Sdílet prostřednictvím


AMT zřizování pro Správa mimo síť v nástroji Configuration Manager

 

Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Následující toku události dojde při zřízení počítači s procesorem AMT podle System Center 2012 Configuration Manager.

  1. Configuration Manager Klienta soubory ke stažení pro jeho zásady klienta s pokyny k zahájení zřizování AMT a provede následující kontroly:

    1. Ovladač Intel HECI je nainstalován.

    2. Stav AMT je Not Provisioned.Další stav zastaví zřizování rozděleno.

  2. Configuration Manager Klienta generuje náhodné jednorázové heslo (OTP), hashuje jej, odešle hodnotu hash na webový server a potom aktivuje AMT síťového rozhraní tak, aby počítač se systémem AMT je připravena pro zřizování.Pro počítače platformy AMT, které podporují připojení k bezdrátové síti odešlou také jejich tradiční sítě IP adresa, která má být použita při zřizování, i když má počítač se systémem AMT více síťových rozhraní.

  3. Configuration Manager Klient odešle AMT manufacturing informace do webového serveru pomocí zprávy o stavu.Tyto informace zahrnují číslo verze AMT.

  4. Webový server přijme hodnotu hash OTP a poté vytvoří účet služby Active Directory v nakonfigurované služby Active Directory kontejner (nebo organizační jednotku) a nastaví hlavní název služby pro počítač se systémem AMT.Webový server pak odešle pokyn mimo pásmo bodu služby ke spuštění zřizování pro Configuration Manager klienta.

  5. Mimo pásmo služby kombinací hodnoty hash pro tento počítač z webového serveru a porovnává je s hodnotou hash OTP pro ověření totožnosti počítač se systémem AMT je nutno zajistit hlášené firmwaru AMT načte bodu.

  6. Mimo pásmo bodu služby načte účet služby Active Directory a hesla z webového serveru a pak odešle pokyn k bodu registrace na žádost certifikát webového serveru AMT pro počítač se systémem AMT.Bod registrace vytvoří počítač se systémem AMT s žádostí o certifikát AMT webového serveru.

  7. Vytvoří odchozí připojení protokol TLS mimo pásmo bodu služby pomocí AMT zřizování certifikát a zprostředkovatele pro podporu zabezpečení Secure Channel (Schannel) (SSP).V toto připojení počítače se systémem AMT je server a mimo pásmo bodu služby je klient.Tento přenos vrstvy relace pomocí metody TLS handshaking:

    1. Mimo pásmo bodu služby odešle klient "Ahoj" zprávu do počítače se systémem AMT a žádá o použití SHA1.

    2. Počítač se systémem AMT odešle na server zprávu "Ahoj" mimo pásmo bodu služby a odešle svůj veřejný klíč s certifikát podepsaný svým držitelem.

    3. Microsoft zabezpečení Support Provider Interface (SSPI) se používá k vytvoření kanálu TLS.

    4. Mimo pásmo bodu služby, odešle jeho AMT zřizování certifikát a jeho řetěz certifikátů úplná na počítači se systémem AMT s konkrétní AMT zřizování identifikátor objektu (OID) nebo organizační jednotku atributu Intel(R) Client Setup Certificate.

    5. Počítač se systémem AMT kontroluje následující pro AMT zřizování certifikátu a pokud úspěšně odpovídají, vytvoří relaci TLS: název subjektu (CN) proti vlastní obor názvů DNS, OID proti OID pro zřizování AMT (nebo atribut OU) a kryptografický otisk certifikátu kořenového certifikátu z řetězu certifikátů proti kryptografický otisk certifikátu, které jsou uloženy v paměti firmwaru AMT.

  8. Mimo pásmo bodu služby zavádí vrstvy připojení k aplikaci s počítači se systémem AMT pomocí ověřování algoritmem Digest protokolu HTTP:

    1. Požadavek SOAP se odesílá z mimo pásmo bodu služby do AMT počítač se systémem, bez jakékoli uživatelské jméno a heslo.

