Archive

Posts Tagged ‘Certificat’

SCCM – Certificats Management et PKI pour SCCM 2012 SP1 (Part2)

sccm201242 Bonjour à toutes et à tous,

Voici la continuité de l’article concernant la sécurisation d’un site SCCM. Dans la 1ère partie, nous avions créé les modèles de certificat et nous avions généré les certificats sur le serveur SCCM.

Dans cette 2ème partie, nous allons maintenant sécuriser notre serveur. Le pré requis de cette suite en donc d’avoir lu et effectué les actions de la partie 1.

Bien sûr, tout ceci doit être testé dans un environnement de test avant le passage en production !!

Je rappelle que la partie AMT/ Intel VPro sera traité à part et ne sera pas abordé ici…

Commençons !
Dans cette partie, nous allons configurer Microsoft IIS (Default Site et Administration WSUS), spécifier le certificat PFX pour le rôle de point de distribution depuis la console SCCM, exporter puis importer le certificat de l’autorité de certification (CA), etc.

Configuration des sites Microsoft IIS (Default Site et Administration WSUS)
Ouvrir la console MMC de IIS 7.0 puis faire comme suit :

image

Ensuite choisir, puis spécifier le certificat ConfigMgr Web Server Certificate pour le port 443 puis cliquer sur OK pour valider et Fermer la Liaison des sites. Répéter l’opération pour le site Administration WSUS, si vous avez effectivement utilisé un site web dédié pour WSUS (Port 8531)

image

Console Microsoft System center 2012 Configuration Management

image

Paramétrage du site
Depuis la Console SCCM, aller dans la section Administration, puis comme suit :

image

Exporter votre CA en fichier .CER, puis importez-la dans le champ : Autorité de certification Racine de confiance

image

Point d’attention
Attendez que tous vos clients possèdent leur certificat avant de forcer le https (laisser http ou https, en attendant). Même chose pour ce qui concerne le paramétrage du panneau de chiffrement.

Paramétrage des rôles
Depuis la console SCCM (section : Administration), dans les propriétés de chaque rôle :

Applications Catalog
Pour le rôle Applications Catalog, ça se passe ici :

image

Applications Catalog Web Service
Concernant le rôle Applications Catalog Web Service, ça se passe ici :

image

Réinstallation du rôle pour le passage en 443 – Cela peut vous obliger également à réinstaller le rôle Applications Catalog !

Management Point
Pour le rôle Management Point, c’est ici :

image

Software Updates Point
Pour le rôle Software Updates Point, c’est ici :

image

Distribution Point
Pour le rôle de Distribution Point, c’est ici :

image

Importer le certificat PFX puis Spécifier le mot de passe associé

Cloud-based Distribution Point

Ce sujet sera détaillé dans une autre partie…

Politique cliente des agents SCCM
Si vous avez spécifié l’URL concernant l’accès au portail Application Catalog, n’oubliez pas d’ajouter le [s] à http de votre URL ! Et en vérifier l’accès depuis un client de test.

Enfin, post est susceptible d’évoluer ou d’être corrigé, en cas d’erreur. N’hésitez pas me signaler toute erreur qui se serait glissée. Par ailleurs, une 3ème partie est en cours d’écriture…

Enjoy !

avatar Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , , , , , ,

SCCM – Certificats Management et PKI pour SCCM 2012 SP1 (Part1)

janvier 30, 2013 1 commentaire

sccm20124 Bonjour à tous,

Nous allons voir dans ce “long” post, quels sont les certificats dont à besoin SCCM, pour être en mode https, le nombre de modèles certificats que vous avez besoin de créer, et voir  comment mettre en place la partie sécurité dans SCCM.

Dans cette première partie, nous allons voir comment installer une autorité de certificat et nous allons seulement créer les modèles et générer les certificats en question sur le serveur SCCM. Dans la seconde partie, il sera question ensuite d’utiliser ce qu’on a fait afin de passer SCCM dans un mode sécurisé.

La partie AMT/ Intel VPro sera traité à part et ne sera pas abordé ici…

Les certificats que nous allons ici détailler seront :
– Certificat Serveur Web SCCM (Pour SUP, MP et DP)
– Certificat pour les points de distribution (Pour le rôle de OSD/PXE)
– Certificat pour les points de distribution (Cloud-Based) (Cloud DP – Windows Azure)
– Certificat pour les postes de travail (Concernant les clients SCCM)
– Certificat pour la gestion des Mobile Devices (Mobile Devices Management)

Les étapes de ce post (Part 1):
– Installation du Service AD CS (Step 1)
– Création d’une stratégie de groupe Active Directory (Step 2)
– Création des modèles de certificats (Step 3)
– Publication des modèles de certificats dans l’infrastructure ou environnement (Step 4)
– Génération des certificats sur le serveur SCCM (Step 5)

L’environnement de test est pour ma part :
– 1 Serveur Contrôleur de domaine (avec Windows 2008 R2 Enterprise)
– 1 Serveur Microsoft ConfigMgr 2012 SP1 avec SQL

Les rôles MP, DP, etc. se trouvant sur le même Serveur SCCM

Prérequis : Avoir un serveur Windows 2008 R2 Enterprise, membre de votre AD, ceci pour installer le rôle d’Autorité de certification (AD CS) – Pour moi, ce sera mon contrôleur de domaine.

Etape 1 – Installation de l’autorité de certification et des services associés
Ouvrir la console Gestionnaire de Serveur sur votre serveur qui hébergera ce rôle.

1 – Sélectionner l’item Rôles
2 – Cliquer sur Ajouter un rôle
3 – Cliquer sur Suivant afin de passer la page ‘Avant de commencer
4 – Cocher le rôle Services de certificats Active directory, et enfin cliquer sur Suivant
5 – Cliquer sur Suivant afin de passer la page the AD CS
6 – Cocher le service Autorité de certification
7 – Cocher le service Inscription de l’autorité de certification via le Web  
8 – Sélectionner (ou vérifier) que le mode Enterprise soit bien choisi, puis cliquer sur Suivant 
9 – Sélectionner (ou vérifier) que l’option Autorité de certification racine soit bien choisie, puis cliquer sur Suivant
10 – Sélectionner l’option Créer une nouvelle clé privée, puis cliquer sur Suivant.
11 – Accepter les paramètres par valeurs par défauts (2048) puis cliquer sur Suivant.
12 – Accepter les paramètres par défaut (Vous pouvez aussi renommer le nom commun de l’autorité de certification), puis cliquer sur Suivant
13 – Accepter (ou modifier) la période de validité (5 années, par défaut), puis cliquer sur Suivant.
14 – Accepter (ou modifier) l’endroit où sera installée la base de donnée, puis cliquer sur Suivant.
15 – Cliquer sur Suivant concernant le sommaire d’installation de Microsoft IIS
16 – Accepter les rôles et services de Microsoft IIS, puis cliquer sur Suivant.
17 – Confirmer l’installation en cliquant sur Installer
18 – L’installation démarre… 
19 – Un fois terminée, cliquer sur Fermer

