帯域外管理の Configuration Manager AMT プロビジョニング プロセス
適用対象: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
このトピックのセクションでは、帯域外プロビジョニング (Configuration Manager 2007 SP1 以降のクライアントがインストールされていない場合) および帯域内プロビジョニング (Configuration Manager 2007 SP1 以降のクライアントがインストールされている場合) 用に Configuration Manager 2007 AMT プロビジョニング プロセス中に発生する AMT プロビジョニング イベントを一覧表示します。これらのセクションには、Configuration Manager 管理者がこれらのプロセスをサポートするために実行しなければならない構成アクションは含まれていません。構成情報については、「管理者チェックリスト :帯域外管理の有効化」を参照してください。
注意
このトピックの情報は、Configuration Manager 2007 SP1 のみに適用されます。
一覧のプロビジョニング イベントは、コンピュータが今までに一度もプロビジョニングされていないか、事前にプロビジョニングされているがプロビジョニング情報が (部分的または完全に) 削除されているかに関わらず、Configuration Manager が AMT 用にプロビジョニングするすべての AMT ベース コンピュータに対して実行されます。
Configuration Manager での帯域外管理用の AMT プロビジョニング プロセス
次の一連のイベントは、AMT ベース コンピュータが Configuration Manager によって帯域外でプロビジョニングされる場合に発生します。
製造元から届いた AMT ベース コンピュータを最初に起動したとき、コンピュータは "Hello" メッセージを帯域外サービス ポイントに送ります (最初は 5 分間に毎分 1 回、次は 1 時間に 5 分ごと、そして 23 時間に 1 時間ごと)。
帯域外サービス ポイントは、"Hello" メッセージで UUID および証明書の拇印の一覧を調査します。UUID が Configuration Manager には不明 (帯域外管理用コンピュータのインポート ウィザードでインポートされていない) である場合、"Hello" メッセージは破棄されます。
"Hello" メッセージで送られた証明書の拇印の 1 つがコンピュータ ストア内の AMT プロビジョニング証明書用のルート証明書の拇印と一致する場合、帯域外サービス ポイントはセキュリティで保護されたチャネル (Schannel) セキュリティ サポート プロバイダー (SSP) を使用して帯域外 TLS 接続を作成します。この接続では、AMT ベース コンピュータがサーバーで、帯域外サービス ポイントがクライアントです。このトランスポート層セッションは、TLS ハンドシェーキングによって確立されます。
帯域外サービス ポイントは、SHA1 の使用要求と一緒にAMT ベース コンピュータにクライアント "Hello" メッセージを 送ります。
AMT ベース コンピュータは、帯域外サービス ポイントにサーバー "Hello" メッセージを送り、自己署名入り証明書付きの公開キーを送ります。
TLS チャネルの作成に Microsoft セキュリティ サポート プロバイダー インターフェイス (SSPI) が使用されます。
帯域外サービス ポイントはその AMT プロビジョニング証明書と完全な証明書チェーンを、Intel(R) Client Setup Certificate の特定の AMT プロビジョニング OID または OU 属性と共に AMT ベース コンピュータに送ります。
AMT ベース コンピュータは、AMT プロビジョニング証明書に対して次の項目を確認し、これらが正常に一致すれば、TLS セッションを確立します。すなわち、 サブジェクト名 (CN) とその DNS 名前空間の一致、OID と AMT プロビジョニング (または OU 属性) の一致、および証明書チェーンからのルート証明書の証明書拇印と AMT ファームウェア メモリに保管した証明書の拇印との一致です。
帯域外サービス ポイントは、HTTP Digest 認証を使用して、AMT ベース コンピュータとアプリケーション層接続を確立します。
SOAP 要求が、ユーザー名およびパスワード無しで帯域外サービス ポイントから AMT ベース コンピュータに送られます。
AMT ベース コンピュータは、"認証を必要とする" 応答と一緒に帯域外サービス ポイントに応答し、その結果 HTTP Digest 認証が発生します。
帯域外サービス ポイントは、今度は HTTP Digest 認証を使用して、同じペイロードで SOAP 要求を AMT ベース コンピュータに再送信します。
AMT ベース コンピュータは認証チャレンジを完了し、成否の応答を帯域外サービス ポイントに送ります。
アプリケーション層の接続中にHTTP Digest 認証が失敗すると、帯域外サービス ポイントは Configuration Manager に構成されている別のユーザー名とパスワードを使用して認証を再試行します。すべてのユーザー名とパスワードが、認証に成功するまで、または使用できるユーザー名とパスワードがなくなるまで順番に試されます。
帯域外サービス ポイントは、構成済みの Active Directory コンテナ (または OU) に Active Directory アカウントを作成し、AMT ベース コンピュータ用に SPN を設定する指示をサイト サーバーに送ります。
