Konfigurieren von AMT-basierten Computern für 802.1X-authentifizierte Kabelnetzwerke und Drahtlosnetzwerke

  • Artikel

Letzte Aktualisierung: Oktober 2009

Betrifft: System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP2

Falls Sie bereitgestellte AMT-basierte Computer out-of-band verwalten möchten, wenn diese Computer mit einem authentifizierten Kabel- oder Drahtlosnetzwerk verbunden sind, müssen Sie Configuration Manager so konfigurieren, dass diese Umgebungen unterstützt werden. Gehen Sie wie nachstehend beschrieben vor, um Einstellungen für 802.1X-authentifizierte Kabel- und Drahtlosverbindungen zu konfigurieren.

Hinweis

Die Angaben in diesem Thema gelten nur für Configuration Manager 2007 SP2.

Die Einstellungen, die Sie für die Clientauthentifizierung und andere Sicherheitsoptionen festlegen, müssen mit der Konfiguration Ihres RADIUS-Servers übereinstimmen. Weitere Informationen zu unterstützten Konfigurationen auf RADIUS-Servern finden Sie unter Voraussetzungen für die Out-of-Band-Verwaltung. Zusätzlich gilt: Wenn der AMT-basierte Computerhost für Drahtlosnetzwerke konfiguriert ist (entweder durch systemeigene Funktionen im Betriebssystem oder durch Verwendung einer anderen Lösung), müssen Sie sicherstellen, dass die Einstellungen, die Sie im Drahtlosprofil der Out-of-Band-Verwaltung für Netzwerkname (SSID), Sicherheitstyp und Verschlüsselungsverfahren angeben, mit der Konfiguration Ihrer Host-Drahtloskonfiguration übereinstimmen.

Wenn Sie ein Clientzertifikat für die 802.1X-Authentifizierung verwenden, muss bei diesem Vorgang eine benutzerdefinierte Zertifikatvorlage von einer Unternehmenszertifizierungsstelle (CA) angefordert werden. Wenn Sie diese Zertifikatvorlage noch nicht konfiguriert haben, finden Sie dazu in den folgenden Themen weitere Informationen:

AMT-basierte Computer müssen von Configuration Manager bereitgestellt werden, bevor sie die Out-of-Band-Verwaltung in 802.1X-authentifizierten Kabel- und Drahtlosverbindungen unterstützen können. Neben den Schritten zum Konfigurieren der AMT-Bereitstellung müssen folgende Konfigurationsschritte ausgeführt werden: Wenn der AMT-basierte Computer bereits von Configuration Manager bereitgestellt wurde und Sie Unterstützung für 802.1X-authentifizierte Kabel- und Drahtlosverbindungen hinzufügen möchten, müssen Sie die AMT-Einstellungen aktualisieren, damit die Konfiguration in Kraft tritt. Weitere Informationen zum Aktualisieren der AMT-Einstellungen finden Sie unter Aktualisieren von AMT-Einstellungen in bereitgestellten Computern über die Out-of-Band-Verwaltung.

Beim Aktualisieren des AMT-basierten Computers für Out-of-Band-Verwaltung in 802.1X-authentifizierten Kabel- und Drahtlosverbindungen muss eine der folgenden Netzwerkverbindungen betriebsbereit sein:

  • Verbindung mit einem Ethernet-Port, auf dem eine 802.1X-Authentifizierung nicht erforderlich ist

  • Verbindung über das Betriebssystem mit einem 802.1X-authentifizierten Netzwerk

Hinweis

Wenn Sie die Out-of-Band-Verwaltung in Drahtlosnetzwerken verwenden, müssen Sie sicherstellen, dass DNS über einen Hosteintrag für den AMT-basierten Computer verfügt, in dem die Drahtlos-IP-Adresse vermerkt ist. AMT kann keinen Hosteintrag in DNS registrieren. Aus diesem Grund müssen Sie sicherstellen, dass DNS entweder von DHCP oder vom Betriebssystem auf dem Hostcomputer aktualisiert wird, damit die Drahtlos-IP-Adresse des AMT-basierten Computers in ihren vollqualifizierten Domänennamen aufgelöst werden kann. Alternativ können Sie diese Einträge bei Bedarf manuell in DNS erstellen.

So konfigurieren Sie AMT-basierte Computer für authentifizierte Kabel- und Drahtlosverbindungen

  1. Navigieren Sie in der Configuration Manager-Konsole zu System CenterConfiguration Manager / Standortdatenbank / Standortverwaltung / <Standortcode> – <Standortname> / Standorteinstellungen / Komponentenkonfiguration.

  2. Klicken Sie mit der rechten Maustaste auf Out-of-Band-Verwaltung, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte 802.1X & Drahtlos.

    Hinweis

    Wenn Sie keine 802.1X-Authentifizierung für Kabelnetzwerke konfigurieren müssen, fahren Sie mit Schritt 9 fort.

  3. Wählen Sie zum Konfigurieren der 802.1X-Authentifizierung für Kabelnetzwerke 802.1X-Authentifizierung für Kabelnetzwerkzugriff aktivieren, und klicken Sie dann auf Festlegen.