Etape 2 – Configuration de la stratégie de groupe concernant l’Auto-inscription des certificats

1 – Lancer la console MMC de Gestion de stratégie de groupe
2 – Créer une nouvelle stratégie de groupe : Stratégie d’Auto-inscription des certificats clients, cliquer sur Ok pour valider

image 

3 – Cliquer-droit sur votre nouvelle stratégie (Stratégie d’Auto-inscription des certificats clients) , puis sélectionner Modifier, La console : Editeur de gestion des stratégie de groupe apparait alors…
4 – Depuis la console Editeur de gestion des stratégie de groupe se rendre comme suit :

image

5 – Double-cliquer sur Client des services de certificats – inscription automatique, puis sélectionner les options comme suit (encadrés rouges) afin d’activer l’auto-inscription et de configurer les options et conditions de renouvellement :

image

6 – Fermer la console MMC Editeur de gestion des stratégie de groupe
7 – Depuis la console de Gestion de stratégie de groupe, lier et activer votre nouvelle stratégie de groupe à votre environnement, regroupant vos Serveur et vos postes de travail (OU Servers et Workstations) qui seront clients de votre infrastructure
8 – Fermer la console MMC : Editeur de gestion des stratégie de groupe

Etape 3 – Création et configuration des modèles de certificats
Nous allons dans cette section, créer les modèle de certificats qui serviront à SCCM. Les certificats a créer est en fonction des environnement et rôles que vous voulez mettre en place au sein de votre site / Nous allons détailler les modèle de certificats suivants (Rappel) :

– Certificat Serveur Web SCCM (SUP, MP et DP)
– Certificat pour les points de distribution (OSD/PXE)
– Certificat pour les points de distribution (Cloud-Based) (Cloud DP – Windows Intune)
– Certificat pour les postes de travail (En fait pour les clients SCCM)
– Certificat pour la gestion des Mobile Devices (Mobile Devices Management)

Création du modèle de Certificat pour les postes de travail
Cette procédure permet de créer un modèle de certificat pour les postes de travail clients de System Center 2012 Configuration Manager.

1 – Ouvrir la console MMC Autorité de certification, cliquer-droit sur Modèles de certificats puis sélectionner Gérer 
2 – Depuis la Console des modèles de certificats, cliquer-droit sur le modèle Authentification de station de travail, et choisir Dupliquer le modèle dans le menu contextuel 
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important) 
4 – Cliquer sur OK 
5 – Spécifier un Nom complet du modèle (ConfigMgr Client Certificate
6 – Aller dans l’onglet Sécurité, puis en plus des droits de Inscrire (Enroll) ajouter les droits de Lecture (Read) et d’Inscription automatique (Autoenroll) concernant le groupe “Ordinateurs du domaine (<Domain>\Domain Computers Group) 
7 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat
8 – Ne fermer pas la console : Console des modèles de certificat

Récapitulatif :
Onglet de Sécurité -> Domain Computers : Inscrire / Lecture / Inscription Auto.

Création du modèle de Certificat pour les points de distribution
Créer un groupe Active Directory ConfigMgr IIS Servers, puis insérer vos serveurs SCCM 2012 exécutant Microsoft IIS 

1 – Depuis la console  Console des modèles de certificat
2 – Cliquer-droit sur le modèle Authentification de station de travail, et choisir Dupliquer le modèle dans le menu contextuel 
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important) 
4 – Cliquer sur OK 
5 – Spécifier un Nom complet du modèle (ConfigMgr Client Distribution Point Certificate
6 – Aller dans l’onglet Traitement de la demande, puis sélectionner Autoriser l’exportation de la clé privée
7 – Aller dans l’onglet Sécurité, puis supprimer le droit Inscrire (Enroll) au groupe Administrateurs de l’entreprise (<Domain>\Enterprise Admins) dans la listes de utilisateurs et groupes
8 – Ajouter le groupe Active directory ConfigMgr IIS Servers regroupant vos serveurs SCCM; Attribuer-lui le droit de Inscrire (Enroll) et ne pas supprimer le droit de Lecture (Read) 
9 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat.
10 – Ne fermer pas la console : Console des modèles de certificat

Récapitulatif :
Onglet Sécurité -> ConfigMgr IIS Servers : Inscrire / Lecture
Onglet Sécurité -> Administrateurs de l’entreprise : Lecture / Ecriture
Onglet Traitement de la demande –> Autoriser l’exportation de la clé privée

Création du modèle de Certificat Serveur Web SCCM
Créer un groupe Active Directory ConfigMgr IIS Servers, puis insérer vos serveurs SCCM 2012 exécutant Microsoft IIS (Hébergeant des rôles comme le Management Point, Software Updates Point, etc.).

1 – Depuis la console Console des modèles de certificat
2 – Cliquer-droit sur le modèle Serveur Web, et choisir Dupliquer le modèle dans le menu contextuel 
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important) 
4 – Cliquer sur OK 
5 – Spécifier un Nom complet du modèle (ConfigMgr Web Server Certificate
6 – Aller dans l’onglet Sécurité, puis supprimer le droit d’Inscrire (Enroll) aux groupes Administrateurs de l’entreprise (<Domain>\Enterprise Admins) et Administrateurs du domaine (<Domain>\Domain Admins) dans la listes des utilisateurs et groupes 
7 – Ajouter le groupe Active directory ConfigMgr IIS Servers regroupant vos serveurs SCCM 
8 – Attribuer à ce nouveau groupe le droit de Inscrire (Enroll) et ne pas supprimer le droit de Lecture (Read) 
9 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat.

