SCCM Out Of Band Management osa 4 (viimane)

Oma eelmistes postitustes kirjutasin mis asi on OOB, OOBi nõuetest ja ka natuke sertifikaatidest. Selles postituses kirjutan sisemise CA ja OOB komponendi seadistamisest. Nagu ma oma eelmises postituses kirjutasin on teil võimalik kaks varianti: kas osta kaugkonfiguratsiooni sertifikaat või kasutada sisemist CA-d. Kui te kasutate sisemise CA kaugkonfiguratsiooni sertifikaati, siis te peate sisemises CA-s tegema kaks sertifikaati. Täpse info leiate siit: Link http://technet.microsoft.com/en-us/library/dd252737.aspx#BKMK_AMTprovisioning22008. Kui te seda lehte vaatate, siis te peate tegema kaks sertifikaati. Need on:

• AMT provisioning certificate – seda sertifikaati kasutatakse, et valmistada AMT põhised arvutid OOB halduseks.

• Web server certificate – Selle sertifikaadi taotleb SCCM primary site server ja see installeeritakse AMT arvuti firmware sisse.

Selleks, et asjad saaksid seadistatud peate te tegema:

1. Loo Active Directory kaks gruppi, nt „ConfigMgr Primary Site Servers“ ja „ConfigMgr Out of Band Service Points“ – vaata ülal toodud lehelt järgnevat lõiku „To create Windows security groups for the site system servers“

2. Taotle, installeeri ja valmista ette AMT kaugkonfiguratsiooni sertifikaat – vaata ülal toodud lehelt järgnevaid lõike „Requesting and Installing the AMT Provisioning Certificate from an Internal CA“ ja „Preparing the AMT Provisioning Certificate for the Out of Band Management Component“

3. Valmista ette veebiserveri sertifikaat – vaata ülal toodud lehelt järgnevat lõiku „Preparing the Web Server Certificates for AMT-Based Computers“

4. Seadista OOB teenus SCCMis

Kuidas sertifikaadist privaat võtit välja eksportida:

1. Ava SCCM serveris sertifikaatide snap-in. MMC -> Add/Remove Snap-ins -> Certificates

2. Vali välja õige sertifikaat, tehke parem hiire klahv ja valige All Tasks -> Export

3. Valige Yes, export the private key

4. Siin lehel jätke kõik samaks

5. Sisestage siia turvaline parool

6. Salvestage fail

Peale seda peaks teil olema FailiNimi.pfx. Selle faili me impordime pärast SCCM konsoolis sisse.

Kui teil on nüüd CA-s vajalikud sertifikaadid, õigused jagatud ja on olemas sertifikaadi privaat võti, siis võib asuda SCCM Out Of Band Management teenuse seadistamise juurde.

Nii liigume edasi. Avage SCCM konsoolis Component Configuration Site Settings alt ja sealt Out Of Band Management komponent.

Teile peaks avanema järgnev aken. Selles aknas tuleb seadistada kuus asja:

1. Active Directory OU kuhu hakatakse lisama AMT arvuti kontosid.

2. Tuleb MEBx kasutajale parool määrata millega ühendatakse arvuti külge. Vaikimisi on igas arvutis parool admin aga see tuleb peale esimest sisselogimist ära muuta. Kui te parooli muuta ei soovi, siis ei saa ka te mingeid muudatusi teha.

3. Seadistada kaks linnukest ja AMT TCP port kus teenus kuulab

4. Seadistada Provisioning sertifikaat. Siin tuleb sisse importida see sammune *.PFX fail ja sisestada parool

5. Viimase asjana tuleb siin seadista sertifikaadi mall.

Siin tuleb seadistada sisemine CA mis väljastab sertifikaate ja tuleb valida see veebiserveri sertifikaadi mall mille te tegite CA-s. (Web server certificate)

Järgnevates akendes on teil järgmised lisa võimalused mida seadistada

Siin aknas tuleb seadistada

1. AMT kasutaja kontod – siin määrata erinevad kasutajad/grupid. Saate siin väga täpselt määrata, et mis õigused kellel on

2. Võib määrata ka vaikimisi mingi diagnostika ISO aga seda saab alati ka hiljem juurde lisada OOB konsoolist

3. Võiks lubata AMT veebiliidese

4. Selleks, et üle võrgu saaks ISO-sid ja muid tööriistu külge võtta, peaks lubama ka „Enable serial over LAN and IDE redirection“

5. Lubada pingimine

6. Lubada BIOSi paroolist läbi pääs

Siin lehel määrata AMT OOB kontrolleri seadistamise ja avastamise konto.

Ja ongi kõik. Kui teil on küsimusi selle konkreetse teenus kohta, siis andke palun teada.

