[an error occurred while processing this directive]

В последующих разделах этого раздела представлены примеры сценариев реализации внешнего управления в Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версий.

Примечание
Сведения в этом разделе относятся только к Configuration Manager 2007 SP1 и более поздним версиям.

В описанных ниже сценариях предполагается, что в организации имеется инфраструктура открытых ключей (PKI) на базе служб сертификатов Windows Server 2003, а также центр сертификации предприятия под управлением Windows Server 2003 Enterprise Edition.

Внешняя подготовка новых компьютеров для AMT

В этом сценарии показан порядок внешней подготовки новых AMT-компьютеров на которых еще не установлена операционная система.

Корпорация "Датум" получила партию новых AMT-компьютеров, которые соответствуют всем предварительным требованиям для внешнего управления в Configuration Manager 2007. Эта компания недавно обновила свой центральный сайт до Configuration Manager 2007 с пакетом обновления 1 (SP1), но на других сайтах по-прежнему выполняется Configuration Manager 2007, и на всех клиентах Configuration Manager также выполняется Configuration Manager 2007.

До обновления клиентов до версии с поддержкой AMT в Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версиях внешняя подготовка этих компьютеров невозможна.

Антон Хартнов является администратором Configuration Manager, ответственным за подготовку этих компьютеров на центральном сайте. Эти компьютеры соответствуют всем требованиям к поддержке внешнего управления в Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версиях и будут включены в один домен компании.

На AMT-компьютерах отсутствует специальный образ микропрограммы, и Антон получил от своего менеджера согласие на приобретение сертификата обеспечения AMT в одном из внешних центров сертификации (ЦС), настроенных в микропрограммах этих компьютеров.

Для внешней подготовки этих новых AMT-компьютеров Антон выполняет действия, описанные в следующей таблице.

Процесс Ссылка

Антон проверяет предварительные требования для внешнего управления и выполняет следующие изменения для своего сайта Configuration Manager:

  • определяет сервер системы сайта, на который будет установлена внешняя точка обслуживания; полное доменное имя этого компьютера — server15.adatum.com; этот сервер работает под управлением Windows Server 2003 с пакетом обновления 2 (SP2), поэтому Александр устанавливает необходимое исправление 942841;

  • устанавливает последнюю версию удаленного управления Windows (WinRM) на сервере системы сайта.

Дополнительные сведения об исправлении см. по адресу http://go.microsoft.com/fwlink/?LinkId=106107.

Для загрузки последней версии WinRM и получения дополнительных сведений обратитесь по адресу http://go.microsoft.com/fwlink/?LinkId=105682.

Затем Антон совместно с другими администраторами службы Active Directory создает подразделение в домене adatum.com для опубликованных AMT-компьютеров и настраивает это подразделение таким образом, чтобы сервер сайта имел полный контроль над этим подразделением и всеми его дочерними объектами.

При подготовке к использованию сертификатов PKI также создаются следующие группы безопасности Windows:

  • группа Внешние точки обслуживания Configuration Manager, в которой содержится server15;

  • группа Серверы основного сайта Configuration Manager, в которой содержится сервер основного сайта на центральном сайте.

Дополнительные сведения см. в следующих разделах:

Совместно с группой обслуживания инфраструктуры Антон выполняет следующие действия:

  • убеждается в отсутствии необходимости изменения конфигурации маршрутизаторов и брандмауэров для поддержки внешнего управления;

  • убеждается, что их DNS-серверы поддерживают динамические обновления, чтобы новый сервер системы сайта, на который будет установлена внешняя точка обслуживания, мог автоматически регистрировать записи псевдонима в службу DNS;

  • убеждается, что DHCP-сервер правильно настроен, проверяя следующее:

    1. Существует активная область с доступными адресами.

    2. Для области настроены параметры 006 для серверов домена и 015 для имени домена.

    3. DHCP-сервер автоматически обновляет службу DNS записями ресурсов компьютера.

Дополнительные сведения о портах, используемых при внешнем управлении, см. в разделе Необходимые условия для внешнего управления.

