Процесс инициализации AMT для использования аппаратного контроллера управления в Configuration Manager
Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
При выполнении инициализации AMT-компьютера с помощью System Center 2012 Configuration Manager происходит следующее.
Клиент Configuration Manager загружает политику клиента с инструкциями по запуску инициализации AMT и выполняет перечисленные ниже проверки:
драйвер Intel HECI установлен;
состояние AMT — Not Provisioned.Все другие состояния останавливают процесс инициализации.
Клиент Configuration Manager создает случайный одноразовый пароль, хэширует его и отправляет хэш на сервер сайта, а затем активирует сетевой интерфейс AMT, чтобы подготовить компьютеры, поддерживающие AMT, к инициализации.Для AMT-компьютеров, поддерживающих подключение по беспроводной сети, также отправляется IP-адрес в проводной сети, который будет использоваться во время инициализации, даже если у AMT-компьютера несколько сетевых интерфейсов.
Клиент Configuration Manager отправляет сведения изготовителя AMT на сервер сайта, используя сообщение о состоянии.Эта информация включает номер версии AMT.
Сервер сайта получает хэш одноразового пароля, а затем создает учетную запись Active Directory в заданном контейнере (или подразделении) Active Directory и имя участника-службы для AMT-компьютеров.После этого сервер сайта отправляет инструкцию точке обслуживания аппаратного контроллера управления, чтобы запустить инициализацию для клиента Configuration Manager.
Точка обслуживания аппаратного контроллера управления получает с сервера сайта хэш одноразового пароля для такого AMT-компьютера и сравнивает его с хэшем пароля, переданным встроенным программным обеспечением AMT, чтобы подтвердить подлинность инициализируемого компьютера.
Точка обслуживания аппаратного контроллера управления получает учетную запись Active Directory и пароль с сервера сайта, а затем отправляет точке регистрации инструкцию для запроса сертификата веб-сервера AMT для AMT-компьютеров.Точка регистрации олицетворяет AMT-компьютер, чтобы запросить сертификат веб-сервера AMT.
Точка обслуживания аппаратного контроллера управления создает исходящее TLS-подключение, используя сертификат инициализации AMT и поставщик поддержки безопасности (SSP) Schannel.В этом подключении AMT-компьютер является сервером, а точка обслуживания аппаратного контроллера управления — клиентом.Этот сеанс транспортного уровня создается с помощью подтверждения TLS.
Точка обслуживания аппаратного контроллера управления отправляет клиентское сообщение Hello AMT-компьютеру и запрашивает использование алгоритма SHA1.
AMT-компьютер отправляет серверное сообщение Hello точке обслуживания аппаратного контроллера управления и передает открытый ключ с самозаверяющим сертификатом.
Для создания канала TLS используется интерфейс SSPI (Майкрософт).
Точка обслуживания аппаратного контроллера управления отправляет сертификат инициализации AMT и полную цепочку сертификатов AMT-компьютеру, указывая конкретный идентификатор объекта (OID) инициализации AMT или атрибут подразделения Intel(R) Client Setup Certificate.
AMT-компьютер проверяет для сертификата инициализации AMT следующие и, если они совпадают, создает сеанс TLS: имя субъекта (CN) к собственным пространством имен DNS, OID OID для инициализации AMT (или атрибутом Подразделения) и отпечаток сертификата корневого сертификата из цепочки сертификатов с отпечатком сертификата, хранящимся в памяти встроенного по AMT.
Точка обслуживания аппаратного контроллера управления устанавливает подключение уровня приложения к AMT-компьютеру используя дайджест-проверку подлинности HTTP.
Запрос SOAP передается с точки обслуживания аппаратного контроллера управления на AMT-компьютер без указания имени пользователя и пароля.
AMT-компьютер отвечает точке обслуживания аппаратного контроллера управления, передавая ответ "требуется проверка подлинности", в результате чего выполняется дайджест-проверка подлинности HTTP.
Точка обслуживания аппаратного контроллера управления еще раз отправляет запрос SOAP с теми же полезными данными AMT-компьютеру, используя в этот раз дайджест-проверку подлинности HTTP.
AMT-компьютер завершает запрос проверки подлинности и передает ответ об успешном или неудачном прохождении точке обслуживания аппаратного контроллера управления.
Если во время подключения уровня приложения происходит сбой дайджест-проверки подлинности HTTP, точка обслуживания аппаратного контроллера управления повторяет попытку, используя другое имя пользователя и пароль, настроенные в Configuration Manager.Попытка пройти проверку подлинности повторяется для всех имен пользователей и паролей по очереди до тех пор, пока проверка подлинности не будет выполнена или не исчерпается список имен и паролей.
AMT-компьютер проходит первоначальную инициализацию, запускаемую запросом SOAP, переданным точке обслуживания аппаратного контроллера управления.
Время AMT синхронизируется с временем Windows точки обслуживания аппаратного контроллера управления.
Имя узла и домена AMT задаются на основе имени узла и домена компьютера.Сведения об имени узла и домена компьютера можно получить из данных обнаружения системы или регистрации клиента, когда клиент назначается сайту.
Запрошенный и полученный сертификат сохраняется в память встроенного программного обеспечения AMT и включается проверка подлинности TLS.
Configuration Manager создает случайный надежный пароль для учетной записи удаленного администратора AMT и сохраняет его в AMT.
Configuration Manager может изменить пароль MEBx, заменив его надежным паролем, заданным в консоли Configuration Manager, в зависимости от версии AMT, а также от того, менялся ли он ранее на AMT-компьютере.
Параметры сохраняются во встроенном программном обеспечении AMT и для состояния встроенного программного обеспечения задается значение рабочего режима после инициализации.
AMT-компьютер проходит второй этап инициализации, запускаемый запросом службы удаленного управления Windows (WinRM), переданным точке обслуживания аппаратного контроллера управления.
Списки управления доступом AMT удаляются и настраиваются в соответствии с учетными записями пользователей и правами AMT.
Включается протокол Kerberos, и в диалоговом окне Свойства компонента использования аппаратного контроллера управления на вкладке Параметры AMT схема управления питанием задается в соответствии со значением параметра Управляемость включена в следующем состоянии электропитания.Кроме того, другие параметры AMT, такие как Включить веб-интерфейс, Включить последовательную передачу по локальной сети и перенаправление IDE и Разрешить ответы на запросы проверки связи также задаются в соответствии со значениями параметров в диалоговом окне Расширенные параметры AMT
Если были настроены параметры 802.1X, выполняются следующие дополнительные действия: существующие профили беспроводных сетей удаляются; сертификаты, связанные с профилями беспроводной сети или конфигурацией проводной сети 802.1X, удаляются; обнаруживаются настройки беспроводной сети AMT.Если для поддержки среды 802.1X требуются какие-либо сертификаты, точка обслуживания аппаратного контроллера управления отправляет точке регистрации инструкцию, требующую запросить сертификаты для AMT-компьютеров, и точка регистрации олицетворяет AMT-компьютер для запроса таких сертификатов.Профили беспроводных сетей и конфигурация проводной сети 802.1X с проверкой подлинности сохраняются в AMT.
Точка обслуживания отправляет результаты процесса инициализации серверу сайта, который затем обновляет Configuration Manager базу данных следует использовать следующие сведения о AMT-компьютера: состояние AMT, пароль MEBx, пароль удаленного администратора AMT.