Использование Manageability Director для инициализации AMT

Intel SCS

Для того, чтобы проинициализировать AMT изначально использовался скрипт, локально активирующий отправление Hello-packet с AMT-компьютера и серверное ПО, название которого варьировалось, но после закрепилось как Intel SCS (Setup and Configure Server). Он (Intel SCS) позиционировался и позиционируется до сих пор как "чисто корпоративное" решение. На базе него многие ОЕМ-производители построили собственные решения. Intel официально считает его "главным" способом "активации AMT".

Однако для того, чтобы разобраться в теме AMT - Intel SCS подходит очень плохо. Сложный, громоздкий, неприспособленный для "личного использования", требующий глубоких знаний, при чём не только в области Intel AMT, но и Windows Server администрирования (так как он целиком и полностью базируется именно на серверной версии Windows). Intel SCS обязательно разберём позже, сначала - простое и функционально достаточное решение.

Manageability Developer Tool Kit (MDTK)

Другим ПО для "серверной части" является MDTK - набор "самодостаточных" небольших утилит с открытым кодом, разрабатываемых в Intel "альтернативной" командой (по отношению к той, что разрабатывает и сопровождает Intel SCS). Во главе этой команды, начиная с 2007-го года стоит очень популярный/известный в "AMT-кругах" Ylian Saint-hilaire (т.к. бессменно ведёт многочисленные конференции и презентации по данной теме). После выхода AMT 7 (2011-го год) MDTK взял сильный крен в сторону продвигаемого Юлианом собственного проекта MeshCentral.com, который подразумевает удалённое администрирование любых систем (а не только AMT), однако поддержка AMT полноценно в нём осталась и развивается. С другой стороны, к сожалению, как и версии Intel SCS - поддержка старых версий AMT (1-3) хоть и заявлена, в реальности не работает, либо работает с ошибками. И если в Intel SCS про такое (неподдержку старых) напрямую говорится (что "не гарантируется"), то в случае MDTK как бы подразумевает поддержку, однако это не так. Потому для работы со старыми версиями AMT - нужно использовать и старые версии утилит. При чём, к сожалению, некоторые известные ошибки самого ПО были исправлены лишь в тех новых версиях, где уже пропадает поддержка старых версий AMT. В общем, это просто призыв быть аккуратным и при желании задействовать старое железо с AMT версий до 4-6 - использовать старое ПО "того времени" - когда или чуть позже выхода соответствующей версии.

История версий MDTK

Сам пакет состоит из множества мелких и не очень утилит, однако нас в нём будут интересовать по сути две - Manageability Director и Manageability Commander (по-простому "Директор" и "Коммандер"). Первый содержит в себе серверную часть, позволяющую проинициализировать и "немного" сконфигурировать, в то время как второй - целиком ориентирован на настройку и управление, а потому является "основной" утилитой пакета. Т.к. в данной части нас интересует именно инициализация - разберём "Директора".

Manageability Director

Ещё раз повторюсь, для использования со старыми версиями AMT (AMT1-3, а иногда и AMT 4-6) - стоит использовать и более старые версии Director. Например, в предыдущей части была использована самая старая из доступных версия 0.6.0937.2. При работе с версиям MDTK до 7-й стоит учитывать, что они рассчитаны лишь на 32-битные системы, потому я обычно для их использования поднимаю виртуалки с Windows 2003.

Кстати, стоит помнить, что так делаю не только я, но и Intel-разработчики ПО для AMT - изначально оно подразумевает как раз Windows Server 2003 32bit (хоть всё последнее также благополучно работает в Windows Server 2008 x64 и новей).

Рекомендуемая ОС

Из вариантов, конкретно рекомендуется Windows Server 2003 Enterprise Edition, 32-bit, English version:

MDTK Windows Server 2003 32bit VMware

Все моменты (в т.ч. ни в коем случае не русская версия) - важны. Разработчики первых (и не только - некоторые исправлены лишь в самых последних) версий не знали про существование отличных от английской версий Windows, в результате многие важные фичи работали некорректно или даже вылетали в ошибки.

