AMT inrichtingsproces voor out-of Bandbeheer in Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
De volgende stroom gebeurtenissen treedt op wanneer een AMT gebaseerde computer is ingericht door System Center 2012 Configuration Manager.
De Configuration Manager client-downloads voor de clientbeleid met instructies voor het initiëren AMT-levering en voert de volgende controles uit:
De Intel HECI-stuurprogramma is geïnstalleerd.
De status van de AMT Not Provisioned.Een andere status stopt tijdens het inrichtingsproces.
De Configuration Manager client genereert een willekeurig eenmalig wachtwoord (OTP), het hash-waarde, de hash naar de site-server worden verzonden en vervolgens de AMT-netwerkinterface geactiveerd, zodat de AMT gebaseerde computer gereed voor het inrichten is.Voor AMT-computers die ondersteuning bieden voor draadloze netwerkverbindingen, verzenden ze ook hun vaste IP-adres, die wordt gebruikt tijdens het inrichten, zelfs als de AMT gebaseerde computer meerdere netwerkinterfaces heeft.
De Configuration Manager client stuurt AMT productie-gegevens naar de site-server met een statusbericht.Deze informatie omvat de AMT-versienummer.
De site-server ontvangt de hash OTP en maakt u een Active Directory-account in de geconfigureerde Active Directory-container (of organisatie-eenheid) en stelt u de SPN voor de AMT gebaseerde computer.De site-server stuurt een instructie naar de buiten-uitzonderingsservicepunt starten inrichten voor de Configuration Manager client.
De buiten-band-punt haalt de OTP voor deze AMT gebaseerde computer van de siteserver en vergelijken met de OTP-hash gerapporteerd door de AMT-firmware om te controleren of de identiteit van de AMT gebaseerde computer moeten worden ingericht hash-service.
De buiten-band-servicepunt opgehaald van de Active Directory-account en het wachtwoord van de siteserver en stuurt een instructie naar het registratiepunt een AMT-Webservercertificaat voor de AMT gebaseerde computer aanvragen.Het registratiepunt de AMT gebaseerde computer om aan te vragen de AMT-Webservercertificaat geïmiteerd.
De buiten-band-servicepunt wordt een uitgaande TLS-verbinding gemaakt met de AMT inrichten certificaat en Secure Channel (Schannel) Security Support Provider (SSP).In deze verbinding de AMT gebaseerde computer is de server en de buiten-band-servicepunt is de client.Deze sessie transport laag tot stand is gebracht via TLS-handshaking:
De buiten-band-servicepunt stuurt een client "Hallo" bericht naar de AMT gebaseerde computer en aanvragen SHA1 gebruiken.
De AMT gebaseerde computer een server "Hallo" bericht verzonden naar de buiten-band-servicepunt en verzendt de openbare sleutel met een zelfondertekend certificaat.
Microsoft Security Support Provider Interface (SSPI) wordt gebruikt voor het maken van het TLS-kanaal.
De buiten-band-servicepunt verzendt de AMT certificaat en de volledige certificaatketen naar de AMT gebaseerde computer met de specifieke AMT inrichten object-id (OID) of organisatie-eenheid-kenmerk van het inrichten Intel(R) Client Setup Certificate.
De AMT gebaseerde computer controleert u de volgende onderwerpen voor de AMT certificaat inrichten, en als deze waarde wordt gevonden, wordt de TLS-sessie: de onderwerpnaam (CN) tegen een eigen DNS-naamruimte, de OID tegen de OID voor AMT-levering (of het kenmerk OE) en de certificaatvingerafdruk op van het basiscertificaat van de certificaatketen tegen de certificaatvingerafdruk die wordt opgeslagen in het geheugen van AMT-firmware.
De buiten-band-servicepunt via HTTP-verificatiesamenvatting tot stand brengt een toepassing layer-verbinding met de AMT-computer:
SOAP-aanvraag is verzonden vanuit de buiten-band-servicepunt naar de AMT gebaseerde computer, zonder een gebruikersnaam en wachtwoord.
