AMT-Bereitstellungsvorgang für die Out-of-Band-Verwaltung in Configuration Manager
Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Der folgende Ablauf von Ereignissen tritt auf, wenn ein AMT-basierter Computer von System Center 2012 Configuration Manager bereitgestellt wird.
Vom Configuration Manager-Client wird die Clientrichtlinie mit der Anweisung zur AMT-Bereitstellungsinitiierung heruntergeladen und Folgendes überprüft:
Der Intel HECI-Treiber ist installiert.
Der AMT-Status ist Not Provisioned.Bei einem anderen Status wird der Bereitstellungsprozess beendet.
Vom Configuration Manager-Client wird ein zufälliges Einmalkennwort (one-time password, OTP) generiert und ein Hashwert dafür erstellt. Der Hash wird an den Standortserver gesendet, und die AMT-Netzwerkschnittstelle wird aktiviert. Anschließend kann der AMT-basierte Computer bereitgestellt werden.Bei AMT-basierten Computern mit Unterstützung für Funknetzwerkverbindungen wird zusätzlich die IP-Adresse der Kabelnetzwerkverbindung gesendet. Diese wird während der Bereitstellung verwendet, auch dann, wenn der AMT-basierte Computer über mehrere Netzwerkschnittstellen verfügt.
Vom Configuration Manager-Client werden über eine Zustandsmeldung Herstellerinformationen an den Standortserver gesendet.In diesen Informationen ist die AMT-Versionsnummer enthalten.
Vom Standortserver wird der OTP-Hash empfangen und dann innerhalb des konfigurierten Active Directory-Containers (oder innerhalb der konfigurierten Active Directory-Organisationseinheit) ein Active Directory-Konto erstellt. Dann wird der Dienstprinzipalname (Service Principal Name, SPN) für den AMT-basierten Computer festgelegt.Vom Standortserver wird eine Anweisung an den Out-of-Band-Dienstpunkt zum Starten der Bereitstellung für den Configuration Manager-Client gesendet.
Vom Out-of-Band-Dienstpunkt wird der OTP-Hash für diesen AMT-basierten Computer vom Standortserver abgerufen und mit dem OTP-Hash verglichen, der von der AMT-Firmware gemeldet wurde. Auf diese Weise wird die Identität des bereitzustellenden AMT-basierten Computers überprüft.
Vom Out-of-Band-Dienstpunkt werden das Active Directory-Konto und das Kennwort vom Standortserver abgerufen. Dann wird eine Anweisung zum Anfordern eines AMT-Webserverzertifikats für den AMT-basierten Computer an den Anmeldungspunkt gesendet.Vom Anmeldungspunkt wird die Identität des AMT-basierten Computers angenommen, um das AMT-Webserverzertifikat anzufordern.
Vom Out-of-Band-Dienstpunkt wird eine ausgehende TLS-Verbindung hergestellt, für die das AMT-Bereitstellungszertifikat und der Schannel SSP (Security Support Provider) verwendet werden.Bei dieser Verbindung übernimmt der AMT-basierte Computer die Rolle des Servers und der Out-of-Band-Dienstpunkt die des Clients.Zu ihrer Einrichtung wird der TLS-Handshake verwendet:
Vom Out-of-Band-Dienstpunkt wird eine "Hello"-Clientmeldung mit einer SHA1-Anforderung an den AMT-basierten Computer gesendet.
Vom AMT-basierten Computer werden eine "Hello"-Servermeldung sowie der öffentliche Schlüssel mit einem selbstsignierten Zertifikat an den Out-of-Band-Dienstpunkt gesendet.
Für die Einrichtung des TLS-Kanals kommt die Microsoft Security Support Provider-Schnittstelle (SSPI) zum Einsatz.
Vom Out-of-Band-Dienstpunkt werden das AMT-Bereitstellungszertifikat und die komplette Zertifikatskette an den AMT-basierten Computer gesendet, wobei die spezifische Objekt-ID für die AMT-Bereitstellung (OID) oder das OU-Attribut von Intel(R) Client Setup Certificate mit angegeben wird.
Der AMT-basierten Computer überprüft, ob Folgendes für die AMT-bereitstellungszertifikat, und wenn diese erfolgreich übereinstimmen, wird die TLS-Sitzung: Antragstellername (CN) einen eigenen DNS-Namespace, die OID für die OID für die AMT-Bereitstellung (bzw. OU-Attribut) und den Zertifikatfingerabdruck des Stammzertifikats aus der Zertifikatskette den Fingerabdruck des Zertifikats, das sie im AMT-Firmwarespeicher gespeichert wurde.
Vom Out-of-Band-Dienstpunkt wird eine Verbindung auf Anwendungsebene mit dem AMT-basierten Computer hergestellt. Hierbei kommt die HTTP-Digestauthentifizierung zum Einsatz:
Es wird eine SOAP-Anforderung ohne Benutzername und Kennwort vom Out-of-Band-Dienstpunkt an den AMT-basierten Computer gesendet.