Récapitulatif :
Onglet Sécurité -> ConfigMgr IIS Servers : Inscrire / Lecture
Onglet Sécurité -> Administrateurs de l’entreprise : Lecture / Ecriture
Onglet Sécurité -> Admins du domaine : Lecture / Ecriture

Création du modèle de Certificat pour les points de distribution (Cloud-Based) – Service Pack 1 de SCCM uniquement et Facultatif si vous n’utiliser pas la Cloud
Créer un groupe Active Directory ConfigMgr Site Servers, puis insérer vos serveurs SCCM 2012 exécutant Microsoft IIS

1 – Depuis la console Console des modèles de certificat
2 – Cliquer-droit sur le modèle Serveur Web, et choisir Dupliquer le modèle dans le menu contextuel 
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important) 
4 – Cliquer sur OK 
5 – Spécifier un Nom complet du modèle (ConfigMgr Cloud-Based Distribution Point Certificate
6 – Aller dans l’onglet Traitement de la demande, puis sélectionner Autoriser l’exportation de la clé privée 
7 – Aller dans l’onglet Sécurité, puis supprimer le droit Inscrire (Enroll) au groupe Administrateurs de l’entreprise (<Domain>\Enterprise Admins) dans la listes des utilisateurs et groupes 
8 – Ajouter le groupe Active directory ConfigMgr Site Servers regroupant vos serveurs SCCM; Attribuer-lui le droit de Inscrire (Enroll) et ne pas supprimer le droit de Lecture (Read) 
9 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat.

Récapitulatif :
Onglet Sécurité -> ConfigMgr Site Servers : Inscrire / Lecture
Onglet Sécurité -> Administrateurs de l’entreprise : Lecture / Ecriture
Onglet Traitement de la demande –> Autoriser l’exportation de la clé privée

Création du modèle de Certificat pour la gestion des Mobiles Devices
Créer un groupe Active Directory ConfigMgr Mobile Devices Users

1 – Depuis la console Console des modèles de certificat
2 – Cliquer-droit sur le modèle Session authentifiée, et choisir Dupliquer le modèle dans le menu contextuel
3 – Laisser par défaut Windows 2003 Server, Enterprise Edition (Important)
4 – Cliquer sur OK
5 – Spécifier un Nom complet du modèle (ConfigMgr Mobile Device Enrollment Certificate)
6 – Aller dans l’onglet Nom du sujet, puis sélectionner Construire à partir de ces informations Active directory (Build from this Active Directory information)
7 – Spécifier Nom Commun (Common Name) dans le champ Format du nom du sujet (Subject Name format)
8 – Décocher la case Nom de l’utilisateur principal (UPN) (User principal Name (UPN)) dans la section Inclure cette information dans le nom de substitution du sujet (Include this information in alternate subject Name)
9 – Aller dans l’onglet Sécurité, puis ajouter le groupe Active directory ConfigMgr Mobile Devices Users ; Attribuer-lui le droit de Inscrire (Enroll) et ne pas supprimer le droit de Lecture (Read) 
10 – Cliquer sur Appliquer, puis sur OK pour valider le nouveau modèle de certificat.

Récapitulatif :
Onglet Nom du sujet -> Construire à partir de ces informations Active directory
Onglet Nom du sujet -> Nom Commun
Onglet Nom du sujet -> Nom de l’utilisateur principal (UPN)
Onglet Sécurité -> ConfigMgr Mobile Devices Users : Inscrire / Lecture

Etape 4 – Publication de vos nouveaux modèles de certificat dans votre autorité de certification
Une fois es modèles les certificats créés, depuis la console Autorité de certification, cliquer-droit sur Modèles de Certificat, sélectionner Nouveau, puis Modèle de certificat à délivrer. Sélectionner vos 5 nouveaux modèles de certificats (Utiliser la touche CTRL ou SHIFT pour la multi-sélection); Une fois sélectionnés, cliquer sur OK afin de les importer. Ceux-ci devraient apparaitre dans le magasin de modèles de certificats disponibles.

image

image

Fermer la console Autorité de certification une fois les modèles importés.

Etape 5 – Demande et génération des certificats sur vos serveurs SCCM
A ce stade, passer en ligne de commande gpupdate.exe /force sur vos serveurs, ou si cela ne suffit pas, redémarrer-les, ceci afin qu’ils prennent conscience de leurs droits concernant les nouveaux modèle de certificats, créés.

Faire ce qu’il suit pour les modèles de certificat suivants :
– Certificat Serveur Web SCCM
– Certificat pour les points de distribution 
– Certificat pour les points de distribution (Cloud-Based)

1 – Cliquer sur Démarrer (Start), click Exécuter (Run), and type mmc.exe. Dans la console, cliquer sur Fichier (file), puis sur (Add/Remove Snap-in)µ
2 – Depuis la boite de dialogue Ajouter/Supprimer un composant logiciel enfichable… (Add or Remove Snap-ins), sélectionner Certificats (Certificats) dans les Composant logiciels enfichables disponibles, puis cliquer sur Ajouter (Add)
3 – Depuis la boite de dialogue Certificate snap-in, sélectionner Un compte d’ordinateur (Computer Account) puis cliquer sur Suivant
4 – Sélectionner L’ordinateur Local (L’ordinateur sur lequel cette console s’exécute) (Local computer : (the computer this console is running on)), puis cliquer sur Terminer et enfin sur OK.
5 – Depuis la console, développer l’item Certificats (Ordinateur Local), et cliquer sur Personnel (Personal)
6 – Cliquer-droit ensuite sur Personnel\Certificats, sélectionner Toutes les Tâches (All Tasks), et enfin sélectionner Demander un nouveau certificat (Request New Certificate)
7 – Concernant la 1ère page Avant de commencer (Before You Begin), cliquer sur Suivant, et encore sur Suivant
8 – Depuis la page Demander des Certificats sélectionner, dans la liste des certificats disponibles, le Certificat correspondant au rôle que votre serveur endossera (IIS, WEB, etc.)

ConfigMgr Web Server Certificate
Concernant uniquement le certificat ConfigMgr Web Server Certificate, cliquer sur L’inscription pour obtenir ce certificat nécessite des informations supplémentaire. Cliquer ici pour configurer les paramètres. 
9 – Puis renseigner et Ajouter > le FQDN de votre serveur SCCM avec un FQDN interne valide et un FQDN externe valide si vous voulez publier votre serveur de site sur Internet.

image

Comprendre ce qu’il faut renseigner ici concernant le certificat Web pour SCCM.
– Si le système de site SCCM accepte uniquement les connexions clientes en mode intranet, et que le nom de domaine complet de celui-ci est server1.internal.contoso.com dans ce mode de connexion, renseigner uniquement server1.internal.contoso.com

– Si le système de site SCCM accepte à la fois les connexions clientes en mode intranet et internet, et que le nom de domaine complet interne de celui-ci est server1.internal.contoso.com, renseigner alors server1.internal.contoso.com puis ajouter-le. Pour le mode internet, renseigner le FQDN que devront utiliser les clients SCCM pour joindre le serveur de site depuis l’extérieur (Internet), par exemple server.contoso.com puis ajouter-le.

