Локальный сервер Meshcentral для работы с Intel AMT
Для работы с Intel AMT не так много программного обеспечения, потому любое, поддерживающее этот функционал не для галочки (например, чисто функцию включения/выключения и всё) - достойно нашего внимания. Meshcentral - очень интересный проект управления устройствами, подключенных в варианте "меш-сеть" (каждое с каждым), от одного из разработчиков Manageability Commander и потому в том числе имеющий весьма обширный функционал для управления Intel АМТ компьютерами.
В "дефолтной" версии он подразумевает использование сайта meshcentral.com и вашего аккаунта там, как центра управления. Однако многих пугает предоставление не до конца им понятных и кажущихся "пугающе-всемогущими" возможностями Intel AMT - "какому-то там буржуйскому серверу". Потому здесь мы рассмотрим вариант установки собственного Meshcentral-сервера в своей локальной сети - получив и удобство в управлении, и уверенность, что это будет "точно своё".
Meshcentral
Если коротко рассказать про проект MeshCentral (такой вариант написания используется разработчиками), то это идея управления любыми устройствами, на любой платформе, объединённых в "меш-сеть" - когда каждое устройство может общаться с каждым, обеспечивая такой "избыточностью" высокую надёжность и возможность доступа к нему, а в случае поддержки Intel AMT - даже в отключенном состоянии.
Забегая вперёд, лучшей иллюстрацией будет граф, отображаемый в админке управления Meshcentral-сервера:

В моём случае здесь отображены лишь мои домашние AMT-устройства, хотя, повторюсь, сам Meshcentral-сервер поддерживает любые ОС на любых платформах, например, в том числе смартфоны (читай - Android), различные Arduino-конструкторы и даже последний (на текущий момент) Intel Edison.
Сложность управления подобными сетями ("всё со всем") делает не простым и освоение ПО, предназначенного для этого. Потому и далее разбор функционала Meshcentral будем рассматривать постепенно, по очереди акцентируя внимания на отдельных деталях. И понятно, что здесь в первую очередь будет рассматриваться то, что связано с работой Intel AMT (хотя всё остальное тоже рассмотрим).
Требования к ОС и ПО
Проект использует IIS и .NET, а потому, к сожалению, чисто виндовый, что никак не порадует многих, в том числе и меня, однако такова специфика Intel AMT. Теоретически может быть установлен и на Windows 7 / 8 с установленным .NET 4.5, однако мне сложно понять такой вариант работы "сервера" и я пробовал лишь на Windows Server 2008 / 2012, в которых (с последними обновлениями) всё есть изначально.
В качестве базы данных требуется MS SQL Server 2010 или 2012 (с 2014 тоже работает) либо бесплатный вариант MS SQL Server Express Edition.
Установка Meshcentral-сервера
Я буду описывать установку на виртуалку Windows Server 2008 R2 64-bit с последними обновлениями. Без доменов и прочего лишнего - минимальный вариант. Из ресурсов у меня на неё выделено 2ГБ памяти, 2 ядра и 40ГБ на диске.
Первым делом ставим MS SQL Server. Я использую бесплатный MS SQL Server 2012 Express Edition. Виртуалка у меня "буржуйская" (английский, т.е. без русского языка), потому использую вариант ENU\x64\SQLEXPR_x64_ENU.exe (132.3 MB).
Нужно выбирать вариант в соответствии с языком ОС, куда он будет ставиться.

Особых настроек SQL 2012 Express при установке нет, всё по дефолту.
Название не меняем - Meshcentral определит тип БД и подхватит нужное.
Равно как и способ аутентификации.
Если у вас другие варианты - тут можно их задать, указав после аналогичные при установке Mescentral-сервера.
После установки БД MS SQL качаем последнюю версию установочного файла Meshcentral-сервера.
Для начала установки жмём на не совсем очевидную верхнюю большую иконку.
Получаем предупреждение, что сайты в корне IIS будут перезаписаны (у меня чистая инсталляция, потому проблем нет).
Далее включаю автообновление сервера.
Для Express-версии MS SQL указываем (если не продетектирует) ".\SQLExpress".
Если вы изменяли способ аутентификации MS SQL - здесь можно указать.
Далее важный пункт указания имени сервера:

