如何设置和配置 Configuration Manager 中的基于 AMT 的计算机

 

适用对象：System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

您可以管理 Intel AMT-基于-计算机进行带外中之前 System Center 2012 Configuration Manager, ，必须将其之后进行设置 配置管理器 安装客户端。AMT 设置要求 Microsoft 证书服务与企业证书颁发机构 (CA) 和 配置管理器 注册点和带外服务点站点系统角色。公钥基础结构 (PKI) 证书期间以及之后设置的过程，保护基于 AMT 的计算机之间的通信和 配置管理器 站点。

在设置本主题中使用以下步骤和补充过程和配置基于 AMT 的计算机的带外管理。此信息包括要在这些计算机连接到经过身份验证的有线的网络或无线网络时管理基于 AMT 的计算机进行带外的可选配置。您可以后设置基于 AMT 的计算机时，还配置这些可选设置，然后更新 AMT 管理控制器。

若要设置和配置基于 AMT 的计算机的步骤

使用下表的步骤、 详细信息，和有关如何设置和配置基于 AMT 的计算机的详细信息。

重要事项
执行这些步骤之前，请确保您已设置的所有系统必备组件和配置基于 AMT 的计算机。有关详细信息，请参阅 带外管理配置管理器中的先决条件。 如果您管理 801.1 X 和无线网络上的基于 AMT 的计算机，检查您的 RADIUS 服务器的配置，以便您知道哪些 802.1 X 设置配置为 AMT 此外，当基于 AMT 的计算机主机配置为无线网络，以本机方式在操作系统中或通过使用另一种解决方案来确保在带外管理无线配置文件中指定的设置 网络名称 (SSID), ，安全类型, ，和 加密方法 与您的主机无线配置的配置匹配。

步骤	详细信息	更多信息
步骤 1：通过创建安全组和组织单位 (OU) 中准备 Active Directory 域服务。	创建两个安全组： 一个包含主站点服务器的计算机帐户的安全组。 通用安全组将包含已设置的基于 AMT 的计算机的帐户。授予对以下安全权限的第一个安全组 仅此对象:读取成员 和 编写成员。 将包含基于 AMT 的计算机的每个域中创建一个 OU。授予对以下安全权限的第一个安全组 仅此对象:创建计算机对象 和 删除计算机对象。	有关如何创建安全组和 Ou 的详细信息，请参阅 Active Directory 文档。
步骤 2：确认 DHCP 配置。	确保您具有活动作用域和配置以下 DHCP 选项： 006 （DNS 服务器） 015 （DNS 域名） 此外，请确保配置 DHCP 服务器动态地利用计算机资源记录更新 DNS。	有关如何配置 DHCP 的详细信息，请参阅 DHCP 文档。
步骤 3：创建和颁发的 PKI 证书。	确保已配置了以下： 注册点 web 服务器证书。 AMT 设置证书。 AMT web 服务器证书模板中。 为无线的管理：AMT 客户端身份验证证书模板。	若要配置 web 服务器证书注册点，请参阅 为运行 IIS 的站点系统部署 Web 服务器证书 中 Configuration Manager 的 PKI 证书的分步部署示例：Windows Server 2008 证书颁发机构 主题。 若要为 AMT 中配置的证书，请参阅 为 AMT 部署证书 中 Configuration Manager 的 PKI 证书的分步部署示例：Windows Server 2008 证书颁发机构 主题。
步骤 4：为 AMT 中配置的站点系统角色	安装和配置下列站点系统角色： 注册点。 带外服务点出。	请参阅以下过程 步骤 4：配置用于 AMT 设置的注册点和带外服务点 本主题中。
步骤 5：配置带外管理组件。	如您配置证书模板的步骤 1 中您的 OU 和安全组配置在步骤 3 和 AMT 用户帐户如果您想要运行带外管理控制台指定设置。	请参阅以下过程 步骤 5：带外管理组件将部署配置 本主题中。
步骤 6：可选：将站点配置为发送开机命令为计划的唤醒活动。	使用带外管理启动计算机上允许分配给该站点，以便他们可以对计划的管理任务进行响应想从休眠中唤醒的计算机。	请参阅以下过程 步骤 6：将站点配置为发送计划唤醒活动的开机命令 本主题中。
步骤 7：显示 AMT 状态并启用 AMT 设置。	如有必要，创建新集合以包含您要设置的基于 AMT 的计算机。 可选但建议使用：添加到 Configuration Manager 控制台的 AMT 状态。 选择 启用 AMT 设置基于 AMT 的计算机 集合属性中。	请参阅以下过程 步骤 7：显示 AMT 状态并启用 AMT 设置 本主题中。
步骤 8：监视 AMT 设置过程。	当 配置管理器 客户端下一次下载客户端策略，它将置备请求发送给带外服务点。如果要设置失败，它将自动重试根据在带外管理组件属性中配置的设置计划。	请参阅以下过程 步骤 8：监视 AMT 设置 本主题中。