Дополнительные сведения о параметрах DNS и DHCP см. в следующих разделах:

Антон работает с группой PKI для получения следующих результатов:

  • создание пользовательского шаблона для запроса сертификата обеспечения AMT во внешнем ЦС.

  • формирование запроса сертификата обеспечения AMT на сервере server15 и сохранение его в файл, который можно передать во внешний ЦС;

  • передача файла запроса сертификата во внешний ЦС с заказом на приобретение и получение сертификата по электронной почте на следующий день; установка сертификата на сервере server15;

  • экспорт сертификата обеспечения AMT в PFX-файл и сохранение его в безопасном расположении на сервере;

  • дублирование и настройка шаблона сертификата веб-сервера для внешнего управления.

Сведения о порядке развертывания сертификатов PKI, необходимых для внешнего управления, см. в разделе Пример с пошаговыми инструкциями развертывания сертификатов PKI, необходимых для AMT и внешнего управления: центр сертификации Windows Server 2003.

Дополнительные сведения о требованиях к сертификатам см. в разделе Требования к сертификатам для внешнего управления.

Дополнительные сведения о порядке использования сертификатов для внешнего управления см. в разделе О сертификатах, необходимых для внешнего управления.

Затем Антон настраивает центральный сайт и выполняет следующие изменения на основном сайте:

  • устанавливает новый сервер системы сайта на server15, присваивает ему полное доменное имя в интрасети server15.adatum.com и устанавливает внешнюю точку обслуживания;

  • в диалоговом окне Свойства компонента внешнего управления настраивает компонент внешнего управления следующим образом:

    • на вкладке Общие указывает подразделение, созданное в домене adatum.com; включает параметр Зарегистрировать ProvisionServer как псевдоним в DNS; устанавливает надежный пароль для учетной записи MEBx; просматривает файл с экспортированным сертификатом AMT и указывает пароль, который использовался в процессе экспорта; выбирает ЦС и шаблон сертификата AMT для использования;

    • на вкладке Параметры AMT указывает в качестве учетной записи пользователя AMT глобальную группу безопасности домена Windows, включающую специалистов службы поддержки, которые будут использовать консоль внешнего управления; выбирает все доступные характеристики AMT для указанной учетной записи пользователя AMT; выбирает параметр Включить последовательную передачу по локальной сети и перенаправление IDE.

Дополнительные сведения см. в следующих разделах:

Затем Антон выполняет следующие заключительные действия по внешней подготовке компьютеров для AMT:

  • создает новую коллекцию, в которой будут содержаться AMT-компьютеры;

  • подготавливает CSV-файл со сведениями о компьютерах, включая их полные доменные имена и идентификаторы UUID;

  • запускает мастер импорта компьютера для внешнего управления и указывает созданные CSV-файл и коллекцию;

  • обновляет коллекцию для просмотра и проверки только что импортированных компьютеров.

Дополнительные сведения см. в следующих разделах:

Антон предоставляет инструкции, в соответствии с которыми после доставки компьютеров необходимо подключить их к сети питания и корпоративной сети, а включать компьютеры необязательно.

Он контролирует процесс подготовки.

Дополнительные сведения см. в разделе Определение компьютеров, подготовленных для AMT.

В результате этих действий новые компьютеры подготавливаются для AMT. При установке операционной системы на каждом компьютере используется то же полное доменное имя, которое было указано в CSV-файле, и для этих компьютеров теперь возможно внешнее управление.

Внутренняя подготовка клиентских компьютеров Configuration Manager для AMT

В этом сценарии показан порядок внутренней подготовки AMT-компьютеров, на которых запущен клиент Configuration Manager 2007 с пакетом обновления 1 (SP1).

В Trey Research имеется иерархия Configuration Manager 2007 с пакетом обновления 1 (SP1); компания заинтересована в возможности внешнего управления компьютерами, расположенными в удаленных офисах. Компания приобретает все компьютеры у одного поставщика. Поскольку эти компьютеры доставляются непосредственно в удаленные офисы, на них установлен специфичный для Trey Research образ сборки, включающий операционную систему Windows, стандартные приложения и параметры, а также клиент Configuration Manager 2007 с пакетом обновления 1 (SP1).

