英特尔® AMT 设置与配置服务：技术概述

用于英特尔® 主动管理技术（英特尔® AMT）的英特尔® 设置与配置服务（英特尔® SCS）是一个免费的工具集，它简化了支持英特尔® AMT 远程管理的硬件的准备工作。它还提供了一个开源示例配置实用程序，软件开发人员可将该工具用于参考，或将其用作在其网络管理产品中添加对英特尔® SCS 的支持的基础。

作者：Matt Gillespie

各种规模的企业都可以使用支持英特尔® 主动管理技术（英特尔® AMT）（支持英特尔® 博锐™ 技术的平台不可或缺的一部分）的硬件提高网络管理和支持操作的效率。对于最终客户而言，其优势在于软件制造商可向支持此硬件技术的产品中增加功能，从而使其网络管理产品能够在市场中独树一帜。

在网络环境中使用英特尔® AMT 使系统管理员可远程搜索、修复和保护处于任何操作状态的支持英特尔® AMT 的设备，即使它们的电源已关闭或其操作系统出现故障时也是如此（只要系统连接到电源线和网络）。有关英特尔® AMT 功能的概述，请参阅英特尔主动管理技术概述 .

作为此技术简介的一部分，英特尔提供了一组免费工具，以供网络管理员和网络管理软件制造商使用。这些工具包括一个软件开发套件（SDK），它提供了基于简单对象访问协议（SOAP）的应用程序编程接口（API）和库。另外，还提供了英特尔® AMT 参考设计套件，它提供了一个基于 Java* 的实用程序（用于利用支持英特尔® AMT 的平台的功能）和在网络管理应用程序中实现这些功能的方法。详细信息可在英特尔® 易管理性开发人员社区获得。

英特尔® 设置与配置服务（英特尔® SCS）通过自动化向英特尔® AMT 管理的平台传输用户名、密码和网络参数（使平台可远程管理）的过程，对 SDK 和 RDK 进行补充。英特尔® SCS 仅用于以大型企业模式设置英特尔® AMT 设备 – 英特尔® AMT 设备具有两种操作模式：大型企业模式和中小型企业（SMB）模式。

大型企业模式下的英特尔® AMT 平台能够通过传输层安全（TLS）通信协议使用安全通信。在 SMB 模式下运作的英特尔® AMT 平台不能使用 TLS。原始设备制造商（OEM）确定初始工厂模式设置为“大型企业”或“小型企业”。该值可在设置和配置过程中更改。

除了英特尔 SCS 主 Windows* 服务（该服务通过 SOAP API 与支持英特尔® AMT 的设备通信）之外，英特尔® SCS 还提供了一个开源示例控制台应用程序。这一简单控制台（带有完整源代码）作为软件制造商的参考应用程序或功能更完整的管理应用程序的基础都十分有用。

与英特尔® SCS 相关的功能会作为第三方软件供应商的软件应用程序中的一组增值功能（包括管理控制台和基础功能），提供给最终客户。这样，软件制造商使其解决方案支持英特尔® SCS 功能，企业 IT 部门会安装和操作这些解决方案以将英特尔® AMT 解决方案组成部分连接在一起。这些活动的自动化为大型企业客户提供了实现英特尔® AMT 硬件的有效方法，并为软件供应商创造了使简化这些实现的产品取得竞争优势的机会。

英特尔® SCS 使企业 IT 部门可以使用流行的技术（如动态主机配置协议（DHCP）、域名服务（DNS）、公钥基础设施（PKI）和 Microsoft Active Directory*将英特尔® AMT 硬件连接到网络基础设施。本文中标题为“设置与配置过程中英特尔® SCS 的操作”的部分中描述了这些技术的角色。在实践中，管理设置与配置解决方案可用英特尔® SCS 向管理软件提供与受管理的硬件通信时所需的必要信息，包括英特尔® AMT 凭据、主机名数据和连接请求。

在英特尔® SCS 上下文中，设置与配置之间的区别如下：

• 设置是使支持英特尔® AMT 的硬件安全连接到支持英特尔® SCS 的软件解决方案的过程。设置涉及为网络上的硬件设备创建密码和其他凭据，它们是以手动方式或通过使用 USB 密钥引导来输入到计算机的 BIOS 中的。
• 配置涉及在完成设置之后传送和维护配置设置。这些设置控制与硬件设备相关的整个范围的英特尔® AMT 行为，包括网络设置、用户帐户、处于睡眠状态和其他低功耗状态的管理引擎的行为和可用性等等。