若要设置和配置基于 AMT 的计算机的补充过程

如果上表中的步骤需要执行补充过程，请使用以下信息。

步骤 4：配置用于 AMT 设置的注册点和带外服务点

这些过程配置用于 AMT 设置的站点系统角色。选择是安装新的站点系统服务器以便进行 AMT 设置还是使用现有的站点系统服务器根据以下过程之一：

• 安装和配置注册站点系统：新建站点系统服务器

• 安装和配置注册站点系统：现有站点系统服务器

若要安装和配置 AMT 设置的站点系统：新建站点系统服务器

1. 在 Configuration Manager 控制台中，单击“管理”。

2. 在“管理”工作区中，展开“站点配置”，并单击“服务器和站点系统角色”

3. 在“主页”选项卡上的“创建”组中，单击“创建站点系统服务器”。

4. 在“常规”页上，指定站点系统的常规设置，然后单击“下一步”。

5. 在上 系统角色选择 页上，选择 带外服务点 和 注册点 从列表中可用的角色，然后单击 下一步。

   注意
   角色不是可用于辅助站点。此外，带外服务点扩展不能安装在主站点中的多个站点系统上。

6. 在上 带外服务点 页上，除非您必须调整这些内容用于您的网络基础结构不将更改的计划加电电源命令的默认设置。单击“下一步”。

7. 在上 AMT 设置证书 页上，单击 浏览 以选择在上表中的步骤 3 中创建的 AMT 设置证书。或者，在证书指纹的类型。

8. 决定是否要清除 启用 CRL 检查 AMT 设置证书 复选框，然后依次 下一步。

   注意
   虽然该选项以检查证书吊销列表 (CRL) 会更加安全，如果外带外服务点无法访问 CRL 时启用此选项时，带外服务点扩展未不针对 AMT 设置计算机如果您的 AMT 设置证书是从外部 CA 外带外服务点, 必须具有直接访问 Internet 时您启用 CRL 检查，因为此选项不支持 web 代理访问。

