Инициализация Intel AMT через интернет

Intel AMT (Active Management Technology) есть важная составляющая Intel vPro и предназначена для удалённого управления компьютером. Однако для работы данной действительно полезной технологии требуется её первоначальная инициализация. Из-за того, что над развитием AMT работали разные команды, вышло много версий (на момент написания статьи уже заканчиваются работы над "юбилейной" десятой версией AMT 10), а также имеется серьёзная специфика её OEM-ной реализации (разные производители делают этот зоопарк весёлым до беспредела) - всё это крайне усложняет процесс реальной эксплуатации сией фичи. Настолько (усложнений), что сама компания Intel не только не в состоянии популярно объяснить, как же пользоваться Intel AMT, но и постоянно ошибается в документации по ней, окончательно запутывая даже искренне желающих разобраться и получить профит с того, за что уже заплатили (ведь известно, что все системы, имеющие наклейку Intel vPro дороже своих собратьев).

Итак, данной статьёй открывается серия мануалов и реальных кейсов, показывающих, как же задействовать Intel AMT - просто, понятно и доступно (насколько, конечно, это возможно).

Инициализация AMT

Любая версия Intel AMT требует трёх вещей:

  1. Intel AMT "должна быть" (на плате, в компьютере-ноутбуке-планшете-итп), т.е. чипсет должен иметь её поддержку вообще (см. список здесь на сайте).
  2. Intel AMT должна быть включена (не запрещена в BIOS, перемычками и пр.)
  3. Intel AMT должна быть проинициализирована.

Первые два пункта достаточно очевидны, но про них нужно помнить и не путать Intel MEI и Intel AMT - первое есть на всех современных чипсетах, а второе, лишь на тех, что "vPro supported".

Что касается инициализации, то в терминологии Intel с этим тоже путаница. Обычно это подразумевает термин Provisioning, а последующая "настройка" обозначается как Configuring. Однако есть ещё и Setup и, собственно Initialization и прочие вариации на данную тему - всё это имеет неоднозначную трактовку и в разных документах (самой же Intel) подразумевает разные вещи. Потому остановимся на двух достаточно понятных "русских" :) словах - инициализация и (последующая) конфигурация (конфигурирование).

И в данной статье мы рассмотрим первое - инициализацию, то бишь перевод компьютера с поддержкой Intel AMT из состояния "не сконфигурирован" (так пишется в интеловском агенте, показывающем состояние AMT в Windows - что как раз хорошо отражает упомянутую выше путаницу) в состояние "сконфигурирован".

Способы инициализации Intel AMT

Их не мало... И это всё путает, пугает даже подготовленного админа, что уж говорить про неподготовленного юзера. Не вникая в исторические особенности (почему этих способов столько расплодилось - читайте в отдельной статье) далее будет описан универсальный способ инициализации через интернет, работающий на всех версиях Intel AMT 2+ (т.е. от Intel AMT 2.0 и выше, включая Intel AMT 9.0/9.5).

Требования для инициализации AMT через интернет (или "cloud bare metal provisioning")

  • Компьютер с поддержкой Intel AMT (и она не запрещена в BIOS)
  • Доступ к роутеру - для возможности пробросить порты; если у вас тот случай, что вы имеете "direct internet connection" (без NAT - редкие провайдеры дают такое соединение), то вам порты пробрасывать не нужно
  • И, собственно (внезапно!) - наличие интернета


Всё выше было вступление. Далее непосредственно само описание инициализации Intel AMT через интернет.


Инициализация Intel AMT через интернет

  1. Пробрасываем порты (достаточно лишь протокол TCP): 16992-16993
  2. Прописываем Parent Domain (в настройках DHCP): vpro.by

Всё. Серьёзно, в некоторых случаях, лишь сделав эти два шага (конечно, у вас должна быть возможность их сделать + знания, как это сделать) просто перезагрузив роутер (обычно требуется для активации этих шагов), уже через минуту ваш AMT-компьютер будет проинициализирован и вы сможете получить к нему доступ по адресу http://ваш_IP:16992 (это может быть как и локальный IP, так и "интернетный" вариант), пароль - vPro.by1

В последнем случае (через интернет) ради безопасности после рекомендуется поменять порт, т.е. пробрасывать не "16992-16993 => 16992-16993", а, например, "34567-34568 => 16992-16993" и после вызывать http://ваш_IP:34567.
Как вариант - пароль после можно (нужно) сменить, порты закрыть.

