项目
10/26/2015

带外管理配置管理器中的先决条件

适用对象：System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

带外管理为 System Center 2012 Configuration Manager 具有外部依赖关系和产品内部依赖关系。

重要事项
带外管理为配置管理器 Intel 主动管理技术 (Intel AMT) 和 Microsoft 公钥基础结构 (PKI) 技术具有外部依赖关系。有关配置的权威信息或有关这些外部依赖关系的技术详细信息，请参阅相关技术的产品文档。有关 Intel AMT 和 Intel 设置和配置软件的信息，请参阅 Intel 文档或从计算机制造商的文档。有关其他信息，请参阅 Intel vPro Expert Center：Microsoft vPro 可管理性。有关 Microsoft 公钥基础结构 (PKI) 技术的信息，请参阅 Windows Server 2008 Active Directory 证书服务。

带外管理为配置管理器 Intel 主动管理技术 (Intel AMT) 和 Microsoft 公钥基础结构 (PKI) 技术具有外部依赖关系。有关配置的权威信息或有关这些外部依赖关系的技术详细信息，请参阅相关技术的产品文档。

有关 Intel AMT 和 Intel 设置和配置软件的信息，请参阅 Intel 文档或从计算机制造商的文档。有关其他信息，请参阅 Intel vPro Expert Center：Microsoft vPro 可管理性。

有关 Microsoft 公钥基础结构 (PKI) 技术的信息，请参阅 Windows Server 2008 Active Directory 证书服务。

Configuration Manager 的外部依赖关系

下表列出了用于运行的带外管理的外部依赖关系。

Microsoft 企业证书颁发机构 (CA) 提供了一些证书模板来部署和管理执行带外管理所需的证书。

颁发证书的 CA 必须自动批准证书请求从 AMT 计算机帐户配置管理器在 AMT 设置过程期间在 Active Directory 域服务中创建。

若要吊销 AMT 证书，颁发证书的 CA 必须配置与安装注册点站点系统角色的服务器的颁发和管理证书权限。

重要事项
AMT 无法支持密钥长度大于 2048 位的 CA 证书。

带外服务点和带外管理的每台台式机或便携式计算机的扩展必须具有特定分开管理从 Configuration Manager 的 PKI 证书。

有关证书要求的详细信息，请参阅 Configuration Manager 的 PKI 证书要求。

有关逐步说明，请参阅为 AMT 部署证书。

注册点站点系统服务器的计算机帐户必须具有要吊销从颁发 CA 的 AMT 证书的 DCOM 权限。请确保此站点系统计算机（对于 Windows Server 2008) 的证书服务 DCOM 访问或颁发证书的 CA 所在的域中 CERTSVC_DCOM_ACCESS （对于 Windows Server 2003 SP1 和更高版本）的安全组的成员。

使用以下配置的台式机或便携式计算机：

Intel vPro 技术或 Intel Centrino Pro 技术
受支持的配置为企业模式，与 PKI 的设置模式的 Intel AMT 版本
Intel HECI 驱动程序

有关 AMT 版本信息的配置管理器支持，请参阅带外管理中受支持的配置的配置管理器主题。

从 Intel 网站下载最新的 HECI 驱动程序和有关 Intel 要求查阅计算机制造商的文档。

Active Directory 容器和通用安全组：

必须使用基于 AMT 的计算机所在域的正确的安全权限配置 Active Directory 容器。如果站点管理多个域中的基于 AMT 的计算机，则必须对所有域使用同一容器名称和路径。
一个包含计算机的通用安全组用于基于 AMT 的计算机帐户。

注意
不需要扩展带外管理的 Active Directory 架构。

在 AMT 设置过程中，Configuration Manager 在此 Active Directory 容器或组织单位 (OU) 中创建计算机帐户并将帐户添加到的通用安全组。

