Beispielszenarien für die Implementierung der Out-of-Band-Verwaltung
Letzte Aktualisierung: Oktober 2004
Betrifft: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Die folgenden Abschnitte dieses Themas enthalten Beispielszenarien für die Implementierung einer Out-of-Band-Verwaltung in Configuration Manager 2007 SP1 und höher:
Out-of-Band-Bereitstellung für neue AMT-basierte Computer
In-Band-Bereitstellung für AMT-basierte Configuration Manager-Clientcomputer
AMT-Bereitstellung für ein Drahtlosnetzwerk mit Configuration Manager 2007 SP2
Hinweis
Die Angaben in diesem Thema gelten nur für Configuration Manager 2007 SP1 und spätere Versionen.
In den folgenden Szenarien verfügt das Unternehmen bereits über eine bestehende PKI-Infrastruktur und verwendet dazu Windows Server 2003-Zertifikatdienste. Darüber hinaus verfügt es über eine Unternehmenszertifizierungsstelle, die auf Microsoft Windows Server 2003 Enterprise Edition ausgeführt wird.
Out-of-Band-Bereitstellung für neue AMT-basierte Computer
Dieses Szenario zeigt, wie die Out-of-Band-Bereitstellung für AMT-basierte Computer oder neue Computer verwendet werden kann, auf denen kein Betriebssystem installiert ist.
Die Firma A. Datum Corporation erhält eine Lieferung mit neuen Computern, die AMT-basiert sind und alle Voraussetzungen für die Out-of-Band-Verwaltung in Configuration Manager 2007 erfüllen. Dieses Unternehmen hat vor kurzem seinen zentralen Standort auf Configuration Manager 2007 SP1 aktualisiert, an anderen Standorten wird Configuration Manager 2007 jedoch weiterhin ausgeführt, und auf sämtlichen Configuration Manager-Clients wird ebenfalls Configuration Manager 2007 ausgeführt.
Für die In-Band-Bereitstellung dieser Computer müssen die Clients auf eine Version aktualisiert werden, die AMT in Configuration Manager 2007 SP1 oder höher unterstützt.
Torsten Arndt ist Configuration Manager-Administrator und ist zuständig für die Bereitstellung dieser Computer am zentralen Standort. Die Computer treten der einzelnen Domäne des Unternehmens bei und erfüllen alle Anforderungen für die Unterstützung der Out-of-Band-Verwaltung in Configuration Manager 2007 SP1 und höher.
Die AMT-basierten Computer haben kein benutzerdefiniertes Firmware-Abbild, und Torsten hat mit seinem Vorgesetzten vereinbart, ein AMT-Bereitstellungszertifikat von einer der externen Zertifizierungsstellen (CAs) zu erwerben, die in der Firmware dieser Computer konfiguriert sind.
Torsten unternimmt die in der folgenden Tabelle aufgeführten Schritte, um die neuen AMT-basierten Computer out-of-band bereitzustellen.
Prozess | Referenz |
---|---|
Torsten prüft die Voraussetzungen für die Out-of-Band-Verwaltung und nimmt folgende Änderungen für den Configuration Manager-Standort vor:
|
Weitere Informationen zu diesem Hotfix finden Sie unter https://go.microsoft.com/fwlink/?LinkId=106107. Die aktuelle Version von WinRM zum Herunterladen sowie weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=105682. |
Zusammen mit den Administratoren für Active Directory-Dienste erstellt er eine Organisationseinheit in der Domäne „adatum.com“ für die veröffentlichten AMT-basierten Computerobjekte und konfiguriert die Organisationseinheit so, dass der Standortserver die volle Kontrolle für diese Organisationseinheit und alle untergeordneten Objekte hat. Darüber hinaus werden folgende Windows-Sicherheitsgruppen in Vorbereitung für die PKI-Zertifikate erzeugt:
|
Weitere Informationen finden Sie unter den folgenden Themen: |
Torsten kommt zusammen mit dem Team für Infrastrukturdienste zu folgenden Ergebnissen:
|
Weitere Informationen zu den für die Kommunikation im Rahmen der Out-of-Band-Verwaltung verwendeten Ports finden Sie in den Portinformationen als externe Abhängigkeit unter Voraussetzungen für die Out-of-Band-Verwaltung. Weitere Informationen zu DNS- und DHCP-Einstellungen finden Sie unter folgenden Themen: |
Torsten kommt zusammen mit dem PKI-Team zu folgenden Ergebnissen:
|
Richtlinien zur Bereitstellung der für die Out-of-Band-Verwaltung benötigten PKI-Zertifikate finden Sie unter Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle. Weitere Informationen zu den Zertifikatanforderungen finden Sie unter Zertifikatanforderungen für die Out-of-Band-Verwaltung. Weitere Informationen zum Verwenden von Zertifikaten bei der Out-of-Band-Verwaltung finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung. |
Anschließend konfiguriert Torsten den zentralen Standort und nimmt folgende Änderungen am primären Standort vor:
|
Weitere Informationen finden Sie unter den folgenden Themen: |
Anschließend führt Torsten die letzten erforderlichen Schritte für die Out-of-Band-Bereitstellung der Computer für AMT durch, indem er folgende Aktionen ausführt:
|
Weitere Informationen finden Sie unter den folgenden Themen: |
Torsten stellt Anweisungen bereit, nach denen die Kabel und Netzwerkkarten von gelieferten Computern angeschlossen werden müssen. Die Computer selbst müssen jedoch nicht eingeschaltet werden. Er überwacht den Bereitstellungsprozess. |
Weitere Informationen finden Sie unter Identifizieren von Computern, die für AMT bereitgestellt sind. |
Nach diesen Schritten sind die Computer für AMT bereitgestellt. Wenn das Betriebssystem auf jedem Computer installiert ist, wird der in der CSV-Datei angegebene FQDN verwendet. Die Out-of-Band-Verwaltung der Computer ist damit möglich.
