Intel AMT 9 на примере Asus CS-B
Intel AMT версии 9 появилась с выходом Intel Series 8 / Haswell в 2013-м году и продолжила начатую в предыдущей версии AMT традицию - больше пропало, нежели появилось.
В версии Intel AMT 9 окончательно отломали SOAP API (оставили лишь WS-MAN) и убрали поддержку инициализации с помощью PID/PPS. В замен последнего добавили так называемую инициализацию EHBC (Embedded Host Based Configuration), однако в реальности она не доступна "простым смертным", ибо, как видно из названия, предполагает использование лишь во встраиваемых системах. Представляет собой действительно удобную штуку, когда проинициализировать АМТ можно в админский режим программно, без вставления USB-флешки и последующего нажатия Y при старте. Ведь как это сделать, например, в банкомате? Итого, это задумано как включение конкретными ОЕМ-производителями данного флажка (EHBC как опции), позволяющего после "правильному ПО" проделать инициализацию Intel AMT в том числе удалённо.
Asus CS-B + Intel AMT 9.0
Неплохая материнская плата на чипсете Intel Q87, в частности, на данный момент, в комплекте с Intel i7-4770, являющийся моей основной рабочей системой. Имеет достаточную производительность и поддерживает Intel AMT 9.0.

К сожалению, рекомендованная в предыдущей части утилита Intel AMT Diagnostics Tool не хочет работать с Intel AMT 9:
И не признаёт в ней АМТ вообще - она поддерживает лишь системы до Intel AMT 8 включительно.
Это важный момент - много какое "старое" ПО с поддержкой АМТ перестало с ним работать с выходом девятой версии (по причине отсутствия поддержки SOAP в AMT9+). В частности, это касается и MS SCCM 2012.
Хотя, если запустить ACU Wizard 10, то всё определится:
Как видно, AMT9-компьютер не проинициализирован (не сконфигурирован).
Инициализация Intel AMT 9 в BIOS/MEBx с помощью Activate Network Access
В предыдущих частях мы использовали много разных способов инициализации AMT, не раз упоминая про один из наиболее "очевидных" вариантов с инциализацией AMT посредством фичи Activate Network Access. Правда всегда проходили мимо её, т.к. Activate Network Access отсутствует на платах прозводства Intel (в основном которыми я и пользовался, прежде чем компания Intel свернула своё производство в этом сегменте). В данном случае плата не от Intel, а потому представился удобный способ показать конкретно то, о чём так часто упоминалось.
Настройки АМТ в BIOS Asus CS-B выглядят следующим образом:
Здесь можно включить AMT, расконфигурировать Intel ME (т.е. сбросить AMT в "админ-админ"), а также включить возможность захода в MEBx:
Включив Hotkey, перезагружаемся, нажав CTRL-P и попадаем в MEBx:

Я делаю это впервые с момента получения платы, потому здесь ввожу пароль admin и задаю новый:

Стандартное меню, переходим в AMT Configuration:

И находим "главную кнопку" - Activate Network Access:

Нажимаем, и AMT мгновенно инициализируется и переходит в админский режим управления:

В результате изменяется и набор менюшек:

В частности - появляется Unconfigure Network Access.
Нужно различать расконфигурирование здесь (в MEBx) - пункты:
- Unconfigure Network Access
- Partial Unprovision
- Full Unprovision
И расконфигурирование в BIOS:
- Включение/выключение AMT
- Un-Configure ME
Получается, что они "дублируются в чём-то. Но нужно помнить, что для доступа к вариантам в MEBx потребуется отдельный пароль (не зная который не получится его просто так "поломать". В то время как варианты в BIOS позволяют вам и расконфигурировать и, вообще, отключить функционал АМТ - не зная админского АМТ-пароля.
Теперь, загрузившись, увидим:

АМТ-компьютер сконфигурирован в админский режим.
Настройка AMT 9 в Meshcentral-сервере
Если мы посмотрим AMT9-компьютер на базе Asus CS-B в своём локальном Meshcentral-сервере, который мы поставили в прошлой статье:
То также увидимо, что он работает в админском режиме.
Чтобы использовать Meshcentral для работы функционалом AMT - жмём маленькую стрелочку «Настройка Intel AMT»:

Вводим заданный нами в MEBx пароль и выбираем вариант HBP (Host Based Provisioning):

Нажав Create Record запустится процесс конфигурации AMT для работы с нашим локальным сервером Meshcentral:
Спустя некоторое время (1-2 минуты - для обновления статуса можно жать клавишу Refresh) процессс закончится:

Теперь в основном меню увидим, что АМТ 9 компьютер сконфигурирован с поддержкой TLS:
И теперь мы сможем управлять AMT прямо отсюда, из Meshcentral, просто с помощью браузера:

В частности, видно, как много различных состояний компьютера- это ещё одно отличие версии Intel AMT 9 от предыдущих. Собственно - как результат прихода платформы Haswell. Для сравнения, вот какой набор возможностей есть у AMT 7:

Он стандартный для всех версий до AMT1-8 включительно.
Итого, за более чем три десятка частей, мы, наконец, добрались до современной версии AMT9. Дальше особого смысла разбирать будет не так много - версии AMT 9 и AMT 10 "ещё более ничем не отличаются". Однако важно, что данные версии являются официально "наиболее рекомендуемыми". Потому, конечно же, при желании использовать потенциал AMT на полную и возможности выбора - смело выбирайте решения с поддержкой Intel AMT 9 и новей. Не реклама. Ну, если лишь только совсем немного - чисто из любви к Intel, vPro и AMT.
Комментарии
а есть ли в 9-й версии
а есть ли в 9-й версии возможность работы с KVM\VNC на проце без поддержки встроенной графики? У меня Xeon 1220, поддержка АМТ там есть, но вот получается что KVM нет, видео только через внешнюю карту. Получается что безголовым сервером через KVM не порулить...
Всё верно, раз в Intel Xeon
Благодарность
Большое спасибо за хорошую статью. С первого раза настроил AMT на связке E3-1246v3 + ASUS Q87M-E.
Стоит добавить, что при смене пароля с admin на свой в MEBx система не примет простой пароль (нужны цифры и знаки препинания). Немного споткнулся на этом этапе.
Добавление про строгие
Добавление про строгие правила для MEBx паролей совершенно справедливо. В частности про это, естественно, написано здесь же в статье по паролям Интел АМТ: https://vpro.by/osnovnye-paroli-intel-amt#AMT-password-rules.
radmin 3.5 и AMT ver.9
Насколько я понял, Radmin использует методы протокола AMT до версии 9?
Не могу подключиться Radmin 3.5, пишет Ошибка протокола Soap. realvnc plus при этом подключается на ура.
(плата gigabyte ga-q87m-d2h)
Верно, обычно (к сожалению)
Верно, обычно (к сожалению) подавляющее большинство утилит, работающих с Intel AMT, застряло на старых (ибо простых и уже кем-то написанных) методах с использованием SOAP, потому они работоспособны лишь до версии Intel AMT 9 не включительно. Ваша GA-Q87M-D2H - это АМТ 9.0, так что Radmin (его функционал для работы с АМТ) работать не будет. Возможно разработчики Radmin проапгрейдят этот функционал в какой-то версии (если уже - буду признателен, кто пользовался, отписаться).
Добавить комментарий