站点服务器计算机需要以下权限：

有关在 AMT 设置过程期间使用的 OU：允许 创建所有子对象 和 删除所有子对象 并将应用于 仅此对象。
有关在 AMT 设置过程期间使用的通用安全组：允许读取和编写, ，并将应用于 仅此对象。

以下网络服务：

具有活动范围的 DHCP 服务器
用于名称解析的 DNS 服务器

对于 DHCP，确保 DHCP 作用域选项包括 DNS 服务器 (006) 和域名 (015) 和 DHCP 服务器动态地使用计算机资源记录更新 DNS。

不能使用 WINS 解析计算机名称和 DNS 的是使用带外管理的所有连接所必需。这包括连接到基于 AMT 的计算机的带外管理控制台从此外到 AMT 设置。

注意
因此您必须确保 DHCP 或操作系统更新 DNS 具有基于 AMT 的计算机的完全限定的域名 (FQDN) 的主机记录，AMT 无法在 DNS 中注册主机记录。或者，您也可以根据需要在 DNS 中手动创建这些记录。有关无线支持，请确保 DNS 包含具有基于 AMT 的计算机的完全限定的域名的无线 IP 地址的记录。

站点系统角色依赖关系将运行注册点和带外服务点站点系统角色的计算机。

请参阅站点系统角色的先决条件主题中的受支持的配置的配置管理器部分。

必须在运行 Windows XP 如果它们运行带外管理控制台的计算机上安装 Windows 远程管理 (WinRM) 1.1 版或更高版本。

有关 WinRM 版本的详细信息，请参阅版本的 Windows 远程管理。

在运行带外管理控制台的计算机上需要 MSXML 6.0。

安装程序先决条件检查器为配置管理器包括对 Microsoft MSXML 6.0 的检查。

如果运行带外管理的计算机控制台，然后执行 serial over LAN 命令运行 Windows 7、 Windows Vista 或 Windows Server 2008 的计算机上必须安装 Windows 功能 Telnet 客户端。

Serial over LAN 使用 Telnet 协议对被管理的计算机运行终端仿真会话，在该会话中，您可以运行命令和基于字符的应用程序。有关详细信息，请参阅带外管理在 Configuration Manager 简介。

若要进行带外管理的计算机必须属于同一个 Active Directory 林中运行带外服务点和注册点外的站点系统服务器。

此外，计算机必须共享相同的命名空间；不支持不相互连接的命名空间。

下列方案可识别不支持带外管理的计算机。应在以下计算机上禁用 AMT：

工作组计算机。
计算机位于不同 Active Directory 林中的计算机的运行带外服务点站点系统角色和注册点。
位于同一 Active Directory 林中的站点系统服务器运行带外服务点和注册点但不共享相同的命名空间（非连续命名空间）的计算机。

例如，FQDN 为 computer1.northwindtraders.com 的基于 AMT 的计算机无法由 FQDN 为 contoso.com 的带外服务点站点系统进行设置，即使它们属于同一 Active Directory 林亦如此。
站点系统服务器，但具有非连续命名空间驻留在与带外服务点相同的 Active Directory 林中的计算机 — 例如，基于 AMT 的计算机的 DNS 名称为 computer1.corp.fabrikam.com 并且驻留在名为 na.corp.fabrikam.com 的 Active Directory 域中。

如路由器和防火墙以及 Windows 防火墙（如果适用）的介入性网络设备必须允许与带外管理活动相关联的流量。

带外管理使用下列端口：

从外到注册点的带外服务点：HTTPS （默认端口 TCP 443）。
从带外服务点站点系统服务器到 AMT 管理控制器（用于从 Configuration Manager 控制台及计划活动启动的电源控制、设置和发现）：TCP 16993。
从运行带外管理控制台与 AMT 管理的计算机的所有管理任务的控制器从带外管理控制台（包括开机命令）外启动:TCP 16993。
从运行带外管理控制台的计算机到 AMT 管理控制器（用于 Serial over LAN 和 IDE 重定向）：TCP 16995。