В какой виртуальной среде запускать - не важно, однако если вы (как и я) обычно виртуалки "ставите на паузу" (а не выключаете - делаете shutdown), то стоит учитывать потенциальные проблемы при "просыпании" оных. Это касается работы сетевого интерфейса - по совершенно непредсказуемым причинам могут вылазить глюки при работе с серверным ПО для инициализации AMT в первую очередь. В связи с этим в своё время я сменил где-то более удобный VirtualBOX на бесплатную версию VMware, где такое замечалось реже (но тоже иногда). Возможно в текущих версиях такое уже пофиксили, но обязательно стоит иметь в виду: если что-то "пошло не так" - обязательно перегрузите виртуалку с MDTK/Intel SCS.

Как более свежая альтернатива - WindowsServer 2008 x64 R2 EEE (Enterprise Edition, English). Хотя в 2012-й тоже работает, равно как и более свежих - тоже наверняка будет. Однако это уже лишь для более новых версий ПО (условно после 2010/11-го года).

В "несерверных" версиях Windows утилиты MDTK тоже могут работать, однако, всё же, лучше ориентироваться на вышеприведенные.

dotnetfx

Для корректной работы обязательно требуется дотнет версии 3.5 и выше. Совсем старые версии будут работать и с 2.0, однако дабы избежать глюков - ставим 3.5. В более новых Windows встроен .NET4+, потому таких проблем быть как бы не должно. Однако в своё время с выходом Windows 8 они точно были (приходилось качать и ставить 3.5 отдельно) - потому тоже нужно быть бдительным.

Другие требования

Требования к памяти не критичны. К производительности - некоторые "промежуточные" версии откровенно тормознутые с некоторыми операциями. Однако это не столько нагрузка на виртуалку, сколько катастрофическая неоптимальность кода. Открытые порты - 9971 (как стандартный - или тот, на который измените) должен быть открыт для работы сервера, который будет инициализировать АМТ. Протоколы - только TCP.

Основной функционал

Пройдём по основному функционалу "Директора" (повторюсь, буде делать на базе со старой версии 0.6, в случае отличие позже остановлюсь на отличиях новых).

Configuration Server

Manageability Director - Configuration Server

Основной раздел - "Configuration Server" - управление и мониторинг работы конфигурационного сервера, где можно увидеть, запущен ли он (кнопка "Active") и указать порт (в отличие от стандартного 9971) и видеть лог работы (изменяющийся "на лету" - после очередных событий). В частности, последняя принятая команда отражается в самом низу справа ("Received Hello: 192.168.0.126:16994 / 0000-002E" - это Hello-packet из предыдущей части).

Certificate Manager

Manageability Director - Certificate Manager

Раздел управления сертификатами - данный радел будет подробно освещён далее в теме по сертификатам.

Security Profiles

Manageability Director - Security Profiles

Раздел по управлению профилями. Именно он нам и нужен - здесь задаётся та конфигурация, которая после применится при инициализации. Жмём "Add Security Profile…":

Manageability Director - Security Profile

Обзываем наш профиль (название чисто для себя - ни на что не влияет) и жмём ОК. Создаётся новый профиль с настройками по умолчанию:

Manageability Director - Security Profile setup

Имеем несколько групп параметров.

Intel AMT Features

По умолчанию "None", что нас точно не устраивает,  жмём звёздочку:

Manageability Director - Intel AMT Features

Видим четыре доступные пункта. Рассмотрим каждый.

Web Interface

Активация web-интерфейса  (того, с помощью которого можно после через браузер управлять AMT-возможностями компьютера). Сложно придумать, почему это нужно отключать, потому - включаем.

Redirecrion Port

Включение порта перенаправления. Вряд ли удачный перевод да и пока не реально объяснить смысл, лишь констатируем, что лучше включить (чтобы после не возвращаться и не включать "вручную").

