Об обеспечении AMT для внешнего управления

Прежде чем осуществлять в Configuration Manager 2007 с пакетом обновления 1 (SP1) и более поздних версиях внешнее управление компьютерами, основанными на AMT, их необходимо подготовить для AMT (установить и настроить).

Примечание
Сведения в этом разделе относятся только к Configuration Manager 2007 SP1 и более поздним версиям.

Обеспечение AMT приводит к внешнему взаимодействию Configuration Manager и сетевой инфраструктуры, описанному ниже.

Сервер сайта проверяет базу данных Configuration Manager, чтобы убедиться, что сертификат инфраструктуры открытых ключей (PKI) с поддержкой проверки подлинности сервера не выдан компьютеру, основанному на AMT. Если сертификат найден, он отзывается.
Сервер сайта запрашивает один или несколько сертификатов PKI у локального центра сертификации, выдающего сертификаты, от имени компьютеров, основанных на AMT. Только в Configuration Manager 2007 с пакетом обновления 1 (SP1) для поддержки проверки подлинности сервера запрашивается один сертификат. Этот запрос сертификата содержит полное доменное имя компьютера, который будет находиться под внешним управлением, и использует шаблон сертификата, настроенный на поддержку проверки подлинности сервера. Кроме того, в Configuration Manager 2007 с пакетом обновления 2 (SP2) и более поздних версиях, если сертификат клиента настроен для сети с проверкой подлинности 802.1X или одной или нескольких беспроводных сетей, также запрашиваются эти сертификаты. Они также содержат полное доменное имя компьютера, который будет находиться под внешним управлением, и используют шаблон сертификата, настроенный с поддержкой проверки подлинности клиента. Сервер центра сертификации, выдающего сертификаты, одобряет запросы, и сертификаты предоставляются компьютеру сервера сайта.
Компьютеры, основанные на AMT, публикуются в качестве учетных записей AMT в доменных службах Active Directory со ссылкой на объект-компьютер Windows в доменных службах Active Directory.
Имя участника-службы (SPN) для компьютеров, основанных на AMT, регистрируется в доменных службах Active Directory, чтобы администраторы могли подключиться к ним, используя консоль внешнего управления.
Для Configuration Manager 2007 с пакетом обновления 2 (SP2) и более поздних версий при подготовке к внутреннему управлению учетные записи AMT автоматически добавляются в группу безопасности, указанную для сетей 802.1X и беспроводных. Однако по умолчанию этот параметр отключен.

Кроме того, возникает описанное ниже внутреннее взаимодействие Configuration Manager и энергонезависимого ОЗУ (NVRAM) контроллера управления компьютера, основанного на AMT, после подключения компонента внешнего управления сервера сайта к компьютеру, основанному на AMT, с использованием определенной учетной записи обеспечения АМТ и номера порта.

Извлеченный сервером сайта сертификат PKI с поддержкой проверки подлинности сервера устанавливается на компьютере, основанном на AMT, включая цепь сертификатов вплоть до сертификата корневого центра сертификации. Для Configuration Manager 2007 с пакетом обновления 2 (SP2) и более поздних версий на компьютер, основанный на AMT, вместе с корневым сертификатом для сервера RADIUS также устанавливаются сертификаты PKI с поддержкой проверки подлинности клиента, извлеченные сервером сайта.
Полное доменное имя компьютера, основанного на AMT, извлекается из базы данных Configuration Manager и настраивается в AMT на компьютере, основанном на AMT. Системное время настраивается согласно времени компьютера под управлением Windows.
Параметры AMT, настроенные в Configuration Manager, такие как использование перенаправления IDE и последовательной передачи по локальной сети, ответ на проверку связи по сети и поддержка веб-интерфейса, настраиваются в AMT на компьютерах, основанных на AMT. В Configuration Manager 2007 с пакетом обновления 2 (SP2) сюда также входит параметр состояния питания. Помимо параметров AMT пароль удаленного доступа AMT меняется на случайный и надежный пароль, удаляются все учетные записи пользователей AMT, а также включается поддержка проверки подлинности Kerberos на компьютерах, основанных на AMT.

Примечание
В файле журнала Amtopmgr.log можно увидеть сведения о подготовке первого и второго этапов. Первые два пункта предыдущего списка выполняются во время подготовки первого этапа. Последний пункт предыдущего списка выполняется во время подготовки второго этапа. Дополнительные сведения о файлах журналов, используемых с функцией внешнего управления, см. в разделе Файлы журналов для внешнего управления.

Примечание

В файле журнала Amtopmgr.log можно увидеть сведения о подготовке первого и второго этапов. Первые два пункта предыдущего списка выполняются во время подготовки первого этапа. Последний пункт предыдущего списка выполняется во время подготовки второго этапа. Дополнительные сведения о файлах журналов, используемых с функцией внешнего управления, см. в разделе Файлы журналов для внешнего управления.

