Для внешнего управления подготовленными компьютерами, основанными на AMT, которые подключены к проводной сети с проверкой подлинности или беспроводной сети, в Configuration Manager необходимо настроить поддержку этих сред. Чтобы настроить параметры проводных подключений с проверкой подлинности 802.1X и беспроводных подключений 802.1X, воспользуйтесь описанной ниже процедурой.

Примечание
Сведения в этом разделе относятся только к Configuration Manager 2007 SP2.

Параметры, указанные для проверки подлинности клиента, и другие параметры безопасности должны соответствовать конфигурации сервера RADIUS. Дополнительные сведения о конфигурациях, поддерживаемых серверами RADIUS, см. в разделе Необходимые условия для внешнего управления. Кроме того, если узел компьютера, основанного на AMT, настроен для работы по беспроводной сети (в операционной системе или с использованием другого решения), убедитесь, что параметры Сетевое имя (SSID), Тип безопасности и Метод шифрования, заданные в профиле беспроводной связи для внешнего управления, соответствуют конфигурации беспроводной связи на узле.

Если для проверки подлинности 802.1X будет использоваться сертификат клиента, данная процедура должна включать выбор пользовательского шаблона сертификата в центре сертификации предприятия. Если шаблон сертификата еще не настроен, дополнительные сведения см. в следующих разделах.

Прежде чем компьютеры, основанные на AMT, смогут поддерживать внешнее управление с использованием проводных подключений с проверкой подлинности 802.1X и беспроводных подключений 802.1X, они должны быть подготовлены к работе с помощью Configuration Manager. Описанная ниже процедура выполняется дополнительно к настройке обеспечения AMT. Если компьютер, основанный на AMT, уже подготовлен с помощью Configuration Manager, и требуется добавить поддержку проводных подключений с проверкой подлинности 802.1X и беспроводных подключений 802.1X, необходимо обновить параметры AMT, чтобы эта конфигурация вступила в силу. Сведения об обновлении параметров AMT см. в разделе Обновление параметров AMT на подготовленных компьютерах с помощью внешнего управления.

При обновлении компьютера, основанного на AMT, для поддержки внешнего управления с использованием проводных подключений с проверкой подлинности 802.1X и беспроводных подключений 802.1X должно быть в рабочем состоянии одно из указанных ниже сетевых подключений.

Примечание
При использовании внешнего управления в беспроводных сетях необходимо убедиться, что для компьютера, основанного на AMT, существует DNS-запись узла, которая содержит IP-адрес для беспроводной связи. Запись узла не может быть зарегистрирована в DNS с помощью AMT, поэтому нужно убедиться, что записи DNS обновлены с помощью DHCP-сервера или операционной системы компьютера узла, чтобы IP-адрес компьютера, основанного на AMT, для беспроводной связи мог быть преобразован в полное доменное имя. При необходимости эти DNS-записи можно создать вручную.

Настройка компьютеров, основанных на AMT, для использования проводных и беспроводных подключений с проверкой подлинности

  1. В консоли Configuration Manager выберите System Center Configuration Manager / База данных сайта / Управление сайтом / <код сайта> – <имя сайта> / Параметры сайта / Конфигурация компонента.

  2. Щелкните правой кнопкой мыши Внешнее управление, затем выберите пункт Свойства и перейдите на вкладку 802.1X и беспроводная сеть.

    Примечание
    Если проверку подлинности 802.1X для проводных сетей настраивать не требуется, перейдите к шагу 9.

  3. Чтобы настроить проверку подлинности 802.1X для проводных сетей, установите флажок Включить проверку подлинности 802.1X для доступа к проводной сети и нажмите кнопку Задать.

  4. В диалоговом окне Управление доступом к проводной сети 802.1X нажмите кнопку Выбрать напротив поля Доверенный корневой сертификат.

  5. В диалоговом окне Доверенный корневой сертификат для проверки подлинности RADIUS укажите доверенный корневой сертификат, используя один из указанных ниже способов, и нажмите кнопку ОК.

    • Чтобы указать доверенный корневой сертификат, выбрав центр сертификации предприятия из леса, щелкните поле Из центра сертификации и выберите центр сертификации из раскрывающегося списка.

    • Чтобы указать доверенный корневой сертификат, выбрав CER-файл в двоичном формате X.509 с шифрованием DER или в формате X.509 с шифрованием Base64, который содержит экспортированный доверенный корневой сертификат, щелкните поле Из файла, нажмите кнопку Обзор, выберите CER-файл и нажмите кнопку Открыть.

  6. Выберите из раскрывающегося списка метод проверки подлинности клиента.

  7. Если выбран метод проверки подлинности клиента EAP-TTLS/MSCHAPv2 или PEAPv0/EAP-MSCHAPv2, щелкните Использовать сертификат клиента, чтобы дополнительно использовать сертификат клиента для проверки подлинности.

  8. Если выбран метод Использовать сертификат клиента, нажмите кнопку Выбрать, укажите в поле Выпускается центром сертификации центр сертификации, используемый для сертификата клиента, а также шаблон сертификата в поле Шаблон сертификата клиента RADIUS, и нажмите кнопку ОК.

    Примечание
    Если параметры беспроводной связи настраивать не требуется, перейдите к шагу 23.

  9. Чтобы создать и настроить профиль беспроводной связи, щелкните значок "Создать" Новый значок.

  10. В диалоговом окне Профиль беспроводной связи введите в поле Имя профиля отображаемое имя профиля.

  11. Введите имя беспроводной сети в поле Сетевое имя (SSID).

