AMT-Bereitstellungsvorgang für die Out-of-Band-Verwaltung in Configuration Manager

Letzte Aktualisierung: Oktober 2009

Betrifft: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Die Abschnitte in diesem Thema beziehen sich auf die AMT-Bereitstellungsereignisse, die während der AMT-Bereitstellung in Configuration Manager 2007 SP1 und höher, während der Out-of-Band-Bereitstellung (Configuration Manager 2007 SP1- oder späterer Client nicht installiert) oder während der In-Band-Bereitstellung (Configuration Manager 2007 SP1- oder späterer Client installiert) auftreten können. Sie enthalten keine Konfigurationsaktionen, die der Configuration Manager-Administrator zur Unterstützung dieser Vorgänge ausführen muss. Konfigurationsinformationen finden Sie unter Administratorcheckliste: Aktivieren der Out-of-Band-Verwaltung.

noteHinweis
Die Angaben in diesem Thema gelten nur für Configuration Manager 2007 SP1 und spätere Versionen.

Die aufgeführten Bereitstellungsereignisse werden für alle AMT-basierten Computer ausgeführt, die von Configuration Manager für AMT bereitgestellt werden. Dies gilt auch dann, wenn der jeweilige Computer zuvor schon einmal bereitgestellt wurde, die zugehörigen Bereitstellungsinformationen jedoch (teilweise oder vollständig) entfernt wurden.

AMT-Bereitstellungsvorgang für die Out-of-Band-Bereitstellung in Configuration Manager

Nachfolgend ist der Ereignisfluss bei der Out-of-Band-Bereitstellung eines AMT-basierten Computers durch Configuration Manager dargestellt:

  1. Beim ersten Start durch den Hersteller wird vom AMT-basierten Computer eine „Hello“-Meldung an den Out-of-Band-Dienstpunkt gesendet (einmal pro Minute während der ersten 5 Minuten, dann alle 5 Minuten für die Dauer 1 Stunde, schließlich einmal pro Stunde während der nächsten 23 Stunden).

  2. Die UUID und die Liste der Zertifikatfingerabdrücke in der „Hello“-Meldung werden vom Out-of-Band-Dienstpunkt geprüft. Wenn die UUID Configuration Manager nicht bekannt ist (weil sie nicht mit dem Assistenten für den Import eines Computers für die Out-of-Band-Verwaltung importiert wurde), wird die „Hello“-Meldung verworfen.

  3. Stimmt dagegen zumindest einer der in der „Hello“-Meldung gesendeten Zertifikatfingerabdrücke mit dem Zertifikatfingerabdruck des Stammzertifikats für die AMT-Bereitstellung im Zertifikatspeicher des Out-of-Band-Dienstpunkts überein, wird eine ausgehende TLS-Verbindung vom Out-of-Band-Dienstpunkt über den Schannel SSP (Security Support Provider) hergestellt. Bei dieser Verbindung übernimmt der AMT-basierte Computer die Rolle des Servers und der Out-of-Band-Dienstpunkt die des Clients. Zu ihrer Einrichtung wird der TLS-Handshake verwendet:

    1. Vom Out-of-Band-Dienstpunkt (Client) wird eine „Hello“-Meldung mit einer SHA1-Anforderung an den AMT-basierten Computer gesendet.

    2. Vom AMT-basierten Computer (Server) werden eine „Hello“-Meldung sowie der öffentliche Schlüssel mit einem selbstsignierten Zertifikat an den Out-of-Band-Dienstpunkt gesendet.

    3. Für die Einrichtung des TLS-Kanals kommt die Microsoft Security Support Provider-Schnittstelle (SSPI) zum Einsatz.

    4. Vom Out-of-Band-Dienstpunkt werden das AMT-Bereitstellungszertifikat und die komplette Zertifikatskette an den AMT-basierten Computer gesendet, wobei die spezifische Objekt-ID für die AMT-Bereitstellung (OID) oder aber das OU-Attribut Intel(R) Client Setup Certificate mit angegeben wird.