Дополнительные сведения о подготовке компьютера к работе см. в разделе Подготовка компьютеров для AMT..

Дополнительные сведения о сертификатах обеспечения AMT см. в разделе О сертификатах, необходимых для внешнего управления.

Обновление данных в памяти контроллера управления

Параметры компьютеров, уже подготовленных для AMT, динамически не перенастраиваются на новые значения параметров AMT, указанные в Configuration Manager. Если изменить параметры AMT в Configuration Manager после того, как компьютеры, основанные на AMT, уже были подготовлены для AMT, необходимо инициировать выполнение действия в отношении этих ресурсов компьютеров для обновления данных в памяти контроллера управления. Обновление данных в памяти контроллера управления для компьютера, основанного на AMT, приводит к обновлению параметров и конфигураций AMT. Кроме того, происходит повторная регистрация SPN компьютера, основанного на AMT, и обновление объекта Active Directory (или публикация в случае его отсутствия). При обновлении данных в памяти контроллера управления сертификат AMT для проверки подлинности сервера не отзывается, но отзываются все сертификаты для проверки подлинности клиента, настроенные для проводных и беспроводных сетей с проверкой подлинности 802.1X. Запрашиваются новые сертификаты проверки подлинности клиента, если они указаны в конфигурации проводной или беспроводной сети с проверкой подлинности 802.1X.

Если в Configuration Manager 2007 с пакетом обновления 2 (SP2) настроена поддержка проводной или беспроводной сети с проверкой подлинности 802.1X, также будет поддерживаться обновление контроллера управления в этих сетях со следующими оговорками:

Если компьютер, основанный на AMT, подключен к беспроводной сети, параметры в профилях беспроводной связи обновляться не будут.
Если компьютер, основанный на AMT, подключен к проводной сети с проверкой подлинности 802.1X, параметры для этой конфигурации будут обновляться. При несовместимости новых параметров с требуемыми параметрами сети, если операционная система не запущена, соединение будет разорвано.

Удаление сведений об обеспечении AMT

Могут возникнуть ситуации, когда требуется удалить информацию о подготовке с компьютеров, основанных на AMT, например если для внешнего управления компьютером необходимо использовать какое-либо другое решение вместо Configuration Manager 2007. Возможны следующие варианты удаления информации о подготовке с компьютера.

Можно удалить данные конфигурации из контроллера управления, но оставить идентификационные данные компьютера, такие как его имя, IP-адрес и DNS-суффикс. В данных конфигурации содержится информация о том, включены ли перенаправление IDE и последовательная передача по локальной сети, поддерживается ли ответ на проверку связи по сети и включен ли веб-интерфейс.
Можно удалить данные конфигурации и идентификационные данные из контроллера управления.

В обоих случаях происходит отзыв всех сертификатов, установленных в AMT, удаление SPN и удаление учетной записи AMT из доменных служб Active Directory.

После удаления сведений об обеспечении AMT их можно автоматически подготовить повторно с помощью Configuration Manager. Например, это происходит по умолчанию, если для компьютера, основанного на AMT, может быть выполнена внутренняя подготовка и он находится в коллекции, в которой включена автоматическая подготовка AMT. Это также происходит по умолчанию, если для компьютера, основанного на AMT, может быть выполнена внешняя подготовка. Однако при выборе варианта удаления сведений о подготовке можно отключить функцию автоматической подготовки и включить ее позднее, если необходимо.

Дополнительные сведения об удалении информации о подготовке с компьютера, основанного на AMT, и повторном использовании автоматической подготовки см. в разделе Удаление данных подготовки с компьютеров, основанных на AMT.

Переименование компьютеров, основанных на AMT, и изменение доменов

Если переименовать компьютер, уже подготовленный для AMT в Configuration Manager, или переместить его в другой домен, необходимо будет удалить все сведения о подготовке с компьютера, основанного на AMT, а затем выполнить повторную подготовку. Удалить сведения о подготовке можно перед переименованием или перемещением компьютера, либо после этих действий. Однако не следует выполнять подготовку компьютера, если переименование или перемещение в другой домен не завершено. Если не получится проделать эти действия, невозможно будет осуществлять внешнее управление компьютером, основанным на AMT, после его переименования или перемещения в другой домен.

При удалении сведений о подготовке выберите вариант удаления данных о конфигурации и идентификационных данных из контроллера управления и, если возможно, выберите вариант отключения автоматической подготовки. Включите ее после переименования или перемещения в другой домен.

См. также

Задачи

Запуск консоли внешнего управления

Основные понятия

О сертификатах, необходимых для внешнего управления
Требования к сертификатам для внешнего управления
Процесс обеспечения AMT для внешнего управления в Configuration Manager
Принятие решения о способе миграции с решения для управления на основе AMT на внешнее управление в Configuration Manager
Обзор внешнего управления