ist Configuration Manager-Administrator und ist zuständig für die Bereitstellung dieser Computer am zentralen Standort. Die Computer treten der einzelnen Domäne des Unternehmens bei und erfüllen alle Anforderungen für die Unterstützung der Out-of-Band-Verwaltung in Configuration Manager 2007 SP1 und höher.

Die AMT-basierten Computer haben kein benutzerdefiniertes Firmware-Abbild, und Torsten hat mit seinem Vorgesetzten vereinbart, ein AMT-Bereitstellungszertifikat von einer der externen Zertifizierungsstellen (CAs) zu erwerben, die in der Firmware dieser Computer konfiguriert sind.

Torsten unternimmt die in der folgenden Tabelle aufgeführten Schritte, um die neuen AMT-basierten Computer out-of-band bereitzustellen.

Prozess	Referenz
Torsten prüft die Voraussetzungen für die Out-of-Band-Verwaltung und nimmt folgende Änderungen für den Configuration Manager-Standort vor: Er legt einen Standortsystemserver fest, auf dem der Out-of-Band-Dienstpunkt installiert werden soll. Der vollständig qualifizierte Domänennamen (FQDN) dieses Computers lautet server15.adatum.com. Auf diesem Server wird Windows Server 2003 SP2 ausgeführt. Daher installiert Torsten den erforderlichen Hotfix 942841. Er installiert die aktuelle Version von Windows Remote Management (WinRM) auf dem Standortsystemserver.	Weitere Informationen zu diesem Hotfix finden Sie unter https://go.microsoft.com/fwlink/?LinkId=106107. Die aktuelle Version von WinRM zum Herunterladen sowie weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=105682.
Zusammen mit den Administratoren für Active Directory-Dienste erstellt er eine Organisationseinheit in der Domäne „adatum.com“ für die veröffentlichten AMT-basierten Computerobjekte und konfiguriert die Organisationseinheit so, dass der Standortserver die volle Kontrolle für diese Organisationseinheit und alle untergeordneten Objekte hat. Darüber hinaus werden folgende Windows-Sicherheitsgruppen in Vorbereitung für die PKI-Zertifikate erzeugt: Eine Gruppe namens ConfigMgr-Out-of-Band-Dienstpunkt, die Server15 enthält. Eine Gruppe namens Primäre ConfigMgr-Standortserver, die den primären Standortserver am zentralen Standort enthält.	Weitere Informationen finden Sie unter den folgenden Themen: Vorbereiten von Active Directory-Domänendiensten für die Out-of-Band-Verwaltung Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle
Torsten kommt zusammen mit dem Team für Infrastrukturdienste zu folgenden Ergebnissen: Er bestätigt, dass die Router und Firewalls für die Out-of-Band-Kommunikation nicht neu konfiguriert werden müssen. Er bestätigt, dass die DNS-Server dynamische Updates zulassen. Somit kann der neue Standortsystemserver, auf dem Torsten den Out-of-Band-Dienstpunkt installieren möchte, automatisch einen Alias-Datensatz im DNS registrieren. Er bestätigt, dass der DHCP-Server bereits ordnungsgemäß mit folgenden Einstellungen konfiguriert ist: Es gibt einen aktiven Bereich mit verfügbaren Adressen. Der Bereich ist mit Option 006 für Domänenserver und mit Option 015 für den Domänennamen konfiguriert. Der DHCP-Server aktualisiert das DNS automatisch mit Ressourceneinträgen für Computer.	Weitere Informationen zu den für die Kommunikation im Rahmen der Out-of-Band-Verwaltung verwendeten Ports finden Sie in den Portinformationen als externe Abhängigkeit unter Voraussetzungen für die Out-of-Band-Verwaltung. Weitere Informationen zu DNS- und DHCP-Einstellungen finden Sie unter folgenden Themen: Voraussetzungen für die Out-of-Band-Verwaltung Entscheiden, ob ein Alias für den Out-of-Band-Dienstpunkt im DNS registriert werden soll
Torsten kommt zusammen mit dem PKI-Team zu folgenden Ergebnissen: Es wird eine benutzerdefinierte Vorlage erzeugt, mit der das AMT-Bereitstellungszertifikat von einer externen Zertifizierungsstelle angefordert werden kann. Die Zertifikatanforderung für das AMT-Bereitstellungszertifikat wird von Server15 ausgestellt und in einer Datei gespeichert, sodass sie an eine externe Zertifizierungsstelle gesendet werden kann. Die Datei zur Zertifikatanforderung wird mit einer Bestellung an die externe Zertifizierungsstelle gesendet, und am folgenden Tag erhält Torsten das Zertifikat per E-Mail. Er installiert das Zertifikat auf Server15. Das installierte AMT-Bereitstellungszertifikat wird in eine PFX-Datei exportiert und sicher auf dem Server gespeichert. Die Vorlage für das Webserverzertifikat wird dupliziert und so konfiguriert, dass es für die Out-of-Band-Verwaltung geeignet ist.	Richtlinien zur Bereitstellung der für die Out-of-Band-Verwaltung benötigten PKI-Zertifikate finden Sie unter Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle. Weitere Informationen zu den Zertifikatanforderungen finden Sie unter Zertifikatanforderungen für die Out-of-Band-Verwaltung. Weitere Informationen zum Verwenden von Zertifikaten bei der Out-of-Band-Verwaltung finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung.
Anschließend konfiguriert Torsten den zentralen Standort und nimmt folgende Änderungen am primären Standort vor: Er installiert einen neuen Standortsystemserver auf Server15, konfiguriert den Intranet-FQDN server15.adatum.com für den Server und installiert den Out-of-Band-Dienstpunkt. Im Dialogfeld Eigenschaften von Out-of-Band-Komponente konfiguriert er die Out-of-Band-Verwaltungskomponente wie folgt: Auf der Registerkarte Allgemein gibt er die unter „adatum.com“ erstellte Organisationseinheit an und aktiviert die Option Bereitstellungsserver als Alias in DNS registrieren. Er gibt ein sicheres Kennwort für das MEBx-Konto an und wechselt zur exportierten AMT-Zertifikatsdatei. Er stellt das Kennwort bereit, das beim Export verwendet wurde, und wählt dann die ausstellende Zertifizierungsstelle und die zu verwendende AMT-Zertifikatsvorlage aus. Auf der Registerkarte AMT-Einstellungen gibt er eine globale Windows-Sicherheitsgruppe in der Domäne als AMT-Benutzerkonto an, die Helpdeskmitarbeiter enthält, die mit der Out-of-Band-Verwaltungskonsole arbeiten. Er wählt alle verfügbaren AMT-Features für dieses AMT-Benutzerkonto aus. Er wählt auch die Option Serial over LAN (SOL) und IDE-Redirect aktivieren aus.	Weitere Informationen finden Sie unter den folgenden Themen: Installieren des Out-of-Band-Dienstpunkts Konfigurieren der AMT-Bereitstellung Konfigurieren von AMT-Einstellungen und AMT-Benutzerkonten
Anschließend führt Torsten die letzten erforderlichen Schritte für die Out-of-Band-Bereitstellung der Computer für AMT durch, indem er folgende Aktionen ausführt: Er erzeugt eine neue Sammlung, die die AMT-basierten Computer enthalten wird. Er bereitet eine CSV-Datei (kommagetrennte Werte) mit den Computerdetails vor, einschließlich FQDN und UUID. Er führt den Assistenten für den Import eines Computers für die Out-of-Band-Verwaltung aus und gibt die erzeugte CSV-Datei und die erzeugte Sammlung an. Er aktualisiert die Sammlung, um die kurz zuvor importierten Computer anzuzeigen und zu bestätigen.	Weitere Informationen finden Sie unter den folgenden Themen: Bereitstellen von Computern für AMT Assistent für den Import eines Computers für die Out-of-Band-Verwaltung
Torsten stellt Anweisungen bereit, nach denen die Kabel und Netzwerkkarten von gelieferten Computern angeschlossen werden müssen. Die Computer selbst müssen jedoch nicht eingeschaltet werden. Er überwacht den Bereitstellungsprozess.	Weitere Informationen finden Sie unter Identifizieren von Computern, die für AMT bereitgestellt sind.