9. 在上 注册点设置 页上，查看设置。除非您必须针对您的环境对其进行更改，否则保留默认设置。单击“下一步”。

10. 完成向导。

若要安装和配置 AMT 设置的站点系统：现有站点系统服务器

1. 在 配置管理器 控制台中，单击 管理。

2. 在 管理 工作区中，展开 站点配置, ，选择 服务器和站点系统角色, ，然后选择您想要用于 AMT 设置的服务器。

3. 在“主页”选项卡上的“创建”组中，单击“添加站点系统角色”。

4. 在“常规”页上，指定站点系统的常规设置，然后单击“下一步”。

5. 在上 系统角色选择 页上，选择 带外服务点 和 注册点 从列表中可用的角色，然后单击 下一步。

   注意
   角色不是可用于辅助站点。此外，带外服务点扩展不能安装在主站点中的多个站点系统上。

6. 在上 带外服务点 页上，除非您必须调整这些内容用于您的网络基础结构不将更改计划开机命令的默认设置。单击“下一步”。

7. 在上 AMT 设置证书 页上，单击 浏览 以选择在上表中的步骤 3 中创建的 AMT 设置证书。或者，键入证书指纹。

8. 决定是否必须清除 启用 CRL 检查 AMT 设置证书 复选框，然后依次 下一步。

   注意
   虽然该选项以检查 CRL 会更加安全，如果带外服务点扩展程序无法访问 CRL，AMT 设置将失败。如果您的 AMT 设置证书是从外部 CA 外带外服务点, 必须能够访问 Internet。

9. 在上 注册点设置 页上，查看设置。除非您需要为您的环境中更改它们保留默认设置。单击“下一步”。

10. 完成向导。

步骤 5：带外管理组件将部署配置

此过程配置带外管理组件扩展。

若要配置带外管理组件

1. 在 配置管理器 控制台中，单击 管理。

2. 在 管理 工作区中，展开 站点配置 然后单击 站点。

3. 在上 主页 选项卡上，在 设置 组中，单击 配置站点组件, ，然后单击 带外管理。

4. 选择您在前面的过程中配置的注册点。

5. 指定该 OU，然后在上表中的步骤 1 中配置的通用组。

6. 指定您在上表中的步骤 3 中配置 AMT web 服务器证书。

7. 决定是否要清除该复选框的 CRL 检查。

   注意
   选中此选项后，基于 AMT 的计算机进行带外管理的计算机必须能够在这些用户可成功连接之前检查 CRL 中的有 AMT web 服务器证书。默认情况下，将 CRL 发布在颁发 CA。尽管检查 CRL 会更加安全，是否 CRL 不可用，则连接将失败。管理基于 AMT 的计算机的计算机包括在站点服务器和运行带外管理控制台的计算机。

8. 单击 设置 在用于初始的管理引擎 BIOS 扩展 (MEBx) 中指定该帐户的强密码身份验证的访问来管理基于 AMT 的计算机。

   注意
   密码区分大小写，而且必须至少具有 8 个字符，最长 32 个字符，至少有一个大写、一个小写、一个数字和一个符号字符。符号字符包括 !@ # $ %^ & * 并排除: （冒号）""（双引号） _ （下划线）。

9. 单击 AMT 设置 选项卡。

10. 单击 新建 图标 以指定将运行带外管理控制台的 AMT 用户帐户。作为最佳实践中，指定安全组而不是单个用户帐户。

11. 决定是否必须更改默认的可管理性设置为 始终打开 到 主机位于。

    注意
    该设置 主机位于 有助于节省电源消耗当基于 AMT 的计算机在处于待机状态或者操作系统关闭的情况下。您的公司策略也可能要求进行此设置。但是，如果您选择 主机位于 和基于 AMT 的计算机处于不允许带外通信的电源状态，基于 AMT 的计算机没有响应的带外通信。在这种情况下，并不表示您不能连接至基于 AMT 的计算机，因为该计算机配置为不支持可管理性的电源状态。

12. 单击 高级设置 并决定是否以更改任何默认设置，然后单击 确定。

    注意

    有关高级设置的详细信息: 启用 web 界面:启用或禁用基于 AMT 的计算机在 AMT Web 浏览器中显示固件信息的功能。默认情况下不启用此选项。 启用 serial over LAN 和 IDE 重定向:启用或禁用基于 AMT 的计算机上用于 Serial over LAN 和 IDE 重定向的选项。默认情况下会启用此选项。 允许 ping 响应:启用或禁用 AMT 管理控制器在收到 ICMP 数据报时对网络 ping 请求作出响应。默认情况下不启用此选项。 启用 BIOS 密码绕过电源上和重新启动命令:启用或禁用开启或重新启动基于 AMT 的计算机时绕过 BIOS 提示输入已配置密码的功能。默认情况下，启用此选项。 Kerberos 时钟容差 （分钟）:指定管理控制器与所收到消息中的时间戳之间的允许时钟容差。具有较短的值有助于消除重播攻击，但太短的值可能会导致有效的连接被拒绝。默认设置为 5 分钟。

