В подразделах этого раздела перечислены события обеспечения AMT, которые возникают в ходе процесса обеспечения AMT в Configuration Manager 2007 SP1 или более поздней версии, для внешней (клиент Configuration Manager 2007 SP1 или более поздней версии не установлен) и внутренней подготовки (клиент Configuration Manager 2007 SP1 или более поздней версии установлен). Эти разделы не включают в себя действий по настройке, которые должен выполнить администратор Configuration Manager для поддержки этих процессов. Сведения о настройке см. в разделе Контрольный список администратора: включение внешнего управления.

Примечание
Сведения в этом разделе относятся только к Configuration Manager 2007 SP1 и более поздним версиям.

Перечисленные события подготовки выполняются для каждого компьютера, основанного на AMT, для которого Configuration Manager обеспечивает AMT, независимо от того, что компьютер никогда ранее не был подготовлен, или был подготовлен, но информация о подготовке была удалена (частично или полностью).

Процесс обеспечения AMT для внешней подготовки в Configuration Manager

Следующие потоки событий происходят, когда Configuration Manager выполняет внешнюю подготовку компьютера на основе AMT:

  1. При первом запуске после производства компьютер на основе AMT посылает сообщение "Hello" во внешнюю точку обслуживания (каждую минуту в течение 5 минут, затем каждые 5 минут в течение часа, затем каждый час в течение 23 часов).

  2. Внешняя точка обслуживания проверяет UUID и список отпечатков сертификатов в сообщении "Hello". Если UUID неизвестен в Configuration Manager (он не был импортирован с помощью "Импортировать компьютер для мастера внешнего управления"), сообщение "Hello" отклоняется.

  3. Когда один из отпечатков сертификата в сообщении "Hello" совпадает с отпечатком корневого сертификата для сертификата обеспечения AMT в его собственном хранилище компьютера, внешняя точка обслуживания создает исходящее TLS-подключение с использованием безопасного канала (Schannel) поставщика поддержки системы безопасности. В этом подключении компьютер на основе AMT является сервером, а внешняя точка обслуживания является клиентом. Этот сеанс транспортного уровня устанавливается с использованием протокола установления связи TLS.

    1. Внешняя точка обслуживания посылает сообщение "Hello" клиента на компьютер на основе AMT с запросом на использование SHA1.

    2. Компьютер на основе AMT посылает сообщение "Hello" сервера во внешнюю точку обслуживания и посылает ее открытый ключ с самозаверяющим сертификатом.

    3. Для создания канала TLS используется интерфейс поставщика поддержки системы безопасности (SSPI) корпорации Майкрософт.

    4. Внешняя точка обслуживания посылает свой сертификат обеспечения AMT и полную цепочку сертификатов на компьютер на основе AMT с определенным идентификатором объекта обеспечения AMT или атрибутом подразделения (OU) сертификата Intel(R) Client Setup Certificate.

    5. Компьютер на основе AMT проверяет следующие данные для сертификата обеспечения AMT и в случае совпадения устанавливает сеанс TLS: имя получателя (CN) по сравнению с собственным пространством имен DNS, идентификатор объекта по сравнению с идентификатором объекта для обеспечения AMT (или атрибутом подразделения OU) и отпечаток сертификата корневого сертификата из цепочки сертификатов по сравнению с отпечатком сертификата, который сохранен в памяти микропрограммы AMT.

  4. Внешняя точка обслуживания устанавливает подключение на уровне приложения с компьютером на основе AMT с использованием дайджест-проверки подлинности HTTP.

    1. Внешняя точка обслуживания посылает запрос SOAP на компьютер на основе AMT без имени и пароля пользователя.

    2. Компьютер на основе AMT посылает внешней точке обслуживания ответ "требуется проверка подлинности", который приводит к дайджест-проверке подлинности HTTP.

    3. Внешняя точка обслуживания повторно посылает запрос SOAP с теми же данными на компьютер на основе AMT, на этот раз, с использованием дайджест-проверки подлинности HTTP.

    4. Компьютер на основе AMT выполняет проверку подлинности и посылает внешней точке обслуживания ответ об успешном выполнении или сбое.

  5. Если при выполнении подключения на уровне приложения произошел сбой дайджест-проверки подлинности HTTP, внешняя точка обслуживания пробует использовать другое имя и пароль, которые настроены в Configuration Manager. Последовательно проверяются все имена пользователей и пароли до успешного выполнения проверки подлинности или до исчерпания имен и паролей.

  6. Внешняя точка обслуживания посылает на сервер сайта инструкцию для создания учетной записи Active Directory в настроенном контейнере Active Directory (или подразделении) и для установки имени участника службы для компьютера на основе AMT.

  7. Компьютер на основе AMT проходит подготовку первого этапа, инициированную запросом SOAP от внешней точки обслуживания.

    1. Время AMT синхронизируется со временем Windows из внешней точки обслуживания.