Torsten prüft die Voraussetzungen für die Out-of-Band-Verwaltung und nimmt folgende Änderungen für den Configuration Manager-Standort vor:

Er legt einen Standortsystemserver fest, auf dem der Out-of-Band-Dienstpunkt installiert werden soll. Der vollständig qualifizierte Domänennamen (FQDN) dieses Computers lautet server15.adatum.com. Auf diesem Server wird Windows Server 2003 SP2 ausgeführt. Daher installiert Torsten den erforderlichen Hotfix 942841.
Er installiert die aktuelle Version von Windows Remote Management (WinRM) auf dem Standortsystemserver.

Weitere Informationen zu diesem Hotfix finden Sie unter https://go.microsoft.com/fwlink/?LinkId=106107.

Die aktuelle Version von WinRM zum Herunterladen sowie weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=105682.

Zusammen mit den Administratoren für Active Directory-Dienste erstellt er eine Organisationseinheit in der Domäne „adatum.com“ für die veröffentlichten AMT-basierten Computerobjekte und konfiguriert die Organisationseinheit so, dass der Standortserver die volle Kontrolle für diese Organisationseinheit und alle untergeordneten Objekte hat.

Darüber hinaus werden folgende Windows-Sicherheitsgruppen in Vorbereitung für die PKI-Zertifikate erzeugt:

Eine Gruppe namens ConfigMgr-Out-of-Band-Dienstpunkt, die Server15 enthält.
Eine Gruppe namens Primäre ConfigMgr-Standortserver, die den primären Standortserver am zentralen Standort enthält.