IDE Redirection

Удалённая загрузка - возможность загружать компьютер посредством AMT. Весьма полезная функция, обязательно включаем. Она же, кстати, есть в MEBx:

MEBx IDER

Serial-over-LAN

Включение "SOL" - интерфейс, доставшийся из ASF/IPMI, реализует последовательный порт, данные которого через канал AMT могут взаимодействовать с компьютером администратора, т.е. программа локально работает с ним как с "обычным COM-портом", таким образом упрощая и стандартизируя разработку подобных приложений.

Она также как и предыдущая, всегда присутствует в MEBx:

MEBx SOL

Тоже обязательно включаем данную опцию, она будет не раз после нами задействована при работе с Manageability Commander.

Важное замечание по совпадающим опциям (в Managebility Director/Commander и MEBx): "более главными" являются именно настройки в MEBx — если там фича выключена, то её не получится включить/активировать удалённо. Плюс особенно неприятно, что Manageability-утилиты могут показывать, что она якобы включилась, однако после будет сыпать ошибками, с ней связанными (которые не всегда при этом опознать и понять). В таком разе не забывайте проверить MEBx - нет ли там запрета. Некоторые производители по дефолту делают именно такую бяку - приходится для этого специально лезть в MEBx и править.

Итого по "Intel AMT Features", ставим все четыре галки и жмём ОК:

Manageability Director - AMT Features all ON

Intel AMT Security

Manageability Director - AMT Security

В этом разделе пока ничего не изменяем, т.к. иначе это требует работы с TLS-шифрованием, т.е. с сертификатами (которые рассмотрим после).

Administrator Account

Manageability Director - Administrator Access Control

В данном разделе тоже особо смысла что-то изменять нет - тут можно задать/изменить логин-пароль админского аккаунта (что, если у вас нет серьёзного опыта, вообще лучше не делать, т.к. многие утилиты тупо рассчитаны на то, что login = "admin").

Access Control Setup

Раздел, где можно добавить юзеровские аккаунты с нужными правами. Например, можно создать и наделить ограниченными возможностями какого-то пользователя:

Manageability Director - User Account

Однако толку особого в обычном случае данная возможность не имеет - это уже отражение функционала, иногда нужного для корпоративного применения. Потому также данный раздел не трогаем.

Итого, самым обычным применением Director будет такой расклад:

Manageability Director - NAS-AP

One Touch Configuration

Manageability Director - One Touch Configuration

Переходим к разделу, который нас больше всего сейчас интересует — где можно задать параметры для PID/PPS-инициализации (One-Touch Setup). В окошке логов видим, что PID 0000-002E уже дважды отработал (это было при написании предыдущих статей). В качестве отработки темы - сделаем ещё один и ещё раз проведём инициализацию.
Жмём "Generate Key", открывается окно настройки пары PID/PPS:

Manageability Director - AMT Configuration Key

PID (Key identifier) генерится сам - каждый раз автоинкриментируется. PSK ("Pre-shared key" он же PPS) может быть изменён (точней - его "сложность") с помощью движка "Key strength", при сдвиге которого вправо ("Weak") — получим "минимально безопасный" (сплошные нули - как было в предыдущей PID "0000-002E" инициализации). Понятно, что именно нули проще вводить в MEBx - вряд ли вас будет заботить "защищённость" подобной процедуры. Однако сейчас мы проведём такое с использованием USB-flash (чтобы "по полной программе"), потому сложность нас не стесняет (можно оставить максимум).

Intel AMT admin password

В поле "Intel AMT admin password" прописываем наш MEBx-пароль - тот, на который вы изменили дефолтный "admin". Либо, если вы ещё его "не трогали" (не заходили в MEBx и там остался "admin") — тот, который вы хотите задать, т.к. по применению USB-flash (после "One-Touch") он на него изменится (и в MEBx после нужно будет ходить именно им).

Security profile

В поле "Security profile" выбираем профиль, который будет применён сервером при получении данного PID - таким образом реализована возможность назначать разные варианты инициализации для различных AMT-компьютеров (когда профиль выбирается в зависимости от PID в пришедшем Hello-packet-е).

