Partager via

Processus Configuration Manager de configuration AMT pour la gestion hors bande

  • Article

Mis à jour: octobre 2009

S'applique à: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Les sections de cette liste de rubriques répertorient les événements de configuration AMT qui se produisent au cours du processus de configuration AMT dans Configuration Manager 2007 SP1 (ou version ultérieure), pour la configuration hors bande (sans le client Configuration Manager 2007 SP1 ou ultérieur) et pour la configuration intrabande (avec le client Configuration Manager 2007 SP1 ou ultérieur). Elles ne comprennent pas les actions de configuration que l'administrateur Configuration Manager doit réaliser pour prendre en charge ces procédures. Pour en savoir plus sur les informations de configuration, consultez Liste de vérification de l'administrateur : Activation de la gestion hors bande.

Notes

Les informations figurant dans cette rubrique s'appliquent uniquement à Configuration Manager 2007 SP1 et versions ultérieures.

Les événements de configuration répertoriés sont réalisés pour chaque ordinateur AMT dont Configuration Manager active la configuration AMT, que l'ordinateur n'ait jamais été configuré ou qu'il ait déjà été configuré et que ses informations de configuration aient été supprimées (partiellement ou totalement).

Processus de configuration AMT pour la gestion hors bande dans Configuration Manager

Lorsque l'ordinateur AMT est configuré hors bande par Configuration Manager, les événements se déroulent comme suit :

  1. Lors du premier démarrage par défaut, l'ordinateur AMT envoie un message de présence au point de service hors bande (une fois toutes les minutes durant cinq minutes, puis une fois toutes les cinq minutes durant une heure, et enfin une fois par heure durant 23 heures).

  2. Le point de service hors bande inspecte l'UUID et la liste des empreintes numériques du certificat dans le message de présence. Si l'UUID est inconnu de Configuration Manager (il n'a pas été importé par l'Assistant Importation d'ordinateur pour gestion hors bande), le message de présence est ignoré.

  3. Lorsque l'une des empreintes numériques de certificat envoyées dans le message de présence correspond à l'empreinte numérique du certificat racine pour le certificat de configuration AMR dans le magasin local de l'ordinateur, le point de service hors bande crée une connexion TLS sortante à l'aide du fournisseur de support de sécurité (SSP) Secure Channel (Schannel). Dans cette connexion, l'ordinateur AMT est le serveur, et le point de service hors bande est le client. Cette session de couche transport est établie par une négociation TLS :

    1. Le point de service hors bande envoie un message de présence client à l'ordinateur AMT avec une demande d'utilisation de SHA1.

    2. L'ordinateur AMT envoie un message de présence serveur au point de service hors bande avec sa clé publique et un certificat auto-signé.

    3. L'interface Security Support Provider Interface (SSPI) de Microsoft permet de créer le canal TLS.

    4. Le point de service hors bande envoie son certificat de configuration AMT et sa chaîne de certificat complète à l'ordinateur AMT avec l'OID de configuration AMT ou l'attribut de l'unité d'organisation d'Intel(R) Client Setup Certificate.

    5. L'ordinateur AMT établit la session TLS si les données suivantes du certificat de configuration coïncident : il compare le nom d'objet (CN) avec son propre espace de noms DNS ; l'OID avec l'OID de la configuration AMT (ou l'attribut OU) ; l'empreinte numérique du certificat racine de la chaîne de certificat avec l'empreinte numérique du certificat qu'il a stockée dans la mémoire du microprogramme AMT.

  4. Le point de service hors bande établit une connexion de couche application avec l'ordinateur AMT, en utilisant une authentification HTTP Digest :

    1. Le point de service hors bande envoie une demande SOAP à l'ordinateur AMT sans nom d'utilisateur ni mot de passe.

    2. L'ordinateur AMT répond au point de service hors bande avec un message réclamant une authentification, ce qui débouche sur une authentification HTTP Digest.

    3. Le point de service hors bande renvoie la demande SOAP avec la même charge utile à l'ordinateur AMT, en utilisant, cette fois, l'authentification HTTP Digest :

    4. L'ordinateur AMT reçoit un défi d'authentification, le traite et envoie une réponse de réussite ou d'échec au point de service hors bande.

  5. En cas d'échec de l'authentification HTTP Digest au cours de la connexion de couche application, le point de service hors service effectue une nouvelle tentative à l'aide d'un nom d'utilisateur et d'un mot de passe différents configurés dans Configuration Manager. Tous les noms d'utilisateur et mots de passe sont testés séquentiellement jusqu'à ce que l'authentification réussisse ou que la fin de la liste soit atteinte.

  6. Le point de service hors bande envoie une instruction au serveur de site pour créer un compte Active Directory dans le conteneur Active Directory configuré (unité d'organisation) ou pour définir le SPN de l'ordinateur AMT.