    2. Домен и имя узла AMT устанавливается в соответствии с данными компьютера, предоставленными при выполнении операции "Импортировать компьютер для мастера внешнего управления".

    3. Запрошенный и извлеченный сертификат сохраняется в памяти микропрограммы AMT, и включается проверка подлинности TLS.

    4. Configuration Manager создает случайный и надежный пароль для учетной записи удаленного администратора AMT и сохраняет это значение в AMT.

    5. Configuration Manager может изменить пароль MEBx на надежный пароль, настроенный в консоли Configuration Manager, в зависимости от того, был ли он ранее изменен на компьютере, основанном на AMT, и от версии AMT.

    6. Параметры сохраняются в микропрограмме AMT, и для микропрограммы AMT устанавливается состояние режима работы после подготовки.

  8. Компьютер на основе AMT проходит подготовку второго этапа, инициированную запросом удаленного управления Windows (WinRM) от внешней точки обслуживания.

    1. Списки управления доступом AMT удаляются и настраиваются в соответствии с правами и учетными записями пользователей AMT.

    2. Следующие параметры AMT включены, если они включены в Configuration Manager: ответы на запросы проверки связи, веб-консоль, последовательная передача по локальной сети, перенаправление IDE.

    3. Шифрование Kerberos включено, в Configuration Manager 2007 с пакетом обновления 1 (SP1) для схемы управления питанием устанавливается значение 5 (если значение 5 еще не настроено по умолчанию), которое означает, что питание микропрограммы AMT включено всегда, за исключением аварийного отключения питания. В Configuration Manager 2007 с пакетом обновления 2 (SP2) для схемы управления питанием устанавливается заданное значение параметра Управляемость включена в следующем состоянии электропитания на вкладке Параметры AMT диалогового окна Свойства внешнего управления.

    4. Только в Configuration Manager 2007 с пакетом обновления 2 (SP2) выполняются следующие дополнительные действия: удаляются все существующие профили беспроводной связи, удаляются все сертификаты, связанные с профилями беспроводной связи и профилями проводной связи с проверкой подлинности 802.1X, определяется возможность AMT использовать беспроводную связь. После этого профили беспроводной связи и конфигурация проводной сети с проверкой подлинности 801.2X сохраняются в AMT.

  9. Внешняя точка обслуживания посылает запросы процесса подготовки на сервер сайта, который обновляет базу данных Configuration Manager следующей информацией о компьютере на основе AMT: состояние AMT, пароль MEBx, пароль удаленного администратора AMT.

Процесс обеспечения AMT для внутренней подготовки в Configuration Manager

Следующие потоки событий происходят, когда Configuration Manager выполняет внутреннюю подготовку компьютера на основе AMT, для которой требуется клиент Configuration Manager 2007 SP1:

  1. Клиент Configuration Manager 2007 с пакетом обновления 1 (SP1) или более поздней версии загружает политику клиентов с инструкциями по инициации обеспечения AMT и выполняет следующие проверки:

    1. Установлен драйвер Intel HECI.

    2. Отпечаток корневого ЦС сертификата обеспечения AMT совпадает с одним из отпечатков сертификатов корневого ЦС в памяти AMT.

  2. Агент клиента AMT в клиенте Configuration Manager 2007 SP1 или более поздней версии генерирует случайный одноразовый пароль (OTP), выполняет его хэширование, посылает хэш на сервер сайта и затем включает сетевой интерфейс AMT так, чтобы компьютер на основе AMT был готов к подготовке.

  3. Сервер сайта получает хэш OTP и посылает во внешнюю точку обслуживания инструкцию на запуск подготовки для клиента Configuration Manager 2007 SP1 или более поздней версии.

  4. Внешняя точка обслуживания извлекает хэш OTP для этого компьютера на основе AMT с сервера сайта и сравнивает его с хэшем OTP, полученным от агента клиента AMT, для проверки идентификации подготавливаемого компьютера на основе AMT.

  5. Компьютер на основе AMT посылает сообщение "Hello" во внешнюю точку обслуживания каждую минуту в течение 5 минут, затем каждые 5 минут в течение часа, затем каждый час в течение 23 часов. Однако эти пакеты отклоняются внешней точкой обслуживания, так как установлен клиент Configuration Manager 2007 SP1 или более поздней версии.

  6. Внешняя точка обслуживания создает исходящее подключение TLS с использованием сертификата обеспечения AMT и безопасного канала (Schannel) поставщика поддержки системы безопасности. В этом подключении компьютер на основе AMT является сервером, а внешняя точка обслуживания является клиентом. Этот сеанс транспортного уровня устанавливается с использованием протокола установления связи TLS.

    1. Внешняя точка обслуживания посылает сообщение "Hello" клиента на компьютер на основе AMT с запросом на использование SHA1.

    2. Компьютер на основе AMT посылает сообщение "Hello" сервера во внешнюю точку обслуживания и посылает ее открытый ключ с самозаверяющим сертификатом.