Weitere Informationen finden Sie unter den folgenden Themen:

Torsten kommt zusammen mit dem Team für Infrastrukturdienste zu folgenden Ergebnissen:

Er bestätigt, dass die Router und Firewalls für die Out-of-Band-Kommunikation nicht neu konfiguriert werden müssen.
Er bestätigt, dass die DNS-Server dynamische Updates zulassen. Somit kann der neue Standortsystemserver, auf dem Torsten den Out-of-Band-Dienstpunkt installieren möchte, automatisch einen Alias-Datensatz im DNS registrieren.
Er bestätigt, dass der DHCP-Server bereits ordnungsgemäß mit folgenden Einstellungen konfiguriert ist:
1. Es gibt einen aktiven Bereich mit verfügbaren Adressen.
2. Der Bereich ist mit Option 006 für Domänenserver und mit Option 015 für den Domänennamen konfiguriert.
3. Der DHCP-Server aktualisiert das DNS automatisch mit Ressourceneinträgen für Computer.

Weitere Informationen zu den für die Kommunikation im Rahmen der Out-of-Band-Verwaltung verwendeten Ports finden Sie in den Portinformationen als externe Abhängigkeit unter Voraussetzungen für die Out-of-Band-Verwaltung.

Weitere Informationen zu DNS- und DHCP-Einstellungen finden Sie unter folgenden Themen:

Torsten kommt zusammen mit dem PKI-Team zu folgenden Ergebnissen:

Es wird eine benutzerdefinierte Vorlage erzeugt, mit der das AMT-Bereitstellungszertifikat von einer externen Zertifizierungsstelle angefordert werden kann.
Die Zertifikatanforderung für das AMT-Bereitstellungszertifikat wird von Server15 ausgestellt und in einer Datei gespeichert, sodass sie an eine externe Zertifizierungsstelle gesendet werden kann.
Die Datei zur Zertifikatanforderung wird mit einer Bestellung an die externe Zertifizierungsstelle gesendet, und am folgenden Tag erhält Torsten das Zertifikat per E-Mail. Er installiert das Zertifikat auf Server15.
Das installierte AMT-Bereitstellungszertifikat wird in eine PFX-Datei exportiert und sicher auf dem Server gespeichert.
Die Vorlage für das Webserverzertifikat wird dupliziert und so konfiguriert, dass es für die Out-of-Band-Verwaltung geeignet ist.

Richtlinien zur Bereitstellung der für die Out-of-Band-Verwaltung benötigten PKI-Zertifikate finden Sie unter Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle.

Weitere Informationen zu den Zertifikatanforderungen finden Sie unter Zertifikatanforderungen für die Out-of-Band-Verwaltung.

Weitere Informationen zum Verwenden von Zertifikaten bei der Out-of-Band-Verwaltung finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung.

Anschließend konfiguriert Torsten den zentralen Standort und nimmt folgende Änderungen am primären Standort vor:

Er installiert einen neuen Standortsystemserver auf Server15, konfiguriert den Intranet-FQDN server15.adatum.com für den Server und installiert den Out-of-Band-Dienstpunkt.
Im Dialogfeld Eigenschaften von Out-of-Band-Komponente konfiguriert er die Out-of-Band-Verwaltungskomponente wie folgt:
- Auf der Registerkarte Allgemein gibt er die unter „adatum.com“ erstellte Organisationseinheit an und aktiviert die Option Bereitstellungsserver als Alias in DNS registrieren. Er gibt ein sicheres Kennwort für das MEBx-Konto an und wechselt zur exportierten AMT-Zertifikatsdatei. Er stellt das Kennwort bereit, das beim Export verwendet wurde, und wählt dann die ausstellende Zertifizierungsstelle und die zu verwendende AMT-Zertifikatsvorlage aus.
- Auf der Registerkarte AMT-Einstellungen gibt er eine globale Windows-Sicherheitsgruppe in der Domäne als AMT-Benutzerkonto an, die Helpdeskmitarbeiter enthält, die mit der Out-of-Band-Verwaltungskonsole arbeiten. Er wählt alle verfügbaren AMT-Features für dieses AMT-Benutzerkonto aus. Er wählt auch die Option Serial over LAN (SOL) und IDE-Redirect aktivieren aus.

Weitere Informationen finden Sie unter den folgenden Themen:

Anschließend führt Torsten die letzten erforderlichen Schritte für die Out-of-Band-Bereitstellung der Computer für AMT durch, indem er folgende Aktionen ausführt:

Er erzeugt eine neue Sammlung, die die AMT-basierten Computer enthalten wird.
Er bereitet eine CSV-Datei (kommagetrennte Werte) mit den Computerdetails vor, einschließlich FQDN und UUID.
Er führt den Assistenten für den Import eines Computers für die Out-of-Band-Verwaltung aus und gibt die erzeugte CSV-Datei und die erzeugte Sammlung an.
Er aktualisiert die Sammlung, um die kurz zuvor importierten Computer anzuzeigen und zu bestätigen.

