AMT 프로 비전에 대 한 대역외 관리 구성 관리자에서 프로세스
적용 대상: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
다음과 같은 이벤트 흐름이 발생 하 여 AMT 기반 컴퓨터를 프로 비전 될 때 System Center 2012 Configuration Manager합니다.
Configuration Manager 클라이언트 AMT 프로 비전을 시작 하기 위한 지침 클라이언트 정책을 다운로드 하 고 다음 검사를 수행 합니다.
Intel HECI 드라이버가 설치 되었습니다.
AMT 상태가 Not Provisioned합니다.다른 모든 상태는 프로 비전 프로세스를 중지합니다.
Configuration Manager 클라이언트는 임의 OTP (일회용 암호)을 생성, 해시, 해시를 사이트 서버로 보냅니다 및 AMT 기반 컴퓨터를 프로 비전 준비가 되도록 다음 AMT 네트워크 인터페이스를 활성화 합니다.AMT 기반 컴퓨터의 무선 네트워크 연결을 지 원하는 경우 AMT 기반 컴퓨터에 여러 네트워크 인터페이스 하는 경우에 프로 비전 하는 동안 사용 되는 유선된의 IP 주소를 보낼 수도 있습니다.
Configuration Manager 클라이언트 AMT 상태 메시지를 사용 하 여 제조 하는 사이트 서버에 대 한 정보를 보냅니다.이 정보는 AMT 버전 번호를 포함 합니다.
사이트 서버 OTP 해시 하 고 구성 된 Active Directory 컨테이너 (또는 OU)에서 Active Directory 계정을 만듭니다 받아 AMT 기반 컴퓨터에 대 한 SPN을 설정 합니다.사이트 서버 대역외 서비스 지점에 대 한 프로 비전 시작 중에 명령을 보냅니다는 Configuration Manager 클라이언트입니다.
대역외 서비스 지점 검색 OTP 프로 비전 할 AMT 기반 컴퓨터의 id를 확인 하는 AMT 펌웨어 보고 OTP 해시와 비교 하 여 확인 하 고 사이트 서버에서이 AMT 기반 컴퓨터에 대 한 해시입니다.
대역외 서비스 지점 사이트 서버에서 Active Directory 계정 및 암호를 검색 하 고 AMT 기반 컴퓨터에 대 한 AMT 웹 서버 인증서를 요청 하려면 등록 지점에 명령을 보냅니다.등록 지점 AMT 웹 서버 인증서를 요청 하려면 AMT 기반 컴퓨터를 가장 합니다.
대역외 서비스 지점에서 AMT 프로 비전 인증서 및 보안 채널 (Schannel) 보안 지원 공급자 (SSP)를 사용 하 여 아웃 바운드 TLS 연결을 만듭니다.이 연결에서 AMT 기반 컴퓨터는 서버, 및 대역외 서비스 지점의 아웃 클라이언트입니다.이 전송 계층 세션이 핸드셰이킹 TLS를 사용 하 여 설정 됩니다.
대역외 서비스 지점 AMT 기반 컴퓨터 및 s h a 1을 사용 하 여 요청에 클라이언트는 "hello 라는" 메시지를 보냅니다.
AMT 기반 컴퓨터를 대역외 서비스 지점 서버를 "Hello" 메시지를 보냅니다 및 자체 서명 된 인증서와 공개키를 보냅니다.
Microsoft 보안 지원 공급자 인터페이스 (SSPI)는 TLS 채널을 만드는데 사용 됩니다.
대역외 서비스 지점에 해당 AMT 프로 비전 인증서와 AMT 기반 컴퓨터에 전체 인증서 체인의 OU 특성 또는 개체 식별자 (OID) 프로 비전 특정 AMT 함께 보냅니다 Intel(R) Client Setup Certificate합니다.
AMT 기반 컴퓨터 AMT 프로 비전 인증서에 다음을 확인 하 고, 이러한 성공적으로 일치 하는 경우 TLS 세션을 설정 합니다.: 자체 DNS 네임 스페이스, AMT 프로 비전에 대 한 OID (또는 OU 특성)에 대 한 OID 및 AMT 펌웨어 메모리에 저장 된 인증서 지문에 대 한 인증서 체인에서 루트 인증서의 인증서 지문을 대해 주체 이름 (CN).
