• Artikel

Einführung zur Out-of-Band-Verwaltung in Configuration Manager

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Die Out-of-Band-Verwaltung in System Center 2012 Configuration Manager bietet eine leistungsstarke Verwaltungssteuerung für Computer, die über den Intel vPro-Chipsatz und eine von Configuration Manager unterstützte Intel AMT-Version (Intel Active Management Technology) verfügen.

Mit der Out-of-Band-Verwaltung kann ein Administrator eine Verbindung mit dem AMT-Verwaltungscontroller eines Computers auch dann herstellen, wenn der Computer ausgeschaltet ist, sich im Ruhezustand befindet oder anderweitig durch das Betriebssystem nicht reagiert.Demgegenüber ist die In-Band-Verwaltung der klassische Ansatz, der von Configuration Manager und seinen Vorgängern verwendet wird, bei dem ein Agent im ganzen Betriebssystem auf dem verwalteten Computer ausgeführt wird und bei dem vom Verwaltungscontroller Tasks durch Kommunikation mit dem Verwaltungs-Agent ausgeführt werden.

Die Out-of-Band-Verwaltung ergänzt die In-Band-Verwaltung.Obwohl die In-Band-Verwaltung eine größere Auswahl von Operationen unterstützt, da ihre Umgebung das gesamte Betriebssystem ist, funktioniert die In-Band-Verwaltung möglicherweise nicht, wenn das Betriebssystem fehlt oder nicht einsatzbereit ist.In diesen Fällen können Administratoren mithilfe der ergänzenden Funktionen der Out-of-Band-Verwaltung diese Computer verwalten, ohne lokalen Zugriff auf den Computer haben zu müssen.

Zu den Tasks der Out-of-Band-Verwaltung gehören folgende:

  • Einschalten mindestens eines Computers (z. B. für Wartungsarbeiten an Computern außerhalb der Geschäftszeiten).

  • Ausschalten mindestens eines Computers (z. B. bei nicht reagierendem Betriebssystem).

  • Neu starten eines nicht funktionierenden Computers oder Starten von einem lokal verbundenen Gerät oder einer bewährten Startabbilddatei.

  • Erstellen eines neuen Abbilds für einen Computer durch Starten von einer im Netzwerk gespeicherten Startabbilddatei oder durch Verwenden eines PXE-Servers.

  • Erneutes Konfigurieren der BIOS-Einstellungen auf einem ausgewählten Computer (und Umgehen des BIOS-Kennworts, wenn diese Funktion vom BIOS-Hersteller unterstützt wird).

  • Starten eines befehlszeilenbasierten Betriebssystems zum Ausführen von Befehlen, Reparaturtools oder Diagnoseanwendungen (z. B. Aktualisieren der Firmware oder Ausführen eines Tools zum Reparieren des Datenträgers).

  • Konfigurieren von geplanten Softwarebereitstellungen, um Computer vor dem Start zu reaktivieren.

Diese Tasks der Out-of-Band-Verwaltung werden auf nicht authentifizierten, per Kabel angeschlossenen Computern, auf authentifizierten, über 802.1X-Kabelnetzwerke angeschlossenen Computern und auf über Funknetzwerk verbundenen Computern unterstützt.Die Out-of-Band-Verwaltung beinhaltet auch die folgenden zusätzlichen Funktionen:

  • Überwachung der ausgewählten AMT-Funktionen

  • Unterstützung mehrerer Energiezustände, die zur Reduzierung des Stromverbrauchs und zur Einhaltung der IT-Richtlinie beitragen

  • Datenspeicherung in AMT, welche die Speicherung von ASCII-Zeichen (maximal 4096 Bytes) im permanenten Arbeitsspeicher (NVRAM) des Verwaltungscontrollers erlaubt

Beispielszenarien dafür, wie die Out-of-Band-Verwaltung verwendet werden kann, finden Sie unter Beispielszenarios für die Verwendung der Out-of-Band-Verwaltung in Configuration Manager.

Einige der oben aufgeführten Tasks werden von der Configuration Manager-Konsole aus durchgeführt, wohingegen andere das Ausführen der in Configuration Manager enthaltenen Out-of-Band-Verwaltungskonsole erfordern.Die Out-of-Band-Verwaltung stellt mithilfe der Windows-Remoteverwaltungstechnologie (Windows Remote Management Technology, WS-MAN) eine Verbindung mit dem AMT-Verwaltungscontroller auf einem Computer her.

System_CAPS_noteHinweis

Die Out-of-Band-Verwaltung wird nicht für Computer unterstützt, die über das Internet mit internetbasierter Clientverwaltung verwaltet werden.Configuration Manager Clients, die gesperrt oder von nicht genehmigten sind Configuration Manager nicht Out of Band verwaltet werden.