ConfigMgr Cloud-Based Distribution Point Certificate
(Uniquement pour la version SP1 de SCCM et facultatif si vous n’utilisez pas le Cloud)
Concernant uniquement le certificat ConfigMgr Cloud-Based Distribution Point Certificate cliquer sur L’inscription pour obtenir ce certificat nécessite des informations supplémentaire. Cliquer ici pour configurer les paramètres.
9 – Puis renseigner  le FQDN de votre serveur avec un FQDN externe valide Internet, par exemple :

image

NOTE : La traduction française dans le Technet n’est pas disponible à ce jour. L’étape concernant ce certificat n’est pas documenté…Ce certificat est utilisé pour chiffrer les données et authentifier les clients auprès du point de distribution se trouvant dans le Cloud. Ce certificat doit être exportés puis importé lorsque vous créez un point de distribution basés sur le Cloud.

10 – Puis cliquer sur OK pour valider votre choix
11 – Une fois les information renseignées, cliquer sur Inscription (Enroll)
12 – L’assistant doit confirmer que le certificat que vous avez choisi, a bien été généré
13 – Cliquer sur Terminer (Finish), une fois le certificat généré.
14 – Ne pas fermer la console MMC

Concernant le certificat Certificat pour les postes de travail, celui-ci sera publié ou déployé par stratégie GPO

Etape 6 – Exportation des certificats générés pour le rôle de point de distribution et Point de distribution Cloud-based (SP1 seulement)
Cette partie explique comment exporter les certificats afin de les injecter dans SCCM. Depuis la console MMC-Certificats, dans Certificats\Personnel\Certificats, repérer les certificats :

– ConfigMgr client Distribution point Certificate
– ConfigMgr Cloud-based distribution point certificats (Facultatif, si vous n’utilisez pas le Cloud)

Pour ces deux certificats uniquement, faire les étapes suivantes :

1 – Cliquer-droit sur le certificat que vous avez choisi, sélectionnez Toutes les tâches, puis cliquez sur Exporter.
2 – Dans l’Assistant Exportation de certificats, cliquez sur Suivant.
3 – Dans la page Exporter la clé privée, sélectionnez Oui, exporter la clé privée, puis cliquez sur Suivant
4 – Sur la page Format de fichier d’exportation, assurez-vous que l’option Personal Information Exchange – PKCS #12 (.PFX) est bien sélectionnée.
5 – Dans la page Mot de passe, spécifiez un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis cliquez sur Suivant.
6 – Dans la page Fichier à exporter, spécifiez le nom du fichier que vous voulez exporter, puis cliquez sur Suivant.
7 – Pour fermer l’Assistant, cliquez sur Terminer sur la page Assistant Exportation de certificat, puis cliquez sur OK dans la boîte de dialogue de confirmation.
8 – Fermez la fenêtre Certificats (ordinateur local)

Stockez le fichier de façon sécurisée et vérifiez que vous pouvez y accéder à partir de la console

Vous devez donc désormais avoir en votre possession au moins 1 fichier PFX – Voire 2, si vous êtes en SP1 de SCCM et que vous voulez utiliser un point de distribution dans la Cloud

fin de cette 1ère partie…

Sources et articles Microsoft
Step-by-Step Example Deployment of the PKI Certificates for Configuration Manager: Windows Server 2008 Certification Authority http://technet.microsoft.com/en-us/library/gg682023.aspx#BKMK_clientdistributionpoint2008_cm2012

Enfin, post est susceptible d’évoluer ou d’être corrigé, en cas d’erreur. Ce sujet est complexe et chronophage, où il est facile de se tromper, alors faite attention. N’hésitez pas me signaler toute erreur qui se serait glissée.

Enjoy !

avatar Michel PICOLLET | EXAKIS Paris
Solution Architect Microsoft [System Center]
mpicollet@event-horizon.fr

Catégories :SCCM Étiquettes : , , , , , , ,

SCCM – Comment préparer et activer AMT dans SCCM ?

logo-sccm-20072

Je vous mets ici les différentes étapes (7) pour mettre en oeuvre la fonction AMT avec SCCM. L’idée n’est pas de refaire les étapes qui existent déjà dans le TechNet Microsoft d’ailleurs c’est “presque” un copier/coller du TechNet (Je mets le lien plus bas), mais de réunir ces étapes avec cohérence dans une seule page (Post) ceci afin de ne pas se perdre dans cette mise en place, déjà bien assez compliquée… :

image 

NOTE : Pour l’activation et l’utilisation de la partie 802.x1, une extension du schéma de Active directory est conseillé.

Voir le lien suivant : Extensions de schéma Active Directory pour les améliorations des stratégies de groupe sans fil et filaires dans Windows Vista

Présentation de AMT

Présentation de la gestion hors bande

Prérequis et Lien Microsoft qui ont servis à ce post

Configuration requise pour la gestion hors bande
Configurations prises en charge pour Configuration Manager 2007 SP1
Configurations prises en charge dans Configuration Manager 2007 SP2
Configuration de la gestion hors bande

    NOTE : Il vous faudra aussi installer le rôle Out of Band Service Point dans SCCM

    Step 1 – Préparer les services et groupes de domaine Active Directory pour AMT

    Pour créer des groupes de sécurité Windows pour les serveurs de système de site

    1. Sur le contrôleur de domaine, cliquez sur Start, cliquez sur Administrative Tools –> Active Directory Users and Computers.

2. Cliquez avec le bouton droit sur l’OU : Users, cliquez sur New, puis sur Group.

3. Dans la boîte de dialogue New object – Group, entrer par ex. GG-SMS-SERVERS comme Group Name, puis cliquez sur OK.

4. Sous Active Directory Users and Computers, cliquez avec le bouton droit sur le groupe que vous venez de créer, puis cliquez sur Properties.

5. Sous l’onglet Members, cliquez sur Add pour sélectionner le serveur membre.

6. Cliquer sur OK, puis cliquez de nouveau sur OK pour fermer la boîte de dialogue Propriétés du groupe.

Répétez les étapes 2 à 6, en nommant cette fois le groupe Out of Band Service Point

7. Redémarrer le(s) serveur(s) SCCM (s’il est en cours de fonctionnement) pour qu’il détecte l’appartenance au nouveau groupe (Token)

Créer et configurer une unité d’organisation dans les services de domaine Active Directory

1. Sur un contrôleur de domaine, connectez-vous sous un compte administrateur autorisé à créer des unités d’organisation dans le domaine sélectionné.

