AMT-etablering pågår för out-of-Band-hantering i Configuration Manager
Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Följande flödet av händelser inträffar när en AMT-baserad dator har etablerats av System Center 2012 Configuration Manager.
Den Configuration Manager klienten hämtar policyn klienten med anvisningarna för att initiera AMT-etablering och utför följande kontroller:
Intel HECI drivrutinen är installerad.
AMT-status är Not Provisioned.Vilken status som helst stoppar allokering processen.
Den Configuration Manager klienten genererar ett slumpmässigt engångslösenord (OTP), kodar den, skickar hash till platsservern och sedan aktiverar AMT-nätverksgränssnitt så att AMT-baserad dator är redo för etablering.För AMT-baserade datorer som har stöd för trådlösa nätverksanslutningar skicka de även sina kabelanslutna IP-adress som ska användas vid etablering, även om AMT-baserad dator har flera nätverksgränssnitt.
Den Configuration Manager klienten skickar AMT tillverkning information till platsservern med hjälp av en meddelandefiler.Denna information inkluderar AMT-versionsnummer.
Platsservern får OTP hash och sedan skapar ett Active Directory-konto i konfigurerade Active Directory-behållare (eller Organisationsenhet) och anger SPN för AMT-baserad dator.Platsservern sedan skickar en instruktion till out-of-band-servicepunkten att starta etablering för den Configuration Manager klienten.
Out-of-band-tjänsten återställningspunkt hämtar OTP hash för den här AMT-baserad dator från platsservern och jämföra det med OTP hash rapporteras av AMT-programvaran att kontrollera identiteten på den AMT-baserad datorn som etableras.
Out-of-band-servicepunkten hämtar Active Directory-konto och lösenord från platsservern och skickar en instruktion till registreringsplatsen att begära en AMT-servercertifikat för AMT-baserad dator.Registreringsplatsen personifierar AMT-dator och begär AMT-servercertifikat.
Out-of-band-servicepunkten skapar en utgående TLS-anslutning med hjälp av AMT-etablering certifikat och Channels (Schannel) Security Support Provider (SSP).I det här projektet AMT-baserad dator är servern och out-of-band-servicepunkten är klienten.Den här transport layer sessionen upprättas med hjälp av TLS handskakning:
Out-of-band-servicepunkten skickar en klient "Hej" meddelande till AMT-baserad dator och förväntar sig att använda SHA1.
AMT-baserad dator skickar en server "Hej" meddelande till out-of-band-servicepunkten och skickar den offentliga nyckeln med ett självsignerat certifikat.
Microsoft Security Support Provider gränssnitt (SSPI) används för att skapa TLS-kanalen.
Out-of-band-servicepunkten skickar dess AMT-etablering certifikatet och dess fullständiga certifikatkedjan till AMT-baserad dator, med specifika AMT-etablering objektidentifierare (OID) eller Organisationsenhet attribut Intel(R) Client Setup Certificate.
AMT-baserad dator kontrollerar följande för AMT-etablering certifikat och, om dessa har matchar upprättar TLS-sessionen: subjektnamn (CN) mot en egen DNS-namnområdet, OID mot OID för AMT-etablering (eller Organisationsenhet attributet) och tumavtrycket för rotcertifikat från certifikatkedjan mot tumavtrycket som lagras i minnet för AMT-programvaran.
Out-of-band-servicepunkten upprättar ett program lager anslutning med den AMT-baserad datorn med hjälp av HTTP-sammanfattad autentisering:
SOAP-begäran skickas från out-of-band-servicepunkten till AMT-baserad dator, utan några användarnamn och lösenord.
AMT-baserad dator svarar på out-of-band-servicepunkten med ett autentiseringssvar "krävs" som innebär att HTTP sammanfattad autentisering.
Out-of-band-servicepunkten posttypen SOAP-begäran med samma nyttolast till AMT-baserad dator nu via HTTP sammanfattad autentisering.
AMT-baserad dator avslutar utmaning för autentisering och skickar ett lyckades eller misslyckades svar på out-of-band-servicepunkten.
Om HTTP Digest-autentisering misslyckades vid application layer anslutningen, out-of-band-servicepunkten försök med ett annat användarnamn och lösenord som har konfigurerats i Configuration Manager.Alla användarnamn och lösenord har försökt sekventiellt tills autentiseringen lyckas eller det finns inga fler användarnamn och lösenord.
AMT-baserad dator genomgår första fas etablering initieras av en SOAP-begäran från out-of-band-servicepunkten:
AMT-tid är synkroniserad med Windows-tid från out-of-band-servicepunkten.
AMT värdnamn och domän är konfigurerad med datorns värdnamn och domän.Datorns värd och domännamn kan hämtas från systemidentifiering eller klientregistrering när klienten är kopplat till webbplatsen.
Certifikatet begärda och hämtas sparas i minnet för AMT-inbyggd programvara och TLS-autentisering är aktiverad.
Configuration Manager skapar ett slumpmässigt och starkt lösenord för administratörskonto för AMT-Remote och lagrar värdet i belopp
Configuration Manager kan konfigurera MEBx lösenordet med starkt lösenord som konfigurerats i den Configuration Manager -konsolen, beroende på om den har ändrats tidigare AMT-baserad dator och versioner av belopp
Inställningarna sparas i AMT inbyggd programvara och AMT inbyggd programvara tillstånd är inställd på operativa läget för inlägg etablering.
AMT-baserad dator genomgår andra fas etablering initieras av en Windows Remote Management (WinRM) begäran från out-of-band-servicepunkten:
AMT-ACL bort och konfigurerats enligt AMT användarkonton och rättigheter.
Kerberos är aktiverat i den Out-of Band Management egenskaper dialogrutan den AMT-inställningar fliken schemat som anges enligt det konfigurerade värdet för hantering är på följande power.Dessutom finns de andra AMT-inställningarna, som Aktivera webbgränssnitt, Aktivera serienr över LAN och IDE omdirigeringen, och Tillåt ping-svar, också ange enligt de konfigurerade värdena i den AMT avancerade inställningar dialogrutan.
Om du har konfigurerat 802.1 X alternativ inträffar följande ytterligare åtgärder: Alla befintliga trådlösa profiler tas bort certifikat som rör trådlösa profiler eller 802.1 X kabelanslutna nätverkskonfiguration tas bort och trådlös funktion för AMT upptäcks.Om certifikat som krävs för att stödja 802.1 X, out-of-band-servicepunkten skickar en instruktion till registreringsplatsen att begära certifikat för AMT-baserad dator och registreringsplatsen personifierar AMT-baserad datorn för att begära dessa certifikat.Trådlösa profiler och 802.1 X autentiserad kabelanslutna nätverkskonfigurationen sparas till belopp
Out-of-band-servicepunkten skickar resultatet av allokering processen till platsservern uppdaterar sedan den Configuration Manager databasen kan du använda följande information om AMT-baserad dator: AMT-status, MEBx lösenord, AMT Remote Admin lösenord.