Intel® Endpoint Management Assistant (Intel® EMA) Probleme bei der Verbindung der CIRA – CIRA nicht angeschlossen

Nach einer Installation des Intel® EMA Servers kann es zu Problemen kommen, dass CIRA auf vPro PCs verbunden wird, auf denen der EMAAgent.exe-Service ausgeführt wird, selbst wenn die Bereitstellung auf der Intel® EMA Benutzeroberfläche abgeschlossen ist. Nachfolgend finden Sie eine Checkliste, die bei der Fehlerbehebung bei mehreren der am häufigsten auftretenden Probleme hilft. Hinweis: Diese Liste ist nicht vollständig.

Der allgemeine Ablauf zur Identifizierung von CIRA-Verbindungsproblemen lautet:

1. Keine Docks, keine Dongle. DIE AMT Intel® EMA muss über ein Intel WLAN- oder LAN-Siliziumteil (oder einen vPro-fähigTBT4-Dock)
   1. Es gibt eine weitere Ausnahme. Lenovo hat einen Pass-through-LAN-Dongle für einige spezifische PC-Modelle hergestellt. Dadurch wird ein LAN-Port direkt mit dem RJ45-Kabel verbunden und der CIRA-Datenverkehr geleitet. Der Anschluss ist proprietär; es sich nicht um einen Lenovo USB-Dongle handelt.
2. Ist der Test-PC Intel® Standard Manageability? ISM stellt keine CIRA-Verbindung her. (vPro Essentials wird mit ME 16+ verbunden)
3. Überprüfen Sie, ob die CIRA-Domain für die AMT Endpoint Group auf eine nicht behebungsfähige Domain gesetzt ist.
4. Installieren Telnetauf dem vPro PC (In Windows-Funktionen ein- oder ausschalten). In einer CMD-Admin-Aufforderung auf dem vPro PC Telnet-emaserver.mydomain.com 8080Ein schwarzer Bildschirm ist der Erfolg; Timeout ist ein Fehler. Port 8080 ist nicht geöffnet. Es gibt eine einfachere Möglichkeit, dies zu tun, wenn Sie Zugriff auf PowerShell haben. PS>Test-NetController myema.mydomain.com -Port 8080.
   1. Hinweis: Wenn VPN eingeschaltet ist, ist dies für Windows O/S erfolgreich, schlägt aber für die Intel® Management Engine fehl (Intel® ME). Der Intel® ME führt nicht über das O/S-VPN.
5. (nur WiFi) Wireless aktiviert und Profilsynchronisierung im AMT-Profil markiert.
   1. Wenn sich der PC in einem sicheren Netzwerk (Radius/NAC/802.1x usw.) befindet, ist eine zusätzliche Einrichtung erforderlich, um dem vPro PC Anmeldeinformationen für den Beitritt zum Netzwerk bereitzustellen.
6. (nur WiFi) Wenn Endpoint >=AMT 12 ist, überprüfen Sie C:\Windows\SysWOW64\Gms.log auf MEProfileSync-Ereignisse .
7. (nur WiFi) Überprüfen Sie, ob der WiMan.sys-Treiber installiert ist. Deinstallieren Sie alle Intel PROSet Treiber.
8. Überprüfen Sie das EMA-Protokoll des Endgeräts auf Fehler bei der Namensauflösung (z. B. wenn der PC die Dateien Windows C:\Windows\System32\drivers\etc\hosts verwendet, um auf den Intel® EMA zu verweisen, funktioniert die CIRA nicht, während die Firmware versucht, das FQDN direkt vom DNS-Server zu lösen, und nicht die Windows Hosts-Datei )
9. Führt der PC eine aktuelle (<1 Jahre alte) Firmware aus? Idealerweise sollte die neueste OEM-Firmware installiert werden.
10. Sind die neuesten OEM-Treiber/-Software installiert? Die OEM-Packung sollte verwendet werden, aber zu Testzwecken kann die Intel Packung verwendet werden. /content/www/us/en/download/682431/intel-management-engine-drivers-for-windows-7-windows-8-1-and-windows-10.html
11. Läuft der Intel LMS.exe-Dienst? (Local Management Service für Intel® Management- und Sicherheitsanwendungen). Falls dies nicht der Falle ist, sollte der PC eine AMT bereitstellen, aber dieser Service spielt eine Rolle bei der Synchronisierung von WiFi-Profilen mit dem Intel ME.
12. Herunterladen, Installieren Und Ausführen das EMAConfigtool https://downloadcenter.intel.com/download/30485/Intel-Endpoint-Management-Assistant-Configuration-Tool-Intel-EMA-Configuration-Tool-
    1. Überprüfen Sie die Informationen zur CIRA. Ist der CIRA_SERVER das richtige FQDN? (Hinweis: Wird vom CIRA-Server auf eine falsche IP-Adresse hingewiesen? In einem Fall haben wir die richtige IP-Adresse zu den Einstellungen/Webserver/Zulässige Domains hinzugefügt – CIRA verbunden).
13. Stellen Sie sicher, dass der PC nicht über Windows Update und Neustart verfügt
14. Versuchen Sie , das System wieder ein- und auszuschalten ! (Dies ist tatsächlich eine gültige Option. Wenn z. B. Windows-Upgrades anstehen oder selbst wenn nicht, hat dies CIRA-Verbindungsprobleme gelöst, insbesondere unmittelbar nach dem ersten Tom, den der vPro PC der AMT zur Verfügung stellt)
15. Wenn das Kabel im LAN ist – ist das Kabel an die Intel Card angeschlossen (wenn mehr als eine LAN-Karte)?

16. Verweisen Sie einen Browser auf https://ema.myserver.com:8080. Sehen Sie sich den allgemeinen Namen CN an. An welches FQDN wurde es ausgegeben? Führen Sie als Administrator nun auf dem vPro PC in einem CMD-Fenster EMAAgent.exe -swarmserver aus. Was ist das FQDN des Swarmservers? Wenn dies nicht mit dem FQDN des Cert auf Port 8080 übereinstimmt, schlägt die CIRA die Verbindung fehl.

    

17. Ermöglicht die Intel® EMA VM alle erforderlichen CipherSuites und Protokolle? Dies ist besonders relevant für Intel ME 11.x und unten:

    1. Führen Sie den folgenden Befehl vom Intel® EMA Server in einem PowerShell-Fenster als Admin aus: Get-TlsCipherSuite | FT-Name

    2. Überprüfen Sie , ob die Liste der zurückgesandten Verschlüsselungssuite TLS_RSA_WITH_AES_128_GCM_SHA256 enthält.
    3. Wenn diese Verschlüsselungssuite nicht enthalten ist:
       1. Laden Sie das IISCrypto Tool herunter und führen Sie es aus (https://www.nartac.com/Products/IISCrypto/Download)
       2. Zur Kategorie der Cipher Suites
       3. Aktivieren TLS_RSA_WITH_AES_128_GCM_SHA256
       4. Übernehmen Sie den Server und starten Sie den Server neu.