    3. Для создания канала TLS используется интерфейс поставщика поддержки системы безопасности (SSPI) корпорации Майкрософт.

    4. Внешняя точка обслуживания посылает свой сертификат обеспечения AMT и полную цепочку сертификатов на компьютер на основе AMT с определенным идентификатором объекта обеспечения AMT или атрибутом подразделения (OU) сертификата Intel(R) Client Setup Certificate.

    5. Компьютер на основе AMT проверяет следующие данные для сертификата обеспечения AMT и в случае совпадения устанавливает сеанс TLS: имя получателя (CN) по сравнению с собственным пространством имен DNS, идентификатор объекта по сравнению с идентификатором объекта для обеспечения AMT (или атрибутом подразделения OU) и отпечаток сертификата корневого сертификата из цепочки сертификатов по сравнению с отпечатком сертификата, который сохранен в памяти микропрограммы AMT.

  7. Внешняя точка обслуживания устанавливает подключение на уровне приложения с компьютером на основе AMT с использованием дайджест-проверки подлинности HTTP.

    1. Внешняя точка обслуживания посылает запрос SOAP на компьютер на основе AMT без имени и пароля пользователя.

    2. Компьютер на основе AMT посылает внешней точке обслуживания ответ "требуется проверка подлинности", который приводит к дайджест-проверке подлинности HTTP.

    3. Внешняя точка обслуживания повторно посылает запрос SOAP с теми же данными на компьютер на основе AMT, на этот раз, с использованием дайджест-проверки подлинности HTTP.

    4. Компьютер на основе AMT выполняет проверку подлинности и посылает внешней точке обслуживания ответ об успешном выполнении или сбое.

  8. Если при выполнении подключения на уровне приложения произошел сбой дайджест-проверки подлинности HTTP, внешняя точка обслуживания пробует использовать другое имя и пароль, которые настроены в Configuration Manager. Последовательно проверяются все имена пользователей и пароли до успешного выполнения проверки подлинности или до исчерпания имен и паролей.

  9. Внешняя точка обслуживания посылает на сервер сайта инструкцию для создания учетной записи Active Directory в настроенном контейнере Active Directory (или подразделении) и для установки имени участника службы для компьютера на основе AMT.

  10. Компьютер на основе AMT проходит подготовку первого этапа, инициированную запросом SOAP от внешней точки обслуживания.

    1. Время AMT синхронизируется со временем Windows из внешней точки обслуживания.

    2. Домен и имя узла AMT устанавливается в соответствии с данными компьютера. Имя домена и имя узла компьютера можно извлечь из данных обнаружения системы или из данных клиента, зарегистрированных при назначении клиента сайту.

    3. Запрошенный и извлеченный сертификат сохраняется в памяти микропрограммы AMT, и включается проверка подлинности TLS.

    4. Configuration Manager создает случайный и надежный пароль для учетной записи удаленного администратора AMT и сохраняет это значение в AMT.

    5. Configuration Manager может изменить пароль MEBx на надежный пароль, настроенный в консоли Configuration Manager, в зависимости от того, был ли он ранее изменен на компьютере, основанном на AMT, и от версии AMT.

    6. Параметры сохраняются в микропрограмме AMT, и для микропрограммы AMT устанавливается состояние режима работы после подготовки.

  11. Компьютер на основе AMT проходит подготовку второго этапа, инициированную запросом удаленного управления Windows (WinRM) от внешней точки обслуживания.

    1. Списки управления доступом AMT удаляются и настраиваются в соответствии с правами и учетными записями пользователей AMT.

    2. Шифрование Kerberos включено, в Configuration Manager 2007 с пакетом обновления 1 (SP1) для схемы управления питанием устанавливается значение 5 (если значение 5 еще не настроено по умолчанию), которое означает, что питание микропрограммы AMT включено всегда, за исключением аварийного отключения питания. В Configuration Manager 2007 с пакетом обновления 2 (SP2) для схемы управления питанием устанавливается заданное значение параметра Управляемость включена в следующем состоянии электропитания на вкладке Параметры AMT диалогового окна Свойства внешнего управления.

    3. Только в Configuration Manager 2007 с пакетом обновления 2 (SP2) выполняются следующие дополнительные действия: удаляются все существующие профили беспроводной связи, удаляются все сертификаты, связанные с профилями беспроводной связи и профилями проводной связи с проверкой подлинности 802.1X, определяется возможность AMT использовать беспроводную связь. После этого профили беспроводной связи и конфигурация проводной сети с проверкой подлинности 801.2X сохраняются в AMT.

  12. Внешняя точка обслуживания посылает запросы процесса подготовки на сервер сайта, который обновляет базу данных Configuration Manager следующей информацией о компьютере на основе AMT: состояние AMT, пароль MEBx, пароль удаленного администратора AMT.

См. также