Weitere Informationen finden Sie unter den folgenden Themen:

Torsten stellt Anweisungen bereit, nach denen die Kabel und Netzwerkkarten von gelieferten Computern angeschlossen werden müssen. Die Computer selbst müssen jedoch nicht eingeschaltet werden.

Er überwacht den Bereitstellungsprozess.

Weitere Informationen finden Sie unter Identifizieren von Computern, die für AMT bereitgestellt sind.

Nach diesen Schritten sind die Computer für AMT bereitgestellt. Wenn das Betriebssystem auf jedem Computer installiert ist, wird der in der CSV-Datei angegebene FQDN verwendet. Die Out-of-Band-Verwaltung der Computer ist damit möglich.

In-Band-Bereitstellung für AMT-basierte Configuration Manager-Clientcomputer

Dieses Szenario zeigt, wie die In-Band-Bereitstellung für AMT-basierte Computer verwendet werden kann, auf denen der Configuration Manager 2007 SP1-Client ausgeführt wird.

Das Unternehmen Trey Research verfügt über eine Configuration Manager 2007 SP1-Hierarchie und interessiert sich für die Verwendung der Out-of-Band-Verwaltung zur Verwaltung von Computern an Remote-Standorten. Das Unternehmen erwirbt alle Computer bei demselben Lieferanten. Da diese Computer direkt an die Remote-Standorte geliefert werden, werden sie mit einem Trey Research-spezifischen Buildabbild installiert. Dazu gehören das Windows-Betriebssystem, Standardanwendungen und -einstellungen und der Configuration Manager 2007 SP1-Client.

Neben diesem benutzerdefinierten Computerbuild fordert Trey Research ein benutzerdefiniertes Firmwareabbild an, das den Fingerabdruck des Zertifikats seiner internen Stammzertifizierungsstelle enthält. Auf diese Weise muss Trey Research kein AMT-Bereitstellungszertifikat von einer externen Zertifizierungsstelle erwerben. Der Lieferant bezeichnet den Fingerabdruck des Zertifikats als Hash der Stammzertifizierungsstelle. Der Wert wird über folgende Schritte gesucht: Suchen des Zertifikatfingerabdrucks des internen Stammzertifikats für die AMT-Bereitstellung.

Terry Adams ist Configuration Manager-Administrator und ist zuständig für die Bereitstellung dieser Computer am Configuration Manager-Standort. Die Computer treten der untergeordneten Domäne von testnet.treyresearch.net des Unternehmens bei, und die Standortsystemserver befinden sich in der Domäne treyresearch.net. Wenn der Configuration Manager-Client mit der automatischen Standortzuweisung installiert wird, befindet er sich innerhalb der Grenzen mehrerer sekundärer Standorte, die alle dem zentralen Standort angehören.

Terry unternimmt folgende Schritte, um die neuen AMT-basierten Computer in-band bereitzustellen:

