通过

AMT 设置为带外管理配置管理器中的过程

 

适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

设置基于 AMT 的计算机时发生以下事件流 System Center 2012 Configuration Manager。

  1. 配置管理器 客户端下载其客户端策略的说明来启动 AMT 设置并执行以下检查:

    1. 已安装 Intel HECI 驱动程序。

    2. AMT 状态是 Not Provisioned。任何其他状态将停止的置备过程。

  2. 配置管理器 客户端会生成一个随机的一次性密码 (OTP)、 它哈希、 将哈希发送到站点服务器,然后激活 AMT 网络接口,以便基于 AMT 的计算机准备好进行设置。对于支持无线网络连接的基于 AMT 的计算机,他们还会发送其有线的 IP 地址,即使基于 AMT 的计算机具有多个网络接口将使用在设置过程。

  3. 配置管理器 客户端发送 AMT 制造到站点服务器的信息通过使用一条状态消息。此信息包括的 AMT 版本号。

  4. 站点服务器接收 OTP 哈希和配置 Active Directory 容器 (或 OU),然后创建一个 Active Directory 帐户并设置基于 AMT 的计算机的 SPN。站点服务器然后将某一指令发送给带外服务点以开始设置为 配置管理器 客户端。

  5. 带外服务点检索基于 AMT 的计算机可以通过站点服务器和它的 OTP 哈希与报告的 AMT 固件来验证要进行设置的基于 AMT 的计算机的身份进行比较的 OTP 哈希。

  6. 带外服务点从站点服务器中检索的 Active Directory 帐户和密码,然后将某一指令发送到注册点以请求为基于 AMT 的计算机的 AMT web 服务器证书。注册点模拟了基于 AMT 的计算机申请 AMT web 服务器证书。

  7. 带外服务点使用 AMT 设置证书和安全通道 (Schannel) 安全支持提供程序 (SSP) 创建出站 TLS 连接。在此连接中,基于 AMT 的计算机是服务器,带外服务点是客户端。此传输层会话是使用 TLS 握手建立的:

    1. 带外服务点扩展将客户端"Hello"消息发送到基于 AMT 的计算机和请求使用 SHA1。

    2. 基于 AMT 的计算机将服务器“Hello”消息发送给带外服务点并发送其公钥以及自签名证书。

    3. 使用 Microsoft 安全支持提供程序接口 (SSPI) 来创建 TLS 通道。

    4. 带外服务点将发送其 AMT 设置证书和到基于 AMT 的计算机,及其全部证书链的特定 AMT 设置对象标识符 (OID) 或 OU 属性与 Intel(R) Client Setup Certificate

    5. 基于 AMT 的计算机检查 AMT 设置证书的以下,并且如果这些内容成功匹配,则建立 TLS 会话: 针对其自己的 DNS 命名空间、 对应用于 AMT 设置 OID (或 OU 属性) 和针对它已在 AMT 固件内存中存储的证书指纹的证书链的根证书的证书指纹的主题名 (CN)。

  8. 带外服务点扩展通过使用 HTTP Digest 身份验证建立与基于 AMT 的计算机中,应用程序层连接:

    1. 不使用任何用户名和密码,将 SOAP 请求从带外服务点发送到基于 AMT 的计算机。

    2. 基于 AMT 的计算机使用“需要身份验证”响应来响应带外服务点,这会导致 HTTP Digest 身份验证。

    3. 带外服务点扩展重新发送 SOAP 请求具有相同负载到基于 AMT 的计算机,这次使用 HTTP Digest 身份验证。

    4. 基于 AMT 的计算机完成身份验证质询并发送到带外服务点是成功还是失败的响应。

  9. 如果在应用程序层连接期间 HTTP Digest 身份验证失败外带外服务点将重试通过使用另一个用户名和密码已配置在 配置管理器。按顺序尝试所有用户名和密码,直到身份验证成功或没有用户名和密码为止。

  10. 基于 AMT 的计算机进行第一阶段的设置,该设置由来自带外服务点的 SOAP 请求启动:

    1. AMT 时间与带外服务点的 Windows 时间同步。

    2. 通过使用计算机的主机名和域配置 AMT 主机名和域。当客户端分配给站点时,可以从系统发现或从客户端注册中检索计算机的主机名和域名。

    3. 请求和检索到的证书保存到 AMT 固件内存中,并且启用 TLS 身份验证。

    4. 配置管理器 为 AMT 远程管理帐户创建随机密码和强密码,并将此值存储在 AMT 中。

    5. 配置管理器 可能会重新配置与配置中的强密码的 MEBx 密码 配置管理器 控制台中,具体取决于它是否已被更改以前在基于 AMT 的计算机上和 AMT 版本。

    6. 这些设置保存在 AMT 固件中,并且 AMT 固件状态设置为后设置的操作模式。

  11. 基于 AMT 的计算机进行第二阶段的设置,该设置由来自带外服务点的 Windows 远程管理 (WinRM) 请求启动:

    1. 根据 AMT 用户帐户和权限删除和配置 AMT ACL。

    2. 启用了 Kerberos,然后在 带外管理组件属性 对话框中,在 AMT 设置 选项卡上,电源方案设置的配置值根据 可管理性在以下电源状态下位于。此外,其他 AMT 设置,如 启用 web 界面, ,启用 serial over LAN 和 IDE 重定向, ,和 允许 ping 响应, ,还设置中的配置值根据 AMT 高级设置 对话框。

    3. 如果已配置任何 802.1 X 选项,则会发生以下附加操作:将删除任何现有的无线配置文件,与无线配置文件相关的任何证书或 802.1 X 有线的网络配置将被删除,并检测到 AMT 的无线功能。如果支持 802.1 X 所需的任何证书,带外服务点将发送一条指令到注册点以请求为基于 AMT 的计算机的证书并注册点模拟基于 AMT 的计算机申请这些证书。然后,将无线配置文件和经过 802.1X 身份验证的有线网络配置保存到 AMT。

  12. 带外服务点扩展将在配置过程中的结果发送到站点服务器,然后更新 配置管理器 数据库以使用基于 AMT 的计算机有关的以下信息: AMT 状态 ; MEBx 密码 ; AMT 远程管理密码。

  • Last updated on