In der folgenden Tabelle werden die Optionen und Funktionen dargestellt, die die Out-of-Band-Verwaltung in Configuration Manager bietet.

Funktion oder Szenario

Weitere Informationen

Sicherheitsbasierte Verwaltung

Die Out-of-Band-Verwaltung kann mithilfe der folgenden Zertifikate in eine interne Public Key-Infrastruktur (PKI) integriert werden:

  • Ein Bereitstellungszertifikat, das auf dem Out-of-Band-Dienstpunkt installiert wird und durch das Computer für die Out-of-Band-Verwaltung konfiguriert werden können.

  • Ein Webserverzertifikat, das auf dem Anmeldungspunkt installiert ist und eine geschützte Kommunikation mit dem Out-of-Band-Dienstpunkt während des Bereitstellungsprozesses ermöglicht.

  • Ein Webserverzertifikat, das auf jedem Computer installiert wird, der mit der Out-of-Band-Verwaltung verwaltet wird, sodass die Kommunikation authentifiziert und mit TLS (Transport Layer Security) verschlüsselt wird.

  • Ggf. Clientzertifikate für die 802.1X-Authentifizierung.

Weitere Informationen zu diesen Zertifikaten finden Sie unter PKI-Zertifikatanforderungen für Configuration Manager.

Administratoren müssen mit Kerberos authentifiziert werden, bevor sie Computer mithilfe der Out-of-Band-Verwaltungskonsole verwalten können.

Die Out-of-Band-Verwaltungsaktivität wird aufgezeichnet und kann mithilfe eines Überwachungsprotokolls auf den AMT-basierten Computern überprüft werden.

Unterstützung für 802.1X-authentifizierte Kabel- und Funknetzwerke:

  • Unterstützung von 802.1X-Kabelnetzwerke: Clientauthentifizierungs-Optionen von EAP-TLS oder EAP-TTLS/MSCHAPv2 oder PEAPv0/EAP-MSCHAPv2.

  • Funknetzwerkunterstützung: Sicherheit mit WPA und WPA2; AES oder TKIP-Verschlüsselung; Clientauthentifizierung mit EAP-TLS, EAP-TTLS/MSCHAPv2 oder PEAPv0/EAP-MSCHAPv2

AMT-Bereitstellung

Aktiviert und konfiguriert Intel AMT-basierte Computer, auf denen der Configuration Manager-Client ausgeführt wird.

Erweiterte Inventurdaten

Bietet Hardwareinventurdaten vom AMT-Chip, wie Informationen zum Bestandskennzeichen, zur BIOS-UUID, zum Energiezustand, Prozessor, Arbeitsspeicher und Laufwerk.

AMT-Verwaltungscontroller identifizieren

Identifiziert Computer mit einem AMT-Verwaltungscontroller und ihren Bereitstellungsstatus.

Diese Informationen können zur Erstellung von abfragebasierten Sammlungen verwendet werden, in denen Computer für Out-of-Band-Verwaltungsaktivitäten gruppiert werden, beispielsweise für die Bereitstellung und Energiesteuerung.

Energiesteuerung

Aktiviert Einschalt-, Ausschalt- und Neustartfunktionen für einen einzelnen Computer, ausgewählte Computer oder eine Sammlung von Computern.

Computer können auch über geplante Softwarebereitstellungen mit einem geplanten Stichtag reaktiviert werden.

Out-of-Band-Verwaltungskonsole

Eine spezielle Verwaltungskonsole, die von der Configuration Manager-Konsole oder von einer Eingabeaufforderung aus ausgeführt wird und mit der Out-of-Band-Verwaltungstasks initiiert werden, einschließlich IDER- (IDE-Redirect) und SOL-Sitzungen (Serial over LAN).

System_CAPS_noteHinweis

Die verfügbaren Funktionen können vom Hersteller des verwalteten Computers abhängen.Beispielsweise können die IDER- und die SOL-Funktion vom Hersteller deaktiviert worden sein.

IDE-Redirect

Gibt dem Computer die Möglichkeit, aus einer Startabbilddatei oder von einem lokal angeschlossenen Gerät aus zu starten anstatt über seine IDE-Datenträgerschnittstelle.Dies ist hilfreich bei der Diagnose, Reparatur oder Abbilderstellung für ein Festplattenlaufwerk.

Serial over LAN

Bei der SOL-Technologie (Serial over LAN) werden die Daten von einem virtuellen seriellen Anschluss verkapselt und über die vorhandene, über die Out-of-Band-Verwaltungskonsole hergestellte Netzwerkverbindung gesendet.

Bei SOL können Sie eine Terminal Emulation-Sitzung für den verwalteten Computer ausführen, in der Sie Befehle und zeichenbasierte Anwendungen verwenden.Dazu kann beispielsweise die Neukonfiguration des BIOS oder, im Zusammenspiel mit IDE-Redirect, die Aktualisierung der Firmware oder die Ausführung von Diagnosetools gehören.