De AMT gebaseerde computer reageert op de buiten-band-servicepunt met een verificatieantwoord "nodig", waardoor de HTTP-Digest-verificatie.
De buiten-band-servicepunt opnieuw met de dezelfde nettolading op AMT gebaseerde computer, de SOAP-aanvraag verzonden deze tijd via HTTP Digest-verificatie.
De AMT gebaseerde computer test voor de verificatie is voltooid en stuurt een reactie slagen of mislukken op de buiten-band-servicepunt.
Als de HTTP-Digest-verificatie is mislukt tijdens de verbinding van de laag toepassing, de buiten-band-servicepunt pogingen met behulp van een andere gebruikersnaam en wachtwoord dat is geconfigureerd in Configuration Manager.Alle gebruikersnamen en wachtwoorden worden opeenvolgend geprobeerd totdat de verificatie is geslaagd of er zijn niet meer gebruikersnamen en wachtwoorden.
De AMT gebaseerde computer ondergaat eerste fase inrichten, gestart door een SOAP-aanvraag uit de buiten-uitzonderingsservicepunt:
De AMT-tijd is gesynchroniseerd met de Windows-tijd van de buiten-band-servicepunt.
De AMT-hostnaam en het domein is geconfigureerd met behulp van de hostnaam en het domein van de computer.De computer host en domeinnaam kunnen worden opgehaald uit Systeemdetectie of uit clientregistratie wanneer de client is toegewezen aan de site.
Het aangevraagde en opgehaald certificaat wordt opgeslagen in het geheugen AMT firmware en TLS-verificatie is ingeschakeld.
Configuration Manager maakt een willekeurige en sterk wachtwoord voor de AMT-Account voor externe beheerder en slaat deze waarde in tot.
Configuration Manager kan pas de configuratie van het wachtwoord MEBx met de sterk wachtwoord is geconfigureerd in de Configuration Manager -console, al naar gelang is gewijzigd eerder op de AMT gebaseerde computer en de versie van bedrag
De instellingen worden opgeslagen in de AMT firmware en de status van de AMT-firmware is ingesteld op de operationele modus van het bericht inrichten.
De AMT gebaseerde computer ondergaat tweede fase inrichten, gestart door een aanvraag Windows Remote Management (WinRM) van de buiten-uitzonderingsservicepunt:
De AMT-ACL's zijn verwijderd en geconfigureerd volgens de AMT-gebruikersaccounts en rechten.
Kerberos is ingeschakeld, en in de Out of Band Management onderdeeleigenschappen dialoogvenster op de AMT-instellingen tabblad het schema is ingesteld op basis van de geconfigureerde waarde voor beheersbaarheid staat in de volgende energieniveau.Bovendien de andere AMT-instellingen, zoals inschakelen webinterface, seriële inschakelen via LAN en IDE-omleiding, en ping antwoorden toestaan, ook worden ingesteld op basis van de geconfigureerde waarden in de AMT geavanceerde instellingen in het dialoogvenster.
Als u 802. 1 X-opties hebt geconfigureerd, gebeurt het volgende aanvullende: Bestaande draadloze profielen zijn verwijderd, certificaten betrekking hebben op het draadloze profielen of 802. 1 X bekabelde netwerkconfiguratie worden verwijderd en het draadloze mogelijkheden van AMT wordt gedetecteerd.Als geen certificaten vereist zijn voor de ondersteuning van 802. 1 X, de buiten-band-servicepunt stuurt een instructie naar het registratiepunt om aan te vragen van de certificaten voor de AMT gebaseerde computer en het registratiepunt geïmiteerd de AMT gebaseerde computer om aan te vragen deze certificaten.Draadloze profielen en de 802. 1 X-geverifieerde bekabelde netwerkconfiguratie worden vervolgens opgeslagen in tot.
De buiten-band-servicepunt stuurt de resultaten van het inrichtingsproces naar de site-server vervolgens werkt de Configuration Manager database naar de volgende informatie over de AMT gebaseerde computer gebruiken: de AMT-status; MEBx wachtwoorden, AMT externe Admin-wachtwoord.