System Center 2012 R2 Configuration Manager Zasady tworzenia paczek do automatycznej instalacji - aplikacje proste i wymagające Maciej Kuczyński, Inżynier Systemowy, Trener APN Promise S.A. Dariusz Wittek, Business Client Solution Architect Intel Corporation
Pakiet Historia Stan instalacji raportowany w oparciu o kody błędu instalatora Proces OSD to doskonały moment na wdrażanie oprogramowania Choć migracja z Windows XP do 8.1 to wyzwanie
DEMO
Pakiet Brak weryfikacji istnienia aplikacji w czasie Kłopot z wdrożeniem w istniejącym środowisku
Model aplikacyjny to tak naprawdę metoda wykrywania Badanie stanu przed i po instalacji Okresowa weryfikacja Elastyczność we wdrożeniu w istniejącym środowisku Modułowość
Sposoby (de)instalacji MSI App-V Skrypt (także pliki.exe)
DEMO
Metody wykrywania Guid Instalacji Plik (+data modyfikacji, wersja, rozmiar) Rejestr (+klucz istnieje, zawiera) Skrypt np. PowerShell (błędy!)
Zależności między aplikacjami Prerequisite Zmiana (wygaszanie) Upgrade (deinstalacja starszej wersji)
DEMO
Kiedy wprowadzać zmiany?
Wake On Lan (proxy?) Ogólne założenia Role Managera i Strażnika Tylko systemy klienckie Windows 7 i nowsze shutdown oficjalnie niewspierany Wirtualizacja nie wspierana Sposób wzbudzenia Bezpieczeństwo? Oszczędność?
MS System Center Configuration Manager 2012 Wykrywanie i zarządzanie Externaly Configured Intel vpro Technology Dariusz Wittek Intel EMEA Biz Client Solution Architect
Enterprise Remote Management Processor Virtualization HW Support Wireless Remote Management I/O Devices Virtualization HW Support Platform HW root of trust security Manage Remotely Beyond Firewall Remote HW KVM Redirection (with Intel processor GfX) KVM Resolution Enhancements (1920x1200) Ease of use Host Based Configuration Identity Protection Technology w. OTP KVM Enhancements (3 displays) Identity Protection Technology w. OTP, Secure Transaction Display & PKI PEAT KVM Resolution Enhancements (2560x1600) Graceful OS Shutdown WS MAN only Virtualization Enhancements (VMCS Shadowing, vgt) 2006 2007 2008 /2009 2010 2011 2012 2013
4-ta Generacja Intel Core i7/i5 vpro Processor 4 th Gen Intel Core i7/ i5 vpro Intel Virtualization Technology Intel VT-x w EPT VMCS Shadowing vgt Intel VT-d Intel Trusted Execution Technology Hardware based Root of Trust Measured and Verified boot with white list stored in TPM Chipset Intel Identity Protection Technology with PKI PC HW based Identity protection HW generated One Time Password Protected Transaction Display PEAT Platform Embeded Asymetric Token Intel Express QM87/Q87 ` Intel Ethernet Connection i217lm Intel Centrino 6200/6300 Network Intel Active Management Technology 9.0 HW based Out Of Band Remote Management KVM Remote Control (w. Intel processor graphics) TCP/IPv6 & IPv4 SOL/IDE-R Redirection, Boot Control Gracefull Shutdown
Zdalne sprzętowe zarządzanie - Intel AMT Zdalna diagnoza i naprawa PC 1 IT Help Desk Intel vpro Technology Intel Core i5 vpro Processor Intel Chipset Hard Drive Software Failure on Hard Drive Zdalny dostęp do HW przez port Intel LAN/WLAN przez TCP/IP - niezależnie od OS: Zdalne HW Inventory wyłączonych PC Zdalny Power Control - On/Off/Reset - Boot z HDD/PXE/ODD Gracefull OS Shutdown via IMSS Konsola tekstowa SOL Redirection (włącznie z dostępem do BIOS setup) Zdalna konsola graficzna KVM (BSD? ) Zdalne bootowanie IDE-R z obrazu zastępczego np. WinPE- Diagnostyka /Naprawa/ reinstalacja HDD /OS. Zastępczy OS System Defence -Sprzętowy Firewall Agent Presence 16 sprzętowych watchdogów Intel Network Adapter Business Employees
Intel Q77 Express Chipset Intel AMT Serial Over LAN Zdalny dostęp do BIOS setup Operating System BIOS Setup Booting... Starting recovery tools Intel Core Processor (CPU) Management Console Help Desk Server Intel PRO/1000 LAN PCH Manageability Engine Filters Sensors MAC FLASH BIOS NVM = System Off = System On = Out-of-band
IDE-R (+SOL) zdalny boot redirection