Der AMT-basierte Computer reagiert auf die Anforderung mit einer „authentication needed“-Antwort, welche die HTTP-Digestauthentifizierung zur Folge hat.
Die SOAP-Anforderung wird vom Out-of-Band-Dienstpunkt mit derselben Nutzlast erneut an den AMT-basierten Computer gesendet. Diesmal wird die HTTP-Digestauthentifizierung verwendet.
Vom AMT-basierten Computer wird die Authentifizierungsaufforderung beantwortet und ein Erfolg oder Fehler an den Out-of-Band-Dienstpunkt gemeldet.
Schlägt die HTTP-Digestauthentifizierung fehl, wird vom Out-of-Band-Dienstpunkt versucht, die Verbindung auf Anwendungsebene mit einem anderen in Configuration Manager konfigurierten Benutzernamen und Kennwort herzustellen.Es werden nacheinander alle Benutzernamen und Kennwörter geprüft, bis die Authentifizierung entweder erfolgreich war oder keine Benutzernamen und Kennwörter übrig bleiben.
Die erste Bereitstellungsstufe für den AMT-basierten Computer wird durch eine SOAP-Anforderung des Out-of-Band-Dienstpunkts initiiert:
Die AMT-Zeit wird mit der Windows-Zeit vom Out-of-Band-Dienstpunkt synchronisiert.
AMT-Hostname und Domäne werden mithilfe des Hostnamens und der Domäne des Computers konfiguriert.Host- und Domänenname des Computers können bei der Zuweisung des Clients zum Standort aus der Systemermittlung oder der Clientregistrierung abgerufen werden.
Das angeforderte und abgerufene Zertifikat wird im AMT-Firmwarespeicher gespeichert, und die TLS-Authentifizierung wird aktiviert.
Von Configuration Manager wird ein zufälliges und sicheres Kennwort für das AMT-Remoteverwaltungskonto erstellt und in AMT gespeichert.
Abhängig davon, ob das MEBx-Kennwort zuvor auf dem AMT-basierten Computer bzw. in AMT geändert wurde, wird es möglicherweise von Configuration Manager neu konfiguriert, und das sichere Kennwort, das in der Configuration Manager-Konsole erstellt wurde, wird übernommen.
Die Einstellungen werden in der AMT-Firmware gespeichert, und der AMT-Firmwarestatus wird auf den Betriebsmodus nach der Bereitstellung gesetzt.
Die zweite Bereitstellungsstufe für den AMT-basierten Computer wird durch eine WinRM-Anforderung (Windows-Remoteverwaltung) des Out-of-Band-Dienstpunkts initiiert:
Die AMT-Zugriffssteuerungslisten (Access Control Lists, ACLs) werden geleert und den AMT-Benutzerkonten und -rechten entsprechend konfiguriert.
Kerberos wird aktiviert. Im Dialogfeld Eigenschaften für die Out-of-Band-Verwaltungskomponente wird auf der Registerkarte AMT-Einstellungen das Energieschema entsprechend des für Verwaltbarkeit ist in folgendem Energiezustand aktiviert konfigurierten Werts festgelegt.Zusätzlich werden die weiteren AMT-Einstellungen, wie z. B. Weboberfläche aktivieren, Serial over LAN- und IDE-Umleitung aktivieren und Pingantworten zulassen, entsprechend der im Dialogfeld Erweiterte AMT-Einstellungen konfigurierten Werte festgelegt.
Wenn Sie 802.1X-Optionen konfiguriert haben, werden die folgenden zusätzlichen Aktionen ausgeführt: Alle vorhandenen Funkprofile werden ebenso gelöscht wie sämtliche Zertifikate, die mit einem Funkprofil oder der 802.1X-Kabelnetzwerkkonfiguration verknüpft sind, und die AMT-Funkfunktion wird ermittelt.Wenn bestimmte Zertifikate für die 802.1X-Unterstützung erforderlich sind, wird vom Out-of-Band-Dienstpunkt eine Anweisung an den Anmeldungspunkt zum Anfordern der Zertifikate für den AMT-basierten Computer gesendet. Vom Anmeldungspunkt wird dann zur Anforderung dieser Zertifikate die Identität des AMT-basierten Computers angenommen.Die Funkprofile und die 802.1X-Kabelnetzwerkkonfiguration werden anschließend in AMT gespeichert.
Die Out-of-Band-Dienstpunkt sendet die Ergebnisse der im Rahmen des Bereitstellungsprozesses auf dem Standortserver dann aktualisiert die Configuration Manager Datenbank verwenden Sie die folgende Informationen zu den AMT-basierten Computer: AMT-Status, MEBx-Kennwort, das AMT-Remote-Administratorkennwort.