В большинстве других случаев нужно запустить процесс инициализации AMT. Далее варианты в порядке "простоты осуществления".

Компьютерам с поддержкой AMT 3+ (для AMT 2 не прокатит) для запуска инициализации AMT может хватить просто:

  • Выключить компьютер (совсем, и розетки) и включить. В случае ноутбука - придётся вынимать на время батарею.
  • Для некоторых компьютеров (обычно "брендовые" десктопы HP, Dell и т.п.) - может сработать Clear CMOS.
  • Возможно ваш AMT-компьютер уже был когда-то/кем-то/как-то проинициализирован. Потому можно попробовать его "отинициализировать" (расконфигурировать). Для этого выключите поддержку AMT в BIOS и, перезагрузившись, снова зайдите в BIOS и включите AMT.
  • В случае отсутствия выключения AMT в BIOS - придётся зайти MEBx и запустить процесс Unconfigure AMT ("Full").

Для старичков Intel AMT 2 не доступна bare metal инициализация (появившаяся в АМТ 3), однако это не помешает им проинизиализироваться через интернет, лишь потребует дополнительных действий (для реализации не TLS-PKI инициализации как выше, а старенькой TLS-PSK версии):

  • Заходим в MEBx и вводим PID-PPS:
    PID: 0000-00EX
    PPS: 0000-0000-0000-0000-0000-0000-0000-0369

Всё, нажав ввод по окончании, таким образом в них запускается процесс инициализации AMT (только через PSK, а не с помощью сертификатов, как выше). Примерно через минуту AMT-компьютер будет проинициализирован, пароль будет тот же - vPro.by1 , после рекомендуется провести аналогичные вышеописанным мероприятия (сменить/закрыть порты, поменять пароль).

update: Сделал (и проверил) специальный файлик (для АМТ2), который нужно записать на флешку, отформатированную в FAT (не путать с FAT32 - в винде так просто можно сделать лишь со старыми, т.е. до 2Гб, подробности в будущей статье) и тогда вышеприведённый набор буквоцифр заменится просто на нажатие Y при запросе на автоконфигурирование.

В роутере нет Parent Domain

Второй шаг для инициализации через интернет ("Parent Domain" и другие вариации его названия в разных роутерах) требует наличия возможности задать так называемое значение DHCP Option 15. Некоторые роутеры (обычно старые и/или дешёвые) такого не могут (хотя это не нечто "необычное", а весьма примитивное и часто "появляется" после обновления прошивки роутера). В таком случае придётся внести данное значение "вручную". Это можно сделать многими способами:

  • с помощью USB-флешки (так называемый USB-provisioning)
  • вручную, зайдя в MEBx и введя в поле PKI DNS-suffix: "vpro.by" (без кавычек)

Инициализация флешкой заслуживает отдельной статьи (и не одной), потому пока остановлюсь на рекомендации "поработать ручками".

Как работает инициализация AMT через интернет

Результатом "запуска инициализации AMT" становится специальный так называемый Hello-пакет, который AMT-компьютер отсылает на "Provision Server". Адрес "инициализационного сервера" он "высчитывает" как "provisionserver" + "Parent Domain", т.е. в нашем случае это provisionserver.vpro.by. Данный сервер имеет специальный сертификат, предназначенный для инициализации vPro-систем, выданный авторизированным Intel для этих целей регистратором, root-хэш которого присутствует в хранилище сертификатов АМТ-компьютера.

