web-dev-qa-db-ja.com

SCCM SP2-OOB管理証明書の問題

AMT4.0を搭載したvProクライアントコンピューターがあります。これは、OOBコンピューターのインポートウィザードを介して正常にインポートされ、「ハローパケット」を送信した後、プロビジョニングされました。 (SCCM GUIはAMTステータス:プロビジョニング済みを表示します。)しかし、このマシンで電源操作を実行しようとすると、ログに次の行が表示されて常に失敗します。AMT操作ワーカー:プロセス命令ファイル2009年7月29日10:59:29 AM 2176(0x0880)AMT操作ワーカー:20秒待機... 2009年7月29日10:59:29 AM 2176(0x0880)自動ワーカースレッドプール:作業スレッド3884が開始しました7/29/200910:59:29 AM 3884(0x0F2C)セッションパラメータ:https://amt4.domaindemo.com:16993、11001 7/29/2009 10:59:29 AM 3884(0x0F2C)エラー:Invoke(invoke)failed:80020009argNum = 0 7/29/2009 10:59:31 AM 3884(0x0F2C)説明:セキュリティエラーが発生しました7/29/2009 10:59:31 AM 3884(0x0F2C)エラー:失敗しましたCIM_BootConfigSetting :: ChangeBootOrder_INPUTアクションを呼び出します。7/ 29/200910:59:31 AM 3884(0x0F2C)AMTオペレーションワーカー:AMTマシンamt4.domaindemo.comをウェイクアップできません。エラーコード:0x80072F8F 7/29/2009 10 :59:31 AM 3884(0x0F2C)自動ワーカースレッドプール:警告、今回はタスクの実行に失敗しました。Wil l再試行(1)それ2009年7月29日10:59:31 AM 3884(0x0F2C)

調査の結果、プロビジョニングの第2段階ですでに問題が発生していることがわかりました。

AMTデバイスamt4.domaindemo.comで第2段階のプロビジョニングを開始します。 2009年8月2日4:55:12 PM 2944(0x0B80)セッションパラメータ:https://amt4.domaindemo.com:16993、110012009年 8月2日4:55:12 PM 2944(0x0B80)既存のACLを削除... 8/2/2009 4:55:12 PM 2944(0x0B80)エラー:Invoke(invoke)失敗:80020009argNum = 0 8/2/2009 4:55:14 PM 2944(0x0B80)説明:セキュリティエラーが発生しました8/2/2009 4:55:14 PM 2944(0x0B80)エラー:ユーザーAclエントリを列挙できません。2009年8月2日4:55:14 PM 2944(0x0B80)エラー:CSMSAMTProvTask :: StartProvision呼び出しに失敗しましたAMTWSManUtilities :: DeleteACLs 8/2/2009 4:55:14 PM 2944(0x0B80)エラー:ターゲットデバイスでWSMAN呼び出しを終了できません。1。ブロックするwinhttpプロキシがあるかどうかを確認します。接続。2。サービスポイントはAMTファームウェアのワイヤレスIPアドレスとの接続を確立しようとしていますが、ワイヤレス管理はまだ有効になっていません。AMTファームウェアはワイヤレス接続によるプロビジョニングをサポートしていません。3。3.xAMTを超える場合は、 WSMANがfするAMTファームウェアの既知の問題44バイトより長いFQDNを持つすべて。 (MachineId = 17)2009年8月2日4:55:14 PM 2944(0x0B80)STATMSG:ID = 7208 SEV = E LEV = M SOURCE = "SMSサーバー" COMP = "SMS_AMT_OPERATION_MANAGER "SYS = JE-DEV-MS0 SITE = JR1 PID = 1756 TID = 2944 GMTDATE = Sun Aug 02 14:55:14.281 2009 ISTR0 =" amt4.domaindemo.com "ISTR1 =" amt4.domaindemo.com "ISTR2 =" " ISTR3 = "" ISTR4 = "" ISTR5 = "" ISTR6 = "" ISTR7 = "" ISTR8 = "" ISTR9 = "" NUMATTRS = 0 8/2/2009 4:55:14 PM = 2944(0x0B80)このエラーは、他のすべての第2段階のプロビジョニングタスクと一致しています(ACLの追加、Web UIの有効化など)。

認証局を開きましたが、証明書がAMTクライアントではなくSCCMサイトサーバーに発行されたことがわかります!

この失敗の理由は何でしょうか?証明書の問題のある定義は何ですか?

前もって感謝します!!!

windows-server-2003certificatesccm
2
Achinoam

同じ問題に直面しました。AMTクライアントにインストールされた証明書は、実際にはSCCMサーバーに発行されました。

エラーは「Webサーバー証明書テンプレート」の「サブジェクト名」タブにありました。 [このActiveDirectory情報からビルドする]オプションをオンにし、[サブジェクト名の形式]オプションのドロップダウンで[共通名]を選択する必要があります。

プロビジョニングが成功した場合、IEブラウザからFQDNを使用してAMTクライアントにアクセスしても、証明書の警告やエラーは表示されません。ログインプロンプトがすぐに表示されます。

1
Abhisek Sanyal

SCCMでは、AMTには証明書を直接要求する方法がないため、AMT証明書はCAによってプロキシとしてOOBサービスポイントに発行されます。これが表示されているという事実は、セットアップが少なくとも部分的に正しいことを示す良い兆候です。

デフォルトでは、AMTには商用ルートCAのサンプリントのみがプリロードされています(Thawte、Verisignなど)エンタープライズCAを使用している場合(この場合は、あなたがそうであるように見えます) 、ルートCAの証明書の拇印は、プロビジョニングする前にAMTに事前にロードする必要があります。それ以外の場合、AMTは割り当てられた証明書を拒否します(rootへの信頼がないため)。

ルートCAは、コンピューターベンダーによるカスタム構成(推奨)またはMEBxコントロール(展開するすべてのマシンに触れる必要がある)を介して入力できます。 MEBxを使用する場合、拇印はIntel(R) AMT Configuration | Setup and Configuration | TLS PKI | Manage Certificate HasesでMEBxにロードされます。

0
newmanth