Prozess	Referenz
Terry prüft die Voraussetzungen für die Out-of-Band-Verwaltung und nimmt folgende Änderungen für den Configuration Manager-Standort vor: Er legt einen Standortsystemserver fest, auf dem der Out-of-Band-Dienstpunkt installiert werden soll. Der vollständig qualifizierte Domänenname (FQDN) dieses Computers lautet server15.treyresearch.net. Auf diesem Server wird Windows Server 2003 SP2 ausgeführt. Er installiert also den erforderlichen Hotfix 942841. Er installiert die aktuelle Version von Windows Remote Management (WinRM) auf dem Standortsystemserver.	Weitere Informationen zu diesem Hotfix finden Sie unter https://go.microsoft.com/fwlink/?LinkId=106107. Die aktuelle Version von WinRM zum Herunterladen sowie weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=105682.
Zusammen mit den Administratoren für Active Directory-Dienste erstellt Terry eine Organisationseinheit in der Domäne testnet.treyresearch.net für die veröffentlichten AMT-basierten Computerobjekte und konfiguriert den Standortserver so, dass er die volle Kontrolle über diese Organisationseinheit und alle untergeordneten Objekte hat. Darüber hinaus werden folgende Windows-Sicherheitsgruppen in Vorbereitung für die PKI-Zertifikate erzeugt: Eine Gruppe namens ConfigMgr-Out-of-Band-Dienstpunkt, die Server15 enthält. Eine Gruppe namens Primäre ConfigMgr-Standortserver, die den primären Standortserver am zentralen Standort enthält.	Weitere Informationen finden Sie unter den folgenden Themen: Vorbereiten von Active Directory-Domänendiensten für die Out-of-Band-Verwaltung Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle
Terry ist bekannt, dass zwischen seinem Standort und den Remote-Standorten eine Firewall existiert. Daher identifiziert er die Ports, die für die Out-of-Band-Kommunikation zwischen dem Standortsystem und den AMT-basierten Computern geöffnet sein müssen. Er sendet eine Änderungsanforderung für die erforderlichen Änderungen an der Firewall.	Weitere Informationen zu den für die Kommunikation im Rahmen der Out-of-Band-Verwaltung verwendeten Ports finden Sie in den Portinformationen als externe Abhängigkeit unter Voraussetzungen für die Out-of-Band-Verwaltung.
Terry kommt zusammen mit dem PKI-Team zu folgenden Ergebnissen: Es wird eine benutzerdefinierte Vorlage erzeugt, mit der das AMT-Bereitstellungszertifikat für die interne Zertifizierungsstelle angefordert werden kann. Die Zertifikatanforderung für das AMT-Bereitstellungszertifikat wird von Server15 ausgestellt und wird automatisch genehmigt und installiert. Das installierte AMT-Bereitstellungszertifikat wird in eine PFX-Datei exportiert und sicher auf dem Server gespeichert. Die Vorlage für das Webserverzertifikat wird dupliziert und so konfiguriert, dass es für die Out-of-Band-Verwaltung geeignet ist.	Richtlinien zur Bereitstellung der für die Out-of-Band-Verwaltung benötigten PKI-Zertifikate finden Sie unter Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle. Weitere Informationen zu den Zertifikatanforderungen finden Sie unter Zertifikatanforderungen für die Out-of-Band-Verwaltung. Weitere Informationen zum Verwenden von Zertifikaten bei der Out-of-Band-Verwaltung finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung.
Anschließend konfiguriert Terry den primären Configuration Manager-Standort und nimmt folgende Änderungen vor: Er installiert einen neuen Standortsystemserver auf Server15, konfiguriert den Intranet-FQDN server15.treyresearch.net für den Server und installiert den Out-of-Band-Dienstpunkt. Im Dialogfeld Eigenschaften der Out-of-Band-Verwaltung konfiguriert er die Out-of-Band-Verwaltungskomponente wie folgt: Auf der Registerkarte Allgemein gibt er die in testnet.treyresearch.net erstellte Organisationseinheit und ein sicheres Kennwort für das MEBx-Konto an. Er wechselt zur exportierten AMT-Zertifikatsdatei und stellt das Kennwort bereit, das beim Export verwendet wurde. Dann wählt er die ausstellende Zertifizierungsstelle und die zu verwendende AMT-Zertifikatsvorlage aus. Auf der Registerkarte AMT-Einstellungen gibt er eine globale Windows-Sicherheitsgruppe in der Domäne als AMT-Benutzerkonto an, die Helpdeskmitarbeiter enthält, die mit der Out-of-Band-Verwaltungskonsole arbeiten. Er wählt alle verfügbaren AMT-Features für dieses AMT-Benutzerkonto aus. Zudem aktiviert er die Optionen Serial over LAN (SOL) und IDE-Redirect aktivieren, Pingantworten zulassen und BIOS-Kennwortumgehung für die Befehle zum Einschalten und Neustarten aktivieren.	Weitere Informationen finden Sie unter den folgenden Themen: Installieren des Out-of-Band-Dienstpunkts Konfigurieren der AMT-Bereitstellung Konfigurieren von AMT-Einstellungen und AMT-Benutzerkonten
Terry möchte Wake-On-LAN für die Installation wichtiger Softwareupdates auf Computern verwenden. Er hat dieses Feature zuvor getestet und herausgefunden, dass die subnetzgesteuerten Broadcasts zu viel Netzwerkbandbreite über die Remoteverbindung benötigen und dass nur wenige Netzwerkkarten die Unicast-Übertragung verwenden. Er aktiviert Wake-On-LAN und entscheidet sich dafür, die Standardoption Einschaltbefehle verwenden, sofern der Computer diese Technologie unterstützt, andernfalls Aktivierungspakete verwenden aktiviert zu lassen.	Weitere Informationen finden Sie unter den folgenden Themen: Wählen zwischen der Verwendung von Einschaltbefehlen mit Out-of-Band-Verwaltung und Reaktivierungspaketen für Wake-On-LAN Konfigurieren des Standorts zum Senden von Einschaltbefehlen für geplante Reaktivierungsaktivitäten mithilfe der Out-of-Band-Verwaltung
Zur Aktivierung der automatischen In-Band-Bereitstellung für AMT führt Terry die folgenden abschließenden Schritte aus: Aktivieren der Ermittlung von Verwaltungscontrollern. Erstellen einer abfragebasierten Sammlung, die Computer mit Verwaltungscontrollern, die von Configuration Manager für AMT bereitgestellt werden können, dynamisch hinzufügt. Konfigurieren der Sammlung über die Sammlungseinstellungen, um die automatische Bereitstellung von Out-of-Band-Verwaltungscontrollern zu aktivieren.	Weitere Informationen finden Sie unter den folgenden Themen: Ermitteln von Computern mit Verwaltungscontrollern Bereitstellen von Computern für AMT
Terry überwacht die Sammlung und die Bereitstellung der neuen Computer, wenn diese installiert werden und dem Standort beitreten.	Weitere Informationen finden Sie unter Identifizieren von Computern, die für AMT bereitgestellt sind.