Проверив все эти параметры (сертификаты для АМТ3+, PID/PSK-ключи для АМТ2) на валидность, AMT-компьютер "соглашается" на свою инициализацию и принимает конфигурационные данные с сервера, расположенного в интернете (в частности, это облачный сервис от Amazon). Т.к. такое соединение для роутера входящее (на 16993-й порт для инициализации и 16992 для конфигурирования) - требуется пробросить данные порты на АМТ-компьютер в вашей подсети.

При выполнении всех этих условий - АМТ-компьютер благополучно проинициализируется где-то в течении минуты (зависит от соединения). Если попытка проинициализироваться по какой-то причине не получится - Hello-пакет будет слаться с некоторой периодичностью в течении некоторого времени (варьируется, обычно это 6 часов, но у некоторых ОЕМ-вариантов от 255 часов до бесконечности). При чём это время обычно исчисляется от подачи питания (почему один из способов "запустить" - просто выключить-включить компьютер).

Что делать, если не получилось (проинициализировать AMT)?

Следите за обновлениями, продолжение следует. Также можно задавать вопросы в комментариях.

 

Комментарии

Прочитал все статьи, узнал много нового, действительно не смотря на большой возраст vPro информации до сих пор мало.
Решил попробовать, распаковал свежекупленный самосборный системник на базе Q87 с Core i7 vPro, воткнул во встроенную сетевую карту кабель. Подумал, чтобы сделать проброс портов на роутере надо узнать полученный IP, для этого лучше знать MAC. Полез на коммутатор, но на порту, к которому подключен этот системник, нет ни одного MAC. Чтобы заработала хоть какая-то сетевая активностьнужно зайти через CTRL+P, задать пароль Intel ME и нажать Network Activation.
В связи с этим вопрос, когда используется приведенный в статье способ, если для него все-равно надо зайти в MEBx и все сделать ручками? Или я что-то упустил?
Спасибо!

Аватар пользователя apple_rom

Нажав "Network Activation" вы инициализируете AMT (при чём в Admin Mode). В таком случае уже, понятно, незачем инициализировать "ещё и через интернет".

В статье предполагается использование тех случаев, когда можно задействовать технологию Bare Metal - когда компьютер может быть проинициализирован некоторое время, обычно 6 часов после включения. Однако у различных ОЕМ данные методы сильно разнятся. А многие современные просто на него забили, как раз предполагая ту процедуру, которую вы и сделали.

Постараюсь в следующих статьях подробней раскрыть зоопарк разнообразия, как бывает у разных плато-, ноутбуко- и компьютеропроизводителей с поддержкой АМТ.

Мучаюсь с Vpro на чипсете Q87. В компе установлен процессор Intel Pentium G3260. Коммандер видит этот комп, но не подключается.
Есть второй комп на EQ45M-S2. В нём процессор Dual-Core E5400. К нему коммандер подключается без проблем.

Вопрос: обязательно ли надо использовать процессор с поддержкой Vpro? Например i5 4570?

Добрый день. Имею индустриальный компьютер eBOX670-883-FL. Настроил AMT, дал статический адрес 192.168.100.100, который пингуется, но ни один вьювер не может подключиться к этому компу. В чем может быть проблема?

Аватар пользователя apple_rom

Исходя из документации - http://www.axiomtek.com/Download/Spec/ebox670-883-fl.pdf - он не поддерживает Intel AMT.

Напомню, что для поддержки Intel AMT требуется три составляющих (обязательно все три):

  1. Процессор с поддержкой Intel AMT (может указываться как Intel vPro support или типа того).
  2. Чипсет с поддержкой Intel AMT - обычно это Q-серий, если это не "одночиповое" (SOC - SystemOnChip, всё в одном) решение.
  3. Поддержка на уровне BIOS/UEFI.

Возможно в случае Axiomtek eBOX670-883-FL как раз даже "обидный" третий случай, когда "всё может", но "не добавили в биос".

Добрый день, есть ли возможность обойти проброску портов? Может использовать IPv6 или UPnP? Спасибо))

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
Anti-bot.