頻外管理 Configuration Manager 中的必要條件

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

中的頻外管理 System Center 2012 Configuration Manager 具有外部相依性和產品中的相依性。

System_CAPS_important重要事項

中的頻外管理 Configuration Manager Intel 主動式管理技術 (Intel AMT) 和公開金鑰基礎結構 (PKI) 的 Microsoft 技術上具有外部相依性。設定授權資訊或有關這些外部相依性的技術詳細資料,請參閱相關技術的產品文件。

AMT Intel 和 Intel 安裝和設定軟體的相關資訊,請參閱 Intel 文件或向電腦製造商的文件。如需詳細資訊,請參閱 Intel vPro Expert Center:Microsoft vPro 管理能力

如需公開金鑰基礎結構 (PKI) 的 Microsoft 技術資訊,請參閱 Windows Server 2008 Active Directory 憑證服務

相依性的外部至 Configuration Manager

下表列出的頻外管理變得的外部相依性。

相依性

詳細資訊

Microsoft 企業憑證授權單位 (CA) 來部署和管理所需的頻外管理憑證的憑證範本。

發行 CA 必須自動核准憑證要求從 AMT 電腦帳戶 Configuration Manager AMT 佈建程序期間建立 Active Directory 網域服務中。

若要撤銷 AMT 憑證,必須設定發行 CA 和註冊點站台系統角色安裝所在之伺服器的 「 發行及管理憑證 」 權限。

System_CAPS_important重要事項

AMT 無法支援大於 2048 位元金鑰長度的 CA 憑證。

不足的寬線服務端點和頻外管理每一部桌上型電腦或膝上型電腦必須獨立管理從 Configuration Manager 的特定 PKI 憑證。

如需憑證需求的詳細資訊,請參閱Configuration Manager 的 PKI 憑證需求

如需逐步指示,請參閱部署 AMT 的憑證

註冊點站台系統伺服器的電腦帳戶必須具有 DCOM 權限來撤銷 AMT 從發行 CA 的憑證。請確定此站台系統的電腦憑證服務 DCOM 存取 (適用於 Windows Server 2008) 或 CERTSVC_DCOM_ACCESS (適用於 Windows Server 2003 SP1 和更新版本) 發行的 CA 所在的網域中的安全性群組的成員。

桌上型電腦或膝上型電腦使用下列組態:

  • Intel vPro 技術或 Intel Centrino 專業人員技術

  • 支援的設定為使用 PKI 的佈建模式的企業模式的 Intel AMT 版本

  • Intel HECI 驅動程式

如需 AMT 版本資訊的 Configuration Manager 支援,請參閱 一節中 主題。No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigOOB

Intel 網站下載最新版的 HECI 驅動程式和參考電腦製造商的說明文件以 Intel 需求。

Active Directory 容器和萬用安全性群組:

  • Active Directory 容器必須以金額為基礎的電腦位於網域的正確的安全性權限設定。如果網站管理多個網域的金額為基礎的電腦,所有網域必須使用相同的容器名稱和路徑。

  • 萬用安全性群組包含電腦帳戶的金額為基礎的電腦。

System_CAPS_note注意事項

沒有擴充的頻外管理 Active Directory 結構描述。

在 AMT 佈建過程中,Configuration Manager 這個 Active Directory 容器或組織單位 (OU) 中建立電腦帳戶並將帳戶加入萬用安全性群組。

站台伺服器電腦需要下列權限:

  • AMT 佈建程序期間所使用的 OU:允許 建立所有子物件刪除所有子物件 並套用至 只有這個物件

  • 萬用安全性群組 AMT 佈建程序期間所使用:允許 讀取撰寫, ,並套用至 只有這個物件

下列的網路服務:

  • 與使用中領域的 DHCP 伺服器

  • 名稱解析的 DNS 伺服器

DHCP,請確定 DHCP 領域選項包括 DNS 伺服器 (006) 和網域名稱 (015) 和 DHCP 伺服器動態與電腦的資源記錄更新 DNS。

WINS 無法用來解析電腦名稱和 DNS 是必要的頻外管理使用的所有連線。這包括從連接到 AMT 型電腦的頻外管理主控台中,此外 AMT 佈建。

System_CAPS_note注意事項

所以您必須確保,DHCP 或作業系統更新 DNS 以金額為基礎之電腦的完整的網域名稱 (FQDN) 的主機記錄 AMT 無法在 DNS 中註冊的主機記錄。或者,您可以手動建立這些記錄在 DNS 中視需要。對於無線支援請確認 DNS 包含無線 IP 位址以金額為基礎之電腦的完整的網域名稱的記錄。

將執行註冊端點和頻外服務的外的電腦站台系統角色依存性點站台系統角色。

請參閱主題中的一節。No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

如果它們執行的頻外管理主控台執行 Windows XP 的電腦上必須安裝 Windows 遠端管理 (WinRM) 1.1 版或更新版本。

如需有關 WinRM 版本的詳細資訊,請參閱 版本的 Windows 遠端管理

MSXML 6.0 需要執行的頻外管理主控台的電腦上。

安裝必要條件檢查的 Configuration Manager 包含 Microsoft MSXML 6.0 的檢查。

如果電腦執行的頻外管理主控台並執行序列移轉網路命令執行 Windows 7、 Windows Vista 或 Windows Server 2008 的電腦上必須安裝 Windows 功能,Telnet 用戶端。

透過 LAN 序列使用 Telnet 通訊協定來執行受管理的電腦,您可以在其中執行命令和以字元為基礎的應用程式的終端機模擬工作階段。如需詳細資訊,請參閱頻外管理在 Configuration Manager 簡介