2. Cliquez sur Start –> Administrative Tools –> Active Directory Users and Computers.

image 
3. Cliquez sur View, puis sur Advanced Features.

image

4. Cliquez avec le bouton droit sur l’objet Domaine ou une autre unité d’organisation dans lequel vous souhaitez créer l’unité d’organisation, puis cliquez sur New –> Organization Unit.

image 
5. Dans la boîte de dialogue New object –> Organization Unit, tapez le nom de votre choix (par exemple, Out Of Band Management), puis cliquez sur OK.

image 
6. Cliquez avec le bouton droit sur l’unité d’organisation que venez de créer, puis cliquez sur Properties.

image

7. Cliquez sur l’onglet Sécurité.

8. Cliquez sur Add pour ajouter le groupe GG-SMS-SERVERS (Groupe qui contient vos Serveurs SCCM qui auront le rôle Out of Band Service Point), puis accorder-lui le niveau d’autorisation : Full Control.

image 

9. Cliquez sur Advanced, sélectionnez le compte du serveur de site principal, puis cliquez sur Edit …

image 

10. Dans la liste Apply to: , sélectionnez This Object and all descendant objects.
Cliquez sur OK

 image

11. Cliquer sur OK pour valider et fermer la fenêtre Advanced Security Settings for <Votre OU> Cliquer sur OK pour fermer la fenêtre <Votre OU> Properties

NOTE : Pour un seul site (serveur) SCCM, on pourrait très bien spécifier le compte machine de celui-ci seulement (à la place du groupe), mais l’idée est plutôt d’utiliser un groupe qui regroupe l’ensemble des serveurs SCCM “futurs” qui endoseront plus tard le rôle Out Of Band Service Point et de lui attribuer les droits que nous venons de spécifier plus haut. Dans ce cas là, il suffira alors de les insérer dans le groupe GG-SMS-SERVERS en question… Aussi vous pouvez recycler un groupe existant. Toutefois, le groupe pour le “Out of Band Service Point” est à créer ! (Etape 7 – Partie 1.1.) A ce stade vous devez avoir deux groupes possédant vos serveurs SCCM :

image 

Step 2 – Déploiement des certificats PKI requis pour AMT et la gestion hors bande : Autorité de certification Windows Server 2008

Procéder comme suit pour créer des groupes de sécurité Windows pour les serveurs de système de site. Ces groupes de sécurité permettront de garantir que seuls les serveurs appropriés peuvent utiliser les deux modèles de certificats requis pour la configuration AMT.

2.1. Demande, installation et préparation du certificat de configuration AMT


1. Demande de certificat pour AMT auprès d’une autorité de certification interne et l’installer

2. Sur le contrôleur de domaine exécutant la console Windows Server 2008, cliquez sur Start –> Administrative Tools, puis cliquez sur Certification Authority

image 

3. Développer le nom de votre autorité de certification, puis cliquez sur Certificats Templates 

4. Cliquez avec le bouton droit sur Certificats Templates, puis cliquez sur Manage pour charger la console Certificats Templates.

image 

5. Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Web Server dans la colonne Template Display Name, puis cliquez sur Duplicate Template.

image 

6. Dans la boîte de dialogue Dupliquer le modèle, assurez-vous que l’option Windows 2003 Server, Enterprise Edition est sélectionnée, puis cliquez sur OK.

image 

7. Sous l’onglet Général de la boîte de dialogue Properties of New Template, entrer un nom pour le modèle de certificat de configuration AMT dans le champ Template display name (par exemple, Configuration AMT ConfigMgr). Cocher la case Publish certificat in Active Directory

image 

8. Cliquez sur l’onglet Request Handling et sélectionnez Allow private key to be exported

image 

9. Cliquez sur l’onglet Subject Name et sélectionnez Build from this Active directory information, puis sélectionner Common name dans la liste déroulante Subject Name format

image 

10. Sous l’onglet Extensions, sélectionner Application Policies, puis cliquez sur Edit …

image 

11. Dans la boîte de dialogue Edit Application Policies Extension, cliquez sur Add

image 

12. Dans la boîte de dialogue Add Application Policy, cliquez sur New

image 

13. Dans la boîte de dialogue New Application Policy, entrer Configuration AMT dans le champ Name, puis le numéro suivant dans le champ Object identifier : 2.16.840.1.113741.1.2.3

image 

14. Cliquez sur OK pour valider, puis cliquez une nouvelle fois sur OK pour fermer la boîte de dialogue Add Application Policy

image 

15. Cliquez sur OK pour fermer la boîte de dialogue Edit Application Policies Extension. Dans la boîte de dialogue Properties of New Template, le champ Description of Application Policies doit maintenant indiquer : Server Authentication et Configuration AMT

image 

16. Sous l’onglet Security, supprimer le droit Enroll pour les groupes Domain Admins et Enterprise Admins. Cliquez sur Add, puis ajouter le groupe Out Of Band Service Point, puis cliquez sur OK pour valider. Donner à ce groupe le droit Enroll en plus de Read

image 

17. Cliquez sur OK pour valider, puis fermer la console Certificate Template. Sous Certification Authority, cliquer-droit sur Certificate Template, cliquez sur New, puis cliquez sur Certificate template to Issue.

image 

18. Dans la boîte de dialogue Enable Certificate Template, sélectionnez le modèle que vous venez de créer (Configuration AMT ConfigMgr), puis cliquez sur OK

image 

19. Ne pas fermer la console Certification Authority

A faire sur le(s) serveur(s) SCCM

20. Après avoir redémarrer le(s) serveur(s) faisant parti(s) de ce groupe (Out Of Band Service Point), sur chaque serveur (SCCM) membre de ce groupe, cliquez sur Start, puis sur Run et tapez mmc.exe. Dans la console vide, cliquez sur File, puis sur Add/Remove snap-ins

21. Dans la boîte de dialogue Add/Remove snap-ins, sélectionnez Certificates dans la liste Available snap-ins, puis cliquez sur Add.

22. Dans la boîte de dialogue Certificates snap-in, cliquez sur Computer Account, puis sur Next

23. Dans la boîte de dialogue Select the computer you want this snap-in to manage, vérifier que l’option Local computer : (The computer this console is running on) est sélectionnée, puis cliquez sur Finish.

24. Dans la boîte de dialogue Add/Remove snap-ins, cliquez sur OK.

25. Dans la console, développer Certificates (Local Computer), puis cliquez sur Personal. Cliquez avec le bouton droit sur Certificates, cliquez sur All Tasks, puis cliquez sur Request New Certificate…

image 

26. Dans la page Before You Begin, cliquez sur Next. Dans la page Select Certificate Enrollement Policy, cliquez sur Next. Puis dans la page Demander des certificats, sélectionnez Configuration AMT ConfigMgr dans la liste des certificats affichés, puis cliquez sur Enroll

image 

27. Dans la page suivante, attendre que le certificat soit installé, puis cliquez sur Finish. Le certificat de configuration doit maintenant s’afficher.

image 

image 

28. Ne pas fermer la fenêtre Certificats (Ordinateur local).

Le certificat de configuration AMT de votre autorité de certification interne est maintenant installé et peut être préparé pour le composant de gestion hors bande.