    5. Vom AMT-basierten Computer werden die folgenden Eigenschaften überprüft: Antragstellername (CN) des AMT-Bereitstellungszertifikats und DNS-Namespace des AMT-basierten Computers; OID des AMT-Bereitstellungszertifikats und OID für die AMT-Bereitstellung (bzw. OU-Attribut); Zertifikatfingerabdruck des Stammzertifikats aus der Zertifikatskette und Zertifikatfingerabdruck, der im AMT-Firmwarespeicher des AMT-basierten Computers gespeichert ist. Bei Übereinstimmung wird die TLS-Sitzung gestartet.

  4. Vom Out-of-Band-Dienstpunkt wird eine Verbindung auf Anwendungsebene mit dem AMT-basierten Computer hergestellt. Hierbei kommt die HTTP-Digestauthentifizierung zum Einsatz:

    1. Es wird eine SOAP-Anforderung ohne Benutzername und Kennwort vom Out-of-Band-Dienstpunkt an den AMT-basierten Computer gesendet.

    2. Der AMT-basierte Computer reagiert auf die Anforderung mit einer „authentication needed“-Antwort, welche die HTTP-Digestauthentifizierung zur Folge hat.

    3. Die SOAP-Anforderung wird vom Out-of-Band-Dienstpunkt mit derselben Nutzlast erneut an den AMT-basierten Computer gesendet. Diesmal wird die HTTP-Digestauthentifizierung verwendet.

    4. Vom AMT-basierten Computer wird die Authentifizierungsaufforderung beantwortet und ein Erfolg oder Fehler an den Out-of-Band-Dienstpunkt gemeldet.

  5. Schlägt die HTTP-Digestauthentifizierung fehl, wird vom Out-of-Band-Dienstpunkt versucht, die Verbindung auf Anwendungsebene mit einem anderen in Configuration Manager konfigurierten Benutzernamen und Kennwort herzustellen. Es werden nacheinander alle Benutzernamen und Kennwörter geprüft, bis die Authentifizierung entweder erfolgreich war oder keine Benutzernamen und Kennwörter übrig bleiben.

  6. Vom Out-of-Band-Dienstpunkt wird eine Anweisung an den Standortserver zum Erstellen eines Active Directory-Kontos innerhalb des konfigurierten Active Directory-Containers (oder innerhalb der konfigurierten Active Directory-Organisationseinheit) und zum Festlegen des SPN für den AMT-basierten Computer gesendet.

  7. Die erste Bereitstellungsstufe für den AMT-basierten Computer wird durch eine SOAP-Anforderung des Out-of-Band-Dienstpunkts initiiert:

    1. Die AMT-Zeit wird mit der Windows-Zeit vom Out-of-Band-Dienstpunkt synchronisiert.

    2. AMT-Hostname und Domäne werden mit dem Hostnamen und der Domäne, die im Assistenten für den Import eines Computers für die Out-of-Band-Verwaltung angegeben wurden, konfiguriert.

    3. Das angeforderte und abgerufene Zertifikat wird im AMT-Firmwarespeicher gespeichert, und die TLS-Authentifizierung wird aktiviert.

    4. Configuration Manager erstellt ein zufälliges und sicheres Kennwort für das AMT-Remoteverwaltungskonto und speichert diesen Wert in AMT.

    5. Abhängig davon, ob das MEBx-Kennwort zuvor auf dem AMT-basierten Computer bzw. in AMT geändert wurde, wird es möglicherweise von Configuration Manager neu konfiguriert und das sichere Kennwort, das in der Configuration Manager-Konsole erstellt wurde, übernommen.

    6. Die Einstellungen werden in der AMT-Firmware gespeichert, und der AMT-Firmwarestatus wird auf den Betriebsmodus nach der Bereitstellung gesetzt.