Terry prüft die Voraussetzungen für die Out-of-Band-Verwaltung und nimmt folgende Änderungen für den Configuration Manager-Standort vor:

Er legt einen Standortsystemserver fest, auf dem der Out-of-Band-Dienstpunkt installiert werden soll. Der vollständig qualifizierte Domänenname (FQDN) dieses Computers lautet server15.treyresearch.net. Auf diesem Server wird Windows Server 2003 SP2 ausgeführt. Er installiert also den erforderlichen Hotfix 942841.
Er installiert die aktuelle Version von Windows Remote Management (WinRM) auf dem Standortsystemserver.

Weitere Informationen zu diesem Hotfix finden Sie unter https://go.microsoft.com/fwlink/?LinkId=106107.

Die aktuelle Version von WinRM zum Herunterladen sowie weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=105682.

Zusammen mit den Administratoren für Active Directory-Dienste erstellt Terry eine Organisationseinheit in der Domäne testnet.treyresearch.net für die veröffentlichten AMT-basierten Computerobjekte und konfiguriert den Standortserver so, dass er die volle Kontrolle über diese Organisationseinheit und alle untergeordneten Objekte hat.

Darüber hinaus werden folgende Windows-Sicherheitsgruppen in Vorbereitung für die PKI-Zertifikate erzeugt:

Eine Gruppe namens ConfigMgr-Out-of-Band-Dienstpunkt, die Server15 enthält.
Eine Gruppe namens Primäre ConfigMgr-Standortserver, die den primären Standortserver am zentralen Standort enthält.

Weitere Informationen finden Sie unter den folgenden Themen:

Terry ist bekannt, dass zwischen seinem Standort und den Remote-Standorten eine Firewall existiert. Daher identifiziert er die Ports, die für die Out-of-Band-Kommunikation zwischen dem Standortsystem und den AMT-basierten Computern geöffnet sein müssen. Er sendet eine Änderungsanforderung für die erforderlichen Änderungen an der Firewall.

Terry kommt zusammen mit dem PKI-Team zu folgenden Ergebnissen:

Es wird eine benutzerdefinierte Vorlage erzeugt, mit der das AMT-Bereitstellungszertifikat für die interne Zertifizierungsstelle angefordert werden kann.
Die Zertifikatanforderung für das AMT-Bereitstellungszertifikat wird von Server15 ausgestellt und wird automatisch genehmigt und installiert.
Das installierte AMT-Bereitstellungszertifikat wird in eine PFX-Datei exportiert und sicher auf dem Server gespeichert.
Die Vorlage für das Webserverzertifikat wird dupliziert und so konfiguriert, dass es für die Out-of-Band-Verwaltung geeignet ist.

Weitere Informationen zu den Zertifikatanforderungen finden Sie unter Zertifikatanforderungen für die Out-of-Band-Verwaltung.

Weitere Informationen zum Verwenden von Zertifikaten bei der Out-of-Band-Verwaltung finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung.

Anschließend konfiguriert Terry den primären Configuration Manager-Standort und nimmt folgende Änderungen vor:

Er installiert einen neuen Standortsystemserver auf Server15, konfiguriert den Intranet-FQDN server15.treyresearch.net für den Server und installiert den Out-of-Band-Dienstpunkt.
Im Dialogfeld Eigenschaften der Out-of-Band-Verwaltung konfiguriert er die Out-of-Band-Verwaltungskomponente wie folgt:
- Auf der Registerkarte Allgemein gibt er die in testnet.treyresearch.net erstellte Organisationseinheit und ein sicheres Kennwort für das MEBx-Konto an. Er wechselt zur exportierten AMT-Zertifikatsdatei und stellt das Kennwort bereit, das beim Export verwendet wurde. Dann wählt er die ausstellende Zertifizierungsstelle und die zu verwendende AMT-Zertifikatsvorlage aus.
- Auf der Registerkarte AMT-Einstellungen gibt er eine globale Windows-Sicherheitsgruppe in der Domäne als AMT-Benutzerkonto an, die Helpdeskmitarbeiter enthält, die mit der Out-of-Band-Verwaltungskonsole arbeiten. Er wählt alle verfügbaren AMT-Features für dieses AMT-Benutzerkonto aus. Zudem aktiviert er die Optionen Serial over LAN (SOL) und IDE-Redirect aktivieren, Pingantworten zulassen und BIOS-Kennwortumgehung für die Befehle zum Einschalten und Neustarten aktivieren.