Кроме этой сборки Trey Research запрашивает специальный образ микропрограммы, включающий отпечаток сертификата внутреннего корневого ЦС компании, чтобы не приобретать сертификат подготовки AMT во внешнем ЦС. Отпечаток сертификата представляет собой сгенерированное поставщиком хэш-значение корневого ЦС, которое можно найти при помощи процедуры Обнаружение отпечатка внутреннего корневого сертификата для обеспечения AMT.

Александр Шабалин является администратором Configuration Manager, отвечающим за подготовку этих компьютеров на сайте Configuration Manager. Эти компьютеры будут включены в дочерний домен testnet.treyresearch.net, а серверы системы сайта — в домен treyresearch.net. При установке клиента Configuration Manager при помощи функции автоматического назначения сайта они будут расположены в рамках границ нескольких дополнительных сайтов, принадлежащих центральному сайту.

Для внутренней подготовки этих новых AMT-компьютеров Александр выполняет действия, описанные в следующей таблице.

Процесс Ссылка

Александр проверяет предварительные требования для внешнего управления и выполняет следующие изменения для своего сайта Configuration Manager:

  • определяет сервер системы сайта, на который будет установлена внешняя точка обслуживания; полное доменное имя этого компьютера — server15.treyresearch.net; этот сервер работает под управлением Windows Server 2003 с пакетом обновления 2 (SP2), поэтому Александр устанавливает необходимое исправление 942841;

  • устанавливает последнюю версию удаленного управления Windows (WinRM) на сервере системы сайта.

Дополнительные сведения об исправлении см. по адресу http://go.microsoft.com/fwlink/?LinkId=106107.

Для загрузки последней версии WinRM и получения дополнительных сведений обратитесь по адресу http://go.microsoft.com/fwlink/?LinkId=105682.

Затем Александр совместно с другими администраторами службы Active Directory создает подразделение в домене testnet.treyresearch.net для опубликованных AMT-компьютеров и настраивает это подразделение таким образом, чтобы сервер сайта имел полный контроль над этим подразделением и всеми его дочерними объектами.

При подготовке к использованию сертификатов PKI также создаются следующие группы безопасности Windows:

  • группа Внешние точки обслуживания Configuration Manager, в которой содержится server15;

  • группа Серверы основного сайта Configuration Manager, в которой содержится сервер основного сайта на центральном сайте.

Дополнительные сведения см. в следующих разделах:

Александр знает, что между его сайтом и удаленными офисами установлен брандмауэр, поэтому он определяет порты, которые необходимо открыть для внешней связи между системами сайта и AMT-компьютерами. Он передает запрос на внесение необходимых изменений в параметры брандмауэра.

Дополнительные сведения о портах, используемых при внешнем управлении, см. в разделе Необходимые условия для внешнего управления.

Александр работает с группой PKI для получения следующих результатов:

  • создание пользовательского шаблона для запроса сертификата обеспечения AMT во внутреннем ЦС.

  • формирование запроса сертификата обеспечения AMT на сервере server15, автоматическое утверждение и установка сертификата.

  • экспорт сертификата обеспечения AMT в PFX-файл и сохранение его в безопасном расположении на сервере;

  • дублирование и настройка шаблона сертификата веб-сервера для внешнего управления.

Сведения о порядке развертывания сертификатов PKI, необходимых для внешнего управления, см. в разделе Пример с пошаговыми инструкциями развертывания сертификатов PKI, необходимых для AMT и внешнего управления: центр сертификации Windows Server 2003.

Дополнительные сведения о требованиях к сертификатам см. в разделе Требования к сертификатам для внешнего управления.

Дополнительные сведения о порядке использования сертификатов для внешнего управления см. в разделе О сертификатах, необходимых для внешнего управления.

