Compartilhar via


Pré-requisitos para gerenciamento fora de banda no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Gerenciamento fora da banda em System Center 2012 Configuration Manager tem dependências externas e no produto.

System_CAPS_importantImportante

Gerenciamento fora da banda em Gerenciador de Configurações possui dependências externas no Intel Active Management Technology (Intel AMT) e nas tecnologias de infraestrutura de chave pública (PKI) da Microsoft.Para autoridade informações sobre a configuração ou detalhes técnicos sobre essas dependências externas, consulte a documentação do produto para as tecnologias relacionadas.

Para obter informações sobre o Intel AMT e Intel instalação e configuração do Software, consulte a documentação da Intel ou a documentação do fabricante do computador.Para obter informações adicionais, consulte Intel vPro Expert Center: Microsoft vPro gerenciabilidade.

Para obter informações sobre tecnologias de infraestrutura de chave pública (PKI) da Microsoft, consulte Serviços de certificados do Active Directory do Windows Server 2008.

Dependências externas ao Configuration Manager

A tabela a seguir lista as dependências externas para execução do gerenciamento de banda.

Dependência

Mais informações

Uma Microsoft autoridade de certificação (CA) com modelos de certificado para implantar e gerenciar os certificados necessários para gerenciamento fora da banda.

A autoridade de certificação emissora deve aprovar automaticamente as solicitações do computador AMT contas de certificado Gerenciador de Configurações cria nos serviços de domínio do Active Directory durante o processo de provisionamento AMT.

Para revogar certificados AMT, a CA de emissão deve ser configurada com a permissão emitir e gerenciar certificados para o servidor em que a função de sistema de site de ponto de registro está instalada.

System_CAPS_importantImportante

AMT não oferece suporte a certificados de autoridade de certificação com um comprimento de chave maior do que 2048 bits.

A saída do ponto de serviço de banda e cada computador desktop ou laptop gerenciado fora da banda deve ter certificados PKI específicos que são gerenciados de forma independente do Configuration Manager.

Para obter mais informações sobre os requisitos de certificado, consulte Requisitos de certificado PKI para o Configuration Manager.

Para obter instruções passo a passo, consulte Implantando os certificados para AMT.

A conta de computador do servidor de sistema de site do ponto de registro deve ter permissões DCOM para revogar certificados AMT da autoridade de certificação emissora.Certifique-se de que esse computador do sistema de site é um membro do grupo de segurança acesso DCOM a serviços (para Windows Server 2008) ou CERTSVC_DCOM_ACCESS (para Windows Server 2003 SP1 e posterior) no domínio onde reside a autoridade de certificação emissora.

Computadores desktop ou laptop com a seguinte configuração:

  • Tecnologia Intel vPro ou tecnologia do Intel Centrino Pro

  • Uma versão suportada do Intel AMT está configurado para modo empresarial, com o modo de provisionamento de PKI

  • Driver do Intel HECI

Para obter informações sobre as versões AMT que Gerenciador de Configurações oferece suporte, consulte o seção o tópico.No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigOOB

Baixe o driver HECI mais recente do site da Intel e consulte a documentação do fabricante do computador para os requisitos da Intel.

Um contêiner do Active Directory e um grupo de segurança universal:

  • O contêiner do Active Directory deve ser configurado com as permissões de segurança corretas para o domínio no qual residem os computadores AMT.Se o site gerencia computadores AMT de vários domínios, o mesmo nome de contêiner e o caminho devem ser usados para todos os domínios.

  • Um grupo de segurança universal que contém o computador contas para os computadores AMT.

System_CAPS_noteObservação

Não é necessário estender o esquema do Active Directory para gerenciamento fora da banda.

Durante o processo de provisionamento AMT, o Configuration Manager cria contas de computador neste contêiner do Active Directory ou a unidade organizacional (UO) e adiciona as contas ao grupo de segurança universal.

O computador do servidor de site requer as seguintes permissões:

  • Para a UO que é usada durante o processo de provisionamento AMT: Permitir criar todos os objetos filho e Excluir todos os objetos filho e aplicar a apenas este objeto.

  • Para o grupo de segurança universal que é usado durante o processo de provisionamento AMT: Permitir leitura e gravar, e se aplicam a apenas este objeto.

Os seguintes serviços de rede:

  • Servidor DHCP com um escopo ativo

  • Servidores DNS para resolução de nomes

Para o DHCP, certifique-se de que as opções de escopo DHCP incluem os servidores DNS (006) e o nome de domínio (015) e que o servidor DHCP atualiza dinamicamente o DNS com o registro de recurso do computador.