  8. Die zweite Bereitstellungsstufe für den AMT-basierten Computer wird durch eine WinRM-Anforderung (Windows-Remoteverwaltung) des Out-of-Band-Dienstpunkts initiiert:

    1. Die AMT-Zugriffssteuerungslisten (Access Control Lists, ACLs) werden geleert und den AMT-Benutzerkonten und -rechten entsprechend konfiguriert.

    2. Ihre Aktivierung in Configuration Manager vorausgesetzt, werden die folgenden AMT-Einstellungen aktiviert: Pingantworten, Webkonsole, Serial over LAN (SOL), IDE-Umleitung

    3. Kerberos wird aktiviert. Für Configuration Manager 2007 SP1 wird außerdem das Energieschema auf 5 gesetzt (sofern der Standardwert „5“ noch nicht konfiguriert wurde). Dies bedeutet, dass der Energiezustand für die AMT-Firmware grundsätzlich „Ein“ lautet, sofern kein Stromverlust auftritt. Für Configuration Manager 2007 SP2 wird das Energieschema auf den Wert gesetzt, der unter Verwaltbarkeit ist in folgendem Energiezustand aktiviert auf der Registerkarte AMT-Einstellungen im Dialogfeld Eigenschaften der Out-of-Band-Verwaltung konfiguriert wurde.

    4. Nur für Configuration Manager 2007 SP2 werden außerdem die folgenden Aktionen ausgeführt: Alle vorhandenen Drahtlosprofile werden ebenso gelöscht wie sämtliche Zertifikate, die mit einem Drahtlosprofil oder der 802.1X-Kabelnetzwerkkonfiguration verknüpft sind, und die Drahtlosfunktion wird von AMT ermittelt. Die Drahtlosprofile und die 802.1X-Kabelnetzwerkkonfiguration werden anschließend in AMT gespeichert.

  9. Die Ergebnisse des Bereitstellungsvorgangs werden vom Out-of-Band-Dienstpunkt an den Standortserver gesendet. Dieser aktualisiert daraufhin die Configuration Manager-Datenbank mit den folgenden Informationen zum AMT-basierten Computer: AMT-Status, MEBx-Kennwort, AMT-Remoteverwaltungskennwort.

AMT-Bereitstellungsvorgang für die In-Band-Bereitstellung in Configuration Manager

Nachfolgend ist der Ereignisfluss bei der In-Band-Bereitstellung eines AMT-basierten Computers durch Configuration Manager dargestellt (hierfür ist der Configuration Manager 2007 SP1-Client ist erforderlich):

  1. Der Configuration Manager 2007 SP1- oder spätere Client lädt die Clientrichtlinie mit der Anweisung zur AMT-Bereitstellungsinitiierung herunter und überprüft Folgendes:

    1. Der Intel HECI-Treiber ist installiert.

    2. Der Zertifikatfingerabdruck der Stammzertifizierungsstelle, die das AMT-Bereitstellungszertifikat ausstellt, stimmt mit einem der Stammzertifizierungsstellen-Fingerabdrücke im AMT-Speicher überein.

  2. Vom AMT-Client-Agent wird auf dem Configuration Manager 2007 SP1- oder späteren Client ein zufälliges Einmalkennwort (OTP) generiert und ein Hashwert dafür erstellt. Der Hash wird an den Standortserver gesendet, und die AMT-Netzwerkschnittstelle wird aktiviert. Anschließend kann der AMT-basierte Computer bereitgestellt werden.

  3. Bei Empfang des OTP-Hashs wird vom Standortserver eine Anweisung an den Out-of-Band-Dienstpunkt zum Starten der Bereitstellung für den Configuration Manager 2007 SP1- oder späteren Client gesendet.

  4. Der Out-of-Band-Dienstpunkt ruft den OTP-Hash für diesen AMT-basierten Computer vom Standortserver ab und vergleicht ihn mit dem OTP-Hash, der vom AMT-Client-Agent gemeldet wurde, um auf diese Weise die Identität des bereitzustellenden AMT-basierten Computers zu überprüfen.

