• 發行項

AMT 佈建頻外管理 Configuration Manager 中的程序

 

適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

由佈建以金額為基礎的電腦時,就會發生下列事件的流程 System Center 2012 Configuration Manager。

  1. Configuration Manager 用戶端下載指示可讓您起始設定佈建 AMT 其用戶端原則並執行下列檢查:

    1. Intel HECI 驅動程式會安裝。

    2. AMT 狀態是 Not Provisioned。任何其他狀態停止佈建程序。

  2. Configuration Manager 用戶端會產生隨機的單次密碼 (OTP)、 雜湊、 站台伺服器,傳送雜湊和如此金額為基礎的電腦就可以佈建然後啟動 AMT 網路介面。支援無線網路連線的 AMT 型電腦,他們也會傳送過程中會使用佈建,即使金額為基礎的電腦有多個網路介面及其有線的 IP 位址。

  3. Configuration Manager 用戶端會傳送 AMT 製造資訊站台伺服器的狀態訊息。這項資訊包括 AMT 版本號碼。

  4. 站台伺服器收到的 OTP 雜湊再設定 Active Directory 容器 (OU) 中建立 Active Directory 帳戶和設定 SPN 的金額為基礎的電腦。站台伺服器接著會指示傳送不足以啟動 [佈建的頻外服務點的 Configuration Manager 用戶端。

  5. 寬線外服務點擷取此金額為基礎的電腦從站台伺服器並比較它與 OTP 雜湊來驗證身分之金額為基礎的電腦要佈建報告 AMT 韌體的 OTP 雜湊。

  6. 不足的寬線服務點從站台伺服器擷取的 Active Directory 帳戶和密碼並再將指示傳送到要求的金額為基礎的電腦 AMT web 伺服器憑證的註冊點。註冊點會模擬金額為基礎的電腦要求 AMT web 伺服器憑證。

  7. 不足的寬線服務點會使用 AMT 佈建憑證和安全通道 (Schannel) 安全性支援提供者 (SSP) 來建立輸出的 TLS 連線。在此連接的金額為基礎的電腦是伺服器,並不足的寬線服務點是用戶端。使用 TLS 信號交換建立此傳輸層工作階段:

    1. 頻外服務點的用戶端"Hello"將訊息傳送之金額為基礎的電腦和要求使用 SHA1。

    2. AMT 電腦不足的寬線服務點傳送伺服器"Hello"訊息並將其與自我簽署憑證的公開金鑰傳送。

    3. Microsoft 安全性支援提供者介面 (SSPI) 用來建立 TLS 通道。

    4. 頻外服務點的外傳送佈建與特定物件識別碼 (OID) 或 OU 屬性佈建的金額的憑證和它的整個憑證鏈結到 AMT 電腦中,其 AMT Intel(R) Client Setup Certificate

    5. AMT 電腦會檢查以下的佈建憑證 AMT,和如果這些成功比對,會建立與 TLS 工作階段: 針對自己的 DNS 命名空間、 針對 AMT 佈建 OID (或 OU 屬性) 的 OID 和針對它已儲存在 AMT 韌體記憶體中的憑證指紋的憑證鏈結的根憑證的憑證指紋的主體名稱 (CN)。

  8. 不足的寬線服務點建立應用程式層與電腦的連線以金額為基礎,使用 HTTP 摘要式驗證:

    1. SOAP 要求會從範圍服務點的外傳送到 AMT 型電腦,而不需要任何使用者名稱和密碼。

    2. AMT 電腦回應的寬線服務點所需的 [驗證] 回應 HTTP 摘要式驗證會導致逾時。

    3. 不足的寬線服務點重新傳送 SOAP 要求的金額為基礎的電腦相同的裝載這次請使用 HTTP 摘要式驗證。

    4. AMT 電腦完成驗證挑戰並傳送成功或失敗回應頻外服務端點的逾時。

  9. 如果 HTTP 摘要式驗證失敗的應用程式層連接期間,使用另一個使用者名稱和密碼已設定在重試不足的寬線服務點 Configuration Manager。所有的使用者名稱和密碼會嘗試依序直到驗證成功或有沒有更多的使用者名稱和密碼。

  10. AMT 電腦就會進行第一階段佈建、 不足的寬線服務點的 SOAP 要求所起始:

    1. AMT 時間的寬線服務點外的 Windows 時間與同步處理。

    2. AMT 主機名稱和網域是使用電腦的主機名稱和網域所設定。電腦的主機和網域名稱可能會擷取從系統探索或用戶端註冊用戶端指派給站台時。

    3. 要求和擷取憑證儲存到 AMT 韌體記憶體並啟用 TLS 驗證。

    4. Configuration Manager AMT 遠端系統管理帳戶建立隨機和強式密碼並將此值儲存在 AMT.

    5. Configuration Manager 可能會重新設定中設定強式密碼的 MEBx 密碼 Configuration Manager 主控台中,根據是否已變更先前 AMT.版本和金額為基礎的電腦上

    6. 設定會儲存於 AMT 韌體和 AMT 韌體狀態設定為 post 佈建的操作模式。

  11. AMT 電腦經過佈建第二個階段所來自的寬線服務點外的 Windows 遠端管理 (WinRM) 要求起始:

    1. AMT Acl 刪除或根據 AMT 使用者帳戶和權限設定。

    2. 啟用 Kerberos,然後在 出頻外管理元件屬性 對話方塊 AMT 設定 ] 索引標籤的電源配置設定的設定值根據 管理性上處於下列的電源狀態。此外,其他 AMT 設定這類 啟用 web 介面, ,啟用序列透過 LAN 和 IDE 的重新導向, ,和 允許 ping 回應, ,也會根據所設定的值中設定 AMT 進階設定 ] 對話方塊。

    3. 如果您已設定任何 802.1 X 選項,就會發生下列的其他動作:任何現有的無線設定檔會刪除任何憑證與無線設定檔相關或 802.1 X 有線的網路設定會被刪除,並偵測到 AMT 無線功能。如果支援 802.1 X 所需的任何憑證,帶服務點的外傳送指令給要求的金額為基礎的電腦憑證的註冊點並註冊點會模擬金額為基礎的電腦要求這些憑證。無線設定檔和 802.1 X 驗證的有線的網路設定然後儲存到 AMT.

  12. 不足的寬線服務點將佈建程序的結果傳送到站台伺服器,然後更新 Configuration Manager 資料庫使用以金額為基礎的電腦的下列資訊: AMT 狀態; MEBx 密碼 AMT 遠端系統管理密碼。