2.2. Pour préparer le certificat de configuration AMT pour le composant de gestion hors bande

1. Sur l’un des serveurs (SCCM) membre du groupe Out of Band Service Point dans la console MMC Certificates (Local Computer), cliquer-droit sur le certificat Configuration AMT ConfigMgr obtenu à l’étape précédente puis cliquez sur All tasks, puis sur Export…

image 
2. Dans l’Assistant Exportation de certificat, cliquez sur Next . Dans la page Export Private Key, sélectionnez Yes, export the private key, puis cliquez sur Next. Sur la page Export File Format, vérifier que Personal Information Exchange – PKCS #12 (.PFX) est sélectionné, puis choisir Include all certificates in the certification path if possible

image 
3. Dans la page Password, spécifiez et confirmer un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis cliquez sur Next. Dans la page File to Export, spécifiez le chemin d’accès où sera stocké le certificat et son nom que vous voulez exporter, puis cliquez sur Next (par ex. D:\Export-CA-PFX.pfx)

image

4. Cliquez sur Finish sur la page Completing the Certificate Export Wizard, puis sur OK dans la boîte de dialogue Certificate Export Wizard

NOTE : Stocker le fichier en toute sécurité et assurez-vous que vous pouvez y accéder à partir de la console Configuration Manager


2.3. Préparation des certificats de serveur Web pour les ordinateurs AMT

1. Sur le contrôleur de domaine qui exécute l’autorité de certification, cliquer avec le bouton droit sur Certificate Templates, puis cliquez sur Manage pour charger la console Certificate Templates Console

2. Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Web Server dans la colonne Template Display Name, puis cliquez sur Duplicate Template.

3. Dans la boîte de dialogue Duplicate Template, assurez-vous que l’option Windows 2003 Server, Enterprise Edition est sélectionnée, puis cliquez sur OK. Sous l’onglet General de la boîte de dialogue Properties of New Template, entrer un nom de modèle pour générer les certificats Web à utiliser pour la gestion hors bande sur les ordinateurs AMT, par exemple, Certificat Server Web AMT ConfigMgr. Cocher la case Publish certificate in Active Directory.

4. Sous l’onglet Security, supprimer l’autorisation Enroll pour les groupes Domain Admins et Enterprise Admins

5. Cliquez sur Add, puis ajouter le groupe GG-SMS-SERVERS possédant tous vos serveurs SCCM qui auront le rôle OOB Service Point, puis cliquez sur OK. Sélectionner les autorisations suivantes : Enroll et Autoenroll, en plus de Read

image 
6. Cliquez sur OK, puis fermer la console Certificate Templates

7. Dans la console Certification Authority, cliquez avec le bouton droit sur Certificate Templates, cliquez sur New, puis cliquez sur Certificate Templates to Issue.

8. Dans la boîte de dialogue Enable Certificate Template, sélectionnez le modèle que vous venez de créer (Certificat Server Web AMT ConfigMgr), puis cliquez sur OK

Le modèle de serveur Web AMT est maintenant prêt pour la configuration d’ordinateurs AMT avec des certificats de serveur Web.

2.4. Préparation des certificats d’authentification du client pour les ordinateurs AMT 802.1x (Facultatif)

1. Pour Configuration Manager 2007 SP2 uniquement : Si vous utilisez des certificats client pour des réseaux sans fil ou câblés authentifiés 802.1X, suivez la procédure ci-après pour préparer les certificats d’authentification client pour les ordinateurs AMT.

2. Pour créer et émettre le modèle de certificat d’authentification client sur l’autorité de certification

3. Dans la console de gestion Certification Authority, cliquez avec le bouton droit sur Certificate Templates, puis cliquez sur Manage pour charger la console de gestion des modèles de certificats.

4. Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Workstation Authentication dans la colonne Template Display Name, puis cliquez sur Duplicate Template

5. Dans la boîte de dialogue Duplicate Template, assurez-vous que l’option Windows 2003 Server, Enterprise Edition est sélectionnée, puis cliquez sur OK.

6. Sous l’onglet General de la boîte de dialogue Properties of New Template, entrer un nom de modèle pour générer les certificats client à utiliser pour la gestion hors bande sur les ordinateurs AMT. Par exemple, Certificat d’authentification client 802.1X AMT ConfigMgr. Cocher la case Publish certificate in Active Directory

image 
7. Sous l’onglet Subject Name, cliquez sur Supply the Request Cliquez sur OK dans la boîte de dialogue d’avertissement pour ce paramètre

image 

8. Sous l’onglet Security, supprimer l’autorisation Enroll pour les groupes Domain Admins et Enterprise Admins. Cliquez sur Ajouter, et ajouter le groupe GG-SMS-SERVERS dans la zone de texte, puis cliquez sur OK. Sélectionnez l’autorisation suivante pour ce groupe : Enroll en plus de Read

image 

9. Cliquez sur OK, puis refermer la console Certificate Template Console

10. Dans la console de gestion Certification Authority, cliquez avec le bouton droit sur Certificate Template, cliquez sur New, puis cliquez sur Certificate Template to Issue. Dans la boîte de dialogue Enable Certificate Templates, sélectionnez le modèle que vous venez de créer (Certificat d’authentification client 802.1X AMT ConfigMgr), puis cliquez sur OK. Fermer la console Certification Authority.

Le modèle de certificat d’authentification client est maintenant prêt à émettre des certificats d’ordinateurs AMT utilisables pour l’authentification client 802.1X

A ce stade les 3 certificats sont maintenant créés et configurés :

image

Step 3 – Comment configurer la gestion hors bande de la configuration AMT dans SCCM ?

1. Dans la console Configuration Manager, accéder à System Center Configuration Manager / Site Database / Site Management / <code du site> – <nom du site> / Site Settings / Component Configuration, cliquez avec le bouton droit sur Out of Band Management, puis cliquez sur Properties

image 
2. Sous l’onglet General, cliquer sur Browse… et pointer sur l’unité d’organisation Out Of Band Management dans le champ Active Directory Container – Se traduisant dans le champ par la requête LDAP :

LDAP://OU=Out Of Band Management,DC=Contoso,D=local

3. Cliquez sur Définir pour spécifier un mot de passe fort pour le compte MEBx que Configuration Manager va configurer dans AMT lors de la première configuration de l’ordinateur. Si le fabricant vous a fourni un mot de passe personnalisé (autre que admin) ou si vous avez modifié le mot de passe du compte MEBx dans AMT, spécifiez ce mot de passe en créant ou en configurant un compte de configuration ou de découverte AMT.

