• Artigo

Pré-requisitos para gestão fora de banda no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Gestão fora de banda no System Center 2012 Configuration Manager tem dependências externas e dependências do produto.

System_CAPS_importantImportante

Gestão fora de banda no Gestor de configuração tem dependências externas em Intel Active gestão tecnologia (Intel AMT) e em tecnologias de infraestrutura de chave pública (PKI) da Microsoft.Para autoritativas informações sobre a configuração ou detalhes técnicos sobre estas dependências externas, consulte a documentação do produto para as tecnologias relacionadas.

Para informações sobre Intel AMT e configuração de Intel e Software de configuração, consulte a documentação de Intel ou a documentação do fabricante do computador.Para obter mais informações, consulte o artigo Intel vPro Centro especialista: Microsoft vPro gestão.

Para informações sobre tecnologias de infraestrutura de chave pública (PKI) da Microsoft, consulte o artigo Windows Server 2008 Active Directory certificado Services.

Dependências externas para o Configuration Manager

A tabela seguinte lista as dependências externas para com a possibilidade de gestão de banda.

Dependência

Mais informações

Uma Microsoft enterprise autoridade de certificação (AC) com modelos de certificado para implementar e gerir os certificados necessários para gestão fora de banda.

A AC emissora deve aprovar automaticamente certificado pedidos do computador AMT contas que Gestor de configuração cria no Active Directory Domain Services durante o processo de aprovisionamento de AMT.

Para revogar certificados AMT, a AC emissora deve estar configurada com a permissão de problema e gerir certificados para o servidor onde está instalada a função de sistema de sites de ponto de inscrição.

System_CAPS_importantImportante

AMT não pode suportar certificados de AC com um comprimento da chave maior que 2048 bits.

A saída de ponto de serviço de banda e cada computador de secretária ou portátil, que é gerido fora de banda tem de ter certificados PKI específicos que são geridos independentemente do Configuration Manager.

Para mais informações sobre os requisitos de certificados, consulte Requisitos de Certificado PKI para o Configuration Manager.

Para instruções passo a passo, consulte o artigo Implementar os Certificados para AMT..

A conta de computador do servidor de sistema de sites de ponto de inscrição tem de ter permissões de DCOM ao revogar certificados de AMT à AC emissora.Certifique-se de que este computador do sistema de sites é um membro do grupo de segurança certificado serviço DCOM acesso (para o Windows Server 2008) ou CERTSVC_DCOM_ACCESS (para o Windows Server 2003 SP1 e mais tarde) no domínio onde reside o AC emissora.

Computadores de secretária ou portátil com a configuração seguinte:

  • Intel vPro tecnologia ou Intel Centrino Pro tecnologia

  • Uma versão suportada do Intel AMT que está configurado para o modo de empresa, com o modo de aprovisionar de PKI

  • Controlador de Intel HECI

Para obter informações sobre as versões AMT que Gestor de configuração suporta, consulte o secção a tópico.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigOOB

Transferir o controlador HECI mais recente do Web site da Intel e consulte a documentação do fabricante do seu computador para os requisitos de Intel.

Um contentor do Active Directory e um grupo de segurança universal:

  • O contentor do Active Directory deve ser configurado com as permissões de segurança correto para o domínio em que residem os computadores baseado em AMT.Se o site gere baseado em AMT computadores a partir de vários domínios, o mesmo nome de contentor e o caminho devem ser utilizados para todos os domínios.

  • Um grupo de segurança universal que contém computador contas para os computadores baseado em AMT.

Nota

Não tem que expandir o esquema do Active Directory para gestão fora de banda.

Durante o processo de aprovisionamento do AMT, do Configuration Manager cria contas de computador nesta contentor do Active Directory ou unidade organizacional (UO) e adiciona as contas ao grupo de segurança universal.

O computador de servidor do site forem necessárias as seguintes permissões:

  • Para o UO utilizado durante o processo de aprovisionamento de AMT: Permitir Criar todos os objetos subordinados e Eliminar todos os objetos subordinados e aplicar a este objeto apenas.

  • Para o grupo de segurança universal utilizado durante o processo de aprovisionamento de AMT: Permitir leitura e escrever, e aplicar a este objeto apenas.

Os seguintes serviços de rede:

  • Servidor DHCP com um âmbito ativo

  • Servidores DNS para a resolução de nome

Para DHCP, certifique-se de que as opções de âmbito DHCP incluem DNS servers (006) e o nome de domínio (015) e que o servidor DHCP atualiza dinamicamente DNS com o registo de recursos do computador.