  12. Выберите тип безопасности из раскрывающегося списка Тип безопасности.

  13. Выберите метод шифрования из раскрывающегося списка Метод шифрования.

  14. Чтобы указать доверенный корневой сертификат для сервера RADIUS, нажмите кнопку Выбрать.

  15. В диалоговом окне Доверенный корневой сертификат для проверки подлинности RADIUS укажите доверенный корневой сертификат, используя один из указанных ниже способов, и нажмите кнопку ОК.

    • Чтобы указать доверенный корневой сертификат, выбрав центр сертификации предприятия из леса, щелкните поле Из центра сертификации и выберите центр сертификации из раскрывающегося списка.

    • Чтобы указать доверенный корневой сертификат, выбрав CER-файл в двоичном формате X.509 с шифрованием DER или в формате X.509 с шифрованием Base64, который содержит экспортированный доверенный корневой сертификат, щелкните поле Из файла, нажмите кнопку Обзор, выберите CER-файл и нажмите кнопку Открыть.

  16. Выберите из раскрывающегося списка метод проверки подлинности клиента.

  17. Если выбран метод проверки подлинности клиента EAP-TTLS/MSCHAPv2 или PEAPv0/EAP-MSCHAPv2, щелкните Использовать сертификат клиента, чтобы дополнительно использовать сертификат клиента для проверки подлинности.

  18. Если выбран метод Использовать сертификат клиента, нажмите кнопку Выбрать, укажите в поле Выпускается центром сертификации центр сертификации, используемый для сертификата клиента, а также шаблон сертификата в поле Шаблон сертификата клиента RADIUS, и нажмите кнопку ОК.

  19. Чтобы задать дополнительные профили беспроводной связи, повторите шаги с 10 по 18.

  20. Чтобы изменить порядок профилей беспроводной связи, выделите профиль беспроводной связи и щелкните значок "Переместить элемент вниз" Значок перемещения вниз или значок "Переместить элемент вверх" Значок перемещения вверх. Компьютеры, основанные на AMT, будут поочередно использовать каждый профиль беспроводной связи, предпринимая попытку подключения, пока оно не будет установлено, после чего этот профиль будет использоваться на протяжении всего подключения.

  21. Чтобы изменить параметры профиля беспроводной связи, выделите его и щелкните значок "Свойства" Значок свойств.

  22. Чтобы удалить профиль беспроводной связи, выделите его и щелкните значок "Удалить" Значок удаления. Нажмите кнопку Да для подтверждения.

  23. Выберите один из параметров группы Группа безопасности для проверки подлинности RADIUS, который будет применяться как к проводным подключениям с проверкой подлинности 802.1X, так и беспроводным подключениям 802.1X, а также для компьютеров, основанных на AMT, для которых выполнена только внутренняя подготовка, и нажмите кнопку ОК.

    • Чтобы вручную добавлять компьютеры, основанные на AMT, в группу безопасности, которая будет использоваться на сервере RADIUS для предоставления доступа к сети, оставьте используемый по умолчанию параметр Не добавлять компьютеры с поддержкой AMT в группу безопасности автоматически (более безопасно). Если выбран этот параметр, а также для компьютеров с внешней подготовкой, компьютеры, основанные на AMT, необходимо вручную добавлять в группу безопасности, используемую сервером RADIUS.

    • Чтобы автоматически добавлять компьютеры, основанные на AMT, с внутренней подготовкой в заданную группу безопасности, которая будет использоваться на сервере RADIUS для предоставления доступа к сети, щелкните Автоматически добавлять компьютеры с поддержкой AMT в группу безопасности (менее безопасно), нажмите кнопку Обзор, укажите в диалоговом окне Выбрать группу группу безопасности и нажмите кнопку ОК. Компьютеры, основанные на AMT, с внешней подготовкой не будут добавляться автоматически.

      Примечание
      Для автоматического добавления компьютеров, основанных на AMT, компьютер сервера сайта должен иметь разрешения на чтение и запись для указанной группы.

Проверка настройки компьютеров, основанных на AMT, для использования проводных и беспроводных подключений с проверкой подлинности

  1. На внешней точке обслуживания найдите и откройте файл <Путь_установки_Configuration_Manager>\Logs\Amtopmgr.log.

  2. Выполните поиск одной из следующих текстовых строк, где <профиль_беспроводной_связи> — указанное имя профиля беспроводной связи.

    • Чтобы убедиться в успешной настройке параметров проводных подключений с проверкой подлинности, выполните поиск строки Begin to set Wired 8021x Profile..., а затем Set Wired 8021x Profile Success....

    • Чтобы убедиться в успешной настройке параметров профиля беспроводной связи, выполните поиск строки Set wireless profile: <профиль_беспроводной_связи>, а затем Successfully add wireless profile <профиль_беспроводной_связи>.

    • Чтобы найти ошибку настройки профиля беспроводной связи, которая произошла из-за ошибки в заданном элементе конфигурации (например, сертификат клиента был указан, но не выпущен), выполните поиск строки Set wireless profile: <профиль_беспроводной_связи>, причины сбоя (например, No client Certificate), а затем строки The wireless profile: <профиль_беспроводной_связи> is invaid. Skip adding....

    • Чтобы найти ошибку обновления профилей беспроводной связи, которая произошла из-за того, что компьютер, основанный на AMT, в данный момент использует беспроводное подключение, выполните поиск строки The wireless connection is active, skip setting wifi profiles.

  3. Закройте файл журнала и внесите исправления, если параметры не были успешно применены.

См. также