  4. Klicken Sie im Dialogfeld Zugriffssteuerung für 802.1X-Kabelnetzwerke für Vertrauenswürdiges Stammzertifikat auf Auswählen.

  5. Geben Sie im Dialgofeld Vertrauenswürdiges Stammzertifikat für RADIUS-Authentifizierung mit einer der folgenden Methoden das vertrauenswürdige Stammzertifikat an, und klicken Sie dann auf OK:

    • Zur Angabe des vertrauenswürdigen Stammzertifikats durch Auswahl einer Unternehmenszertifizierungsstelle aus der Gesamtstruktur stellen Sie sicher, dass Von Zertifizierungsstelle ausgewählt ist, bevor Sie anschließend die Zertifizierungsstelle in der Dropdownliste auswählen.

    • Zur Angabe des vertrauenswürdigen Stammzertifikats durch Auswahl einer Datei im Format DER-codiert-binär X.509 (.cer)- oder base-64-codiert X.509 (.cer), die das exportierte vertrauenswürdige Zertifikat enthält, klicken Sie auf Aus Datei und auf Durchsuchen, wählen Sie die CER-Datei aus, und klicken Sie dann auf Öffnen.

  6. Wählen Sie mithilfe des Dropdownfelds die zu verwendende Clientauthentifizierungsmethode aus.

  7. Wenn Sie die Clientauthentifizierungsmethode EAP-TTLS/MSCHAPv2 oder PEAPv0/EAP-MSCHAPv2 ausgewählt haben und auch ein Clientzertifikat zur Authentifizierung verwenden möchten, klicken Sie auf Clientzertifikat verwenden.

  8. Wenn Clientzertifikat verwenden ausgewählt wird, klicken Sie auf Auswählen, geben Sie die für das Clientzertifikat zu verwendende ausgebende Zertifizierungsstelle sowie die RADIUS-Clientzertifikatvorlage an, und klicken Sie dann auf OK.

    Hinweis

    Wenn Sie keine Drahtloseinstellungen konfigurieren müssen, fahren Sie mit Schritt 23 fort.

  9. Klicken Sie zum Erstellen und Konfigurieren eines Drahtlosprofils auf das Symbol „Neu“ Symbol „Neu“.

  10. Geben Sie im Dialogfeld Drahtlosprofil einen Anzeigenamen für den Profilnamen ein.

  11. Geben Sie den Namen des Drahtlosnetzwerks im Feld Netzwerkname (SSID) ein.

  12. Geben Sie den Sicherheitstyp aus dem Dropdownfeld Sicherheitstyp an.

  13. Geben Sie das Verschlüsselungsverfahren aus dem Dropdownfeld Verschlüsselungsverfahren an.

  14. Klicken Sie auf Auswählen, um das vertrauenswürdige Stammzertifikat für den RADIUS-Server anzugeben.

  15. Geben Sie im Dialgofeld Vertrauenswürdiges Stammzertifikat für RADIUS-Authentifizierung mit einer der folgenden Methoden das vertrauenswürdige Stammzertifikat an, und klicken Sie dann auf OK:

    • Zur Angabe des vertrauenswürdigen Stammzertifikats durch Auswahl einer Unternehmenszertifizierungsstelle aus der Gesamtstruktur stellen Sie sicher, dass Von Zertifizierungsstelle ausgewählt ist, bevor Sie anschließend die Zertifizierungsstelle in der Dropdownliste auswählen.

    • Zur Angabe des vertrauenswürdigen Stammzertifikats durch Auswahl einer Datei im Format DER-codiert-binär X.509 (.cer)- oder base-64-codiert X.509 (.cer), die das exportierte vertrauenswürdige Zertifikat enthält, klicken Sie auf Aus Datei und auf Durchsuchen, wählen Sie die CER-Datei aus, und klicken Sie dann auf Öffnen.

  16. Wählen Sie mithilfe des Dropdownfelds die zu verwendende Clientauthentifizierungsmethode aus.

  17. Wenn Sie die Clientauthentifizierungsmethode EAP-TTLS/MSCHAPv2 oder PEAPv0/EAP-MSCHAPv2 ausgewählt haben und auch ein Clientzertifikat zur Authentifizierung verwenden möchten, klicken Sie auf Clientzertifikat verwenden.

  18. Wenn Clientzertifikat verwenden ausgewählt wird, klicken Sie auf Auswählen, geben Sie die für das Clientzertifikat zu verwendende ausgebende Zertifizierungsstelle sowie die RADIUS-Clientzertifikatvorlage an, und klicken Sie dann auf OK.

  19. Wiederholen Sie die Schritte 10 bis 18, um weitere Drahtlosprofile zu erstellen.

  20. Um die Reihenfolge der Drahtlosprofile zu ändern, wählen Sie ein Drahtlosprofil aus, und klicken Sie dann auf das Symbol „Nach unten“ Symbol „Nach-unten“ oder „Nach oben“Symbol „Nach-oben“. Die AMT-basierten Computer versuchen den Verbindungsaufbau mit jedem Drahtlosprofil, bis eine Verbindung hergestellt ist. Das Profil, mit dem die Verbindung erfolgreich hergestellt wird, wird von den Computern während der gesamten Sitzung weiter verwendet.