4. Pour Configuration Manager 2007 SP2 uniquement : Si vous devez utiliser la configuration hors bande plutôt que la configuration intrabande, sélectionnez Allow out of band provisioning. Dans la boîte de dialogue de l’avertissement de sécurité, cliquez sur Yes si vous maîtrisez et acceptez les implications de sécurité de ce paramètre.

5. Utilisez la valeur par défaut 9971 pour le port de configuration AMT, à moins que le fabricant de votre ordinateur ne vous en ait fourni une autre

6. Si vous utilisez une configuration AMT hors bande (le client Configuration Manager 2007 SP1 ou versions ultérieures n’est pas installé) et si vous souhaitez que Configuration Manager enregistre automatiquement le nom ProvisionServer dans DNS, activez l’option Register ProvisionServer as an alias in DNS

7. Cliquez sur Browse… pour l’option Provisioning certificate et sélectionnez le fichier de certificat PFX (Etape 2.2.6) qui contient le certificat de configuration AMT exporté avec la clé privée. Entrez le mot de passe créé lors de l’exportation du certificat, puis cliquez sur OK.

8. Cliquez sur Select en regard de l’option Certificate template, puis dans la boîte de dialogue AMT Certificate Configuration, spécifiez les éléments suivants :

A. Issuing CA : Cliquez sur le menu déroulant pour afficher la liste des autorités de certification d’entreprise issues des services de domaine Active Directory et affichées par le nom de domaine complet (FQDN). Sélectionnez l’autorité de certification qui émettra les certificats pour les ordinateurs AMT. Le nom de l’autorité de certification s’affiche automatiquement dans le champ Nom de l’autorité de certification.

B. AMT certificate template : Cliquez sur le menu déroulant pour afficher la liste des modèles disponibles pour le serveur de site et issus de l’autorité de certification sélectionnée. Sélectionnez le modèle de certificat à utiliser pour les demandes de certificats relatifs aux ordinateurs AMT : Configuration AMT ConfigMgr (Etape 2.1.6)

C. Cliquez sur OK pour fermer la boîte de dialogue AMT Certificate Configuration. Ce qui donne pour cette 1ère étape :

image

D. Cliquez sur l’onglet Provisioning Settings. Dans la section AMT Provisioning and Discovery Accounts, cliquez sur l’icône New.

E. Dans la boîte de dialogue AMT Provisioning and Discovery Accounts, spécifiez les éléments suivants :

Name : Entrez le nom du compte de configuration configuré dans les extensions BIOS. Password : Entrez le mot de passe configuré dans les extensions BIOS pour le compte de configuration.
Confirm Password : Entrez de nouveau le mot de passe pour le confirmer. Description : Vous pouvez éventuellement entrer une description vous permettant d’identifier le compte. Si vous devez configurer plusieurs comptes, cette description peut s’avérer particulièrement utile pour vous aider à déterminer quel compte est associé à quel ordinateur

image

F. Cliquez sur OK pour fermer la boîte de dialogue AMT Provisioning and Discovery Accounts.

G. Pour Configuration Manager 2007 SP2 uniquement : Cliquez sur l’onglet Provisioning Schedule si vous désirez configurer les ordinateurs AMT en intrabande, puis acceptez le calendrier par défaut de 1 jour, ou spécifiez le calendrier de votre choix

H. Cliquez sur 802.1x and Wireless, cocher la case Enable 802.1x authentication for wired network, puis Cliquez sur Set…

I. Dans la fenêtre 802.1x and Wireless Network Access Control, dans la section 802.1x authentication –> Server authentication, cliquez sur Select… et sélectionner votre autorité de certificats entreprise (CA) et cliquez sur OK pour valider

J. Dans section Client Authentication pour la section Client certificate template, cliquez sur Select… puis dans la fenêtre RADIUS Client Certificate Configuration, pour le champ: Radius client certificate template, sélectionner le modèle de certificat que vous avez créé à l’étape 2.2 de ce Tutorial (A savoir : Certificat d’authentification client 802.1x AMT ConfigMgr). Cliquez sur OK pour valider

image 

K. Cliquez sur OK pour fermer la fenêtre 802.1x and Wireless Network Access Control
image 

L. Cliquer sur l’onglet Audit Settings puis activer comme suit les options :

image 
M. Cliquez sur AMT Settings et paramétrer comme suit :

image 

Cliquez sur OK pour fermer la boîte de dialogue Out Of Band Management Properties

NOTE : Dans l’onglet 802.1x and Wireless, pour la section Wireless Profiles de la boîte de dialogue Out Of Band Management Properties, vous pourriez définir le profile Wireless à autoriser

image

Cf. le lien suivant pour prendre la meilleure décision :
Meilleures pratiques pour la sécurité de la gestion hors bande et informations de confidentialité

Step 4 – Comment configurer les ordinateurs pour AMT ?

4.1. Pour configurer des ordinateurs pour AMT à l’aide de la configuration intrabande automatique avec le client de Configuration Manager 2007 SP1 (ou version ultérieure)

Vous pouvez découvrir les ordinateurs équipés de contrôleurs de gestion (AMT) et créer un regroupement dédié à ces ordinateurs… Créer un regroupement à l’aide de la requête suivante :

Select SMS_R_System.* from SMS_R_System inner join
SMS_CM_RES_COLL_SMS00001 on SMS_CM_RES_COLL_SMS00001.ResourceId =
SMS_R_System.ResourceId where (AMTStatus = 1 or AMTStatus = 2) 
and SMS_CM_RES_COLL_SMS00001.IsApproved = 1 and
SMS_CM_RES_COLL_SMS00001.IsBlocked = 0

L’adhésion à ce regroupement comportera des ordinateurs dont l’état AMT est Détecté ou Non configuré s’ils sont également approuvés et non bloqués. L’état AMT Détecté signifie que vous devez spécifier un compte de configuration et de découverte AMT avant que la configuration ne se déroule correctement.

1. Cliquez avec le bouton droit sur le regroupement à configurer en intrabande, puis cliquez sur Modifier les paramètres du regroupement et sélectionnez Hors bande.

2. Sélectionnez Activer la configuration automatique de contrôleur de gestion hors bande, puis cliquez sur OK.

3. Surveiller l’avancement de la configuration.

4.2. Pour configurer des ordinateurs pour AMT à l’aide de la configuration hors bande automatique

Vérifier que les ordinateurs peuvent localiser un serveur de configuration. Vous disposez pour cela de plusieurs méthodes :

1. Spécifiez l’adresse IP du point de service hors bande comme serveur de configuration dans les extensions BIOS de l’ordinateur.