Erweitern von Out of Band-Verwaltung in Configuration Manager

Weitere technische Informationen zu unterstützen, und erweitern Out of Band-Verwaltung in Configuration Manager, finden Sie unter von Intel Application-Angebote auf der Website Microsoft Pinpoint.

Neuheiten in Configuration Manager

System_CAPS_noteHinweis

Die Informationen in diesem Abschnitt erscheinen auch in dem Handbuch Erste Schritte mit System Center 2012 Configuration Manager.

Die folgenden Elemente der Out-of-Band-Verwaltung sind neu oder wurden nach Configuration Manager 2007 geändert:

  • In System Center 2012 Configuration Manager wird keine Out-of-Band-Bereitstellung mehr unterstützt. Diese konnte in Configuration Manager 2007 verwendet werden, wenn der Configuration Manager-Client nicht installiert war oder auf dem Computer kein Betriebssystem installiert wurde.Zum Bereitstellen von Computern für AMT in System Center 2012 Configuration Manager müssen diese Computer einer Active Directory-Domäne angehören, der System Center 2012 Configuration Manager-Client muss auf ihnen installiert sein und sie müssen einem primären System Center 2012 Configuration Manager-Standort zugewiesen werden.

  • Für die Bereitstellung von Computern für AMT müssen Sie die neue Standortsystemrolle – den Anmeldungspunkt – zusätzlich zum Out-of-Band-Dienstpunkt installieren.Sie müssen diese beiden Standortsystemrollen am selben primären Standort installieren.

  • Es ist ein neues Konto, die AMT-Bereitstellungsentfernungskonto, die Sie angeben der Out of Band-Verwaltungskomponente: Provisioning Registerkarte.Wenn Sie dieses Konto angeben und dasselbe Windows-Konto verwenden, das als AMT-Benutzerkonto festgelegt wurde, können Sie mithilfe dieses Kontos die AMT-Bereitstellungsinformationen entfernen, wenn Sie den Standort wiederherstellen müssen.Sie können dieses Konto ggf. auch dann verwenden, wenn der Client neu zugewiesen wurde und die AMT-Bereitstellungsinformationen am alten Standort nicht entfernt wurden.

  • Configuration Manager nicht mehr Statusnachrichten gewarnt, dass die AMT-Bereitstellung Zertifikat läuft bald ab.Sie müssen die verbleibende Gültigkeitsdauer selbst überprüfen und sicherstellen, dass Sie dieses Zertifikat vor Ablauf erneuern.

  • Bei der AMT-Ermittlung wird der TCP-Port 16992 nicht mehr verwendet; stattdessen wird ausschließlich der TCP-Port 16993 verwendet.

  • Der TCP-Port 9971 wird nicht mehr zum Herstellen einer Verbindung zwischen dem AMT-Verwaltungscontroller und dem Out-of-Band-Dienstpunkt verwendet, um Computer für AMT bereitzustellen.

  • Vom Out-of-Band-Dienstpunkt wird HTTPS (standardmäßig TCP-Port 443) zum Herstellen einer Verbindung zum Anmeldungspunkt verwendet.

  • Das WS-MAN-Konvertierungsprogramm wird nicht mehr unterstützt.

  • Der Wartungstask AMT-Computerkennwörter zurücksetzen wurde entfernt.

  • Sie wählen nicht mehr einzelne Berechtigungen für jedes AMT-Benutzerkonto aus.Stattdessen sind alle AMT-Benutzerkonten automatisch für das Recht PT-Verwaltung (Configuration Manager 2007 SP1) bzw. Plattformverwaltung (Configuration Manager 2007 SP2) konfiguriert, das allen AMT-Funktionen Berechtigungen gewährt.

  • Sie müssen eine universelle Sicherheitsgruppe in den Eigenschaften der Out-of-Band-Verwaltung festlegen, die die von Configuration Manager während des AMT-Bereitstellungsprozesses erstellten AMT-Computerkonten enthält.

  • Für den Standortservercomputer ist nicht mehr Vollzugriff auf die Organisationseinheit (OE) erforderlich, die während der AMT-Bereitstellung verwendet wird.Stattdessen werden die Berechtigungen "Lesen" bzw. "Schreiben" für Mitglieder (nur dieses Objekt) gewährt.

