Для работы с Intel AMT не так много программного обеспечения, потому любое, поддерживающее этот функционал не для галочки (например, чисто функцию включения/выключения и всё) - достойно нашего внимания. Meshcentral - очень интересный проект управления устройствами, подключенных в варианте "меш-сеть" (каждое с каждым), от одного из разработчиков Manageability Commander и потому в том числе имеющий весьма обширный функционал для управления Intel АМТ компьютерами.

В "дефолтной" версии он подразумевает использование сайта meshcentral.com и вашего аккаунта там, как центра управления. Однако многих пугает предоставление не до конца им понятных и кажущихся "пугающе-всемогущими" возможностями Intel AMT - "какому-то там буржуйскому серверу". Потому здесь мы рассмотрим вариант установки собственного Meshcentral-сервера в своей локальной сети - получив и удобство в управлении, и уверенность, что это будет "точно своё".


Meshcentral

Если коротко рассказать про проект MeshCentral (такой вариант написания используется разработчиками), то это идея управления любыми устройствами, на любой платформе, объединённых в "меш-сеть" - когда каждое устройство может общаться с каждым, обеспечивая такой "избыточностью" высокую надёжность и возможность доступа к нему, а в случае поддержки Intel AMT - даже в отключенном состоянии.

Забегая вперёд, лучшей иллюстрацией будет граф, отображаемый в админке управления Meshcentral-сервера:
 

В моём случае здесь отображены лишь мои домашние AMT-устройства, хотя, повторюсь, сам Meshcentral-сервер поддерживает любые ОС на любых платформах, например, в том числе смартфоны (читай - Android), различные Arduino-конструкторы и даже последний (на текущий момент) Intel Edison.

Сложность управления подобными сетями ("всё со всем") делает не простым и освоение ПО, предназначенного для этого. Потому и далее разбор функционала Meshcentral будем рассматривать постепенно, по очереди акцентируя внимания на отдельных деталях. И понятно, что здесь в первую очередь будет рассматриваться то, что связано с работой Intel AMT (хотя всё остальное тоже рассмотрим).


Требования к ОС и ПО

Проект использует IIS и .NET, а потому, к сожалению, чисто виндовый, что никак не порадует многих, в том числе и меня, однако такова специфика Intel AMT. Теоретически может быть установлен и на Windows 7 / 8 с установленным .NET 4.5, однако мне сложно понять такой вариант работы "сервера" и я пробовал лишь на Windows Server 2008 / 2012, в которых (с последними обновлениями) всё есть изначально.
В качестве базы данных требуется MS SQL Server 2010 или 2012 (с 2014 тоже работает) либо бесплатный вариант MS SQL Server Express Edition.


Установка Meshcentral-сервера

Я буду описывать установку на виртуалку Windows Server 2008 R2 64-bit с последними обновлениями. Без доменов и прочего лишнего - минимальный вариант. Из ресурсов у меня на неё выделено 2ГБ памяти, 2 ядра и 40ГБ на диске.
Первым делом ставим MS SQL Server. Я использую бесплатный MS SQL Server 2012 Express Edition. Виртуалка у меня "буржуйская" (английский, т.е. без русского языка), потому использую вариант ENU\x64\SQLEXPR_x64_ENU.exe (132.3 MB).

Нужно выбирать вариант в соответствии с языком ОС, куда он будет ставиться.

Особых настроек SQL 2012 Express при установке нет, всё по дефолту.
 

Название не меняем - Meshcentral определит тип БД и подхватит нужное.
 

Равно как и способ аутентификации.
 

Если у вас другие варианты - тут можно их задать, указав после аналогичные при установке Mescentral-сервера.
 

После установки БД MS SQL качаем последнюю версию установочного файла Meshcentral-сервера.
 

Для начала установки жмём на не совсем очевидную верхнюю большую иконку.
 

Получаем предупреждение, что сайты в корне IIS будут перезаписаны (у меня чистая инсталляция, потому проблем нет).
 

Далее включаю автообновление сервера.

Для Express-версии MS SQL указываем (если не продетектирует) ".\SQLExpress".
 

Если вы изменяли способ аутентификации MS SQL - здесь можно указать.
Далее важный пункт указания имени сервера:
 

На имя Hostname будет сгенерирован сертификат сервера (для работы с ним по HTTPS), потому правильней его указывать в FQDN-виде. Хотя, конечно, если это чисто для вас и вашей внутренней сети - можете указывать любое, какое разрешает ваш DNS-сервер. От этого зависит и вариант Identity mode, в общем и "правильном" случае нужно выбирать представленный выше вариант.
 