In-Band-Bereitstellung für AMT-basierte Configuration Manager-Clientcomputer
Dieses Szenario zeigt, wie die In-Band-Bereitstellung für AMT-basierte Computer verwendet werden kann, auf denen der Configuration Manager 2007 SP1-Client ausgeführt wird.
Das Unternehmen Trey Research verfügt über eine Configuration Manager 2007 SP1-Hierarchie und interessiert sich für die Verwendung der Out-of-Band-Verwaltung zur Verwaltung von Computern an Remote-Standorten. Das Unternehmen erwirbt alle Computer bei demselben Lieferanten. Da diese Computer direkt an die Remote-Standorte geliefert werden, werden sie mit einem Trey Research-spezifischen Buildabbild installiert. Dazu gehören das Windows-Betriebssystem, Standardanwendungen und -einstellungen und der Configuration Manager 2007 SP1-Client.
Neben diesem benutzerdefinierten Computerbuild fordert Trey Research ein benutzerdefiniertes Firmwareabbild an, das den Fingerabdruck des Zertifikats seiner internen Stammzertifizierungsstelle enthält. Auf diese Weise muss Trey Research kein AMT-Bereitstellungszertifikat von einer externen Zertifizierungsstelle erwerben. Der Lieferant bezeichnet den Fingerabdruck des Zertifikats als Hash der Stammzertifizierungsstelle. Der Wert wird über folgende Schritte gesucht: Suchen des Zertifikatfingerabdrucks des internen Stammzertifikats für die AMT-Bereitstellung.
Terry Adams ist Configuration Manager-Administrator und ist zuständig für die Bereitstellung dieser Computer am Configuration Manager-Standort. Die Computer treten der untergeordneten Domäne von testnet.treyresearch.net des Unternehmens bei, und die Standortsystemserver befinden sich in der Domäne treyresearch.net. Wenn der Configuration Manager-Client mit der automatischen Standortzuweisung installiert wird, befindet er sich innerhalb der Grenzen mehrerer sekundärer Standorte, die alle dem zentralen Standort angehören.
Terry unternimmt folgende Schritte, um die neuen AMT-basierten Computer in-band bereitzustellen:
Prozess | Referenz |
---|---|
Terry prüft die Voraussetzungen für die Out-of-Band-Verwaltung und nimmt folgende Änderungen für den Configuration Manager-Standort vor:
|
Weitere Informationen zu diesem Hotfix finden Sie unter https://go.microsoft.com/fwlink/?LinkId=106107. Die aktuelle Version von WinRM zum Herunterladen sowie weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkId=105682. |
Zusammen mit den Administratoren für Active Directory-Dienste erstellt Terry eine Organisationseinheit in der Domäne testnet.treyresearch.net für die veröffentlichten AMT-basierten Computerobjekte und konfiguriert den Standortserver so, dass er die volle Kontrolle über diese Organisationseinheit und alle untergeordneten Objekte hat. Darüber hinaus werden folgende Windows-Sicherheitsgruppen in Vorbereitung für die PKI-Zertifikate erzeugt:
|
Weitere Informationen finden Sie unter den folgenden Themen: |
Terry ist bekannt, dass zwischen seinem Standort und den Remote-Standorten eine Firewall existiert. Daher identifiziert er die Ports, die für die Out-of-Band-Kommunikation zwischen dem Standortsystem und den AMT-basierten Computern geöffnet sein müssen. Er sendet eine Änderungsanforderung für die erforderlichen Änderungen an der Firewall. |
Weitere Informationen zu den für die Kommunikation im Rahmen der Out-of-Band-Verwaltung verwendeten Ports finden Sie in den Portinformationen als externe Abhängigkeit unter Voraussetzungen für die Out-of-Band-Verwaltung. |