设置与配置过程是通过传输级别安全性（TLS）加以保护的。证书服务由微软的认证中心提供，每设置一次英特尔® AMT 设备，它都会自动生成一个证书。用户名和密码使用 Kerberos 与 Microsoft Active Directory 相集成。通过为英特尔® AMT 设备提供轻松实现安全设置与配置基础设施的能力，英特尔® SCS 为软件开发人员大大简化了此功能的实现，减少了解决方案的复杂性，并缩短了面市时间。

英特尔公开提供英特尔® SCS（包括源代码）；任何人都可从英特尔® 主动管理技术设置与配置服务页上免费下载完整的英特尔® SCS 软件包。安装该软件包需要带有 Microsoft Internet 信息服务、SQL Server* 和 Microsoft 证书服务的 Microsoft Windows Server* 2003。更完整的系统要求包含在下载软件包的文档中，该下载软件包还包含英特尔® SCS 服务器端和客户端组件的安装程序、用于实现英特尔 SCS SOAP API 的Web Services 描述语言（WSDL）文件以及带有完整源代码的示例控制台应用程序。

英特尔® SCS 的核心是主英特尔® SCS 服务，该服务驻留在用作大型企业设置与配置服务器的 Web 服务器上。系统管理员通过管理控制台应用程序使用安全的 SOAP 通道与该服务通信。设置与配置服务器通过将一个安全数据库用作数据存储区，来使用 SOAP 与支持英特尔® AMT 的网络设备通信。英特尔® SCS 架构的主要元素如图 1 所示，其中包含下列部分：

• 英特尔® SCS 主服务
• 安全数据库
• SOAP API
• 英特尔® SCS 控制台

图 1. 高级英特尔® 设置与配置服务架构

下面详细描述了此架构的各个重要组件。

英特尔® SCS 主服务
英特尔® SCS 的主要用途是将英特尔® AMT 设置与配置的设置信息传递到支持英特尔® AMT 的设备，这些设备位于（例如）台式计算机或工作站上。由英特尔® SCS 主服务执行的主要过程和操作都封装在以下步骤序列中：

第一步	预设置与配置： 在此步骤中，英特尔® SCS 会生成用于配置英特尔® AMT 设备的数据。此数据包括密码和一个 USB 密钥文件，该文件包含单个设备的英特尔® SCS 凭据集。该文件可传输到 USB 密钥，并可用于配置单个英特尔® AMT 设备。
第二步	设置与配置： 在预设置与配置完成后，英特尔® SCS 会将初始设置从英特尔® SCS 数据库传送到英特尔® AMT 设备。管理员会通过配置文件写入这些初始设置。英特尔® SCS 使用这些初始值与英特尔® AMT 设备安全地通信、对其进行配置和创建 Active Directory 条目。
第三步	与 Active Directory 集成（可选）： 英特尔® SCS 可通过基于 Intel-Management-Engine 类创建目录条目从而将英特尔® AMT 设备与 Microsoft Active Directory 集成。英特尔® SCS 安装包含了可扩展 Active Directory 架构以支持此类和写入所需属性的脚本。英特尔® SCS 将创建代表每个英特尔® AMT 设备的 Active Directory 对象，并创建用于将其连接到 AMT 对象的属性。
第四步	收集安全信息：接着，系统会收集所需的操作安全参数。作为设置英特尔® SCS 的一部分，管理员将为要使用英特尔® SCS 的所有管理员和操作人员定义用户和权限。用户帐户可定义为 HTTP 分类帐户或 Active Directory 帐户。（在英特尔® AMT 设备未与 Active Directory 集成的情况下，会使用 HTTP 分类帐户。）在启用了 TLS 的情况下，英特尔® SCS 与微软认证中心进行交互。
第五步	管理和维护： 英特尔® SCS 为进行生命周期管理和维护操作（包括一些日常任务，如添加和删除英特尔® AMT 设备、管理密码数据和证书、维护日志和处理异常）提供了便利。