Затем Александр настраивает основной сайт Configuration Manager и выполняет следующие изменения на основном сайте:

  • устанавливает новый сервер системы сайта на server15, присваивает ему полное доменное имя в интрасети server15.treyresearch.net и устанавливает внешнюю точку обслуживания;

  • в диалоговом окне Свойства внешнего управления настраивает компонент внешнего управления следующим образом:

    • на вкладке Общие указывает подразделение, созданное в домене testnet.treyresearch.net; устанавливает надежный пароль для учетной записи MEBx; просматривает файл с экспортированным сертификатом AMT и указывает пароль, который использовался в процессе экспорта; выбирает ЦС и шаблон сертификата AMT для использования;

    • на вкладке Параметры AMT указывает в качестве учетной записи пользователя AMT глобальную группу безопасности домена Windows, включающую специалистов службы поддержки, которые будут использовать консоль внешнего управления; выбирает все доступные характеристики AMT для указанной учетной записи пользователя AMT; выбирает параметры Включить последовательную передачу по локальной сети и перенаправление IDE, Разрешить ответы на запросы проверки связи и Разрешить обход пароля BIOS для команд включения питания и перезагрузки.

Дополнительные сведения см. в следующих разделах:

Александр хочет использовать функцию пробуждения по локальной сети для установки критических обновлений программного обеспечения на компьютеры. Он использовал эту функцию раньше и обнаружил, что передача широковещательного трафика, адресованного всем хостам подсети, (вещание на подсеть) приводила к чрезмерному потреблению полосы пропускания каналов связи, и что всего несколько сетевых адаптеров работало с одноадресной передачей.

Он включает функцию пробуждения по локальной сети и решает использовать параметр по умолчанию Использовать команды включения питания, если компьютеры поддерживают эту технологию; в противном случае использовать пакеты пробуждения.

Дополнительные сведения см. в следующих разделах:

Чтобы включить автоматическую внутреннюю подготовку для AMT, Александр выполняет следующие заключительные действия:

  • включает обнаружение контроллеров управления;

  • создает коллекцию на основе запросов, которая динамически добавляет компьютеры, имеющие контроллеры управления, которые могут быть подготовлены Configuration Manager для AMT;

  • настраивает коллекцию на автоматическую подготовку контроллера внешнего управления.

Дополнительные сведения см. в следующих разделах:

Александр контролирует процесс сбора и подготовки новых компьютеров при их установке и включении в сайт.

Дополнительные сведения см. в разделе Определение компьютеров, подготовленных для AMT.

В результате выполнения этих действий компьютеры, на которых выполняется Configuration Manager 2007 с пакетом обновления 1 (SP1), подготавливаются для AMT, после чего к ним может применяться внешнее управление, даже если компьютеры не будут загружаться или операционная система перестанет отвечать, а также если потребуется удаленное включение компьютеров для планового обслуживания или изменение параметров BIOS.

Примеры сценариев использования внешнего управления см. в разделе Примеры сценариев для использования внешнего управления.

Подготовка AMT для работы в беспроводной сети при помощи Configuration Manager 2007 с пакетом обновления 2 (SP2)

В этом сценарии показан порядок подготовки компьютеров, основанных на AMT, для управления по беспроводной сети при помощи Configuration Manager 2007 с пакетом обновления 2 (SP2), после того как они были первоначально подготовлены при помощи Configuration Manager 2007 с пакетом обновления 1 (SP1).

В компании Trey Research недавно было выполнено обновление иерархии и клиентов Configuration Manager 2007 с пакетом обновления 1 (SP1) до Configuration Manager 2007 с пакетом обновления 2 (SP2) и возникла необходимость расширения поддержки внешнего управления ноутбуками для беспроводной сети. В беспроводной сети используется сервер под управлением Windows Server 2008, на котором запущен сервер политики сети (NPS), а для проверки подлинности требуется сертификат клиента.

Александр Шабалин является администратором Configuration Manager, ответственным за обеспечение внешнего управления ноутбуками по беспроводной сети. Он выполняет действия, описанные в следующей таблице.

Процесс Ссылка

Александр проверяет необходимые условия для поддержки внешнего управления по беспроводной сети и убеждается, что версии AMT на ноутбуках будут поддерживать профили беспроводной связи. Он обращает внимание на такие параметры конфигурации беспроводной связи, необходимые для сервера политики сети, как защита WPA2, шифрование AES и проверка подлинности EAP-TLS.