IPv4。

不支持 IPv6。带外管理仅使用 IPv4。

不支持全部 IPsec 环境。

不要为带外服务点站点系统服务器和被带外管理的计算机之间的 AMT 通信配置 IPsec 策略。

对经过 802.1X 身份验证的有线网络和无线网络的基础结构支持：

经过身份验证的有线 802.1X 支持：EAP-TLS、EAP-TTLS/MSCHAPv2 或 PEAPv0/EAP-MSCHAPv2 的客户端身份验证选项。
无线支持：WPA 和 WPA2 安全、AES 或 TKIP 加密、EAP-TLS、EAP-TTLS/MSCHAPv2 或 PEAPv0/EAP-MSCHAPv2 的客户端身份验证选项。

注意
如果使用客户端证书中使用的是 EAP-TLS 或 EAP-TTLS/MSCHAPv2 的客户端身份验证方法，则 RADIUS 解决方案必须通过使用以下格式支持身份验证: 域 \ 计算机帐户。

若要在经过 802.1X 身份验证的有线网络或无线连接上对基于 AMT 的计算机进行带外管理，您必须拥有对这些环境的支持基础结构。可以通过使用 Microsoft RADIUS 解决方案，例如 Windows Server 2008 上的网络策略服务器配置这些网络。如果它们是 802.1 X 兼容并使用为列出的配置选项的支持身份验证的有线的 802.1 X 支持和无线支持，可以使用其他 RADIUS 解决方案。

Windows Server 2008 上网络策略服务器的详细信息，请参阅网络策略服务器。

有关其他 RADIUS 解决方案的详细信息，请参阅 Intel vPro Expert Center：Microsoft vPro 可管理性。

Configuration Manager 依赖关系

下表列出了内部依赖关系配置管理器用于运行带外管理。

主站点必须运行 System Center 2012 Configuration Manager 且已安装带外服务点和注册点外。

带外服务点扩展必须在同一 Active Directory 林中为站点服务器上，并只有一个带外服务点安装在每个主站点中。

步骤 4：配置用于 AMT 设置的注册点和带外服务点

您想要带外管理的计算机必须有配置管理器客户端安装和必须分配给主站点。

重要事项
Intel 基于 AMT 的计算机分配到同一配置管理器站点必须具有唯一的计算机的名称，即使它们属于不同的域，因此具有一个唯一的 FQDN。

如何在 Configuration Manager 基于 Windows 的计算机上安装客户端

若要配置带外管理，必须具有下列安全权限：

站点：读取和修改
移动设备注册配置文件:读取, ，创建, ，修改, ，计数站点, ，和 操作系统部署的管理证书

完全权限管理员 安全角色包括这些权限。

若要管理计算机进行带外的，您必须包含计算机的集合的以下安全权限：

设置 AMT:此安全权限允许您从 Configuration Manager 控制台中，包括发现启用并将其应用审核日志设置、禁用审核以及清除审核日志的审核操作以及 AMT 设置计算机的 AMT 管理控制器的状态管理 AMT 计算机。
控制 AMT:此安全权限允许您查看和使用的带外管理控制台管理计算机并启动 Configuration Manager 控制台中的电源控制操作。远程工具 安全角色包括 控制 AMT 权限。
读取和 修改集合设置 若要启用 AMT 设置的集合。
设置 AMT, ，读取, ，和 读取资源 删除设置信息并更新 AMT 管理控制器。

有关如何配置安全权限的详细信息，请参阅配置基于角色的管理。

Reporting services 点。

若要使用配置管理器报告个带外管理，必须安装和配置的 reporting services 点。

有关详细信息，请参阅 Configuration Manager 中的报表。

请参阅

带外管理 Configuration Manager 中规划

带外管理配置管理器中的先决条件

Configuration Manager 的外部依赖关系

Configuration Manager 依赖关系

请参阅

其他资源