Weitere Informationen finden Sie unter den folgenden Themen:

Terry möchte Wake-On-LAN für die Installation wichtiger Softwareupdates auf Computern verwenden. Er hat dieses Feature zuvor getestet und herausgefunden, dass die subnetzgesteuerten Broadcasts zu viel Netzwerkbandbreite über die Remoteverbindung benötigen und dass nur wenige Netzwerkkarten die Unicast-Übertragung verwenden.

Er aktiviert Wake-On-LAN und entscheidet sich dafür, die Standardoption Einschaltbefehle verwenden, sofern der Computer diese Technologie unterstützt, andernfalls Aktivierungspakete verwenden aktiviert zu lassen.

Weitere Informationen finden Sie unter den folgenden Themen:

Zur Aktivierung der automatischen In-Band-Bereitstellung für AMT führt Terry die folgenden abschließenden Schritte aus:

Aktivieren der Ermittlung von Verwaltungscontrollern.
Erstellen einer abfragebasierten Sammlung, die Computer mit Verwaltungscontrollern, die von Configuration Manager für AMT bereitgestellt werden können, dynamisch hinzufügt.
Konfigurieren der Sammlung über die Sammlungseinstellungen, um die automatische Bereitstellung von Out-of-Band-Verwaltungscontrollern zu aktivieren.

Weitere Informationen finden Sie unter den folgenden Themen:

Terry überwacht die Sammlung und die Bereitstellung der neuen Computer, wenn diese installiert werden und dem Standort beitreten.

Weitere Informationen finden Sie unter Identifizieren von Computern, die für AMT bereitgestellt sind.

Nach diesen Schritten sind die Computer, auf denen der Configuration Manager 2007 SP1-Client ausgeführt wird, für AMT bereitgestellt und können out-of-band verwaltet werden. Dies ist auch dann der Fall, wenn später Fehler beim Start auftreten, das Betriebssystem nicht mehr antwortet, ein Anschalten für die Routinewartung erforderlich ist oder die BIOS-Einstellungen neu konfiguriert werden müssen.

Beispielszenarien für die Verwendung der Out-of-Band-Verwaltung finden Sie unter Beispielszenarien für die Out-of-Band-Verwaltung.

AMT-Bereitstellung für ein Drahtlosnetzwerk mit Configuration Manager 2007 SP2

In diesem Szenario wird gezeigt, wie in einem Drahtlosnetzwerk zu verwaltende AMT-basierte Computer mithilfe von Configuration Manager 2007 SP2 bereitgestellt werden können, nachdem sie ursprünglich unter Verwendung von Configuration Manager 2007 SP1 bereitgestellt wurden.

Das Unternehmen Trey Research hat vor kurzem seine Configuration Manager 2007 SP1-Hierarchie und -Clients auf Configuration Manager 2007 SP2 aktualisiert und möchte nun die Unterstützung der Out-of-Band-Verwaltung für seine Laptopcomputer auf sein Drahtlosnetzwerk ausdehnen. Im Drahtlosnetzwerk ist ein Windows Server 2008-basierter Server im Einsatz, auf dem Network Policy Server (NPS) ausgeführt wird. Außerdem wird für die Authentifizierung beim Drahtlosnetzwerk ein Clientzertifikat vorausgesetzt.

Oliver Kiel ist Configuration Manager-Administrator und muss sicherstellen, dass diese Laptops auch im Drahtlosnetzwerk out-of-band verwaltet werden können. Er führt die in der nachstehenden Tabelle beschriebenen Schritte aus.