AMT ベース コンピュータは、帯域外サービス ポイントからの SOAP 要求によって開始される第 1 段階のプロビジョニングを実行します。
AMT の時刻が帯域外サービス ポイントから Windows 時間と同期されます。
AMT ホスト名とドメインは、帯域外管理用コンピュータのインポート ウィザードで提供されているコンピュータのホスト名とドメインで構成されます。
要求され、取得された証明書は AMT ファームウェア メモリに保存され、TLS 認証が有効にされます。
Configuration Manager は AMT リモート管理アカウント用にランダムで強力なパスワードを作成し、この値を AMT に保存します。
Configuration Manager では、AMT ベースのコンピュータおよび AMT のバージョンで MEBx パスワードが以前に変更されているかどうかによって、Configuration Manager コンソールで構成済みの強力なパスワードで MEBx パスワードを再構成する場合があります。
設定は AMT ファームウェアに保存され、AMT ファームウェアの状態はプロビジョニング後の動作モードに設定されます。
AMT ベース コンピュータは、帯域外サービス ポイントからの Windows Remote Management (WinRM) 要求によって開始される第 2 段階のプロビジョニングを実行します。
AMT ACL は、AMT ユーザー アカウントおよび権限に基づいて削除され、構成されます。
次の AMT 設定が、Configuration Manager で有効化された場合に有効となります: Ping への応答、Web コンソール、Serial over LAN、IDE リダイレクト。
Kerberos が有効にされ、Configuration Manager 2007 SP1 に対しては電源スキームが 5 に設定されます (既定値である 5 に構成されていない場合)。これは、停電時を除いて AMT ファームウェアの電源状態が常にオンであることを意味します。Configuration Manager 2007 SP2 に対しては、電源スキームが [帯域外管理プロパティ] ダイアログ ボックスの [AMT 設定] タブにある [以下の電源状態で管理容易性がオン] への構成値に基づいて設定されます。
Configuration Manager 2007 SP2 にのみ、次の追加アクションが発生します: 既存のワイヤレス プロファイルの削除、ワイヤレス プロファイルまたは 802.1X 有線ネットワーク構成に関連付けられたすべての証明書の削除、AMT の無線機能の検出。次に、ワイヤレス プロファイルと 802.1X 認証有線ネットワーク構成が AMT に保存されます。
帯域外サービス ポイントは、プロビジョニング プロセスの結果をサイト サーバーに送り、サイト サーバーは、AMT 状態、MEBx パスワード、AMT リモート管理のパスワードといった AMT ベース コンピュータに関する情報で Configuration Manager を更新します。
Configuration Manager での帯域内管理用の AMT プロビジョニング プロセス
次の一連のイベントは、AMT ベース コンピュータが Configuration Manager 2007 SP1 クライアントを必要とする Configuration Manager によって帯域内でプロビジョニングされる場合に発生します。
Configuration Manager 2007 SP1 以降のクライアントは、AMT プロビジョニングを開始する指示を伴うクライアント ポリシーをダウンロードし、次のチェックを実行します。
Intel HECI ドライバーがインストールされていること。
AMT プロビジョニング証明書のルート CA の拇印が AMT メモリ内のルート CA 証明書の拇印の 1 つの一致すること。
Configuration Manager 2007 SP1 以降のクライアントの AMT クライアント エージェントは、ランダムの 1 回限りのパスワード (OTP) を生成し、ハッシュし、サイト サーバーにハッシュを送り、次に AMT ベース コンピュータにプロビジョニングの準備が整うように AMT ネットワーク インターフェースを起動します。
サイト サーバーは OTP ハッシュを受け取り、Configuration Manager 2007 SP1 以降のクライアント用にプロビジョニングを開始する指示を帯域外サービス ポイントに送ります。
帯域外サービス ポイントはこの AMT ベース コンピュータ用の OTP ハッシュをサイト サーバーから取得し、AMT クライアント エージェントからレポートされた OTP ハッシュと比較して、プロビジョニングされる AMT ベース コンピュータの ID を検証します。
AMT ベース コンピュータは "Hello" メッセージを帯域外サービス ポイントに送ります (最初は 5 分間に毎分 1 回、次は 1 時間に 5 分ごと、そして 23 時間に 1 時間ごと)。ただし、Configuration Manager 2007 SP1 以降のクライアントがインストールされているため、これらのパケットは帯域外サービス ポイントによって破棄されます。
帯域外サービス ポイントは、AMT プロビジョニング証明書およびセキュリティで保護されたチャネル (Schannel) セキュリティ サポート プロバイダー (SSP) を使用して、帯域外 TLS 接続を作成します。この接続では、AMT ベース コンピュータがサーバーで、帯域外サービス ポイントがクライアントです。このトランスポート層セッションは、TLS ハンドシェーキングによって確立されます。