Kaido Järvemets

Natuke lähemalt Intel AMT veebi konsoolist

Intel AMT veebi konsool on alternatiivne võimalus, et hallata AMT põhiseid arvuteid. Läbi veebi konsooli kõiki samu tegevusi teha ei saa mida nt saab teha läbi SCCM konsooli. Selleks, et AMT veebi konsooli ligi pääseda tuleb SCCM Out Of Band Management seadistustes sisse lülitada „Enable Web interface“

Kui see seadistus on ennem tehtud, kui arvuti AMT seadistus peaks nüüd olema võimalus teil läbi veebi ligi pääseda.

AMT veebi konsooli saab järgnevalt

1. Veebi brauseris sisestage järgnev aadress https://täielik_arvuti_domeeni_ nimi:16993 nt https://client1.contoso.com:16993.

2. Vajutage Log On, sisestage kasutajanimi ja parool mis on seadistatud „AMT user accounts“ all

Kui te soovite veebi konsooli sisenda IP aadressi kaudu, siis see teil ei õnnestu ja te saate sertifikaadi veateate. See ei õnnestu teil selle tõttu, et SCCM seadistab AMT kliendid TLS krüpteerigu peale ja URL peab vastama sellele mis on sertifikaadis kirjas. Pordis 16993 kuulab TLS veebiteenus.

AMT veebi konsooli sisu võib erineda sõltuvalt versioonist. Mõned pildid ka:

SCCM AMT raport

Leidsin internetist ühe hea raporti mis näitab arvuteid mis on nime vahetanud. Kui teie keskkonnas on kasutuses SCCM: Out Of Band Management, siis on vaja jälgida arvuteid mis on vahetanud oma nime. Miks see vajalik on? Kui arvutil seadistada OOB, siis lisatakse Active Directory vastav objekt ja MEBx BIOSi kirjutatakse ka arvuti nimi. Juhul kui on arvuti nimi vahetatud, siis enam ei suudeta seda arvutit läbi Out Of Band Managementi hallata. Selle raporti autor on: Trevor Sullivan

select
-- Active Directory site name
[AD_Site_Name0] as 'AD SiteName'
-- AMT hostname (in provisioning record)
, [amt].[HostName] as 'AMT HostName'
-- OS hostname (should match AMT firmware)
, [sys].[Name0] as 'OS Hostname'
-- Retrieve UserID to identify device owner
, [UserName0] as 'UserID'
-- Hardware vendor
, [cs].[Manufacturer0] as 'Vendor'
-- Device model
, [cs].[Model0] as 'Model0'

from v_AMTMachineInfo [amt]

-- Join v_R_System to retrieve AD Site Name field
join v_R_System [sys] on [sys].[ResourceID] = [amt].[MachineID]
-- Joinv_GS_Computer_System to allow us to retrieve make/model information
join v_GS_Computer_System [cs] on [sys].[ResourceID] = [cs].[ResourceID]

where
-- We only want current resource records from ConfigMgr
[sys].[Obsolete0] = 0
-- This condition determines the mismatching hostname in the v_R_System and v_AMTMachineInfo SQL views
and [sys].[Name0] <> [amt].[HostName]

Intel AMT veebi konsooli probleem

Kui te pärast Intel AMT arvuti seadistamist ei pääse AMT veebi konsooli, siis võib olla üks põhjus see, et teil puudub registrist vajalik võti. Registrisse tuleks lisada selline võti:

1. Avage Regedit
2. Avage HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\
3. Sinna alla tehke järgnev võti FEATURE_INCLUDE_PORT_IN_SPN_KB908209 ja selle alla lisage DWORD registri võti 1 (00000001)

Microsoft Deployment Toolkit 2010 Update 1 on nüüd väljas

See viimane uuendus sisaldab:

For System Center Configuration Manager 2007 customers:

• New “User Driven Installation” deployment method. An easy-to-use UDI Wizard allows users to initiate and customize operating system and application deployments to their PCs that are tailored to their individual needs.
• Support for Configuration Manager R3 “Prestaged Media.” For those deploying Windows 7 and Office 2010 along with new PCs, a custom operating system image can easily be preloaded and then customized once deployed.

For Lite Touch Installation:

• Support for Office 2010. Easily configure Office 2010 installation and deployment settings through the Deployment Workbench and integration with the Office Customization Tool.
• Improved driver import process. All drivers are inspected during the import process to accurately determine what platforms they really support, avoiding common inaccuracies that can cause deployment issues.