英特尔® SCS 数据库
设置与配置域使用Microsoft SQL Server（必须与英特尔®SCS分开安装）来存储该域中单个设备的所有配置数据和配置文件及支持配置活动的日志和存储过程。此数据支持在大型企业的任何部分部署包含英特尔® AMT 的平台。英特尔® SCS 和 SOAP API 都直接访问该数据库。该数据库还存储通过英特尔 SCS 控制台定义的用于与 Microsoft Active Directory 进行集成的英特尔 SCS 用户和权限数据。

在开始设置与配置之前，英特尔® SCS 数据库必须配置了以下内容：

• SCS 服务配置参数
• 为要配置的支持英特尔® AMT 的平台定义设置参数的配置文件
• 使用指向配置文件的链接标识每个要配置的英特尔® AMT 设备的条目
• 与安装在待配置的英特尔® AMT 设备上的内容相匹配的有效 TLS 凭据列表

英特尔 SCS SOAP API
英特尔 SCS SOAP API 为远程管理控制台和英特尔® SCS 主服务之间的通信提供支持。它还为解决方案供应商提供创建和生成自定义用户界面的基础。

英特尔® SCS 主服务通过发送“Hello”消息来请求对其进行配置的英特尔® AMT 设备接收信号，之后，英特尔® SCS 主服务会相应地轮询和更新数据库与 Active Directory。外部应用程序（如英特尔® SCS 控制台）可通过 SOAP API 发送 SOAP 请求以修改和查询数据库，来间接地配置服务。SOAP API 不直接与 SCS 服务进行交互。

由解决方案供应商创建的管理控制台可查询英特尔® SCS 数据库以获取已配置的英特尔® AMT 设备列表或最近已配置的设备列表，从而还可以将 SOAP API 用于平台搜索。API 函数分为四组，每一组都有一个相关联的 WSDL 文件，该文件定义该组中每个函数的参数：

• 身份验证接口用于登录、定义用户和设置数据库参数。
• 配置文件接口管理数据库中的配置文件对象。
• 英特尔® AMT 接口管理数据库中的英特尔® AMT 系统对象。
• 服务接口管理其他所有英特尔® SCS 服务函数。

英特尔® SCS 发行版包括四个 WSDL 文件、SOAP API 文档和控制台源代码（包含在 AMTConsoleSln.zip 中）。该发行版还包括示例客户端（即一组展示每个组的函数的简单应用程序，带有用于每组应用程序的源代码和二进制文件）。

英特尔® SCS 控制台
英特尔® SCS 控制台是与英特尔® SCS 分开安装的开源应用程序，它使用英特尔 SCS SOAP API 配置、控制和管理英特尔® SCS 主服务和英特尔® SCS 数据库。基于图形用户界面（GUI）的该组件（其中的一部分显示在图 2 中）支持英特尔® SCS 的独立操作。源代码随英特尔® SCS 一起分发，从而使软件供应商可以使控制台增值，并可将它集成到其产品中。



Figure 2. 图 2. 英特尔® AMT SCS 控制台

英特尔® SCS 控制台的主要功能如下：

• 维护策略定义英特尔® SCS 将定期在所有已配置的英特尔® AMT 设备上执行的操作，其中可能包括各种安全维护操作，如重新发放证书。
• 配置文件包含可应用于一个或多个英特尔® AMT 设备的设备配置参数。它们具有高度可配置性。
• 全局和个别（特殊）操作分别使配置操作一次能应用于大型企业中的所有平台和其中的一个平台。
• 日志跟踪英特尔® AMT 活动，并包含系统范围内操作的系统日志、跟踪全局和特殊操作的操作状态日志以及显示潜在安全问题的安全审核日志。

英特尔® SCS 还提供了一组额外的工具，提供了控制 SCS 环境的备用方法。这些工具包含可将记录添加到 SCS 数据库和转储数据库内容的命令行工具，以及用于执行与 Active Directory 相关的各种管理功能的一组脚本。

英特尔® SCS 专为同时执行多个英特尔® AMT 设备的设置与配置设计而成。所有向英特尔® SCS 发出的服务请求都在英特尔® SCS 数据库的队列中得到维护。一个专用线程针对任务的每个部分执行处理。一个线程等待来自英特尔® AMT 设备的“hello”消息。此线程将消息传递到排队线程，然后，排队线程将此设置与配置请求添加到数据库队列中。