  5. Vom AMT-basierten Computer wird eine „Hello“-Meldung an den Out-of-Band-Dienstpunkt gesendet (einmal pro Minute während der ersten 5 Minuten, dann alle 5 Minuten für die Dauer 1 Stunde, schließlich einmal pro Stunde während der nächsten 23 Stunden). Diese Pakete werden jedoch vom Out-of-Band-Dienstpunkt verworfen, weil der Configuration Manager 2007 SP1- oder spätere Client installiert ist.

  6. Vom Out-of-Band-Dienstpunkt wird eine ausgehende TLS-Verbindung hergestellt, für die das AMT-Bereitstellungszertifikat und der Schannel SSP (Security Support Provider) verwendet werden. Bei dieser Verbindung übernimmt der AMT-basierte Computer die Rolle des Servers und der Out-of-Band-Dienstpunkt die des Clients. Zu ihrer Einrichtung wird der TLS-Handshake verwendet:

    1. Vom Out-of-Band-Dienstpunkt (Client) wird eine „Hello“-Meldung mit einer SHA1-Anforderung an den AMT-basierten Computer gesendet.

    2. Vom AMT-basierten Computer (Server) werden eine „Hello“-Meldung sowie der öffentliche Schlüssel mit einem selbstsignierten Zertifikat an den Out-of-Band-Dienstpunkt gesendet.

    3. Für die Einrichtung des TLS-Kanals kommt die Microsoft Security Support Provider-Schnittstelle (SSPI) zum Einsatz.

    4. Vom Out-of-Band-Dienstpunkt werden das AMT-Bereitstellungszertifikat und die komplette Zertifikatskette an den AMT-basierten Computer gesendet, wobei die spezifische Objekt-ID für die AMT-Bereitstellung (OID) oder aber das OU-Attribut Intel(R) Client Setup Certificate mit angegeben wird.

    5. Vom AMT-basierten Computer werden die folgenden Eigenschaften überprüft: Antragstellername (CN) des AMT-Bereitstellungszertifikats und DNS-Namespace des AMT-basierten Computers; OID des AMT-Bereitstellungszertifikats und OID für die AMT-Bereitstellung (bzw. OU-Attribut); Zertifikatfingerabdruck des Stammzertifikats aus der Zertifikatskette und Zertifikatfingerabdruck, der im AMT-Firmwarespeicher des AMT-basierten Computers gespeichert ist. Bei Übereinstimmung wird die TLS-Sitzung gestartet.

  7. Vom Out-of-Band-Dienstpunkt wird eine Verbindung auf Anwendungsebene mit dem AMT-basierten Computer hergestellt. Hierbei kommt die HTTP-Digestauthentifizierung zum Einsatz:

    1. Es wird eine SOAP-Anforderung ohne Benutzername und Kennwort vom Out-of-Band-Dienstpunkt an den AMT-basierten Computer gesendet.

    2. Der AMT-basierte Computer reagiert auf die Anforderung mit einer „authentication needed“-Antwort, welche die HTTP-Digestauthentifizierung zur Folge hat.

    3. Die SOAP-Anforderung wird vom Out-of-Band-Dienstpunkt mit derselben Nutzlast erneut an den AMT-basierten Computer gesendet. Diesmal wird die HTTP-Digestauthentifizierung verwendet.

    4. Vom AMT-basierten Computer wird die Authentifizierungsaufforderung beantwortet und ein Erfolg oder Fehler an den Out-of-Band-Dienstpunkt gemeldet.

  8. Schlägt die HTTP-Digestauthentifizierung fehl, wird vom Out-of-Band-Dienstpunkt versucht, die Verbindung auf Anwendungsebene mit einem anderen in Configuration Manager konfigurierten Benutzernamen und Kennwort herzustellen. Es werden nacheinander alle Benutzernamen und Kennwörter geprüft, bis die Authentifizierung entweder erfolgreich war oder keine Benutzernamen und Kennwörter übrig bleiben.