  21. Wenn Sie die Einstellungen eines Drahtlosprofils ändern müssen, wählen Sie das Drahtlosprofil aus, und klicken Sie dann auf das Symbol „Eigenschaften“ Eigenschaftensymbol.

  22. Wenn Sie ein Drahtlosprofil löschen müssen, wählen Sie das Drahtlosprofil aus, und klicken Sie dann auf das Symbol „Löschen“ Löschsymbol. Klicken Sie auf Ja, um den Vorgang zu bestätigen.

  23. Konfigurieren Sie wie nachstehend beschrieben (die Ausführungen gelten sowohl für authentifizierte 802.1X-Kabelverbindungen und Drahtlosverbindungen als auch für AMT-basierte Computer, die nur in-band bereitgestellt werden) einen der folgenden Sicherheitsmodi für die Option Sicherheitsgruppe für RADIUS-Authentifizierungen, und klicken Sie dann auf OK:

    • Behalten Sie die Standardeinstellung AMT-basierte Computer nicht automatisch der Sicherheitsgruppe hinzufügen (höhere Sicherheit) bei, um AMT-basierte Computer einer Sicherheitsgruppe hinzuzufügen, über die auf dem RADIUS-Server Netzwerkzugriff gewährt wird. Bei Auswahl dieser Einstellung und bei Computern, die out-of-band bereitgestellt werden, müssen Sie die AMT-basierten Computer manuell jeder vom RADIUS-Server verwendeten Sicherheitsgruppe hinzufügen.

    • Sollen in-band bereitgestellte AMT-basierte Computer der angegebenen Sicherheitsgruppe, über die auf dem RADIUS-Server Netzwerkzugriff gewährt wird, automatisch hinzugefügt werden, klicken Sie auf AMT-basierte Computer automatisch der Sicherheitsgruppe hinzufügen (geringere Sicherheit), klicken Sie auf Durchsuchen, geben Sie die Sicherheitsgruppe im Dialogfeld Gruppe auswählen an, und klicken Sie dann auf OK. AMT-basierte Computer, die out-of-band bereitgestellt werden, werden nicht automatisch hinzugefügt.

      Hinweis

      Zum automatischen Hinzufügen AMT-basierter Computer müssen dem Standortserver-Computerkonto Lese- und Schreibberechtigungen für die angegebene Gruppe erteilt werden.

So überprüfen Sie, ob AMT-basierte Computer für authentifizierte Kabel- und Drahtlosverbindungen konfiguriert sind

  1. Suchen und öffnen Sie auf dem Out-of-Band-Dienstpunkt die Datei <ConfigMgrInstallationspfad>\Logs\Amtopmgr.log.

  2. Suchen Sie eine der nachstehenden Textzeichenfolgen, in denen <wireless_profile> dem angegebenen Namen des Drahtlosprofils entspricht:

    • Suchen Sie nach Begin to set Wired 8021x Profile... und anschließend nach Set Wired 8021x Profile Success..., um zu überprüfen, ob die Einstellungen für authentifizierte Kabelnetzwerke erfolgreich konfiguriert wurden.

    • Suchen Sie nach Set wireless profile: <wireless_profile> und anschließend nach Successfully add wireless profile <wireless_profile>, um zu bestätigen, dass die Drahtlosprofileinstellungen erfolgreich konfiguriert wurden.

    • Zur Identifizierung eines Fehlers, der beim Konfigurieren eines Drahtlosprofils aufgetreten ist, weil ein angegebenes Konfigurationselement nicht funktionstüchtig war (es wurde beispielsweise ein Clientzertifikat angegeben, das nicht ausgestellt werden konnte), suchen Sie nach Set wireless profile: <wireless_profile>, und suchen Sie dann nach der Fehlerursache (z. B. No client Certificate) und anschließend nach The wireless profile: <wireless_profile> is invaid. Skip adding....

    • Zur Identifizierung eines Fehlers, der beim Aktualisieren von Drahtlosprofilen auftritt, weil der AMT-basierte Computer derzeit an ein Drahtlosnetzwerk angeschlossen ist, suchen Sie nach The wireless connection is active, skip setting wifi profiles.

  3. Schließen Sie die Protokolldatei, und ergreifen Sie Korrekturmaßnahmen, wenn die Einstellungen nicht erfolgreich angewendet wurden.

Siehe auch

Referenz

Eigenschaften der Out-of-Band-Verwaltung: Registerkarte „802.1X & Drahtlos“
Dialogfeld „Drahtlosprofil“

Konzepte

Informationen zu Zertifikaten für die Out-of-Band-Verwaltung
Bestimmen, ob Unterstützung für 802.1X- und Drahtlosnetzwerke konfiguriert werden soll
Voraussetzungen für die Out-of-Band-Verwaltung

Andere Ressourcen

Konfigurieren der Out-of-Band-Verwaltung

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com