将承载英特尔® SCS 的服务器的初始准备包括安装英特尔® SCS 软件和提供域/用户帐户信息以及数据库连接参数。管理员还必须向 IIS Web 容器提供所需的 TLS 证书，并必须提供称为“ProvisionServer”的 DNS 别名条目和要在英特尔® AMT 设备的配置中使用的默认配置文件。完成这些步骤之后，英特尔® SCS 环境即已为添加单个英特尔® AMT 设备准备就绪。

如果硬件制造商提供了支持英特尔® AMT 的平台，则英特尔® AMT 设备会出现，但已被禁用。英特尔® SCS 通过网络接口执行使英特尔® AMT 设备可操作所需的所有必要步骤。要将英特尔® AMT 设备添加到英特尔® SCS 环境中，管理员必须创建或导入 PID/PPS 密码组合，并在设备的唯一用户 ID 和设备的完全限定域名之间进行映射（可以手动方式基于每个客户端进行映射，也可以使用提供的自动执行的脚本进行映射）。

单个英特尔® AMT 设备的 BIOS 设置也是必需的，它可通过以下三个方法中的任何一个来完成：

• USB 方法使用从英特尔® SCS 导出到存储在 USB 密钥上的文件中的凭据数据，并且客户端计算机从该密钥进行引导以完成 BIOS 设置。BIOS 供应商必须支持此方法。
• 手动方法需要管理员从英特尔® SCS 控制台写下或打印凭据数据，引导客户端计算机并进入英特尔 SCS 管理引擎 BIOS 屏幕，然后手动将设置信息输入到 BIOS 中。
• OEM 设置方法使硬件制造商可以在英特尔® AMT 硬件出厂之前对其进行设置。该方法预先将凭据写入 BIOS 中，并以可轻松导入 IT 部门的英特尔 SCS 环境中的形式提供。此技术潜在地允许 IT 组织进行“零接触”部署。

完成 BIOS 设置之后，英特尔® AMT 设备会开始将“hello”消息发送到英特尔® SCS 主服务。图 3 以更详细的方式显示了整个设置与配置过程。



图 3.英特尔® SCS 下的设置与配置步骤

以下步骤序列与图 3 中的编号相对应：

第一步	已为设置准备就绪的英特尔® AMT 设备从动态主机配置协议（DHCP）服务器请求一个 IP 地址。
第二步	英特尔® AMT 设备使用默认的主机名“ProvisionServer”执行域名系统（DNS）查找。
第三步	英特尔® AMT 设备向第二步中解析的主机发送 TCP/IP“hello”消息。
第四步	根据“hello”消息中的全局唯一 ID（UUID），英特尔 SCS 主服务搜索数据库以查找要用于设置和配置英特尔® AMT 设备的配置文件和主机名。
第五步	英特尔® SCS 主服务从认证中心服务器请求英特尔® AMT 设备的证书。此步骤为可选；但对于使用 TLS 和互斥 TLS 的安装该步骤为必需。
第六步	如果使用与 Active Directory 的集成，则英特尔® AMT 设备会被定义为 Active Directory 域控制器上的英特尔® AMT 对象。
第七步	英特尔® SCS 服务使用 SOAP 命令完成设置与配置。

英特尔® SCS 为支持将英特尔® AMT 设备添加到大型企业中提供了全面的环境。软件供应商可使用英特尔提供的免费开源工具和其他资源将此功能整合到其解决方案中，从而大大简化此功能的添加，缩短用于在大型企业硬件中提供下一代易管理性的产品的面市时间。

以下资料提供了有关英特尔 SCS 和本文中讨论的其他主题的详细信息：

• 英特尔® 主动管理技术设置与配置服务页提供英特尔® SCS 软件包的下载以及完整文档的下载，包括《SCS SOAP API Interface Guide（SCS SOAP API 接口指南）》和《SCS Installation and User Manual（SCS 安装和用户手册）》。
• 英特尔® 易管理性开发人员社区是英特尔易管理性技术的技术资料核心来源，其中包含技术文档、工具、使用实例、论坛和特定软件合作伙伴机会。
• 英特尔® 博锐™ 技术  为商用 PC 提供内置的易管理性、主动的安全性和高能效的性能。

Matt Gillespie 是芝加哥地区的独立技术文档作者和编辑，主要关注领域为新兴的硬件和软件技术。在此之前，Matt 在英特尔公司为软件开发人员开展培训课程，他还曾在加州联邦银行互联网技术服务部工作过。在其职业生涯的最初几年，他还从事过金融出版和神经科学领域的作家兼编辑。