На имя Hostname будет сгенерирован сертификат сервера (для работы с ним по HTTPS), потому правильней его указывать в FQDN-виде. Хотя, конечно, если это чисто для вас и вашей внутренней сети - можете указывать любое, какое разрешает ваш DNS-сервер. От этого зависит и вариант Identity mode, в общем и "правильном" случае нужно выбирать представленный выше вариант.
В моём случае нет домена (виртуалка называется meshlocal), потому выбора на этом этапе нет. В случае домена - задайте здесь аккаунт админа, от имени которого будет работать сервер.
Последнее поле можно не заполнять, т.к. для локального сервера оно не актуально.
Итак, всё готово, можно ставить:
Жмём Install.
MeshServerInstaller сразу скачает свои последние установочные файлы:
И проверит текущую конфигурацию системы и поставит недостающие компоненты:
Спустя некоторое время всё установится и по идее можно пользоваться. Однако перейдя по предлагаемому адресу http://meshlocal.vpro.by (в моём случае) можем получить:
Что ж, Мешцентрал много лет был в альфе и лишь недавно перешёл в бету. Заходим в Platform Manager (вторая, нижняя иконка в MeshServerInstaller-е), соглашаемся (жмём Accept на выданный сертификат), переходим на свойства сайта "Default Web Site" и жмём «Sync Site...»:
Подтверждаем и повторяем процедуру для «Redirect Web Site».
При повторной попытке уже, наконец, корректно сработает переадресация с HTTP на HTPPS, а потому получим предупреждение:
Дело в том, что сертификат выписывается от имени вновь создаваемого самоподписанного рута на этом сервере.
Вопрос "А как на счёт - прикрутить свой сертификат" пока упирается в бесплатность и "бетность" данного проекта.
Добавляем исключение и попадаем в админку:
Создаём свой аккаунт. Для этого жмём "Создайте":
Наконец, попадаем в админку своего Meshcentral:
Шрифты "поползли", т.к. у меня стояли большие значения минимального их размера, пришлось уменьшить (до 11 мин, 14 стандарт).
Переходим в «Моя учётная запись»:
Создаём свою меш-сеть:
Я отметил все галки, чтобы можно было дальше описать все возможности Meshcentral-сервера на различных устройствах. При желании можно выбрать лишь нужное, если, к примеру, вам не нравится "Разрешить удалённый доступ к файлам".
Итак, получили первую mesh-сеть (их может быть много).
Теперь с любого устройства можно зайти и поставить программного агента. Т.е. например, я с АМТ6-компьютера захожу на meshlocal.vpro.by, логинюсь по ранее созданному аккаунту и над значком меш-сети жму "Установить":
Как видно, можно выбрать агента под любую ОС/платформу. В случае Windows ставится "универсальный" (32-битный) агент. Для этого качаем два файла MeshAgent.exe и MeshAgent.msh и кладём их вместе в какую-то папку.

Запускаем из-под админа и жмём «Install/Update» - он поставится как сервис и будет работать всегда.
Чтобы остановить (или заменить настройками новой меш-сети) - вновь запустите (из-под админа) и деинсталлируйте (либо обновите).
Повторив операцию на доступных устройствах, они вскоре все появятся в админке.
Для линукса можно использовать скрипт (с указанием ваших настроек/каталогов - главное код и адрес для wget):
#!/bin/bash mkdir -p /usr/local/mesh cd /usr/local/mesh wget http://meshlocal.vpro.by/public/dh.ashx?me1E5A994D0C8DDBF -O mesh_linux64.msh wget http://meshlocal.vpro.by/public/dh.ashx?agent=6 -O mesh_linux64 chmod 755 ./mesh_linux64 ./mesh_linux64 start ln -s /usr/local/mesh/mesh_linux64 /sbin/meshcmd ln -s /usr/local/mesh/mesh_linux64 /etc/rc2.d/S20mesh ln -s /usr/local/mesh/mesh_linux64 /etc/rc3.d/S20mesh ln -s /usr/local/mesh/mesh_linux64 /etc/rc5.d/S20mesh
В результате у меня получился следующий мой набор основных AMT-устройств:
Повторюсь, Meshcentral позволяет управлять не только АМТ, основная идея такая - когда компьютер исправен/включен - Meshcentral логично позволяет им управлять с помощью программного агента. А когда выключился или ОС поломалась - с помощью функционала Intel AMT. Как - рассмотрим в следующих частях.
Добавить комментарий