Processo para gestão fora de banda no Gestor de configuração de aprovisionamento de AMT
Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
O fluxo de eventos seguinte ocorre quando um computador baseado em AMT está aprovisionado por System Center 2012 Configuration Manager.
O Gestor de configuração cliente transfere a política de cliente com instruções para iniciar o aprovisionamento do AMT e efetua as verificações de seguir:
O controlador de Intel HECI está instalado.
O estado AMT é Not Provisioned.Qualquer Estado outro deixa o processo de aprovisionamento.
O Gestor de configuração cliente gera uma aleatória palavra-passe Monouso (OTP), hashes-lo, envia o hash ao servidor do site e, em seguida, activa a interface de rede AMT para que o computador baseado em AMT está pronto para aprovisionamento.Para computadores baseado em AMT que suporta ligações de rede sem fios, também lhe enviar o endereço de IP com fios, que será utilizado durante aprovisionamento, mesmo se o computador baseado em AMT tem vários interfaces de rede.
O Gestor de configuração cliente envia AMT fábrica de produção de informações ao servidor do site utilizando uma mensagem de estado.Estas informações incluem o número de versão AMT.
O servidor do site recebe o hash OTP e, em seguida, cria uma conta Active Directory na configurado do Active Directory contentor (ou UO) e define o SPN para o computador baseado em AMT.O servidor do site, em seguida, envia uma instrução para o limite de ponto de serviço de banda para iniciar o aprovisionamento para o Gestor de configuração cliente.
A fora de banda do serviço de ponto obtém o OTP hash deste computador baseado em AMT a partir do servidor do site e compara-lo com o hash OTP comunicado pelo firmware AMT para confirmar a identidade do computador baseado em AMT para ser aprovisionado.
A saída de ponto de serviço de banda obtém a conta do Active Directory e a palavra-passe do servidor do site e, em seguida, envia uma instrução para o ponto de inscrição para pedir um certificado de servidor de web AMT para o computador baseado em AMT.O ponto de inscrição impersonates computador baseado em AMT para pedir o certificado de servidor de web AMT.
A saída de ponto de serviço de banda cria uma ligação de TLS saída utilizando o certificado e o fornecedor de suporte de segurança de canal seguro (Schannel) (SSP) de aprovisionamento de AMT.Esta ligação, o computador baseado em AMT é o servidor e de fora do ponto de serviço de banda é o cliente.Esta sessão de camada de transporte for estabelecida utilizando TLS handshaking:
A saída de ponto de serviço de banda envia um cliente mensagem "Olá" para o computador baseado em AMT e pedidos para utilizar o SHA1.
O computador baseado em AMT envia um servidor de mensagem de "Olá" para o limite de ponto de serviço de banda e envia a sua chave pública com um certificado autoassinado.
O Microsoft segurança suporte fornecedor de Interface (SSPI) é utilizado para criar o canal TLS.
A saída de ponto de serviço de banda envia o respetivo AMT aprovisionamento certificado e respetiva cadeia de certificados completo para o computador baseado em AMT, com a AMT específico aprovisionamento identificador de objeto (OID) ou a UO atributo Intel(R) Client Setup Certificate.
O computador baseado em AMT verifica o seguinte para o certificado de aprovisionamento de AMT e, se estas corresponderem com êxito, estabelece a sessão TLS: o nome do requerente (CN) contra o seu próprio espaço de nomes DNS, o OID contra o OID para aprovisionamento de AMT (ou o atributo de UO) e o thumbprint do certificado de raiz a partir da cadeia de certificados contra o thumbprint de certificado que este foi armazenado na memória do firmware AMT.
A saída de ponto de serviço de banda estabelece uma ligação de camada de aplicação com o computador baseado em AMT, utilizando a autenticação de texto implícita HTTP:
Um pedido SOAP é enviado a partir de fora do ponto de serviço de banda para o computador baseado em AMT, sem qualquer nome de utilizador e palavra-passe.
O computador baseado em AMT responde o limite de ponto de serviço de banda com uma resposta "autenticação necessária", que resulta numa autenticação de texto implícita de HTTP.
A saída de ponto de serviço de banda reenvia o pedido SOAP com o mesmo payload para computador baseado em AMT, desta vez, utilizando a autenticação de texto implícita de HTTP.
O computador baseado em AMT termina o desafio de autenticação e envia uma resposta de êxito ou falha o limite de ponto de serviço de banda.
Se a autenticação HTTP Digest falhou durante a ligação de camada de aplicação, a saída de ponto de serviço de banda repete utilizando outro nome de utilizador e palavra-passe que foi configurada na Gestor de configuração.Todos os nomes de utilizador e palavras-passe são tentou sequencialmente até ser bem sucedida de autenticação ou existem não mais nomes de utilizador e palavras-passe.
O computador baseado em AMT undergoes primeira fase de aprovisionamento, iniciado por um pedido SOAP a partir de fora do ponto de serviço de banda:
O tempo AMT é sincronizado com a hora do Windows a partir de fora do ponto de serviço de banda.
O nome de anfitrião AMT e o domínio está configurado utilizando o nome do anfitrião e o domínio do computador.Anfitrião do computador e o nome de domínio poderão ser obtidos a partir de deteção de sistema ou de registo de cliente quando o cliente é atribuído ao site.
O certificado pedido e obtido é guardado para a memória de firmware AMT e TLS autenticação está ativada.
Gestor de configuração cria uma palavra-passe aleatória e segura para a conta de administrador remota do AMT e armazena este valor no AMT.
Gestor de configuração poderá informática reconfigure a palavra-passe de MEBx com a palavra-passe segura configurado no Gestor de configuração consola, dependendo se esta tiver sido alterada anteriormente no computador baseado em AMT e a versão do AMT.
As definições são guardadas no firmware AMT e o estado de firmware AMT está definido para o modo de mensagem de aprovisionamento operacional.
O computador baseado em AMT undergoes aprovisionamento de segunda fase, iniciado por um pedido de gestão remota do Windows (WinRM) a partir de fora do ponto de serviço de banda:
As ACLs de AMT são eliminadas e configuradas de acordo com as contas de utilizador de AMT e direitos.
Kerberos estiver ativada e no fora de propriedades de componentes de gestão do banda caixa de diálogo a definições de AMT separador, o esquema power é definido de acordo com o valor configurado para capacidade de gestão está ativada no seguinte estado power.Além disso, as outras definições de AMT, tal como interface web de ativar, Ativar série sobre redirecionamento LAN e IDE, e Permitir respostas de ping, também estão definidas de acordo com os valores configurados o Definições avançadas de AMT caixa de diálogo.
Se tiver configurado as opções de X 802.1, ocorrem as seguintes ações adicionais: Qualquer perfis sem fios existentes são eliminados, quaisquer certificados relacionados com os perfis sem fios ou 802.1 X configuração de rede com fios são eliminadas e a capacidade de AMT sem fios é detetada.Se qualquer certificados são necessários para suportar 802.1 X, a saída de ponto de serviço de banda envia uma instrução para o ponto de inscrição para pedir os certificados para o computador baseado em AMT e o ponto de inscrição impersonates computador baseado em AMT para pedir estes certificados.Os perfis sem fios e o 802.1 X configuração de rede com fios autenticado, em seguida, são guardados para AMT.
A saída de ponto de serviço de banda envia os resultados do processo de aprovisionamento ao servidor do site, em seguida, atualiza o Gestor de configuração base de dados para utilizar as seguintes informações sobre o computador baseado em AMT: o estado AMT; a MEBx palavra-passe, palavra-passe de AMT remoto administrador.