HTTP 다이제스트 인증을 사용 하 여 AMT 기반 컴퓨터와 응용 프로그램 계층 연결을 설정 하는 대역외 서비스 지점:
SOAP 요청은 다른 사용자 이름 및 암호 없이 AMT 기반 컴퓨터에 대역외 서비스 지점에서 전송 됩니다.
AMT 기반 컴퓨터는 그 HTTP 다이제스트 인증 결과 "인증 필요" 응답 대역외 서비스 지점에 응답 합니다.
대역외 서비스 지점을 다시 HTTP 다이제스트 인증을 사용 하 여이 이번 AMT 기반 컴퓨터에 동일한 페이로드를 사용 하 여 SOAP 요청을 보냅니다.
AMT 기반 컴퓨터가 인증 챌린지를 완료 하 고 대역외 서비스 지점에 성공 또는 실패 응답을 보냅니다.
대역외 서비스 지점을 다른 사용자 이름 및에 구성 된 암호를 사용 하 여 다시 시도 응용 프로그램 계층 연결 하는 동안 HTTP 다이제스트 인증에 실패 한 경우 Configuration Manager합니다.인증에 성공 하거나 더이상 사용자 이름 및 암호는 때까지 모든 사용자 이름 및 암호 순차적으로 시도 됩니다.
대역외 서비스 지점에서 SOAP 요청에 의해 시작 된 첫번째 단계 프로 비전, AMT 기반 컴퓨터를 거칩니다.
AMT 시간 대역외 서비스 지점에서 Windows 시간으로 동기화 됩니다.
AMT 호스트 이름 및 도메인 컴퓨터의 호스트 이름 및 도메인을 사용 하 여 구성 됩니다.컴퓨터의 호스트 및 도메인 이름을 검색 될 수 있습니다 클라이언트 등록 또는 시스템 검색에서 클라이언트는 사이트에 할당 된 경우.
요청 및 검색 된 인증서는 AMT 펌웨어 메모리에 저장 된 및 TLS 인증을 사용 합니다.
Configuration Manager AMT 원격 관리자 계정에 대 한 임의 및 강력한 암호를 만들고 및 리소스에서이 값을 저장 합니다.
Configuration Manager 에 구성 된 강력한 암호로 MEBx 암호가 다시 구성할 수는 Configuration Manager 여부 변경 된 이전에 AMT 기반 컴퓨터와 및 리소스의 버전에 따라 콘솔
설정은 AMT 펌웨어에 저장 됩니다 및 post 프로 비전의 운영 모드에는 AMT 펌웨어 상태가 설정 됩니다.
대역외 서비스 지점에서 Windows 원격 관리 (WinRM) 요청에 의해 시작 된 2 단계 프로 비전, AMT 기반 컴퓨터를 거칩니다.
AMT Acl 삭제 하 고 AMT 사용자 계정 및 권한에 따라 구성 됩니다.
Kerberos를 사용 및는 대역외 관리 구성 요소 속성 대화 상자의 AMT 설정을 탭, 전원 구성표에 대 한 구성된 값에 따라 설정 되어 관리 효율성 다음 전원 상태에서에.또한 다른 AMT 설정 같은 사용 웹 인터페이스, serial over LAN과 IDE 리디렉션을 사용 하도록 설정, 및 ping 응답을 허용, 구성 된 값에 따라 설정 됩니다는 AMT 고급 설정 대화 상자.
802.1 X 옵션을 구성한 경우에 다음과 같은 추가 동작 발생 합니다. 무선 프로필에는 모든 인증서와 관련 된 모든 기존 무선 프로필 삭제 됩니다 또는 802.1 X 유선된 네트워크 구성 삭제 되 고 AMT의 무선 기능 감지 됩니다.802.1 X를 지원 하기 위해 필요한 모든 인증서를 대역외 서비스 지점 AMT 기반 컴퓨터에 대 한 인증서를 요청 등록 지점에 명령을 보냅니다 하 고 이러한 인증서를 요청 하는 AMT 기반 컴퓨터를 가장 하는 등록 지점입니다.무선 프로필 및 802.1 X 인증된 유선된 네트워크 구성 및 리소스에 저장 됩니다.
대역외 서비스 지점 프로 비전 프로세스의 결과 업데이트 한 다음 사이트 서버로 보냅니다는 Configuration Manager AMT 기반 컴퓨터에 대 한 다음 정보를 사용 하 여 데이터베이스: AMT 상태; MEBx 암호가, AMT 원격 관리자 암호입니다.