Processo de gerenciamento fora de banda no Configuration Manager de provisionamento AMT
Aplica-se a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
O fluxo de eventos a seguir ocorre quando um computador baseado em AMT é provisionado pela System Center 2012 Configuration Manager.
O Gerenciador de Configurações cliente baixa sua política de cliente com instruções para iniciar o provisionamento AMT e executa verificações a seguir:
O driver HECI Intel está instalado.
O status AMT é Not Provisioned.Qualquer outro status interrompe o processo de provisionamento.
O Gerenciador de Configurações cliente gera uma senha aleatória única (OTP), coloca em hash, envia o hash para o servidor do site e ativa a interface de rede AMT para que o computador AMT está pronto para provisionamento.Para computadores baseados em AMT que oferecem suporte a conexões de rede sem fio, eles também enviarem seu endereço IP com fio, que será usado durante o provisionamento, mesmo se o computador AMT tem várias interfaces de rede.
O Gerenciador de Configurações cliente envia informações ao servidor do site de produção por meio de uma mensagem de estado do AMT.Essas informações incluem o número de versão do AMT.
O servidor do site recebe o hash OTP e, em seguida, cria uma conta do Active Directory na configurada do Active Directory contêiner (ou UO) e define o SPN para o computador AMT.O servidor do site, em seguida, envia uma instrução para a ponto fora da banda service para iniciar o provisionamento para o Gerenciador de Configurações cliente.
Ponto recupera a OTP hash para este computador AMT no servidor do site e os compara com o hash OTP relatado pelo firmware AMT para verificar a identidade do computador baseado em AMT provisionamento do serviço fora da banda.
A ponto fora da banda serviço recupera a conta do Active Directory e a senha do servidor do site e, em seguida, envia uma instrução ao ponto de registro para solicitar um certificado de servidor web AMT para o computador AMT.O ponto de registro representa o computador AMT para solicitar o certificado de servidor web AMT.
A ponto fora da banda serviço cria uma conexão TLS de saída usando o certificado e o provedor de suporte de segurança (SSP) canal seguro (Schannel) de provisionamento AMT.Nesta conexão, o computador AMT é o servidor e a ponto fora da banda serviço é o cliente.Esta sessão de camada de transporte é estabelecida usando o handshake TLS:
A ponto fora da banda serviço envia um cliente mensagem "Hello" para o computador AMT e solicitações para usar SHA1.
O computador AMT envia mensagem "Hello" de um servidor para a ponto fora da banda serviço e sua chave pública com um certificado autoassinado.
A Interface de provedor de suporte (SSPI) do Microsoft segurança é usado para criar o canal TLS.
A ponto fora da banda serviço envia seu provisionamento AMT certificado e sua cadeia de certificado completo para o computador baseado em AMT, com o identificador de objeto (OID) ou atributo OU de provisionamento de AMT específico Intel(R) Client Setup Certificate.
O computador AMT verifica as seguintes informações sobre o certificado de provisionamento AMT e, se eles corresponderem com êxito, estabelece a sessão TLS: o nome da entidade (CN) em seu próprio espaço para nome DNS, o OID contra o OID para provisionamento AMT (ou o atributo OU) e a impressão digital do certificado raiz da cadeia de certificados em relação a impressão digital do certificado que está armazenada na memória do firmware AMT.
A ponto fora da banda serviço estabelece uma conexão de camada de aplicativo com o computador baseado em AMT, usando a autenticação Digest de HTTP:
Uma solicitação SOAP é enviada de fora da banda ponto de serviço para o computador AMT, sem qualquer nome de usuário e senha.
O computador AMT responde a fora da banda ponto de serviço com uma resposta "autenticação necessária", o que resulta em autenticação HTTP Digest.
A ponto fora da banda serviço reenvia a solicitação SOAP com a mesma carga de computador AMT, desta vez usando a autenticação HTTP Digest.
O computador AMT termina o desafio de autenticação e envia uma resposta de êxito ou falha para a ponto fora da banda service.
Se a autenticação HTTP Digest falha durante a conexão de camada de aplicativo, a ponto fora da banda serviço tentará novamente usando outro nome de usuário e senha que foi configurada no Gerenciador de Configurações.Todos os nomes de usuário e senhas são tentadas sequencialmente, até que a autenticação é bem-sucedida ou não não mais nomes de usuário e senhas.
O computador AMT sofre provisionamento primeiro estágio, iniciada por uma solicitação SOAP de fora de banda do ponto de serviço:
O tempo AMT é sincronizado com o horário do Windows de fora de banda do ponto de serviço.
O nome de host do AMT e o domínio é configurado usando o nome de host e o domínio do computador.Host do computador e nome de domínio podem ser recuperados de descoberta do sistema ou de registro do cliente quando o cliente é atribuído ao site.
O certificado solicitado e recuperado é salvo na memória do firmware AMT e autenticação TLS está habilitada.
Gerenciador de Configurações cria uma senha forte e aleatória para a conta de administrador remoto AMT e armazena esse valor em AMT.
Gerenciador de Configurações pode redefinir a senha MEBx com a senha forte configurada no Gerenciador de Configurações console, dependendo se ele tiver sido alterado anteriormente no computador baseado em AMT e na versão do AMT.
As configurações são salvas no firmware AMT e o estado de firmware AMT é definido para o modo operacional do provisionamento de postagem.
O computador AMT passa por segundo estágio provisionamento, iniciada por uma solicitação de Windows Remote Management (WinRM) de fora de banda do ponto de serviço:
As ACLs AMT são excluídas e configuradas de acordo com as contas de usuário AMT e direitos.
Kerberos estiver habilitado e no Propriedades de componente de gerenciamento fora de banda caixa de diálogo o configurações de AMT guia, o esquema de energia é definido de acordo com o valor configurado para gerenciabilidade consta no seguinte estado de alimentação.Além disso, as outras configurações de AMT, como da interface web Enable, Ativar serial através da LAN e redirecionamento IDE, e Permitir respostas de ping, também são definidas de acordo com os valores configurados no Configurações avançadas do AMT caixa de diálogo.
Se você tiver configurado qualquer 802.1 X options, ocorrem as seguintes ações adicionais: Todos os perfis sem fio existentes serão excluídos, todos os certificados relacionados aos perfis sem fio ou configuração de rede com fio 802.1 X são excluídos e o recurso sem fio da AMT é detectado.Se todos os certificados são necessários para oferecer suporte ao 802.1 X, a ponto fora da banda serviço envia uma instrução para o ponto de registro para solicitar certificados para o computador AMT e o ponto de registro representa o computador AMT para solicitar esses certificados.Os perfis sem fio e a configuração de rede com fio autenticado 802.1 são salvos para AMT.
A ponto fora da banda serviço envia os resultados do processo de provisionamento para o servidor do site, que atualiza o Gerenciador de Configurações banco de dados para usar as seguintes informações sobre o computador AMT: o status AMT; a senha MEBx, a senha do administrador remoto AMT.