Terry kommt zusammen mit dem PKI-Team zu folgenden Ergebnissen:
|
Richtlinien zur Bereitstellung der für die Out-of-Band-Verwaltung benötigten PKI-Zertifikate finden Sie unter Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle. Weitere Informationen zu den Zertifikatanforderungen finden Sie unter Zertifikatanforderungen für die Out-of-Band-Verwaltung. Weitere Informationen zum Verwenden von Zertifikaten bei der Out-of-Band-Verwaltung finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung. |
Anschließend konfiguriert Terry den primären Configuration Manager-Standort und nimmt folgende Änderungen vor:
|
Weitere Informationen finden Sie unter den folgenden Themen: |
Terry möchte Wake-On-LAN für die Installation wichtiger Softwareupdates auf Computern verwenden. Er hat dieses Feature zuvor getestet und herausgefunden, dass die subnetzgesteuerten Broadcasts zu viel Netzwerkbandbreite über die Remoteverbindung benötigen und dass nur wenige Netzwerkkarten die Unicast-Übertragung verwenden. Er aktiviert Wake-On-LAN und entscheidet sich dafür, die Standardoption Einschaltbefehle verwenden, sofern der Computer diese Technologie unterstützt, andernfalls Aktivierungspakete verwenden aktiviert zu lassen. |
Weitere Informationen finden Sie unter den folgenden Themen: |
Zur Aktivierung der automatischen In-Band-Bereitstellung für AMT führt Terry die folgenden abschließenden Schritte aus:
|
Weitere Informationen finden Sie unter den folgenden Themen: |
Terry überwacht die Sammlung und die Bereitstellung der neuen Computer, wenn diese installiert werden und dem Standort beitreten. |
Weitere Informationen finden Sie unter Identifizieren von Computern, die für AMT bereitgestellt sind. |
Nach diesen Schritten sind die Computer, auf denen der Configuration Manager 2007 SP1-Client ausgeführt wird, für AMT bereitgestellt und können out-of-band verwaltet werden. Dies ist auch dann der Fall, wenn später Fehler beim Start auftreten, das Betriebssystem nicht mehr antwortet, ein Anschalten für die Routinewartung erforderlich ist oder die BIOS-Einstellungen neu konfiguriert werden müssen.
Beispielszenarien für die Verwendung der Out-of-Band-Verwaltung finden Sie unter Beispielszenarien für die Out-of-Band-Verwaltung.
AMT-Bereitstellung für ein Drahtlosnetzwerk mit Configuration Manager 2007 SP2
In diesem Szenario wird gezeigt, wie in einem Drahtlosnetzwerk zu verwaltende AMT-basierte Computer mithilfe von Configuration Manager 2007 SP2 bereitgestellt werden können, nachdem sie ursprünglich unter Verwendung von Configuration Manager 2007 SP1 bereitgestellt wurden.
Das Unternehmen Trey Research hat vor kurzem seine Configuration Manager 2007 SP1-Hierarchie und -Clients auf Configuration Manager 2007 SP2 aktualisiert und möchte nun die Unterstützung der Out-of-Band-Verwaltung für seine Laptopcomputer auf sein Drahtlosnetzwerk ausdehnen. Im Drahtlosnetzwerk ist ein Windows Server 2008-basierter Server im Einsatz, auf dem Network Policy Server (NPS) ausgeführt wird. Außerdem wird für die Authentifizierung beim Drahtlosnetzwerk ein Clientzertifikat vorausgesetzt.
Oliver Kiel ist Configuration Manager-Administrator und muss sicherstellen, dass diese Laptops auch im Drahtlosnetzwerk out-of-band verwaltet werden können. Er führt die in der nachstehenden Tabelle beschriebenen Schritte aus.