13. 单击 审核日志设置。查看审核，决定是否以更改任何默认设置，然后单击的 AMT 功能 确定。

    注意
    选择要审核的功能不会启用审核。您可以启用这些设置之后审核在选定的基于 AMT 的计算机上。有关详细信息，请参阅 在基于 AMT 的计算机上启用审核和更新审核设置。

14. 单击 资源调配 选项卡。

15. 如果您必须指定 AMT 发现和配置帐户，请单击 新建 图标 指定一个或多个帐户。

    注意

    如果满足下列任一条件，请指定 AMT 设置和发现帐户： 从未设置基于 AMT 的计算机，并且您的制造商提供的是带有自定义 MEBx 密码的计算机。（不是 admin。）在这种情况下，请添加名为 admin 的 AMT 设置和发现帐户，并指定制造商所提供的密码。 基于 AMT 的计算机从未进行设置，并且您的制造商提供的是带有默认 MEBx 密码 admin 的计算机，但您已在计算机的 BIOS 扩展中配置了 MEBx 密码。在这种情况下，请添加名为 admin 的 AMT 设置和发现帐户，并指定您在 BIOS 扩展中配置的密码。 另一个 AMT 管理解决方案之前已设置了基于 AMT 的计算机，并且已（通过该管理解决方案或本地配置 BIOS 扩展）删除了部分设置信息。当这种情况，并且您想要发现或通过设置这些计算机 配置管理器, ，添加 AMT 设置和发现帐户名为 admin 并指定 AMT 远程管理帐户所配置的其他管理解决方案的密码。

16. 配置 AMT 设置计划。

17. 单击 设置 指定 AMT 设置删除帐户。指定一个被指定为 AMT 用户帐户在步骤 10 中的 Windows 帐户。您必须将此帐户添加到带外服务点计算机上本地管理员组中。

    注意
    如果必须恢复站点，您可以使用此帐户从计算机删除 AMT 设置信息，然后重新设置。 有关如何删除 AMT 设置信息的详细信息，请参阅如何删除 AMT 信息。

18. 如果您想要管理基于 AMT 的计算机时它们所连接到经过身份验证有线和无线 802.1 X 网络，请单击 802.1 X 和无线 选项卡上 ； 否则，请单击 确定 关闭 带外管理组件属性 对话框。

19. 若要配置 802.1 X 身份验证的有线网络，请选择 为有线的网络访问启用 802.1 X 身份验证, ，然后单击 配置。

20. 在 802.1 X 有线网络访问控制 对话框中，单击 选择 选择 受信任的根证书。

21. 在“用于 RADIUS 身份验证的受信任的根证书”对话框中，使用以下方法之一指定受信任的根证书，然后单击“确定”：

    • 若要指定受信任的根证书通过从林中选择企业 CA，请确保 从证书颁发机构 (CA) 选择，并且从列表中选择 CA。

    • 要通过选择 DER 编码的二进制 X.509 (.cer) 或 Base-64 编码的 X.509 (.cer) 文件（其中含有导出的受信任的根证书）来指定受信任的根证书，请依次单击“来自文件”和“浏览”，选择 .cer 文件，然后单击“打开”。

22. 在下拉列表框中，选择要使用的客户端身份验证方法。

23. 如果您选择的客户端身份验证方法 、 EAP-TTLS/MSCHAPv2 或 PEAPv0/Eap-mschapv2, ，单击 使用客户端证书 如果还想要使用客户端证书进行身份验证。