  9. Vom Out-of-Band-Dienstpunkt wird eine Anweisung an den Standortserver zum Erstellen eines Active Directory-Kontos innerhalb des konfigurierten Active Directory-Containers (oder innerhalb der konfigurierten Active Directory-Organisationseinheit) und zum Festlegen des SPN für den AMT-basierten Computer gesendet.

  10. Die erste Bereitstellungsstufe für den AMT-basierten Computer wird durch eine SOAP-Anforderung des Out-of-Band-Dienstpunkts initiiert:

    1. Die AMT-Zeit wird mit der Windows-Zeit vom Out-of-Band-Dienstpunkt synchronisiert.

    2. AMT-Hostname und Domäne werden mit dem Hostnamen und der Domäne des Computers konfiguriert. Der Hostname und die Domäne des Computers können bei der Zuweisung des Clients zum Standort aus der Systemermittlung oder der Clientregistrierung abgerufen werden.

    3. Das angeforderte und abgerufene Zertifikat wird im AMT-Firmwarespeicher gespeichert, und die TLS-Authentifizierung wird aktiviert.

    4. Configuration Manager erstellt ein zufälliges und sicheres Kennwort für das AMT-Remoteverwaltungskonto und speichert diesen Wert in AMT.

    5. Abhängig davon, ob das MEBx-Kennwort zuvor auf dem AMT-basierten Computer bzw. in AMT geändert wurde, wird es möglicherweise von Configuration Manager neu konfiguriert und das sichere Kennwort, das in der Configuration Manager-Konsole erstellt wurde, übernommen.

    6. Die Einstellungen werden in der AMT-Firmware gespeichert, und der AMT-Firmwarestatus wird auf den Betriebsmodus nach der Bereitstellung gesetzt.

  11. Die zweite Bereitstellungsstufe für den AMT-basierten Computer wird durch eine WinRM-Anforderung (Windows-Remoteverwaltung) des Out-of-Band-Dienstpunkts initiiert:

    1. Die AMT-Zugriffssteuerungslisten (Access Control Lists, ACLs) werden geleert und den AMT-Benutzerkonten und -rechten entsprechend konfiguriert.

    2. Kerberos wird aktiviert. Für Configuration Manager 2007 SP1 wird außerdem das Energieschema auf 5 gesetzt (sofern der Standardwert „5“ noch nicht konfiguriert wurde). Dies bedeutet, dass der Energiezustand für die AMT-Firmware grundsätzlich „Ein“ lautet, sofern kein Stromverlust auftritt. Für Configuration Manager 2007 SP2 wird das Energieschema auf den Wert gesetzt, der unter Verwaltbarkeit ist in folgendem Energiezustand aktiviert auf der Registerkarte AMT-Einstellungen im Dialogfeld Eigenschaften der Out-of-Band-Verwaltung konfiguriert wurde.

    3. Nur für Configuration Manager 2007 SP2 werden außerdem die folgenden Aktionen ausgeführt: Alle vorhandenen Drahtlosprofile werden ebenso gelöscht wie sämtliche Zertifikate, die mit einem Drahtlosprofil oder der 802.1X-Kabelnetzwerkkonfiguration verknüpft sind, und die Drahtlosfunktion wird von AMT ermittelt. Die Drahtlosprofile und die 802.1X-Kabelnetzwerkkonfiguration werden anschließend in AMT gespeichert.

  12. Die Ergebnisse des Bereitstellungsvorgangs werden vom Out-of-Band-Dienstpunkt an den Standortserver gesendet. Dieser aktualisiert daraufhin die Configuration Manager-Datenbank mit den folgenden Informationen zum AMT-basierten Computer: AMT-Status, MEBx-Kennwort, AMT-Remoteverwaltungskennwort.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: