Processus de déploiement AMT pour la gestion hors bande dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Le flux d'événements suivant se produit lorsqu'un ordinateur AMT est configuré par System Center 2012 Configuration Manager.

  1. Le client Configuration Manager télécharge sa stratégie client avec des instructions de lancement de la configuration AMT, puis effectue les vérifications suivantes :

    1. Le pilote Intel HECI est installé.

    2. L'état AMT est Not Provisioned.Tout autre état arrête le processus de configuration.

  2. Le client Configuration Manager génère un mot de passe OTP aléatoire, le hache, envoie le hachage au serveur de site, puis active l'interface réseau AMT afin que l'ordinateur AMT soit prêt pour la configuration.Les ordinateurs AMT qui prennent en charge les connexions réseau sans fil envoient également leur adresse IP filaire qui sera utilisée pendant la configuration, même si l'ordinateur AMT possède plusieurs interfaces réseau.

  3. Le client Configuration Manager envoie les informations d'édition AMT au serveur de site à l'aide d'un message d'état.Ces informations comprennent le numéro de version AMT.

  4. Le serveur de site reçoit le hachage OTP, puis crée un compte Active Directory dans le conteneur Active Directory (ou l'unité d'organisation) configuré et définit le SPN pour l'ordinateur AMT.Le serveur de site envoie ensuite une instruction au point de service hors bande pour démarrer la configuration pour le client Configuration Manager.

  5. Le point de service hors bande récupère le hachage OTP pour cet ordinateur AMT auprès du serveur site, puis le compare au hachage OTP signalé par le microprogramme AMT afin de vérifier l'identité de l'ordinateur AMT à configurer.

  6. Le point de service hors bande récupère le compte et le mot de passe Active Directory à partir du serveur de site, puis envoie une instruction au point d'inscription pour demander un certificat de serveur Web AMT pour l'ordinateur AMT.Le point d'inscription emprunte l'identité de l'ordinateur AMT pour demander le certificat de serveur Web AMT.

  7. Le point de service hors bande crée une connexion TLS sortante à l'aide du fournisseur de support de sécurité (SSP) Secure Channel (Schannel).Dans cette connexion, l'ordinateur AMT est le serveur, et le point de service hors bande est le client.Cette session de couche transport est établie par une négociation TLS :

    1. Le point de service hors bande envoie un message de présence client à l'ordinateur AMT et demande d'utiliser SHA1.

    2. L'ordinateur AMT envoie un message de présence serveur au point de service hors bande avec sa clé publique et un certificat auto-signé.

    3. L'interface Security Support Provider Interface (SSPI) de Microsoft permet de créer le canal TLS.

    4. Le point de service hors bande envoie son certificat de configuration AMT et sa chaîne de certificat complète à l'ordinateur AMT avec l'OID de configuration AMT ou l'attribut de l'unité d'organisation d'Intel(R) Client Setup Certificate.

    5. L'ordinateur AMT vérifie les éléments suivants pour le certificat de configuration AMT et, si coïncident établit la session TLS : le nom d'objet (CN) avec son propre espace de noms DNS, l'OID avec l'OID de configuration AMT (ou l'attribut d'unité d'organisation) et l'empreinte numérique du certificat racine de la chaîne de certificat de l'empreinte numérique du certificat qu'il a stockée dans la mémoire du microprogramme AMT.

  8. Le point de service hors bande établit une connexion de couche application avec l'ordinateur AMT, en utilisant une authentification HTTP Digest :

    1. Le point de service hors bande envoie une demande SOAP à l'ordinateur AMT sans nom d'utilisateur ni mot de passe.

    2. L'ordinateur AMT répond au point de service hors bande avec un message réclamant une authentification, ce qui débouche sur une authentification HTTP Digest.

    3. Le point de service hors bande renvoie la demande SOAP avec la même charge utile à l'ordinateur AMT, en utilisant, cette fois, l'authentification HTTP Digest.

    4. L'ordinateur AMT termine le défi d'authentification et envoie une réponse de réussite ou d'échec au point de service hors bande.

  9. En cas d'échec de l'authentification HTTP Digest au cours de la connexion de couche application, le point de service hors bande effectue une nouvelle tentative à l'aide d'un nom d'utilisateur et d'un mot de passe différents configurés dans Configuration Manager.Tous les noms d'utilisateur et mots de passe sont testés séquentiellement jusqu'à ce que l'authentification réussisse ou que la fin de la liste soit atteinte.

  10. L'ordinateur AMT subit alors la configuration initiale lancée par une demande SOAP du point de service hors bande :

    1. L'horloge AMT est synchronisée avec l'horloge Windows du point de service hors bande.

    2. Le nom d'hôte et le domaine AMT sont configurés avec le nom d'hôte et le domaine de l'ordinateur.Le nom d'hôte et de domaine de l'ordinateur peut être récupéré à partir de la découverte du système ou de l'inscription du client lorsque ce dernier est affecté au site.

    3. Le certificat demandé et récupéré est enregistré dans la mémoire du microprogramme AMT, puis l'authentification TLS est activée.

    4. Configuration Manager crée un mot de passe aléatoire et fort pour le compte administrateur distant AMT et le stocke dans AMT.

    5. Configuration Manager peut remplacer le mot de passe MEBx par le mot de passe fort configuré dans la console Configuration Manager, selon qu'il a été précédemment modifié sur l'ordinateur AMT et dans la version d'AMT.

    6. Les paramètres sont enregistrés dans le microprogramme AMT, et l'état de celui-ci est réglé sur le mode opérationnel de la post-configuration.

  11. L'ordinateur AMT subit la seconde configuration lancée par une demande WinRM (Windows Remote Management) du point de service hors bande :

    1. Les listes de contrôle d'accès AMT sont supprimées et configurées selon les comptes et droits d'utilisateur AMT.

    2. Kerberos est activé et, dans la boîte de dialogue Propriétés du composant de gestion hors bande, dans l'onglet Paramètres AMT, le mode de gestion de l'alimentation est défini en fonction de la valeur configurée pour La gestion est activée dans l'état d'alimentation suivant.De plus, les autres paramètres AMT, tels que Activer l'interface Web, Activer la redirection IDE et série sur réseau local et Autoriser les réponses de ping sont également définis en fonction des valeurs configurées dans la boîte de dialogue Paramètres avancés AMT.

    3. Si vous avez configuré des options 802.1X, les actions supplémentaires suivantes se produisent : Les profils sans fil existants sont supprimés, ainsi que tous les certificats liés aux profils sans fil ou la configuration réseau filaire 802.1X. De plus, la fonction sans fil d'AMT est détectée.Si des certificats sont requis pour prendre en charge 802.1X, le point de service hors bande envoie une instruction au point d'inscription pour demander les certificats pour l'ordinateur AMT et le point d'inscription emprunte l'identité de l'ordinateur AMT pour demander ces certificats.Les profils sans fil et la configuration réseau filaire authentifiée 802.1X sont ensuite enregistrés dans AMT.

  12. Le point de service hors bande hors envoie les résultats du processus de configuration pour le serveur de site, puis met à jour le Configuration Manager base de données à utiliser les informations suivantes sur l'ordinateur AMT : l'état AMT, le mot de passe MEBx, le mot de passe AMT distant Admin.