  • Anstelle vom primären Standortservercomputer wird jetzt vom Anmeldungspunkt die Berechtigung "Zertifikate ausstellen und verwalten" für die ausstellende Zertifizierungsstelle verlangt.Diese Berechtigung ist erforderlich, um AMT-Zertifikate zu widerrufen.Wie in Configuration Manager 2007 sind für dieses Konto DCOM-Berechtigungen für die Kommunikation mit der ausstellenden Zertifizierungsstelle erforderlich.Zur Konfiguration von DCOM-Berechtigungen müssen Sie unter Windows Server 2008 sicherstellen, dass das Computerkonto des Anmeldungspunkt-Standortsystemservers Mitglied der Sicherheitsgruppe "Zertifikatdienst-DCOM-Zugriff" ist. Sofern Sie unter Windows Server 2003 SP1 und höher arbeiten, müssen Sie sicherstellen, dass es Mitglied der Sicherheitsgruppe CERTSVC_DCOM_ACCESS in der Domäne ist, in der sich die ausstellende Zertifizierungsstelle befindet.

  • In den Zertifikatvorlagen für das AMT-Webserverzertifikat und das AMT 802.1X-Clientzertifikat wird die Einstellung Informationen werden in der Anforderung angegeben nicht mehr verwendet, und für das Computerkonto des Standortservers sind keine Berechtigungen mehr für die folgenden Zertifikatvorlagen erforderlich:

    • Für die Vorlage für das AMT-Webserverzertifikat: Wählen Sie auf der Registerkarte Antragsteller die Option Aus diesen Informationen in Active Directory erstellen aus, und wählen Sie dann Allgemeiner Name für das Format des Antragstellernamens aus.Gewähren Sie auf der Registerkarte Sicherheit der universellen Sicherheitsgruppe, die Sie in den Eigenschaften der Out-of-Band-Verwaltung festlegen, die Berechtigungen Lesen und Anmelden.

    • Für die Vorlage für das AMT 802.1X-Clientzertifikat: Wählen Sie auf der Registerkarte Antragsteller die Option Aus diesen Informationen in Active Directory erstellen aus, und wählen Sie dann Allgemeiner Name für das Format des Antragstellernamens aus.Deaktivieren Sie das Kontrollkästchen DNS-Name, und aktivieren Sie dann die Option Benutzerprinzipalname (UPN) als alternativen Antragstellernamen.Gewähren Sie auf der Registerkarte Sicherheit der universellen Sicherheitsgruppe, die Sie in den Eigenschaften für die Out-of-Band-Verwaltungspunktkomponente festlegen, die Berechtigungen Lesen und Anmelden.

  • Für das AMT-Bereitstellungszertifikat muss der private Schlüssel nicht mehr exportiert werden können.

  • Standardmäßig wird das AMT-Bereitstellungszertifikat vom Out-of-Band-Dienstpunkt auf Zertifikatsperrungen überprüft.Diese Prüfung erfolgt bei der ersten Ausführung des Standortsystems und bei einer Änderung des AMT-Bereitstellungszertifikats.Sie können diese Option in den Eigenschaften des Out-of-Band-Dienstpunkts deaktivieren.

  • Sie können die Überprüfung der Zertifikatsperrlisten für das AMT-Webserverzertifikat in der Out-of-Band-Verwaltungskonsole aktivieren bzw. deaktivieren.Klicken Sie zum Ändern der Einstellungen im Menü Extras auf Optionen.Die neue Einstellung wird verwendet, wenn Sie das nächste Mal eine Verbindung mit einem AMT-basierten Computer herstellen.

  • Wird ein Zertifikat für einen AMT-basierten Computer widerrufen, wechselt jetzt der Sperrgrund von Abgelöst zu Vorgangsende.

  • AMT-basierte Computer, die demselben Configuration Manager-Standort zugewiesen sind, müssen einen eindeutigen Computernamen haben, auch wenn sie verschiedenen Domänen angehören und daher einen eindeutigen FQDN aufweisen.

  • Wenn Sie einen AMT-basierten Computer von einem Configuration Manager-Standort einem anderen Standort neu zuweisen, müssen Sie zunächst die AMT-Bereitstellungsinformationen entfernen, den Client neu zuweisen und dann den Client erneut für AMT bereitstellen.

  • Die Sicherheitsrechte Verwaltungscontroller anzeigen und Verwaltungscontroller verwalten in Configuration Manager 2007 heißen jetzt AMT bereitstellen bzw. AMT steuern.Die Berechtigung AMT steuern wird automatisch der Sicherheitsrolle Remotetoolsverantwortlicher hinzugefügt.Wird einem Administrator die Sicherheitsrolle Remotetoolsverantwortlicher zugewiesen und Sie möchten diesen Administrator AMT-basierte Computer bereitstellen bzw. das AMT-Überwachungsprotokoll steuern lassen, müssen Sie dieser Sicherheitsrolle die Berechtigung AMT bereitstellen hinzufügen oder sicherstellen, dass der Administrator einer anderen Sicherheitsrolle angehört, die diese Berechtigung enthält.