WINS não podem ser utilizados para resolver nomes de computador e DNS é necessário para todas as ligações que são utilize gestão fora de banda.Isto inclui ligar a computadores baseados em AMT a partir de fora da consola de gestão de banda, para além para aprovisionamento de AMT.

Nota

AMT não é possível registar um registo de anfitrião no DNS, para que o utilizador tem de garantir que o DHCP ou sistema operativo atualiza o DNS com um registo de anfitrião para o nome de domínio completamente qualificado do computador baseado em AMT (FQDN).Em alternativa, pode manualmente criar estes registos DNS conforme necessário.Para obter suporte sem fios, certifique-se de que o DNS contém registos com o endereço IP sem fios do nome de domínio completamente qualificado do computador baseado em AMT.

Dependências de funções de sistema de sites para os computadores que serão executado o ponto de inscrição e a saída de ponto de serviço de banda funções do sistema de sites.

Consulte a secção do tópico .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Gestão remota do Windows (WinRM) 1.1 ou posterior tem de ser instalado em computadores que executam o Windows XP se são executadas de fora da consola de gestão de banda.

Para mais informações sobre WinRM versões, consulte o artigo versões de gestão remota do Windows.

MSXML 6.0 é necessário em computadores que executam a fora da consola de gestão de banda.

Os pré-requisitos de configuração ortográfico para Gestor de configuração inclui a verificação do Microsoft MSXML 6.0.

A funcionalidade do Windows, cliente Telnet, tem de ser instalada em computadores que executam o Windows 7, Windows Vista ou Windows Server 2008 se os computadores a executar a saída de gestão de banda da consola e efetuar comandos série-sobre-LAN.

Série ao longo de LAN utiliza o protocolo de Telnet para executar uma sessão de terminal emulation para o computador gerido, na qual pode executar comandos e aplicações baseadas em caráter.Para mais informações, consulte Introdução à gestão fora de banda no Configuration Manager.

Computadores para serem geridos fora de banda tem de pertencer ao mesma floresta do Active Directory como as servidores do sistema de sites que são executadas de fora do ponto de serviço de banda e o ponto de inscrição.

Além disso, computadores têm de partilhar o mesmo espaço de nomes; espaços de nomes disjoint não são suportados.

Os seguintes cenários identificam computadores que não são suportadas para gestão fora de banda.AMT deve ser desativado nestes computadores:

  • Computadores do grupo de trabalho.

  • Computadores em que residem numa floresta do Active Directory diferente a partir de computadores que executam a fora do serviço de banda do ponto de função do sistema de sites e o ponto de inscrição.

  • Computadores que se encontram na mesma floresta do Active Directory como servidores do sistema do site que executar a fora de banda do serviço ponto e o ponto de inscrição mas não partilham o mesmo espaço de nomes (espaço de nomes não contíguos).

    Por exemplo, um computador baseado em AMT com o FQDN do computer1.northwindtraders.com não pode ser aprovisionado pela fora do sistema de sites de ponto de serviço de banda com o FQDN do contoso.com, mesmo que pertencem a mesma floresta do Active Directory.

  • Computadores que se encontram na mesma floresta do Active Directory como a fora do ponto de serviço de banda servidor do sistema de sites, mas tem um espaço de nomes disjoint — por exemplo, um baseado em AMT computador que tem um nome DNS de computer1.corp.fabrikam.com e reside um domínio do Active Directory denominado na.corp.fabrikam.com.

Intervening dispositivos de rede, tais como routers e as firewalls e Firewall do Windows se aplicável, tem de permitir o tráfego associado fora de actividade de gestão de banda.

As seguintes portas são utilizadas por gestão fora de banda:

  • A partir de fora do ponto de serviço de banda para o ponto de inscrição: HTTPS (por predefinição, porta TCP 443).

  • A partir de fora do banda servidor do sistema de sites de ponto do serviço para controladores de gestão de AMT para controlo de power iniciadas a partir da consola do Configuration Manager e agendada atividades, aprovisionamento e Deteção: TCP 16993.

  • A partir de computadores com a fora da consola de gestão de banda para gestão de AMT controladores de todas as tarefas de gestão iniciadas a partir de fora da consola de gestão de banda (incluindo power-on comandos): TCP 16993.

  • A partir de computadores com a fora da consola de gestão de banda para controladores de gestão de AMT para série sobre redirecionamento LAN e IDE: TCP 16995.