頻外管理的電腦必須屬於相同的 Active Directory 樹系執行不足的寬線服務點和註冊點站台系統伺服器。

此外,電腦必須共用相同的命名空間。不支援不相鄰的命名空間。

下列案例會識別不支援頻外管理的電腦。AMT 應該停用這些電腦上:

  • 工作群組電腦。

  • 電腦位於不同的 Active Directory 樹系執行的額外服務外的電腦從點站台系統角色和註冊點。

  • 位於相同的 Active Directory 樹系中執行的範圍外的站台系統伺服器服務點和註冊點但不會共用相同的命名空間 (不連續的命名空間) 的電腦。

    例如,computer1.northwindtraders.com FQDN AMT 型電腦無法佈建透過樂團服務點站台系統的使用 contoso.com 的 FQDN 向外即使它們屬於相同的 Active Directory 樹系。

  • 位於相同的 Active Directory 樹系的寬線服務點外的電腦站台系統伺服器但具有脫離的命名空間 — 例如 AMT 型電腦的 DNS 名稱的 computer1.corp.fabrikam.com 且位於名為 na.corp.fabrikam.com Active Directory 網域。

中間的網路裝置如路由器和防火牆和適用的 Windows 防火牆必須允許從頻外管理活動相關聯的流量。

下列連接埠會使用頻外管理:

  • 從要註冊點的寬線服務點時逾時:HTTPS (依預設連接埠 TCP 443)。

  • 不足的範圍從服務點站台系統伺服器 AMT 管理的網域控制站電源控制從 Configuration Manager 主控台起始和排程活動、 佈建和探索:TCP 16993。

  • AMT 管理執行不足的頻外管理主控台的電腦從所有管理工作的網域控制站起始從不足的頻外管理主控台 (包括電源] 命令):TCP 16993。

  • 從執行 AMT 管理的網域控制站序列透過 LAN 和 IDE 的重新導向的頻外管理主控台的電腦:TCP 16995。

IPv4。

不支援 IPv6。頻外管理只使用 IPv4。

不支援完整的 IPsec 環境。

請勿設定 AMT 之間的通訊群組列服務點站台系統伺服器的向外和將頻外管理的電腦的 IPsec 原則。

基礎結構支援 802.1 X 驗證有線的網路和無線網路:

  • 已驗證的有線的 802.1 X 支援:用戶端的 EAP-TLS 或 TTLS/Eap-mschapv2 或 PEAPv0/Eap-mschapv2 驗證選項。

  • 無線支援:WPA 與 WPA2 安全性 AES 或 TKIP 加密、 TTLS/Eap-mschapv2 或 PEAPv0/Eap-mschapv2 或 EAP-TLS 用戶端驗證選項。

System_CAPS_note注意事項

如果您使用 EAP-TLS 或 TTLS/Eap-mschapv2 的用戶端驗證方法的用戶端憑證時,RADIUS 解決方案必須支援驗證使用下列格式: domain\computer_account

若要管理 AMT 型的電腦上使用 802.1 X 驗證的有線的網路或無線連線外,您必須擁有這些環境中支援的基礎結構。可以在 Windows Server 2008 上的網路原則伺服器的 Microsoft RADIUS 方案中設定這些網路。如果它們的 802.1 X 相容以及針對列出的組態選項的支援驗證的有線的 802.1 X 支援和無線支援可以使用其他的 RADIUS 解決方案。

Windows Server 2008 網路原則伺服器的相關資訊,請參閱 網路原則伺服器

如需有關其他 RADIUS 解決方案的詳細資訊,請參閱 Intel vPro Expert Center:Microsoft vPro 管理能力

Configuration Manager 相依性

下表列出之間的相依性 Configuration Manager 頻外管理的執行。

相依性

詳細資訊

必須執行主要站台 System Center 2012 Configuration Manager 和已安裝的寬線服務點和註冊點。

不足的寬線服務點必須在相同的 Active Directory 樹系的站台伺服器,以及您可以在每個主要站台安裝只有一個不帶服務點。

步驟 4:設定註冊端點和頻外服務端點的向外 AMT 佈建 

您想要管理超出範圍的電腦必須有 Configuration Manager 用戶端安裝和必須指派給主要站台。

System_CAPS_important重要事項

Intel 金額為基礎的電腦指派給相同 Configuration Manager 站台必須具有唯一的電腦名稱,即使它們屬於不同的網域,因此有唯一的 FQDN。

 如何在 Configuration Manager 中於安裝 Windows 的電腦上安裝用戶端

若要設定頻外管理,您必須具備下列安全性權限:

  • Site:讀取修改

  • 行動裝置註冊設定檔:讀取, ,建立, ,修改, ,計量網站, ,和 作業系統部署的管理憑證

完整系統管理員 安全性角色包含這些權限。

若要管理超出範圍的電腦,您必須擁有下列安全性權限集合包含電腦:

  • 佈建 AMT:此安全性權限可讓您從 Configuration Manager 主控台中,包括探索 AMT 管理控制器、 提供電腦金額和啟用並套用稽核記錄檔設定、 停用稽核和清除稽核記錄檔的稽核動作的狀態管理 AMT 電腦。

  • 控制 AMT:此安全性權限可讓您檢視和使用不足的頻外管理] 主控台來管理電腦和起始 Configuration Manager 主控台中的電源控制動作。遠端工具 安全性角色包含 控制 AMT 權限。

  • 讀取修改收集設定 以啟用 AMT 佈建的集合。

  • 佈建 AMT, ,讀取, ,和 讀取資源 移除佈建資訊並更新 AMT 管理控制器。

如需有關如何設定安全性權限的詳細資訊,請參閱 設定以角色為基礎的系統管理

Reporting services 點。

若要使用 Configuration Manager 報表頻外管理您必須安裝並設定 reporting services 點。

如需詳細資訊,請參閱Configuration Manager 中的報告