Чтобы проверить необходимость дополнительной настройки для поддержки этой среды, Александр также проверяет наличие дополнительных сведений, связанных с поддержкой беспроводных сетей, в документации по планированию.

Дополнительные сведения о необходимых условиях см. в разделе Необходимые условия для внешнего управления.

Чтобы убедиться в правильности решения о настройке поддержки внешнего управления для беспроводных сетей, см. раздел Определение необходимости настройки поддержки сетей 802.1X и беспроводных.

Совместно с группой PKI Александр создает дополнительный шаблон сертификата, который будет использоваться сервером политики сети для проверки подлинности компьютеров, основанных на AMT.

Дополнительные сведения о создании шаблона сертификата клиента см. в подразделе "Подготовка сертификатов проверки подлинности клиентов для компьютеров, основанных на AMT, с поддержкой стандарта 802.1X" раздела Пример с пошаговыми инструкциями развертывания сертификатов PKI, необходимых для AMT и внешнего управления: центр сертификации Windows Server 2003.

Дополнительные сведения о требованиях к сертификатам см. в разделе О сертификатах, необходимых для внешнего управления.

Александр настраивает параметры на вкладке Свойства внешнего управления: 802.1X и беспроводная сеть в узле Конфигурация компонента основного сайта Configuration Manager.

  • Он создает профиль беспроводной связи, который содержит имя беспроводной сети, тип безопасности "WPA2-предприятие" и метод шифрования AES. Затем он выбирает доверенный корневой сертификат для сервера политики сети и созданный ранее шаблон сертификата клиента.

  • Для большей безопасности он не выбирает параметр Автоматически добавлять компьютеры с поддержкой AMT в группу безопасности; учетные записи ноутбуков, основанных на AMT, будут вручную добавляться в группу безопасности для проверки подлинности сервером политики сети.

Дополнительные сведения см. в разделе Настройка компьютеров, основанных на AMT, для работы в проводных и беспроводных сетях с проверкой подлинности 802.1X.

Используя для ноутбуков настраиваемый сбор данных, Александр определяет имена компьютеров, которые уже подготовлены для AMT, по состоянию AMT Подготовлено к работе. Он экспортирует список имен компьютеров из консоли и передает его администратору сервера политики сети, чтобы эти компьютеры можно было добавить в группу безопасности, используемую для предоставления доступа к сети.

Дополнительные сведения о состоянии AMT см. в разделе О состоянии AMT и внешнем управлении.

Дополнительные сведения об экспорте представлений списка из консоли Configuration Manager см. в разделе Экспорт представлений списка в файл.

Чтобы обновить сведения о подготовке и получить возможность внешнего управления этими ноутбуками по беспроводной сети, Александр щелкает компьютеры из коллекции правой кнопкой мыши, выбирает пункт Внешнее управление, а затем Обновление данных наполнения в памяти контроллера управления.

Дополнительные сведения см. в разделе Обновление параметров AMT на подготовленных компьютерах с помощью внешнего управления.

Чтобы убедиться в успешности настройки профиля беспроводной связи для этих компьютеров, основанных на AMT, Александр использует файл журнала Amtopmgr.log.

Дополнительные сведения см. в описании процедуры "Проверка настройки компьютеров, основанных на AMT, для использования проводных и беспроводных подключений с проверкой подлинности" в разделе Настройка компьютеров, основанных на AMT, для работы в проводных и беспроводных сетях с проверкой подлинности 802.1X.

В результате описанных выше действий поддержка внешнего управления для этих компьютеров, основанных на AMT, будет расширена для беспроводной сети. Например, если они не будут загружаться или операционная система перестанет отвечать на запросы, а также если потребуется включение для планового обслуживания или изменение параметров BIOS, этими компьютерами можно будет управлять даже в том случае, если они подключены к беспроводной сети.

Дополнительные сведения и примеры сценариев использования внешнего управления см. в разделе Примеры сценариев для использования внешнего управления.

См. также

[an error occurred while processing this directive]