Prozess | Referenz |
---|---|
Oliver prüft die Voraussetzungen zur Drahtlosunterstützung für die Out-of-Band-Verwaltung und bestätigt, dass die AMT-Versionen auf den Laptops Drahtlosprofile unterstützen. Er notiert sich die Drahtloskonfigurationseinstellungen, die für den Netzwerkrichtlinienserver hinsichtlich WPA2-Sicherheit, AES-Verschlüsselung und EAP-TLS-Authentifizierung erforderlich sind. Zusätzlich sucht Oliver in der Planungsdokumentation nach weiteren Informationen zur Unterstützung von Drahtlosnetzwerken. Insbesondere überprüft er, ob weitere Einstellungen zur Unterstützung dieser Umgebung konfiguriert werden müssen. |
Weitere Informationen zu den Voraussetzungen finden Sie unter Voraussetzungen für die Out-of-Band-Verwaltung. Entscheidungshilfen zum Konfigurieren der Unterstützung für die Out-of-Band-Verwaltung für Drahtlosnetzwerke finden Sie unter Bestimmen, ob Unterstützung für 802.1X- und Drahtlosnetzwerke konfiguriert werden soll. |
Oliver erstellt in Zusammenarbeit mit dem PKI-Team eine zusätzliche Zertifikatvorlage, mit der die AMT-basierten Computer beim Netzwerkrichtlinienserver authentifiziert werden. |
Weitere Informationen zum Erstellen der Clientzertifikatvorlage finden Sie im Abschnitt zur Vorbereitung der Clientauthentifizierungszertifikate für AMT-basierte Computer mit 802.1X-Authentifizierung unter Beispiel für schrittweise Bereitstellung der für AMT und für die Out-of-Band-Verwaltung erforderlichen PKI-Zertifikate Windows Server 2003-Zertifizierungsstelle. Weitere Informationen zu den Zertifikatanforderungen finden Sie unter Informationen zu Zertifikaten für die Out-of-Band-Verwaltung. |
Oliver konfiguriert die Einstellungen auf der Registerkarte Eigenschaften des Out-of-Band-Verwaltungspunkts: 802.1X und Drahtlos im Knoten Komponentenkonfiguration des primären Configuration Manager-Standorts:
|
Weitere Informationen finden Sie unter Konfigurieren von AMT-basierten Computern für 802.1X-authentifizierte Kabelnetzwerke und Drahtlosnetzwerke. |
Für eine benutzerdefinierte Laptopsammlung ermittelt Oliver die Namen der Computer, die bereits für AMT bereitgestellt wurden, sprich den Status Bereitgestellt aufweisen. Er exportiert die Liste der Computernamen aus der Konsole und leitet sie an den Administrator für den Netzwerkrichtlinienserver weiter, damit sie einer Sicherheitsgruppe hinzugefügt werden können, über die Netzwerkzugriff erteilt wird. |
Weitere Informationen zum AMT-Status finden Sie unter Informationen zum AMT-Status und zur Out-of-Band-Verwaltung. Weitere Informationen zum Exportieren von Listenansichten aus der Configuration Manager-Konsole finden Sie unter Exportieren von Listenansichten in eine Datei. |
Oliver klickt mit der rechten Maustaste auf Out-of-Band-Verwaltung und klickt anschließend auf Bereitstellungsdaten im Speicher des Verwaltungscontrollers aktualisieren, um die Bereitstellungsinformationen zu aktualisieren und damit die Out-of-Band-Verwaltung der Laptopcomputer im Drahtlosnetzwerk zu ermöglichen. |
Weitere Informationen finden Sie unter Aktualisieren von AMT-Einstellungen in bereitgestellten Computern über die Out-of-Band-Verwaltung. |
Oliver prüft mithilfe der Protokolldatei „Amtopmgr.log“, ob das Drahtlosprofil für diese AMT-basierten Computer erfolgreich konfiguriert wurde. |
Weitere Informationen finden Sie unter „So überprüfen Sie, ob AMT-basierte Computer für authentifizierte Kabel- und Drahtlosverbindungen konfiguriert sind“ im Abschnitt Konfigurieren von AMT-basierten Computern für 802.1X-authentifizierte Kabelnetzwerke und Drahtlosnetzwerke. |
Nach diesen Schritten wird die Out-of-Band-Verwaltung für diese AMT-basierten Computer auch im Drahtlosnetzwerk unterstützt. Das heißt, die Computer können verwaltet werden, selbst wenn sie mit dem Drahtlosnetzwerk verbunden sind. Dies kann erforderlich sein, wenn sich die Computer aufgrund eines Fehlers nicht mehr starten lassen, ihr Betriebssystem nicht mehr reagiert, die Computer zur Durchführung von Wartungsaufgaben eingeschaltet oder die BIOS-Einstellungen der Computer neu konfiguriert werden müssen.
Weitere Informationen und Beispielszenarien zur Verwendung der Out-of-Band-Verwaltung finden Sie unter Beispielszenarien für die Out-of-Band-Verwaltung.
Siehe auch
Konzepte
Informationen zur AMT-Bereitstellung für die Out-of-Band-Verwaltung
Administratorcheckliste: Aktivieren der Out-of-Band-Verwaltung
Zertifikatanforderungen für die Out-of-Band-Verwaltung
Bestimmen der Administratorrollen und Prozesse für die Out-of-Band-Verwaltung
Übersicht über die Out-of-Band-Verwaltung
Andere Ressourcen
Konfigurieren der Out-of-Band-Verwaltung
Technische Referenz für die Out-of-Band-Verwaltung
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com