2. Configurez les ordinateurs pour qu’ils utilisent DNS lorsqu’ils peuvent résoudre le nom ServeurConfiguration à l’adresse IP du point de service hors bande

Pour Configuration Manager 2007 SP2 uniquement : À partir de Configuration des composants, veillez à ce que l’option Autoriser la préparation hors bande soit sélectionnée sous l’onglet Général de la boîte de dialogue Propriétés de gestion hors bande.

1. Cliquer avec le bouton droit sur Regroupements, puis cliquez sur Importer les ordinateurs hors bande

Pour Configuration Manager 2007 SP2 uniquement : À partir de Configuration des composants, veillez à ce que l’option Autoriser la préparation hors bande soit sélectionnée sous l’onglet Général de la boîte de dialogue Propriétés de gestion hors bande.

1. Cliquer avec le bouton droit sur Regroupements, puis cliquez sur Importer les ordinateurs hors bande. Suivre les instructions de l’Assistant.

2. Cliquer avec le bouton droit sur le regroupement sélectionné dans l’Assistant, cliquez sur Mise à jour de l’adhésion à un regroupement et sur OK, puis appuyez sur F5 pour afficher les ordinateurs importés.

3. Vérifier que le câble d’alimentation et la carte réseau sont connectés à l’ordinateur. Surveiller l’avancement de la configuration.

Step 5 – Comment découvrir les ordinateurs avec des contrôleurs de gestion ?

Pour configurer la découverte du réseau pour les contrôleurs de gestion
 

1. Dans la console Configuration Manager, accédez à System Center Configuration Manager / Base de données de site / Gestion de site /<nom du site>/ Paramètres du site / Méthodes de découverte.

2. Cliquez avec le bouton droit sur Découverte du réseau, puis cliquez sur Propriétés.

3. Dans l’onglet Général, sélectionnez Activer la découverte des contrôleurs de gestion hors bande.

4. Cliquez sur OK

Pour initier la découverte des ordinateurs équipés de contrôleurs de gestion pour un regroupement

1. Dans la console Configuration Manager, accédez à System Center Configuration Manager / Base de données de site / Gestion de l’ordinateur / Regroupements.

2. Cliquez avec le bouton droit sur le regroupement pour lequel vous voulez initier la découverte des contrôleurs de gestion, cliquez sur Gestion hors bande, puis sur Découvrir les contrôleurs de gestion.

3. Cliquez sur OK dans la boîte de dialogue de confirmation.

Pour initier la découverte d’ordinateurs sélectionnés équipés de contrôleurs de gestion

1. Dans la console Configuration Manager, accédez à System Center Configuration Manager / Base de données de site / Gestion de l’ordinateur / Regroupements.

2. À partir d’un des regroupements, sélectionnez une ou plusieurs ressources pour lesquelles vous voulez initier la découverte des contrôleurs de gestion. Cliquez ensuite avec le bouton droit et sélectionnez Gestion hors bande, puis cliquez sur Découvrir les contrôleurs de gestion.

3. Cliquez sur OK dans la boîte de dialogue de confirmation.

Step 6 – Exploitation – Comment configurer les paramètres du BIOS d’un ordinateur à l’aide de la gestion hors bande ?

6.1. Pour configurer les paramètres du BIOS d’un ordinateur à l’aide de la gestion hors bande

1. Connectez-vous à la ressource à l’aide de la console de gestion hors bande. Si besoin, vous pouvez remplacer le type d’émulation de terminal par défaut PC ANSI par VT-100 afin qu’il corresponde aux paramètres d’émulation de terminal du BIOS de l’ordinateur cible. Pour cela, cliquez sur Outils, Options, sélectionnez VT-100 puis cliquez sur OK.

2. Cliquez sur Connexion série. Pour Configuration Manager 2007 SP2 uniquement, cliquez sur le bouton Ouvrir une connexion série sur réseau local, puis sur Oui pour accuser réception de l’avertissement de déconnexion d’une connexion sans fil. Attendez que le menu de configuration du BIOS s’affiche.

3. Cliquez sur Contrôle de l’alimentation, puis sélectionnez l’option de configuration du BIOS dans la liste Option de démarrage.

4. Cliquez sur Mise sous tension si l’ordinateur est éteint ou sur Redémarrer l’ordinateur s’il est sous tension.

5. Cliquez dans la fenêtre vierge pour activer la session d’affichage à distance.

6. Consultez ou modifiez les paramètres du BIOS, puis enregistrez. Une fois la configuration du BIOS terminée, le fait de sélectionner l’option d’enregistrement des paramètres redémarre automatiquement l’ordinateur.

A. Une fois la gestion de l’ordinateur terminée, sélectionnez l’une des options suivantes :

B. Pour vous déconnecter de l’ordinateur et fermer la console de gestion hors bande, cliquez sur Fichier puis sur Quitter.

C. Pour vous déconnecter de l’ordinateur sans fermer la console de gestion hors bande, afin de pouvoir vous y reconnecter plus tard, cliquez sur Fichier, puis sur Se déconnecter.

Option – Comment enregistrer un alias dans DNS pour le point de service hors bande ?

N’activez pas cette option si le rôle du point de service hors bande n’est pas encore installé – Pour utiliser cette fonctionnalité, vous devez enregistrer dans DNS un enregistrement hôte (enregistrement A) pour le serveur de système de site du point de service hors bande.

Option.1. Pour enregistrer manuellement un alias dans DNS Microsoft

1. Dans la console DNS, développez le dossier des zones de recherche directe du serveur avec lequel vous souhaitez travailler.

2. Cliquez avec le bouton droit sur le domaine contenant le point de service hors bande, puis cliquez sur Nouvel alias (CNAME) .

3. Saisissez ProvisionServer ou l’autre nom dans le champ Nom de l’alias.

4. Dans le champ Nom de domaine complet (FQDN) pour l’hôte cible, saisissez le nom de domaine complet du système de site hébergeant le point de service hors bande ou accédez-y.

5. Cliquez sur OK

NOTE : Je vous conseille de déployer sur vos postes de travail, l’agent AMT disponible depuis le site d’Intel ou du contructeur “la Clé Bleue” (Blue Key) qui est ni plus ni moins que l’agent AMT qui sera piloté par l’agent SCCM

Enjoy !

Michel PICOLLET | EXAKIS Paris

Consultant Senior Microsoft [System Center]

mpicollet@event-horizon.emea.microsoftonline.com

Catégories :SCCM Étiquettes : , , , , , , , , ,
%d blogueurs aiment cette page :