HW KVM Remote Control - IntelAMT 6+ KVM Remote Control dostępny tylko z procesorami Intel Core i7/i5 vpro i wymaga AMT 6 (Dual Core) lub AMT 7 + KVM remote control dla pełnej sprzętowej (Out-of Band) graficznej kontroli diagnostyki i naprawy Wideo wyświetlane na ekranie konsoli Management Console Zdalna kontrola klawiatury i myszki komputera zarządzanego PC z obsługą HW KVM Redirection
Obsługa Intel vpro w MS SCCM MS SCCM 2012 (i MS SCCM 2007 SP1 +) obsługuje natywnie konfigurację i zarządzanie Intel AMT oficjalnie w wersji od 3.2.1 do 6.x ( 2.2 do 8.x) przez rolę Out of Band Service Point (nie jest instalowana domyślnie) http://technet.microsoft.com/en-us/library/gg682118.aspx MS SCCM 2007 Natywna obsługa konfiguracji przez certyfikaty - Remote Configuration PKI-CH Obsługa konfiguracji Remote Configuration PSK przez opcjonalny Intel WS-Man Translator Obsługa Bare Metal configuration (Import OOB Computers) Pełna elastyczność konfiguracji AMT ACL Integracja z Intel SCS Natywne wykrywnie komputerów ze konfigurowanym Intel AMT z użyciem comon digest user Zarządzanie 1:1 przez Out of Band Management Console. Konfiguracja HBC wymaga użycia Intel User Consent Tool. Out of Band Power Management dla kolekcji wymaga użycia skryptów integracyjnych MS SCCM 2012 Natywna obsługa wyłącznie konfiguracji przez certyfikaty Remote Configuration Usunięto obsługę Intel WS-Man Translator, Remote Configuration PSK i Bare Metal Brak definicji różnych ustawień AMT ACL (PT Administrator dla każdego konta) Integracja z Intel SCS: Natywne wykrywnie komputerów ze konfigurowanym Intel AMT z użyciem comon digest user I/LUB kontem AD MS SCCM a Zarządzanie 1:1 i 1: Wielu (Collection Based) przez Out of Band Management Console skrypty integracyjne są opcjonalne http://support.microsoft.com/kb/2717295 Konfiguracja HBC wymaga użycia Intel User Consent Tool.
MS SCCM Out of Band Management Console.
Użycie AMT Power on Commands
Interfejsy API Intel AMT 2.x -9.x+ Management console Management commands via Intel AMT API PC Client Console-to-Client Protocol Chipset LAN Firmware BIOS, Etc. Internal Execution Protocol Other PC Before 2006 ASF 2.0 No standard 2006/2007 AMT v.2.x & 3.0-3.1 Intel AMT NI EOI + ASF Legacy support Intel AMT internal 2007-2012 2013+ AMT v.3.2-8.1 Intel AMT NI EOI (MS SCCM Configuration) + WS-MAN (MS SCCM Management) AMT 9+ WS-MAN only! Intel AMT implements DASH 1.0 & DASH 1.1 profiles + Intel AMT profiles for features not defined by DASH
MS SCCM Out of Band Management a AMT 9.x Ze względu na wew. konflikt architekturalny MS SCCM nie jest w stanie używać protokołu WS-MAN (Win RM) do konfiguracji Intel AMT, ale jest w stanie zarządzać skonfigurowanym Intel AMT Konieczne jest rozdzielenie procesu konfiguracji Intel AMT od zarządzania Intel AMT. Do konfiguracji Intel AMT należy używać bezpłatnego narzędzia Intel SCS 8.2/9.0 (z AD Integration i TLS) MS SCCM jest w stanie natywnie wykryć komputery z już skonfiguowaną technologią Intel AMT przez Discover Management Controlers Wykryte komputery zmieniają AMT Status z Detected lub Not Provisioned na Externally Provisioned (lub Provisioned dla SCCM 2007).
Integracja Intel SCS z MS SCCM Wymagane :AD Integration i TLS
Integracja Intel SCS z MS SCCM Wymagane :Konta Discovery i zarządzania dla SCCM
Integracja Intel SCS z MS SCCM MS SCCM wykrywa komputery z Intel AMT używając kolejno: 1. AMT Remote Admin Account (digest AMT admin account) jeśli konfigurowane przez MS SCCM 2. computer account of the out of band service point 3. AMT Provisioning and Discovery Account (skonfigurowane w out of band service point ) zgodnie z ustawieniami w Intel SCS.
Wykrywanie skonfigurowango Intel AMT
Wykrywanie skonfigurowango Intel AMT
Jak ucieć z więzienia konsoli? Rozszerzenie menu kontenstowego prawego klawisza i odwołania do : MS PowerShell Scripts for Intel vpro (Free) Intel Core vpro processor add-on for System Center Configuration Manager* (Free)
Jak ucieć z więzienia konsoli?
DEMO (jeśli czas pozwoli )
Pytania? Maciej Kuczyński, Inżynier Systemowy, Trener APN Promise S.A. Maciej.Kuczynski@promise.pl