    2. Počítač se systémem AMT reaguje na mimo pásmo bodu služby "ověřování potřebná" odpovědí, která má za následek ověřování algoritmem HTTP Digest.

    3. Mimo pásmo bodu služby znovu odešle požadavek protokolu SOAP s stejné datové části AMT do počítače se systémem, tento čas pomocí ověřování algoritmem Digest protokolu HTTP.

    4. Počítač se systémem AMT dokončí výzvu ověřování a odešle odpověď úspěch nebo neúspěch mimo pásmo bodu služby.

  9. Pokud ověřování algoritmem Digest protokolu HTTP se nezdařilo během layer připojení aplikace, retries mimo pásmo bodu služby pomocí jiného uživatelského jména a hesla, který byl nakonfigurován v Configuration Manager.Všechna uživatelská jména a hesla jsou pokusili postupně dokud ověření úspěšné, nebo nejsou žádné další uživatelská jména a hesla.

  10. Počítač se systémem AMT projde první fázi zřizování, iniciován požadavek SOAP z mimo pásmo bodu služby:

    1. Čas AMT synchronizována s systémový čas z mimo pásmo bodu služby.

    2. Název hostitele AMT a doména je nakonfigurován s použitím názvu hostitele počítače a domény.Hostitele počítače i název domény může načíst ze zjišťování systému nebo z registrace klienta a je-li klient přiřazen k webu.

    3. Požadovaný a načtený certifikát je uložen do paměti firmwaru AMT a je povoleno ověřování TLS.

    4. Configuration Manager vytváří náhodné a silné heslo pro účet správce vzdálené AMT a ukládá tato hodnota v částka

    5. Configuration Manager může změnit konfiguraci MEBx heslo, silné heslo v konfigurována Configuration Manager konzoly, a to v závislosti na tom, zda je došlo ke změně dříve v počítači se systémem AMT a na verzi produktu částka

    6. Nastavení jsou uloženy ve firmwaru AMT a stav firmwaru AMT je nastaven na provozní režim zřizování post.

  11. Počítač se systémem AMT projde druhé fáze zřizování, iniciován požadavek ze mimo pásmo bodu služby Vzdálená správa systému Windows (WinRM):

    1. Seznamy ACL AMT jsou odstraněna a nakonfigurován podle AMT uživatelských účtů a práva.

    2. Je povoleno pomocí protokolu Kerberos a v z vlastnosti komponenty vzdálené správy dialogovém na AMT nastavení na kartě schéma napájení je nastaven podle konfigurovanou hodnotu pro správy je na v následujícím stavu napájení.Kromě toho další AMT nastavení, jako je například Povolit webové rozhraní, Povolit sériové prostřednictvím sítě LAN a rozhraní IDE přesměrování, a Povolit ping odpovědi, jsou nastaveny také podle nakonfigurovaného hodnot v AMT Upřesnit nastavení dialogového okna.

    3. Pokud jste nakonfigurovali všechny možnosti protokolu 802. 1 X, dojít k provedení dalších akcí: Budou odstraněny všechny existující profily bezdrátové sítě, žádné certifikáty týkající se bezdrátových profilů nebo 802. 1 X konfigurace pevné sítě budou odstraněny a bezdrátové schopnosti AMT není nalezeno.Pokud je vyžadováno žádné certifikáty pro podporu protokolu 802. 1 X, mimo pásmo bodu služby odešle pokyn k bodu registrace vyžádat certifikáty pro počítač se systémem AMT a bod registrace představuje počítač se systémem AMT s žádostí o tyto certifikáty.Profily a 802. 1 X konfigurace ověřený pevné sítě jsou pak uloženy do částka

  12. Mimo pásmo bodu služby odešle do webového serveru, který pak aktualizuje výsledky zřizování rozděleno Configuration Manager databáze, a použijte následující informace o počítači se systémem AMT: stav AMT, MEBx heslo, heslo AMT vzdálený správce.

Viz také

Technická referenční příručka pro správu Band v produktu Configuration Manager