WINS não podem ser usados para resolução de nomes de computador e o DNS é necessário para todas as conexões que usam gerenciamento fora da banda.Isso inclui a conexão para computadores AMT de fora do console de gerenciamento de banda, além de provisionamento AMT.

System_CAPS_noteObservação

AMT não pode registrar um registro de host no DNS, portanto você deve garantir que o DHCP ou o sistema operacional atualiza o DNS com um registro de host para o nome de domínio totalmente qualificado do computador AMT (FQDN).Como alternativa, você pode criar manualmente esses registros no DNS conforme necessário.Para obter suporte sem fio, certifique-se de que o DNS contém registros com o endereço IP sem fio para o nome de domínio totalmente qualificado do computador AMT.

Funções de sistema de site do ponto de dependências de função de sistema de site para os computadores que executarão o ponto de registro e a serviço fora da banda.

Consulte a seção no tópico .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Windows Remote Management (WinRM) 1.1 ou posterior deve ser instalado em computadores que executam o Windows XP se eles são executados fora do console de gerenciamento de banda.

Para obter mais informações sobre as versões do WinRM, consulte versões do Windows Remote Management.

O MSXML 6.0 é necessária em computadores que executam o fora de banda do console de gerenciamento.

Verificador de pré-requisitos de instalação para Gerenciador de Configurações inclui a verificação para o Microsoft MSXML 6.0.

O recurso do Windows, o cliente Telnet, deve ser instalado em computadores que executam o Windows 7, Windows Vista ou Windows Server 2008 se os computadores que executam a gerenciamento fora da banda do console e executam comandos serial através de LAN.

Serial através de LAN usa o protocolo Telnet para executar uma sessão de emulação de terminal para o computador gerenciado, no qual você pode executar comandos e aplicativos baseados em caracteres.Para obter mais informações, consulte Introdução ao gerenciamento fora de banda no Configuration Manager.

Computadores a serem gerenciados fora da banda devem pertencer à mesma floresta do Active Directory que os servidores de sistema de site que executam fora do ponto de serviço de banda e o ponto de registro.

Além disso, os computadores devem compartilhar o mesmo namespace; Não há suporte para namespaces separados.

Os cenários a seguir identificam os computadores que não têm suporte para gerenciamento fora da banda.AMT deve ser desabilitado nesses computadores:

  • Computadores de grupo de trabalho.

  • Computadores que residem em uma floresta do Active Directory diferente dos computadores que executam a serviço fora da banda ponto de função de sistema de site e o ponto de registro.

  • Computadores que residem na mesma floresta do Active Directory, como os servidores de sistema de site que executam fora da banda ponto e o ponto de registro de serviço, mas não compartilham o mesmo namespace (namespace não contíguo).

    Por exemplo, um computador baseado em AMT com o FQDN do computer1.northwindtraders.com não pode ser provisionado pela fora do sistema de site do ponto de serviço de banda com o FQDN do contoso.com, mesmo se eles pertencem à mesma floresta do Active Directory.

  • Computadores que residem na mesma floresta do Active Directory como a ponto fora da banda serviço servidor de sistema do site, mas tiver um namespace separado — por exemplo, um computador AMT que tem um nome DNS de computer1.corp.fabrikam.com e reside em um domínio do Active Directory chamado na.corp.fabrikam.com.

Dispositivos de rede intermediária, como roteadores e firewalls e se aplicável, o Firewall do Windows devem permitir o tráfego associado de atividade de gerenciamento de banda.

As seguintes portas são usadas pelo gerenciamento fora de banda:

  • Do ponto de fora da banda serviço ao ponto de registro: HTTPS (por padrão, a porta TCP 443).

  • De fora da banda servidor de sistema de site de ponto de serviço para controladores de gerenciamento AMT para controle de energia iniciada do console do Configuration Manager e agendada atividades, provisionamento e descoberta: TCP 16993.

  • De computadores que executam o fora de banda do console de gerenciamento para gerenciamento de AMT controladores para todas as tarefas de gerenciamento iniciado a partir de fora de banda do console de gerenciamento (incluindo ligar comandos): TCP 16993.

  • Em computadores executando fora do console de gerenciamento de banda para controladores de gerenciamento AMT serial sobre LAN e redirecionamento IDE: TCP 16995.

IPv4.