Prozess	Referenz
Oliver prüft die Voraussetzungen zur Drahtlosunterstützung für die Out-of-Band-Verwaltung und bestätigt, dass die AMT-Versionen auf den Laptops Drahtlosprofile unterstützen. Er notiert sich die Drahtloskonfigurationseinstellungen, die für den Netzwerkrichtlinienserver hinsichtlich WPA2-Sicherheit, AES-Verschlüsselung und EAP-TLS-Authentifizierung erforderlich sind. Zusätzlich sucht Oliver in der Planungsdokumentation nach weiteren Informationen zur Unterstützung von Drahtlosnetzwerken. Insbesondere überprüft er, ob weitere Einstellungen zur Unterstützung dieser Umgebung konfiguriert werden müssen.	Weitere Informationen zu den Voraussetzungen finden Sie unter Voraussetzungen für die Out-of-Band-Verwaltung. Entscheidungshilfen zum Konfigurieren der Unterstützung für die Out-of-Band-Verwaltung für Drahtlosnetzwerke finden Sie unter Bestimmen, ob Unterstützung für 802.1X- und Drahtlosnetzwerke konfiguriert werden soll.
Oliver erstellt in Zusammenarbeit mit dem PKI-Team eine zusätzliche Zertifikatvorlage, mit der die AMT-basierten Computer beim Netzwerkrichtlinienserver authentifiziert werden.	Weitere Informationen zum Erstellen der Clientzertifikatvorlage finden Sie im Abschnitt zur Vorbereitung der Clientauthentifizierungszertifikate für AMT-basierte Computer mit 802.1X-Authentifizierung unter Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle. Weitere Informationen zu den Zertifikatanforderungen finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung.
Oliver konfiguriert die Einstellungen auf der Registerkarte Eigenschaften des Out-of-Band-Verwaltungspunkts: 802.1X und Drahtlos im Knoten Komponentenkonfiguration des primären Configuration Manager-Standorts: Er erstellt ein Drahtlosprofil, das den Namen des Drahtlosnetzwerks, den Sicherheitstyp des WPA2-Enterprise und die AES-Verschlüsselungsmethode enthält. Anschließend wählt Oliver das vertrauenswürdige Stammzertifikat für den Netzwerkrichtlinienserver und die zuvor erstellte Clientzertifikatvorlage aus. Er wählt nicht die Option AMT-basierte Computer automatisch der Sicherheitsgruppe hinzufügen, da der Computer zur Erhöhung der Sicherheit die AMT-basierten Laptops ermittelt, die zur Authentifizierung beim Netzwerkrichtlinienserver manuell einer Sicherheitsgruppe hinzugefügt werden.	Weitere Informationen finden Sie unter Konfigurieren von AMT-basierten Computern für 802.1X-authentifizierte Kabelnetzwerke und Drahtlosnetzwerke.
Für eine benutzerdefinierte Laptopsammlung ermittelt Oliver die Namen der Computer, die bereits für AMT bereitgestellt wurden, sprich den Status Bereitgestellt aufweisen. Er exportiert die Liste der Computernamen aus der Konsole und leitet sie an den Administrator für den Netzwerkrichtlinienserver weiter, damit sie einer Sicherheitsgruppe hinzugefügt werden können, über die Netzwerkzugriff erteilt wird.	Weitere Informationen zum AMT-Status finden Sie unter Informationen zum AMT-Status und zur Out-of-Band-Verwaltung. Weitere Informationen zum Exportieren von Listenansichten aus der Configuration Manager-Konsole finden Sie unter Exportieren von Listenansichten in eine Datei.
Oliver klickt mit der rechten Maustaste auf Out-of-Band-Verwaltung und klickt anschließend auf Bereitstellungsdaten im Speicher des Verwaltungscontrollers aktualisieren, um die Bereitstellungsinformationen zu aktualisieren und damit die Out-of-Band-Verwaltung der Laptopcomputer im Drahtlosnetzwerk zu ermöglichen.	Weitere Informationen finden Sie unter Aktualisieren von AMT-Einstellungen in bereitgestellten Computern über die Out-of-Band-Verwaltung.
Oliver prüft mithilfe der Protokolldatei „Amtopmgr.log“, ob das Drahtlosprofil für diese AMT-basierten Computer erfolgreich konfiguriert wurde.	Weitere Informationen finden Sie unter „So überprüfen Sie, ob AMT-basierte Computer für authentifizierte Kabel- und Drahtlosverbindungen konfiguriert sind“ im Abschnitt Konfigurieren von AMT-basierten Computern für 802.1X-authentifizierte Kabelnetzwerke und Drahtlosnetzwerke.

Nach diesen Schritten wird die Out-of-Band-Verwaltung für diese AMT-basierten Computer auch im Drahtlosnetzwerk unterstützt. Das heißt, die Computer können verwaltet werden, selbst wenn sie mit dem Drahtlosnetzwerk verbunden sind. Dies kann erforderlich sein, wenn sich die Computer aufgrund eines Fehlers nicht mehr starten lassen, ihr Betriebssystem nicht mehr reagiert, die Computer zur Durchführung von Wartungsaufgaben eingeschaltet oder die BIOS-Einstellungen der Computer neu konfiguriert werden müssen.

Weitere Informationen und Beispielszenarien zur Verwendung der Out-of-Band-Verwaltung finden Sie unter Beispielszenarien für die Out-of-Band-Verwaltung.

Siehe auch

Konzepte

Informationen zur AMT-Bereitstellung für die Out-of-Band-Verwaltung
Administratorcheckliste: Aktivieren der Out-of-Band-Verwaltung
Zertifikatanforderungen für die Out-of-Band-Verwaltung
Bestimmen der Administratorrollen und Prozesse für die Out-of-Band-Verwaltung
Übersicht über die Out-of-Band-Verwaltung

Andere Ressourcen

Konfigurieren der Out-of-Band-Verwaltung
Technische Referenz für die Out-of-Band-Verwaltung

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com

Beispielszenarien für die Implementierung der Out-of-Band-Verwaltung

Out-of-Band-Bereitstellung für neue AMT-basierte Computer

In-Band-Bereitstellung für AMT-basierte Configuration Manager-Clientcomputer

AMT-Bereitstellung für ein Drahtlosnetzwerk mit Configuration Manager 2007 SP2

Siehe auch

Konzepte

Andere Ressourcen

Zusätzliche Ressourcen