  7. L'ordinateur AMT subit alors la configuration initiale lancée par une demande SOAP du point de service hors bande :

    1. L'horloge AMT est synchronisée avec l'horloge Windows du point de service hors bande.

    2. Le nom d'hôte et le domaine AMT sont configurés à l'aide du nom d'hôte et du domaine de l'ordinateur fournis dans l'Assistant Importation d'ordinateur pour gestion hors bande.

    3. Le certificat demandé et récupéré est enregistré dans la mémoire du microprogramme AMT, puis l'authentification TLS est activée.

    4. Configuration Manager crée un mot de passe aléatoire fort pour le compte administrateur distant AMT et le stocke dans AMT.

    5. Configuration Manager peut remplacer le mot de passe MEBx avec le mot de passe fort défini dans la console Configuration Manager, selon qu'il a été précédemment modifié sur l'ordinateur AMT et dans la version d'AMT.

    6. Les paramètres sont enregistrés dans le microprogramme AMT, et l'état de celui-ci est réglé sur le mode opérationnel de la post-configuration.

  8. L'ordinateur AMT subit la seconde configuration lancée par une demande WinRM (Windows Remote Management) du point de service hors bande :

    1. Les listes de contrôle d'accès AMT sont supprimées et configurées selon les comptes et droits d'utilisateur AMT.

    2. Les paramètres AMT suivants sont activés s'ils le sont dans Configuration Manager : réponses Ping, console Web, connexion série sur réseau local, redirection IDE.

    3. Kerberos est activé. Pour Configuration Manager 2007 SP1, la gestion de l'alimentation est réglée sur 5 (si cette valeur par défaut n'est pas encore configurée), ce qui signifie que le microprogramme AMT a l'état d'alimentation Toujours actif sauf en cas de coupure électrique. Pour Configuration Manager 2007 SP2, la gestion de l'alimentation est réglée en fonction de la valeur de La gestion est activée dans l'état d'alimentation suivant dans l'onglet Paramètres AMT de la boîte de dialogue Propriétés de gestion hors bande.

    4. Pour Configuration Manager 2007 SP2 uniquement, les actions supplémentaires suivantes se produisent : Les profils sans fil sont supprimés, puis c'est le tour des certificats liés aux profils sans fil ou à la configuration réseau filaire 802.1X. La fonction sans fil d'AMT est détectée. Les profils sans fil et la configuration réseau filaire authentifiée 802.1X sont ensuite enregistrés dans AMT.

  9. Le point de service hors bande envoie les résultats du processus de configuration au serveur de site, qui met alors à jour la base de données Configuration Manager avec les informations suivantes sur l'ordinateur AMT : l'état AMT, le mot de passe MEBx et le mot de passe du compte administrateur distant AMT.

Processus de configuration AMT pour la gestion intrabande dans Configuration Manager

Lorsque l'ordinateur AMT possède une configuration intrabande réalisée par Configuration Manager, nécessitant le client Configuration Manager 2007 SP1, les événements se déroulent comme suit :

  1. Le client Configuration Manager 2007 SP1 (ou version ultérieure) télécharge sa stratégie client avec des instructions de lancement de la configuration AMT, puis effectue les vérifications suivantes :

    1. Le pilote Intel HECI est installé.

    2. L'empreinte numérique de l'autorité de certification racine du certificat de configuration AMT correspond à l'une des empreintes numériques de l'autorité de certification racine dans la mémoire AMT.

  2. L'agent du client AMT résidant sur le client Configuration Manager 2007 SP1 (ou version ultérieure) génère un mot de passe OTP aléatoire, le hache, envoie le hachage au serveur de site, puis active l'interface réseau AMT afin que l'ordinateur AMT soit prêt pour la configuration.

  3. Le serveur de site reçoit le hachage OTP et envoie une instruction au point de service hors bande pour lancer la configuration du client Configuration Manager 2007 SP1 (ou version ultérieure).

  4. Le point de service hors bande récupère le hachage OTP pour cet ordinateur AMT auprès du serveur site, puis le compare avec le hachage OTP rapporté par l'agent client AMT afin de vérifier l'identité de l'ordinateur AMT à configurer.

  5. L'ordinateur AMT envoie un message de présence au point de service hors bande au point de service hors bande, une fois toutes les minutes durant cinq minutes, puis une fois toutes les cinq minutes durant une heure, et enfin une fois par heure durant 23 heures. Cependant, ces paquets sont ignorés par le point de service hors bande car le client Configuration Manager 2007 SP1 (ou version ultérieure) est installé.

  6. Le point de service hors bande crée une connexion TLS sortante à l'aide du fournisseur de support de sécurité (SSP) Secure Channel (Schannel). Dans cette connexion, l'ordinateur AMT est le serveur, et le point de service hors bande est le client. Cette session de couche transport est établie par une négociation TLS :

    1. Le point de service hors bande envoie un message de présence client à l'ordinateur AMT avec une demande d'utilisation de SHA1.

    2. L'ordinateur AMT envoie un message de présence serveur au point de service hors bande avec sa clé publique et un certificat auto-signé.