帯域外サービス ポイントは、SHA1 の使用要求と一緒にAMT ベース コンピュータにクライアント "Hello" メッセージを 送ります。
AMT ベース コンピュータは、帯域外サービス ポイントにサーバー "Hello" メッセージを送り、自己署名入り証明書付きの公開キーを送ります。
TLS チャネルの作成に Microsoft セキュリティ サポート プロバイダー インターフェイス (SSPI) が使用されます。
帯域外サービス ポイントはその AMT プロビジョニング証明書と完全な証明書チェーンを、Intel(R) Client Setup Certificate の特定の AMT プロビジョニング OID または OU 属性と共に AMT ベース コンピュータに送ります。
AMT ベース コンピュータは、AMT プロビジョニング証明書に対して次の項目を確認し、これらが正常に一致すれば、TLS セッションを確立します。すなわち、 サブジェクト名 (CN) とその DNS 名前空間の一致、OID と AMT プロビジョニング (または OU 属性) の一致、および証明書チェーンからのルート証明書の証明書拇印と AMT ファームウェア メモリに保管した証明書の拇印との一致です。
帯域外サービス ポイントは、HTTP Digest 認証を使用して、AMT ベース コンピュータとアプリケーション層接続を確立します。
SOAP 要求が、ユーザー名およびパスワード無しで帯域外サービス ポイントから AMT ベース コンピュータに送られます。
AMT ベース コンピュータは、"認証を必要とする" 応答と一緒に帯域外サービス ポイントに応答し、その結果 HTTP Digest 認証が発生します。
帯域外サービス ポイントは、今度は HTTP Digest 認証を使用して、同じペイロードで SOAP 要求を AMT ベース コンピュータに再送信します。
AMT ベース コンピュータは認証チャレンジを完了し、成否の応答を帯域外サービス ポイントに送ります。
アプリケーション層の接続中にHTTP Digest 認証が失敗すると、帯域外サービス ポイントは Configuration Manager に構成されている別のユーザー名とパスワードを使用して認証を再試行します。すべてのユーザー名とパスワードが、認証に成功するまで、または使用できるユーザー名とパスワードがなくなるまで順番に試されます。
帯域外サービス ポイントは、構成済みの Active Directory コンテナ (または OU) に Active Directory アカウントを作成し、AMT ベース コンピュータ用に SPN を設定する指示をサイト サーバーに送ります。
AMT ベース コンピュータは、帯域外サービス ポイントからの SOAP 要求によって開始される第 1 段階のプロビジョニングを実行します。
AMT の時刻が帯域外サービス ポイントから Windows 時間と同期されます。
AMT ホスト名とドメインが、コンピュータのホスト名とドメインで構成されます。コンピュータのホストとドメイン名は、システム検索からか、またはクライアントがサイトに割り当てられる場合はクライアント登録から取得される場合があります。
要求され、取得された証明書は AMT ファームウェア メモリに保存され、TLS 認証が有効にされます。
Configuration Manager は AMT リモート管理アカウント用にランダムで強力なパスワードを作成し、この値を AMT に保存します。
Configuration Manager では、AMT ベースのコンピュータおよび AMT のバージョンで MEBx パスワードが以前に変更されているかどうかによって、Configuration Manager コンソールで構成済みの強力なパスワードで MEBx パスワードを再構成する場合があります。
設定は AMT ファームウェアに保存され、AMT ファームウェアの状態はプロビジョニング後の動作モードに設定されます。
AMT ベース コンピュータは、帯域外サービス ポイントからの Windows Remote Management (WinRM) 要求によって開始される第 2 段階のプロビジョニングを実行します。
AMT ACL は、AMT ユーザー アカウントおよび権限に基づいて削除され、構成されます。
Kerberos が有効にされ、Configuration Manager 2007 SP1 に対しては電源スキームが 5 に設定されます (既定値である 5 に構成されていない場合)。これは、停電時を除いて AMT ファームウェアの電源状態が常にオンであることを意味します。Configuration Manager 2007 SP2 に対しては、電源スキームが [帯域外管理プロパティ] ダイアログ ボックスの [AMT 設定] タブにある [以下の電源状態で管理容易性がオン] への構成値に基づいて設定されます。
Configuration Manager 2007 SP2 にのみ、次の追加アクションが発生します: 既存のワイヤレス プロファイルの削除、ワイヤレス プロファイルまたは 802.1X 有線ネットワーク構成に関連付けられたすべての証明書の削除、AMT の無線機能の検出。次に、ワイヤレス プロファイルと 802.1X 認証有線ネットワーク構成が AMT に保存されます。
帯域外サービス ポイントは、プロビジョニング プロセスの結果をサイト サーバーに送り、サイト サーバーは、AMT 状態、MEBx パスワード、AMT リモート管理のパスワードといった AMT ベース コンピュータに関する情報で Configuration Manager を更新します。
参照:
概念
その他のリソース
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.