В моём случае нет домена (виртуалка называется meshlocal), потому выбора на этом этапе нет. В случае домена - задайте здесь аккаунт админа, от имени которого будет работать сервер.
 

Последнее поле можно не заполнять, т.к. для локального сервера оно не актуально.
Итак, всё готово, можно ставить:
 

Жмём Install.
MeshServerInstaller сразу скачает свои последние установочные файлы:
 

И проверит текущую конфигурацию системы и поставит недостающие компоненты:
 

Спустя некоторое время всё установится и по идее можно пользоваться. Однако перейдя по предлагаемому адресу http://meshlocal.vpro.by (в моём случае) можем получить:
 

Что ж, Мешцентрал много лет был в альфе и лишь недавно перешёл в бету. Заходим в Platform Manager (вторая, нижняя иконка в MeshServerInstaller-е), соглашаемся (жмём Accept на выданный сертификат), переходим на свойства сайта "Default Web Site" и жмём «Sync Site...»:
 

Подтверждаем и повторяем процедуру для «Redirect Web Site».

При повторной попытке уже, наконец, корректно сработает переадресация с HTTP на HTPPS, а потому получим предупреждение:
 

Дело в том, что сертификат выписывается от имени вновь создаваемого самоподписанного рута на этом сервере.

Вопрос "А как на счёт - прикрутить свой сертификат" пока упирается в бесплатность и "бетность" данного проекта.

Добавляем исключение и попадаем в админку:
 

Создаём свой аккаунт. Для этого жмём "Создайте":
 

Наконец, попадаем в админку своего Meshcentral:
 

Шрифты "поползли", т.к. у меня стояли большие значения минимального их размера, пришлось уменьшить (до 11 мин, 14 стандарт).

Переходим в «Моя учётная запись»:
 

Создаём свою меш-сеть:
 

Я отметил все галки, чтобы можно было дальше описать все возможности Meshcentral-сервера на различных устройствах. При желании можно выбрать лишь нужное, если, к примеру, вам не нравится "Разрешить удалённый доступ к файлам".
 

Итак, получили первую mesh-сеть (их может быть много).

Теперь с любого устройства можно зайти и поставить программного агента. Т.е. например, я с АМТ6-компьютера захожу на meshlocal.vpro.by, логинюсь по ранее созданному аккаунту и над значком меш-сети жму "Установить":
 

Как видно, можно выбрать агента под любую ОС/платформу. В случае Windows ставится "универсальный" (32-битный) агент. Для этого качаем два файла MeshAgent.exe и MeshAgent.msh и кладём их вместе в какую-то папку.
 

Запускаем из-под админа и жмём «Install/Update» - он поставится как сервис и будет работать всегда.

Чтобы остановить (или заменить настройками новой меш-сети) - вновь запустите (из-под админа) и деинсталлируйте (либо обновите).

Повторив операцию на доступных устройствах, они вскоре все появятся в админке.

Для линукса можно использовать скрипт (с указанием ваших настроек/каталогов - главное код и адрес для wget):
 

#!/bin/bash

mkdir -p /usr/local/mesh
cd /usr/local/mesh
wget http://meshlocal.vpro.by/public/dh.ashx?me1E5A994D0C8DDBF -O mesh_linux64.msh
wget http://meshlocal.vpro.by/public/dh.ashx?agent=6 -O mesh_linux64
chmod 755 ./mesh_linux64
./mesh_linux64 start
ln -s /usr/local/mesh/mesh_linux64 /sbin/meshcmd
ln -s /usr/local/mesh/mesh_linux64 /etc/rc2.d/S20mesh
ln -s /usr/local/mesh/mesh_linux64 /etc/rc3.d/S20mesh
ln -s /usr/local/mesh/mesh_linux64 /etc/rc5.d/S20mesh

В результате у меня получился следующий мой набор основных AMT-устройств:
 

Повторюсь, Meshcentral позволяет управлять не только АМТ, основная идея такая - когда компьютер исправен/включен - Meshcentral логично позволяет им управлять с помощью программного агента. А когда выключился или ОС поломалась - с помощью функционала Intel AMT. Как - рассмотрим в следующих частях.