Não há suporte para IPv6.Fora da banda gerenciamento usará apenas IPv4.

Não há suporte para ambientes completos do IPsec.

Não configure diretivas IPsec para comunicação entre o servidor de sistema de site do ponto de serviço de banda e de computadores que serão gerenciados fora da banda AMT.

Suporte à infraestrutura do 802.1 X autenticado redes com fio e redes sem fio:

  • Suporte a 802.1 X com fio autenticado: Opções de autenticação de cliente do EAP-TLS, EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2.

  • Suporte sem fio: Segurança WPA e WPA2, AES ou criptografia TKIP, opções de autenticação de cliente do EAP-TLS, EAP-TTLS/MSCHAPv2 ou PEAPv0/EAP-MSCHAPv2.

System_CAPS_noteObservação

Se você usar os métodos de autenticação de cliente de EAP-TLS ou EAP-TTLS/MSCHAPv2 com um certificado de cliente, a solução RADIUS deve oferecer suporte à autenticação usando o seguinte formato: domain\computer_account.

Para gerenciar computadores AMT fora da banda em um 802.1 X de rede com fio autenticado ou uma conexão sem fio, você deve ter uma infra-estrutura de suporte para esses ambientes.Essas redes podem ser configuradas usando uma solução RADIUS da Microsoft, como servidor de políticas de rede no Windows Server 2008.Outras soluções RADIUS podem ser usadas se estiverem 802.1 X compatível e suporte para que as opções de configuração listadas autenticado com fio 802.1 X suporte e o suporte sem fio.

Para obter mais informações sobre o servidor de políticas de rede no Windows Server 2008, consulte Network Policy Server.

Para obter mais informações sobre outras soluções RADIUS, consulte Intel vPro Expert Center: Microsoft vPro gerenciabilidade.

Dependências do Configuration Manager

A tabela a seguir lista as dependências em Gerenciador de Configurações para executar gerenciamento fora da banda.

Dependência

Mais informações

O site primário deve estar executando System Center 2012 Configuration Manager e instalaram o fora do ponto de serviço de banda e o ponto de registro.

A ponto fora da banda serviço deve na mesma floresta do Active Directory que o servidor do site, e você pode instalar apenas um ponto fora da banda serviço em cada site primário.

Etapa 4: Configurar o ponto de registro e ponto fora da banda Service para provisionamento AMT 

Os computadores que deseja gerenciar fora da banda devem ter o Gerenciador de Configurações cliente instalado e deve ser atribuído a um site primário.

System_CAPS_importantImportante

Computadores Intel AMT que são atribuídos à mesma Gerenciador de Configurações site deve ter um nome de computador exclusivo, mesmo quando eles pertencem a domínios diferentes e, portanto, têm um FQDN exclusivo.

 Como instalar clientes em computadores com base em Windows no Configuration Manager

Para configurar o gerenciamento fora da banda, você deve ter as seguintes permissões de segurança:

  • Site: Leitura e modificar

  • Perfil de registro do dispositivo móvel: Leitura, criar, modificar, meça Site, e Gerenciar certificados para implantação de sistema operacional

O administrador completo função de segurança inclui essas permissões.

Para gerenciar computadores fora de banda, você deve ter as seguintes permissões de segurança para as coleções que contêm os computadores:

  • Provisionar AMT: Essa permissão de segurança permite que você gerencie computadores AMT no console do Configuration Manager, que inclui a descobrir o status AMT de controladores de gerenciamento, provisionamento de computadores para AMT e as ações de auditoria de habilitar e desabilitar a auditoria e limpar o log de auditoria, configurações de log de auditoria de aplicação.

  • Controlar AMT: Essa permissão de segurança permite exibir e gerenciar computadores usando a console fora da banda gerenciamento e iniciar ações de controle de energia no console do Configuration Manager.O Ferramentas remotas função de segurança inclui o controlar AMT permissão.

  • Leitura e Modificar configuração da coleção para habilitar o provisionamento AMT para a coleção.

  • Provisionar AMT, leitura, e ler recurso para remover informações de provisionamento e atualizar controladores de gerenciamento AMT.

Para obter mais informações sobre como configurar permissões de segurança, consulte Configurar administração baseada em funções.

Ponto do Reporting services.

Usar Gerenciador de Configurações relatórios para gerenciamento fora da banda, você deve instalar e configurar o reporting services ponto.

Para obter mais informações, consulte Relatórios no Configuration Manager.