    3. L'interface Security Support Provider Interface (SSPI) de Microsoft permet de créer le canal TLS.

    4. Le point de service hors bande envoie son certificat de configuration AMT et sa chaîne de certificat complète à l'ordinateur AMT avec l'OID de configuration AMT ou l'attribut de l'unité d'organisation d'Intel(R) Client Setup Certificate.

    5. L'ordinateur AMT établit la session TLS si les données suivantes du certificat de configuration coïncident : il compare le nom d'objet (CN) avec son propre espace de noms DNS ; l'OID avec l'OID de la configuration AMT (ou l'attribut OU) ; l'empreinte numérique du certificat racine de la chaîne de certificat avec l'empreinte numérique du certificat qu'il a stockée dans la mémoire du microprogramme AMT.

  7. Le point de service hors bande établit une connexion de couche application avec l'ordinateur AMT, en utilisant une authentification HTTP Digest :

    1. Le point de service hors bande envoie une demande SOAP à l'ordinateur AMT sans nom d'utilisateur ni mot de passe.

    2. L'ordinateur AMT répond au point de service hors bande avec un message réclamant une authentification, ce qui débouche sur une authentification HTTP Digest.

    3. Le point de service hors bande renvoie la demande SOAP avec la même charge utile à l'ordinateur AMT, en utilisant, cette fois, l'authentification HTTP Digest :

    4. L'ordinateur AMT reçoit un défi d'authentification, le traite et envoie une réponse de réussite ou d'échec au point de service hors bande.

  8. En cas d'échec de l'authentification HTTP Digest au cours de la connexion de couche application, le point de service hors service effectue une nouvelle tentative à l'aide d'un nom d'utilisateur et d'un mot de passe différents configurés dans Configuration Manager. Tous les noms d'utilisateur et mots de passe sont testés séquentiellement jusqu'à ce que l'authentification réussisse ou que la fin de la liste soit atteinte.

  9. Le point de service hors bande envoie une instruction au serveur de site pour créer un compte Active Directory dans le conteneur Active Directory configuré (unité d'organisation) ou pour définir le SPN de l'ordinateur AMT.

  10. L'ordinateur AMT subit alors la configuration initiale lancée par une demande SOAP du point de service hors bande :

    1. L'horloge AMT est synchronisée avec l'horloge Windows du point de service hors bande.

    2. Le nom d'hôte et de domaine AMT est configuré avec le nom d'hôte et de domaine de l'ordinateur. Le nom d'hôte et de domaine de l'ordinateur peut être récupéré à partir de la découverte du système ou de l'inscription du client lorsque ce dernier est affecté au site.

    3. Le certificat demandé et récupéré est enregistré dans la mémoire du microprogramme AMT, puis l'authentification TLS est activée.

    4. Configuration Manager crée un mot de passe aléatoire fort pour le compte administrateur distant AMT et le stocke dans AMT.

    5. Configuration Manager peut remplacer le mot de passe MEBx avec le mot de passe fort défini dans la console Configuration Manager, selon qu'il a été précédemment modifié sur l'ordinateur AMT et dans la version d'AMT.

    6. Les paramètres sont enregistrés dans le microprogramme AMT, et l'état de celui-ci est réglé sur le mode opérationnel de la post-configuration.

  11. L'ordinateur AMT subit la seconde configuration lancée par une demande WinRM (Windows Remote Management) du point de service hors bande :

    1. Les listes de contrôle d'accès AMT sont supprimées et configurées selon les comptes et droits d'utilisateur AMT.

    2. Kerberos est activé. Pour Configuration Manager 2007 SP1, la gestion de l'alimentation est réglée sur 5 (si cette valeur par défaut n'est pas encore configurée), ce qui signifie que le microprogramme AMT a l'état d'alimentation Toujours actif sauf en cas de coupure électrique. Pour Configuration Manager 2007 SP2, la gestion de l'alimentation est réglée en fonction de la valeur de La gestion est activée dans l'état d'alimentation suivant dans l'onglet Paramètres AMT de la boîte de dialogue Propriétés de gestion hors bande.

    3. Pour Configuration Manager 2007 SP2 uniquement, les actions supplémentaires suivantes se produisent : Les profils sans fil sont supprimés, puis c'est le tour des certificats liés aux profils sans fil ou à la configuration réseau filaire 802.1X. La fonction sans fil d'AMT est détectée. Les profils sans fil et la configuration réseau filaire authentifiée 802.1X sont ensuite enregistrés dans AMT.

  12. Le point de service hors bande envoie les résultats du processus de configuration au serveur de site, qui met alors à jour la base de données Configuration Manager avec les informations suivantes sur l'ordinateur AMT : l'état AMT, le mot de passe MEBx et le mot de passe du compte administrateur distant AMT.

Voir aussi

Concepts

À propos de la configuration AMT pour la gestion hors bande

Autres ressources

Référence technique pour la gestion hors bande

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.