Share via

  • Artigo

Processo de gerenciamento fora de banda no Configuration Manager de provisionamento AMT

 

Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

O fluxo de eventos a seguir ocorre quando um computador baseado em AMT é provisionado pela System Center 2012 Configuration Manager.

  1. O Gerenciador de Configurações cliente baixa sua política de cliente com instruções para iniciar o provisionamento AMT e executa verificações a seguir:

    1. O driver HECI Intel está instalado.

    2. O status AMT é Not Provisioned.Qualquer outro status interrompe o processo de provisionamento.

  2. O Gerenciador de Configurações cliente gera uma senha aleatória única (OTP), coloca em hash, envia o hash para o servidor do site e ativa a interface de rede AMT para que o computador AMT está pronto para provisionamento.Para computadores baseados em AMT que oferecem suporte a conexões de rede sem fio, eles também enviarem seu endereço IP com fio, que será usado durante o provisionamento, mesmo se o computador AMT tem várias interfaces de rede.

  3. O Gerenciador de Configurações cliente envia informações ao servidor do site de produção por meio de uma mensagem de estado do AMT.Essas informações incluem o número de versão do AMT.

  4. O servidor do site recebe o hash OTP e, em seguida, cria uma conta do Active Directory na configurada do Active Directory contêiner (ou UO) e define o SPN para o computador AMT.O servidor do site, em seguida, envia uma instrução para a ponto fora da banda service para iniciar o provisionamento para o Gerenciador de Configurações cliente.

  5. Ponto recupera a OTP hash para este computador AMT no servidor do site e os compara com o hash OTP relatado pelo firmware AMT para verificar a identidade do computador baseado em AMT provisionamento do serviço fora da banda.

  6. A ponto fora da banda serviço recupera a conta do Active Directory e a senha do servidor do site e, em seguida, envia uma instrução ao ponto de registro para solicitar um certificado de servidor web AMT para o computador AMT.O ponto de registro representa o computador AMT para solicitar o certificado de servidor web AMT.

  7. A ponto fora da banda serviço cria uma conexão TLS de saída usando o certificado e o provedor de suporte de segurança (SSP) canal seguro (Schannel) de provisionamento AMT.Nesta conexão, o computador AMT é o servidor e a ponto fora da banda serviço é o cliente.Esta sessão de camada de transporte é estabelecida usando o handshake TLS:

    1. A ponto fora da banda serviço envia um cliente mensagem "Hello" para o computador AMT e solicitações para usar SHA1.

    2. O computador AMT envia mensagem "Hello" de um servidor para a ponto fora da banda serviço e sua chave pública com um certificado autoassinado.

    3. A Interface de provedor de suporte (SSPI) do Microsoft segurança é usado para criar o canal TLS.

    4. A ponto fora da banda serviço envia seu provisionamento AMT certificado e sua cadeia de certificado completo para o computador baseado em AMT, com o identificador de objeto (OID) ou atributo OU de provisionamento de AMT específico Intel(R) Client Setup Certificate.

    5. O computador AMT verifica as seguintes informações sobre o certificado de provisionamento AMT e, se eles corresponderem com êxito, estabelece a sessão TLS: o nome da entidade (CN) em seu próprio espaço para nome DNS, o OID contra o OID para provisionamento AMT (ou o atributo OU) e a impressão digital do certificado raiz da cadeia de certificados em relação a impressão digital do certificado que está armazenada na memória do firmware AMT.

  8. A ponto fora da banda serviço estabelece uma conexão de camada de aplicativo com o computador baseado em AMT, usando a autenticação Digest de HTTP:

    1. Uma solicitação SOAP é enviada de fora da banda ponto de serviço para o computador AMT, sem qualquer nome de usuário e senha.

    2. O computador AMT responde a fora da banda ponto de serviço com uma resposta "autenticação necessária", o que resulta em autenticação HTTP Digest.

    3. A ponto fora da banda serviço reenvia a solicitação SOAP com a mesma carga de computador AMT, desta vez usando a autenticação HTTP Digest.

    4. O computador AMT termina o desafio de autenticação e envia uma resposta de êxito ou falha para a ponto fora da banda service.

  9. Se a autenticação HTTP Digest falha durante a conexão de camada de aplicativo, a ponto fora da banda serviço tentará novamente usando outro nome de usuário e senha que foi configurada no Gerenciador de Configurações.Todos os nomes de usuário e senhas são tentadas sequencialmente, até que a autenticação é bem-sucedida ou não não mais nomes de usuário e senhas.

  10. O computador AMT sofre provisionamento primeiro estágio, iniciada por uma solicitação SOAP de fora de banda do ponto de serviço:

    1. O tempo AMT é sincronizado com o horário do Windows de fora de banda do ponto de serviço.

    2. O nome de host do AMT e o domínio é configurado usando o nome de host e o domínio do computador.Host do computador e nome de domínio podem ser recuperados de descoberta do sistema ou de registro do cliente quando o cliente é atribuído ao site.

    3. O certificado solicitado e recuperado é salvo na memória do firmware AMT e autenticação TLS está habilitada.

    4. Gerenciador de Configurações cria uma senha forte e aleatória para a conta de administrador remoto AMT e armazena esse valor em AMT.

    5. Gerenciador de Configurações pode redefinir a senha MEBx com a senha forte configurada no Gerenciador de Configurações console, dependendo se ele tiver sido alterado anteriormente no computador baseado em AMT e na versão do AMT.

    6. As configurações são salvas no firmware AMT e o estado de firmware AMT é definido para o modo operacional do provisionamento de postagem.

  11. O computador AMT passa por segundo estágio provisionamento, iniciada por uma solicitação de Windows Remote Management (WinRM) de fora de banda do ponto de serviço:

    1. As ACLs AMT são excluídas e configuradas de acordo com as contas de usuário AMT e direitos.

    2. Kerberos estiver habilitado e no Propriedades de componente de gerenciamento fora de banda caixa de diálogo o configurações de AMT guia, o esquema de energia é definido de acordo com o valor configurado para gerenciabilidade consta no seguinte estado de alimentação.Além disso, as outras configurações de AMT, como da interface web Enable, Ativar serial através da LAN e redirecionamento IDE, e Permitir respostas de ping, também são definidas de acordo com os valores configurados no Configurações avançadas do AMT caixa de diálogo.

    3. Se você tiver configurado qualquer 802.1 X options, ocorrem as seguintes ações adicionais: Todos os perfis sem fio existentes serão excluídos, todos os certificados relacionados aos perfis sem fio ou configuração de rede com fio 802.1 X são excluídos e o recurso sem fio da AMT é detectado.Se todos os certificados são necessários para oferecer suporte ao 802.1 X, a ponto fora da banda serviço envia uma instrução para o ponto de registro para solicitar certificados para o computador AMT e o ponto de registro representa o computador AMT para solicitar esses certificados.Os perfis sem fio e a configuração de rede com fio autenticado 802.1 são salvos para AMT.

  12. A ponto fora da banda serviço envia os resultados do processo de provisionamento para o servidor do site, que atualiza o Gerenciador de Configurações banco de dados para usar as seguintes informações sobre o computador AMT: o status AMT; a senha MEBx, a senha do administrador remoto AMT.