24. 如果 选择使用客户端证书, ，单击 选择, ，指定 颁发 CA 要用于客户端证书和 RADIUS 客户端证书模板 ，您在前面的表中，步骤 3 中创建，然后单击 确定。

25. 如果您不需要配置无线设置，请单击 确定 关闭 带外管理组件属性 对话框。

26. 若要创建和配置无线配置文件，请单击 新建 图标 。

27. 在“无线配置文件”对话框中，键入“配置文件名称”的显示名称。

28. 在?网络名称 (SSID)中键入无线网络的名称。

29. 指定安全类型中的 安全类型 框。

30. 指定加密方法在 加密方法 框。

31. 单击“选择”为 RADIUS 服务器指定受信任的根证书。

32. 在“用于 RADIUS 身份验证的受信任的根证书”对话框中，使用以下方法之一指定受信任的根证书，然后单击“确定”：

    • 若要指定受信任的根证书通过从林中选择企业 CA，请确保 从证书颁发机构 (CA) 选择，并且从列表中选择 CA。

    • 要通过选择 DER 编码的二进制 X.509 (.cer) 或 Base-64 编码的 X.509 (.cer) 文件（其中含有导出的受信任的根证书）来指定受信任的根证书，请依次单击“来自文件”和“浏览”，选择 .cer 文件，然后单击“打开”。

33. 在下拉列表框中，选择要使用的客户端身份验证方法。

34. 如果您选择的客户端身份验证方法 、 EAP-TTLS/MSCHAPv2 或 PEAPv0/Eap-mschapv2, ，单击 使用客户端证书 如果还想要使用客户端证书进行身份验证。

35. 如果 选择使用客户端证书, ，单击 选择, ，指定 颁发 CA 要用于客户端证书和 RADIUS 客户端证书模板 ，您在前面的表中，步骤 3 中创建，然后单击 确定。

36. 创建所需的其他无线配置文件。

37. 若要更改无线配置文件的顺序，请选择无线配置文件，然后单击 下移项目 图标 或 下移项 图标 。基于 AMT 的计算机依次尝试每个无线配置文件，直到成功建立连接，并将不断尝试连接的持续时间内使用此配置文件。

38. 如果必须更改无线配置文件的设置，选择无线配置文件，然后单击 属性 图标 。

39. 单击 确定 关闭 带外管理组件属性 对话框。

步骤 6：将站点配置为发送计划唤醒活动的开机命令

此过程使主站点服务器以发送开机命令到基于 AMT 的计算机时它们已计划的部署和这些计算机处于休眠或已关闭。

若要将站点配置为发送开机命令为计划的唤醒活动

1. 在 Configuration Manager 控制台中，单击“管理”。

2. 在“管理”工作区中，展开“站点配置”，单击“站点”，然后选择要配置的主站点。

3. 在上 主页 选项卡上，单击 属性, ，然后单击 LAN 唤醒 选项卡。

4. 选择 启用 LAN 唤醒为此站点 复选框，然后选择下列选项之一：

   - **如果计算机支持此技术 ； 命令使用 AMT 电源否则，请使用唤醒数据包**
   
   - **使用 AMT 开机命令仅**
   

   警告
   配置站点的唤醒选项之后, 配置为 LAN 唤醒的所有部署都使用相同的设置。您不能配置的部署使用逐个;例如，您不能配置仅使用唤醒数据包仅或特定任务序列来命令仅使用开机电源的软件更新部署。

5. 单击"确定"。

注意
由于的额外开销参与建立、 维护和终止带外管理会话，输出进行您自己的测试，以便精确判断它所需的时间通过例如对您的环境中的命令使用 AMT 电源唤醒多台计算机、 跨慢速 WAN 链接到辅助站点中的计算机。这一知识可帮助您确定唤醒多台计算机执行计划的活动通过使用开机命令与带外通信时是否为实际了大量的计算机以在一段短时间内唤醒。

步骤 7：显示 AMT 状态并启用 AMT 设置

此过程添加到 AMT 状态列 配置管理器 控制台和启用 AMT 设置。

若要显示在 Configuration Manager 控制台中 AMT 状态列并启用 AMT 设置的集合

1. 在 Configuration Manager 控制台中，单击“资产和符合性”。

2. 在 资产和符合性 工作区中，展开 设备, ，然后选择包含基于 AMT 的计算机的设备集合。

3. 在结果窗格中，右键单击任何列标题，然后选择 AMT 状态。

4. 在上 主页 选项卡上，在 集合 组中，单击 带外的管理, ，然后单击 发现 AMT 状态。单击 确定 以便确认该操作。

5. 在“主页”选项卡上，单击“属性”。

6. 在集合属性对话框中，单击 带外管理 选项卡。

7. 选择 启用设置基于 AMT 的计算机, ，然后单击 确定。

8. 如果已配置外带外的管理对 802.1 X 经过身份验证的有线的连接或 802.1 X 无线连接:请确保以下网络连接都在基于 AMT 的计算机的操作之一：

   - 计算机连接到的以太网端口不需要 802.1X 身份验证。
   
   - 计算机通过操作系统连接到 802.1X 经过身份验证的网络。
   

   此外，对于带外管理无线网络上，检查您的 DNS 服务器具有包含无线 IP 地址的基于 AMT 的计算机的主机记录。因此您必须确保 DHCP 或主计算机上的操作系统更新 DNS，以便基于 AMT 的计算机的无线 IP 地址可被解析为其完全限定的域名 (FQDN)，AMT 无法在 DNS 中注册主机记录。或者，您可以手动创建这些记录在 DNS 中根据需要。

步骤 8：监视 AMT 设置

尽管您可以通过使用手动发现的当前状态 发现 AMT 状态 选项，则这还会自动更新后 AMT 设置过程。

通过使用任何以下方法监视 AMT 状态：

• 视图 AMT 状态 中的列 配置管理器 控制台。

• 通过创建基于查询的集合 AMT 状态 值。

• 查看报表 具有带外管理控制器的计算机。

有关 AMT 状态的详细信息，请参阅 有关 AMT 状态和带外管理配置管理器中。

如何验证计算机已针对 802.1 X 网络连接进行设置

因为基于 AMT 的计算机设置上的未经身份验证的以太网连接的 AMT 状态之后，将应用对 802.1 X 设置 已设置 未确认计算机可以在无线上的带外管理或有线 802.1 X 网络连接。使用以下过程验证已成功应用对 802.1 X 设置。

若要验证是否为已经过身份验证的有线和无线网络连接配置基于 AMT 的计算机

1. 在带外服务点外，找到并打开文件 <ConfigMgrInstallationPath> \Logs\Amtopmgr.log。

2. 搜索一个以下文本字符串，其中 <wireless_profile> 是无线配置文件的指定的名称：

   - 若要确认经过身份验证的有线设置已成功配置，搜索 **Begin to set Wired 8021x Profile...**, ，然后 **Set Wired 8021x Profile Success...**。
   
   - 若要确认已成功配置无线配置文件设置，请搜索 **Set wireless profile: \<wireless\_profile\>**, ，然后 **Successfully add wireless profile \<wireless\_profile\>**。
   
   - 若要识别配置无线配置文件，因为指定的配置元素失败中发生的故障 （例如，客户端证书已指定但无法颁发），搜索 **Set wireless profile: \<wireless\_profile\>**, ，失败的原因 (例如， **No client Certificate**)，然后 **The wireless profile: \<wireless\_profile\> is invaid. Skip adding...**。
   
   - 若要识别更新无线配置文件由于基于 AMT 的计算机当前位于无线连接的过程中发生的故障，搜索 **The wireless connection is active, skip setting wifi profiles**。
   

3. 如果未成功应用设置，请关闭日志文件并采取纠正措施。

请参阅

配置带外管理配置管理器中