SCCM SP2 - OOB 管理证书问题

SCCM SP2 - OOB 管理证书问题

我有一台装有 AMT 4.0 的 vPro 客户端计算机。它已通过导入 OOB 计算机向导成功导入,并在发送“Hello- 数据包”后已配置。(SCCM GUI 显示 AMT 状态:已配置)。但是,当我尝试在这台机器上执行电源操作时,它们总是失败,日志中显示以下几行: AMT 操作工作线程:唤醒以处理指令文件 2009 年 7 月 29 日上午 10:59:29 2176 (0x0880) AMT 操作工作线程:等待 20 秒... 2009 年 7 月 29 日上午 10:59:29 2176 (0x0880) 自动工作线程池:工作线程 3884 已启动 2009 年 7 月 29 日上午 10:59:29 3884 (0x0F2C) 会话参数:https://amt4.domaindemo.com:16993,11001 2009 年 7 月 29 日上午 10:59:29 3884 (0x0F2C) 错误:调用(调用)失败: 80020009argNum = 0 2009-07-29 10:59:31 AM 3884 (0x0F2C) 描述:发生安全错误 2009-07-29 10:59:31 AM 3884 (0x0F2C) 错误:无法调用 CIM_BootConfigSetting::ChangeBootOrder_INPUT 操作。 2009-07-29 10:59:31 AM 3884 (0x0F2C) AMT 操作工作线程:无法唤醒 AMT 计算机 amt4.domaindemo.com。错误代码:0x80072F8F 2009-07-29 10:59:31 AM 3884 (0x0F2C) 自动工作线程池:警告,本次无法运行任务。将重试(1) 7/29/2009 10:59:31 AM 3884 (0x0F2C)

经过调查,我发现问题已经出现在配置的第二阶段:

在 AMT 设备 amt4.domaindemo.com 上开始第二阶段配置。 2009/8/2 4:55:12 PM 2944 (0x0B80) 会话参数:https://amt4.domaindemo.com:16993,11001 2009/8/2 4:55:12 PM 2944 (0x0B80) 删除现有 ACL... 2009/8/2 4:55:12 PM 2944 (0x0B80) 错误:Invoke(invoke)失败:80020009argNum = 0 2009/8/2 4:55:14 PM 2944 (0x0B80) 描述:发生安全错误 2009/8/2 4:55:14 PM 2944 (0x0B80) 错误:无法枚举用户 Acl 条目。 2009 年 8 月 2 日下午 4:55:14 2944 (0x0B80) 错误:CSMSAMTProvTask::StartProvision 无法调用 AMTWSManUtilities::DeleteACLs 2009 年 8 月 2 日下午 4:55:14 2944 (0x0B80) 错误:无法完成与目标设备的 WSMAN 调用。1. 检查是否有 winhttp 代理阻止连接。2. 服务点正在尝试与 AMT 固件的无线 IP 地址建立连接,但无线管理尚未启用。AMT 固件不支持通过无线连接进行配置。3. 对于 3.x 以上的 AMT,AMT 固件中存在一个已知问题,即 WSMAN 将因 FQDN 长度超过 44 个字节而失败。 (MachineId = 17) 2009 年 8 月 2 日下午 4:55:14 2944 (0x0B80) STATMSG:ID=7208 SEV=E LEV=M SOURCE="SMS Server" COMP="SMS_AMT_OPERATION_MANAGER" SYS=JE-DEV-MS0 SITE=JR1 PID=1756 TID=2944 GMTDATE=Sun Aug 02 14:55:14.281 2009 ISTR0="amt4.domaindemo.com" ISTR1="amt4.domaindemo.com" ISTR2="" ISTR3="" ISTR4="" ISTR5="" ISTR6="" ISTR7="" ISTR8="" ISTR9="" NUMATTRS=0 2009 年 8 月 2 日下午 4:55:14 2944 (0x0B80) 此错误始终存在以及所有其他第二阶段配置任务。(添加 ACL、启用 Web UI 等)

我打开了证书颁发机构,发现证书颁发给了 SCCM 站点服务器,而不是 AMT 客户端!

失败的原因可能是什么?证书的定义有问题吗?

先感谢您!!!

答案1

我遇到了同样的问题,安装在 AMT 客户端中的证书实际上是颁发给 SCCM 服务器的。

错误出在“Web 服务器证书模板”的“主题名称”选项卡中;应该选中“从此 Active Directory 信息构建”选项,并在“主题名称格式”选项的下拉菜单中选择“通用名称”。

如果配置成功,则使用 IE 浏览器的 FQDN 访问 AMT 客户端时不会出现任何证书警告或错误。登录提示应立即显示。

答案2

在 SCCM 中,AMT 证书由 CA 作为代理颁发给 OOB 服务点,因为 AMT 无法直接请求证书。您看到这种情况是一个好兆头,表明您的设置至少部分正确。

默认情况下,AMT 仅预加载商业根 CA 的指纹(例如 Thawte、Verisign 等)如果您使用的是企业 CA(在本例中看起来是这样的),则必须在配置之前将根 CA 的证书指纹预加载到 AMT 中。否则,AMT 将拒绝分配给它的证书(因为它不信任根)。

您的根 CA 可以通过计算机供应商的自定义配置输入(首选)或通过 MEBx 控件输入(这需要您接触部署的每台机器)。如果您使用 MEBx,指纹会在 时加载到 MEBx 中Intel(R) AMT Configuration | Setup and Configuration | TLS PKI | Manage Certificate Hases

相关内容