IPv4.

IPv6 não é suportado.Fora de banda gestão utiliza IPv4 apenas.

Completos IPsec ambientes não são suportados.

Não configure IPsec políticas para a comunicação de AMT entre o limite do servidor de sistema de sites de ponto de serviço de banda e computadores que irão ser geridos fora de banda.

Suporte de infraestrutura para 802.1 X autenticado redes com fios e redes sem fios:

  • Autenticado com fios 802.1 X suporta: Opções de autenticação de cliente de EAP-TLS ou EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2.

  • Suporte sem fios: WPA e WPA2 segurança, AES ou encriptação TKIP, opções de autenticação de cliente de EAP-TLS ou EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2.

Nota

Se utilizar métodos de autenticação de cliente de EAP-TLS ou EAP-TTLS/MSCHAPv2 com um certificado de cliente, a solução RADIUS tem de suportar autenticação utilizando o seguinte formato: domain\computer_account.

Para gerir computadores baseado em AMT fora de banda num 802.1 X autenticado rede com fios ou uma ligação sem fios, tem de ter uma infraestrutura suporte para estes ambientes.Estas redes podem ser configurados utilizando uma solução Microsoft RADIUS, tais como servidor de políticas de rede no Windows Server 2008.Outras soluções RADIUS podem ser utilizadas se são 802.1 X conformidade e as opções de configuração listadas para o suporte autenticado com fios 802.1 X suporte e suporte sem fios.

Para mais informações sobre o servidor de políticas de rede no Windows Server 2008, consulte o artigo servidor de políticas de rede.

Para mais informações sobre outras soluções RADIUS, consulte o artigo Intel vPro Centro especialista: Microsoft vPro gestão.

Dependências do Configuration Manager

A tabela seguinte lista as dependências dentro Gestor de configuração para executar gestão fora de banda.

Dependência

Mais informações

Tem de executar o site primário System Center 2012 Configuration Manager e ter instalada a saída de ponto de serviço de banda e o ponto de inscrição.

A saída de ponto de serviço de banda tem na floresta do Active Directory mesma que o servidor do site e, pode instalar apenas um ponto fora de banda serviço em cada site principal.

Passo 4: Configurar o ponto de inscrição e a saída de ponto de serviço de banda para aprovisionamento de AMT 

Computadores que pretende gerir fora de banda tem de ter o Gestor de configuração cliente instalado e tem de ser atribuída a um site principal.

System_CAPS_importantImportante

Intel AMT computadores baseados no que são atribuídas para a mesma Gestor de configuração site tem de ter um nome de computador exclusivos, mesmo quando que pertencem a domínios diferentes e, consequentemente, terá um FQDN exclusivo.

 Como Instalar Clientes em Computadores Baseados no Windows no Configuration Manager

Para configurar a gestão fora de banda, tem de ter as seguintes permissões de segurança:

  • Site: Leitura e modificar

  • Perfil de inscrição de dispositivos móveis: Leitura, criar, modificar, metro Site, e Gerir certificados para implementação do sistema operativo

O administrador completo função segurança inclui estas permissões.

Para gerir computadores fora de banda, tem de ter as seguintes permissões de segurança para as coleções de ficheiros que contêm os computadores:

  • Aprovisionar AMT: Esta permissão de segurança permite-lhe gerir computadores AMT da consola do Configuration Manager, que inclui o estado de controladores de gestão de AMT, computadores de aprovisionamento do AMT e as ações de auditoria de ativação e aplicar definições de registo de auditoria, a desativação de auditoria e limpar o registo de auditoria a detetar.

  • Controlar AMT: Esta permissão de segurança permite-lhe ver e gerir computadores utilizando a fora da consola de gestão de banda e iniciar ações de controlo power na consola do Configuration Manager.O Ferramentas remoto inclui a função de segurança a controlo AMT permissão.

  • Leitura e Modificar definição de coleção para ativar o aprovisionamento de AMT para a coleção.

  • Aprovisionar AMT, leitura, e leitura recurso remover as informações de aprovisionamento e atualizar os controladores de gestão de AMT.

Para obter mais informações sobre como configurar permissões de segurança, consulte o artigo Configurar a Administração Baseada em Funções.

Ponto do Reporting services.

Para utilizar Gestor de configuração relatórios para gestão fora de banda, tem de instalar e configurar o ponto de uma reporting services.

Para mais informações, consulte Relatórios no Configuration Manager.