Share via

  • Articolo

Processo di gestione fuori banda in Configuration Manager di Provisioning AMT

 

Si applica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Il seguente flusso di eventi si verifica quando viene eseguito il provisioning di un computer basato su AMT da System Center 2012 Configuration Manager.

  1. Il Configuration Manager client di download dei criteri client con le istruzioni per l'avvio del provisioning AMT e vengono eseguiti i controlli seguenti:

    1. Il driver Intel HECI è installato.

    2. Lo stato AMT è Not Provisioned.Qualsiasi altro stato Arresta il processo di provisioning.

  2. Il Configuration Manager client genera una password casuale monouso (OTP), ne esegue l'hashing, invia l'hash al server del sito e quindi attiva l'interfaccia di rete AMT in modo che il computer basato su AMT è pronto per il provisioning.Per i computer basati su AMT che supportano connessioni di rete wireless, inviano anche l'indirizzo IP cablata, che verrà utilizzato durante il provisioning, anche se il computer basato su AMT dispone di più interfacce di rete.

  3. Il Configuration Manager client invia informazioni al server del sito di produzione utilizzando un messaggio di stato AMT.Queste informazioni includono il numero di versione AMT.

  4. Il server del sito riceve l'hash OTP e quindi crea un account di Active Directory nel configurato Active Directory contenitore (o unità Organizzativa) e imposta il nome SPN per il computer basato su AMT.Il server del sito invia quindi un'istruzione per il punto fuori banda del servizio per avviare il provisioning per il Configuration Manager client.

  5. Recupera punto OTP hash per il computer basato su AMT nel server del sito e viene confrontato con l'hash OTP segnalato dal firmware AMT per verificare l'identità del computer basato su AMT per eseguire il provisioning del servizio fuori banda.

  6. Il punto fuori banda servizio recupera l'account di Active Directory e la password dal server del sito e quindi invia un'istruzione al punto di registrazione per richiedere un certificato server web per computer basati su AMT.Il punto di registrazione rappresenta il computer basato su AMT per richiedere il certificato server web.

  7. Il punto fuori banda servizio crea una connessione TLS in uscita utilizzando il certificato e Secure Channel (Schannel) Security Support Provider (SSP) di provisioning AMT.In questa connessione, il computer basato su AMT è il server e fuori banda dal punto di assistenza sono il client.In questa sessione layer di trasporto viene stabilita mediante l'handshake TLS:

    1. Il punto fuori banda servizio invia un client "Hello" messaggio di richiesta di utilizzare SHA1 e computer basati su AMT.

    2. Il computer basato su AMT Invia messaggio "Hello" di un server fuori banda dal punto di assistenza e invia la chiave pubblica con un certificato autofirmato.

    3. Microsoft Security Support Provider Interface (SSPI) viene utilizzato per creare il canale TLS.

    4. Il punto fuori banda servizio invia il provisioning AMT certificato e l'intera catena di certificati per computer basati su AMT, con l'identificatore di oggetto (OID) o un attributo dell'unità Organizzativa di provisioning AMT specifico Intel(R) Client Setup Certificate.

    5. Il computer basato su AMT controlla le operazioni seguenti per il certificato di provisioning AMT e, se queste corrispondono correttamente, viene stabilita la sessione TLS: il nome del soggetto (CN) contro il proprio spazio dei nomi DNS, l'OID contro l'OID per il provisioning AMT (o l'attributo OU) e l'identificazione personale del certificato radice dalla catena di certificati con l'identificazione personale del certificato che viene memorizzato nella memoria firmware AMT.

  8. Il punto fuori banda servizio stabilisce una connessione di livello applicazione con il computer basato su AMT utilizzando l'autenticazione del HTTP Digest:

    1. Una richiesta SOAP viene inviata dal punto di servizio di banda fuori per computer basati su AMT, senza nome utente e password.

    2. Il computer basato su AMT risponde al fuori banda punto di servizio con una risposta "necessaria autenticazione", che comporta l'autenticazione del HTTP Digest.

    3. Il punto fuori banda servizio invia nuovamente la richiesta SOAP con lo stesso payload in computer basati su AMT, questa volta utilizzando l'autenticazione del HTTP Digest.

    4. Il computer basato su AMT termina la richiesta di autenticazione e invia una risposta di esito positivo o negativo per il punto fuori banda del servizio.

  9. Se l'autenticazione HTTP Digest non riuscita durante la connessione di livello applicazione, il punto fuori banda servizio Ritenta utilizzando un altro nome utente e password che è stata configurata in Configuration Manager.Tutti i nomi utente e password vengono tentate in ordine sequenziale fino a quando l'autenticazione ha esito positivo o non sono non è più nomi utente e password.

  10. Il computer basato su AMT sottoposto a provisioning prima fase, avviata da una richiesta SOAP con il punto di servizio di banda:

    1. L'ora AMT sia sincronizzata con l'ora di Windows dal punto di servizio di banda fuori.

    2. Il nome host AMT e il dominio viene configurato utilizzando il nome host e il dominio del computer.Host del computer e nome di dominio potrebbe essere recuperate da individuazione sistema o la registrazione del client quando il client viene assegnato al sito.

    3. Il certificato richiesto e recuperato viene salvato in memoria il firmware AMT e viene abilitata l'autenticazione TLS.

    4. Configuration Manager Crea una password casuale e sicura per l'Admin Account remoto AMT e archivia il valore in AMT.

    5. Configuration Manager potrebbero essere riconfigurate la password MEBx con la password complessa configurata nel Configuration Manager console, a seconda se è stato modificato in precedenza nel computer basato su AMT e sulla versione di AMT.

    6. Le impostazioni vengono salvate nel firmware AMT e lo stato di firmware AMT viene impostato sulla modalità operativa del provisioning post.

  11. Il computer basato su AMT sottoposto a provisioning seconda fase, avviato da una richiesta di gestione remota Windows (WinRM) dal punto di servizio di banda fuori:

    1. Gli ACL AMT vengono eliminati e configurati in base agli account utente AMT e diritti.

    2. Kerberos è abilitata e nel proprietà componente Gestione fuori banda della finestra di dialogo di Impostazioni AMT scheda, la combinazione di risparmio energia è impostata in base al valore configurato per gestibilità è nello stato di alimentazione seguente.Inoltre, le altre impostazioni AMT, ad esempio interfaccia web attiva, Attiva seriale su LAN e reindirizzamento IDE, e Consenti risposte ping, vengono inoltre impostati in base ai valori configurati nel Impostazioni avanzate di AMT nella finestra di dialogo.

    3. Se è stato configurato le opzioni di 802.1 X, si verificano le azioni aggiuntive seguenti: I profili wireless esistenti vengono eliminati, tutti i certificati relativi ai profili wireless o 802.1 X configurazione della rete cablata vengono eliminati e viene rilevata la funzionalità wireless di AMT.Se tutti i certificati devono supportare 802.1 X, il punto fuori banda servizio invia un'istruzione al punto di registrazione per richiedere i certificati per computer basati su AMT e il punto di registrazione rappresenta il computer basato su AMT per richiedere i certificati.I profili wireless e 802.1 X configurazione di rete cablato autenticato vengono quindi salvate AMT.

  12. Il punto fuori banda servizio invia i risultati del processo di provisioning al server del sito, quindi aggiorna il Configuration Manager database da utilizzare le seguenti informazioni relative al computer basato su AMT: lo stato AMT; la password MEBx, la Admin Password remoto AMT.