Получаем новую пару PID/PPS 0000-003F, статус которой "Pending", т.е. "Ожидание", что значит, что эта пара ещё не "была использована", т.е. такой PID не приходил и инициализация по нему не проходила.

Manageability Director - Export to USB Key

На созданной паре жмём "Export to USB Key…".

Manageability Director - Export Setup Keys

Получаем окно настройки файла для USB-flash. По сути это прямой аналог описанной ранее утилиты USBfile.exe, потому все требования аналогичны.

Export Type

Здесь можно выбрать количество записей для инициализации. По умолчанию это однократная запись - которая будет затёрта после использования самим MEBx. Однако если у вас много одинаковых АМТ-компьютеров (и у которых одинаковые админские пароли), такое не удобно (каждый раз вновь копировать setup.bin на флешку - т.к. он будет затираться при использовании), потому можно выбрать второй вариант - 250 записей и после каждой попытки (применения на каждом компьютере) будет очищаться лишь одна запись (оставаться 249 и т.д.), т.е. setup.bin по сути будет состоять из 250 одинаковых штук (файл будет размером 125кБайт - пол кБ на каждую запись).

Однако на практике "многократный" setup.bin - точно сработает для AMT 3.х и более новых. В случае очень древних AMT2.x (если не ошибаюсь, у меня такое было на некоторых AMT2.0/2.1) - он может затереться полностью уже после первой попытки. В таком случае вновь придётся его копировать на флешку.

Кроме того, имейте в виду, что "очищается" - не значит удаляется. Сам файл setup.bin останется в любом случае, очистится лишь важная информация в нём (пароль в первую очередь) и потому в следующий раз автоконфигурирование может не сработать. Чтобы перепроверить "глазами" , просто откройте в любом редакторе файл - как минимум пароли вам там должны быть видны (чтобы setup.bin мог использоваться для автоконфигурирования "One-Touch Setup").

Existing AMT password

Тут вводим текущий MEBx. Если вы не заходили (не меняли) в MEBx - по дефолту это "admin", что и стоит в данном поле изначально. Иначе - здесь указываем тот пароль, на который поменяли (ваш новый MEBx-пароль).

Итого, пара паролей в полях "Existing AMT password" и "Intel AMT admin password" (см.выше) - есть "current" и "new password" соответственно — в случае использования утилиты USBfile.

В нашем случае система проинициализирована, пароль изменён. Чтобы на практике проверить - предварительно сбросим в дефолтный admin-admin (АМТ-система при этом будет полностью расконфигурирована).

Только не стоит путать это с менюшкой "Un-Provision", что есть в MEBx:
MEBx Un-Provision

она предназначена для "расконфигурирования" (к сожалению, термины "созвучные", особенно путает, что есть Partial - частичная и Full - полная расконфигурация), а нам нужен именно сброс в "заводские настройки", как-будто никто ещё на этом компьютере не трогал настройки AMT, в то время как Un-Provision не меняет админского пароля (он остаётся прежним - на тот, что вы поменяли). А для сброса именно в "admin" конкретно на рассматриваемой модели HP8510p это будет менюшка "Unconfigure AMT on next boot" (и это всегда в BIOS, а не MEBx):
HP8510p BIOS AMT options unconfigure

Итак, сбрасываем админ-админ, система пару раз при этом выключится-перегрузится, для контроля заходим MEBx, набираем admin в качестве пароля - если пускает (т.е. пароль верный), то не вводя нового пароля просто перегружаемся (MEBx-пароль при этом останется "admin") - имеем "девственно" чистую с точки зрения AMT систему. Втыкаем полученную флешку с setup.bin, если всё правильно сделано (и опция "USB Key Provision Support" включена — на картинке выше), получим уже знакомое предложение на автоконфигурирование:
Auto Provisioning

После нажатия "Y", если быстренько переключиться на закладку "Configuration Server" в Директоре, то в логах, что прилетел Hello-packet и идёт процесс инициализации:

Manageability Director - Got Hello

Спустя пару секунд он закончится, АМТ-система проинициализирова и "готова к употреблению":

Manageability Director - end of AMT PPS init

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
Anti-bot.