For all existing customers:

• A smooth and simple upgrade process. Installing MDT 2010 Update 1 will preserve your existing MDT configuration, with simple wizards to upgrade existing deployment shares and Configuration Manager installations.
• Many small enhancements and bug fixes. Made in direct response to feedback received from customers and partners all around the world, MDT 2010 Update 1 is an indispensible upgrade for those currently using MDT (as well as a great starting point for those just starting).
• Continued support for older products. MDT 2010 Update 1 still supports deployment of Windows XP, Windows Server 2003, Windows Vista®, Windows Server 2008, and Office 2007, for those customers who need to be able to support these products during the deployment of Windows 7 and Office 2010.

Uuenduse saate laadida siit: http://www.microsoft.com/downloads/details.aspx?familyid=3bd8561f-77ac-4400-a0c1-fe871c461a89&displaylang=en

Windowsi ActiveX Installatsiooni teenus

Alates Windows Vistast lisandus selline teenus nagu „ActiveX Installer Service“. Selleks, et teatuid veebi lehti vaadata/kasutada võib vaja minna, et eelnevalt installeeritakse kasutaja arvutisse ActiveX komponendid. Kui kasutajal administraatori õigusi pole, siis ta ei saa ka ActiveX komponente installeerida. Selleks, et enda kui administraatori elu lihtsamaks teha on sul võimalik grupi poliitikate abil vastavad veebi lehed ära seadistada, et sealt lubatakse installeerida ActiveX komponente. Enne Windows Vistat tuli teha nt SCCMis tarkvara pakett ja see kasutajatele välja jagada. Nüüd tänu ActiveX installer teenusele on asi lihtsamaks läinud.

Enne kui asuda seda konkreetset poliitikat seadistama, peame me ennem välja selgitama selle veebi lehe ActiveX komponendi õige aadressi. Selleks tuleb vastaval lehel kus tahetakse ActiveX komponenti installeerida valida menüüst View ja sealt source, peale seda otsida stringi object ja kui sealt natuke koodi edasi vaadata leiate te täpse aadressi kust soovitakse seda ActiveX komponenti installeerida. Selles konkreetses näites on see: http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.1.66.0.cab

See konkreetne source on võetud Inteli automaatse draiverite installatsiooni lehelt. Nüüd kui on see õige aadress olemas liigume edasi grupi poliitikate konsooli ja teeme uue grupi poliitikate objekti või muudame olemas olevat. Vastav poliitika asub: Computer Configuration\Administrative Templates\Windows Components\ActiveX Installer Service

Avage „Approved Installation Sites for ActiveX Controls“

Siia tuleb nüüd sisestada see sammune aadress mis ma sain ülal toodud näitest. Mida need numbrid seal lõpus tähendavad? Need numbrid näitavad seda kuidas peaks ActiveX installer teenus käituma kui brausitakse vastavat veebi mis on grupi poliitikas seadistatud. Väärtus koosneb neljast numbrist ja need jagunevad järgmiselt:

• Trusted ActiveX Controls – defineeri esimene number 0 kui sa soovid blokeerida ActiveX komponendi installatsiooni, kui panna esimeseks number 1, siis kasutajale tuleb teade, et kas soovite installeerida ActiveX komponenti. Kui panete esimeseks number 2, siis installeeritakse ActiveX automaatselt.

• Signed ActiveX Controls – defineeri teine number 0, et blokeerida signeeritud ActiveX komponendi installeerimine või pane see number 1, et kasutajat teavitaks. Kui panete selle number 2, siis toimub installeerimine vaikimisi.

• Unsigned ActiveX Controls – defineeri kolmas number 0, kui te soovite blokeerida signeerimata ActiveX komponenti või pane see number 1, et kasutajat teavitatakse sellest. Automaatselt ei saa installeerida signeerimata ActiveX komponente.

• Server Certificate policy – Seadke see väärtus 0 peale kui te soovite, et ActiveX Installer teenus peataks installatsiooni kui on probleeme sertifikaatidega. Teil on võimalik määrata 4 erinevat numbrit ja need on:

o 256 - ignoreerib tundmatut CA-d

o 512 - ignoreerib kehtetu sertifikaadi kasutamist

o 4096 - ignoreerib tundmatut Common Name väärtust sertifikaadis

o 8192 – ignoreerib aegunud sertifikaadi kasutamist

Selles näites olen ma seadistanud kaks veebilehte grupipoliitikas 2,1,0,0 ja see tähendab, et ActiveX Installer teenus installeerib vaikimisi usaldatud ActiveX komponendid, teavitab kasutajat, ei installeeri signeerimata komponente ja tühistab installatsiooni kui on HTTPS sertifikaadis vead.

Kui soovid teada kas installatsioon on olnud edukas, siis otsi eventitest Applicationi alt logisid ID-ga 4097 ja 4098

Igasugune tagasiside on oodatud :)