Intel AMT 9 на примере Asus CS-B

Asus CS-B + Intel AMT 9

Intel AMT версии 9 появилась с выходом Intel Series 8 / Haswell в 2013-м году и продолжила начатую в предыдущей версии AMT традицию - больше пропало, нежели появилось.

В версии Intel AMT 9 окончательно отломали SOAP API (оставили лишь WS-MAN) и убрали поддержку инициализации с помощью PID/PPS. В замен последнего добавили так называемую инициализацию EHBC (Embedded Host Based Configuration), однако в реальности она не доступна "простым смертным", ибо, как видно из названия, предполагает использование лишь во встраиваемых системах. Представляет собой действительно удобную штуку, когда проинициализировать АМТ можно в админский режим программно, без вставления USB-флешки и последующего нажатия Y при старте. Ведь как это сделать, например, в банкомате? Итого, это задумано как включение конкретными ОЕМ-производителями данного флажка (EHBC как опции), позволяющего после "правильному ПО" проделать инициализацию Intel AMT в том числе удалённо.


Asus CS-B + Intel AMT 9.0

Неплохая материнская плата на чипсете Intel Q87, в частности, на данный момент, в комплекте с Intel i7-4770, являющийся моей основной рабочей системой. Имеет достаточную производительность и поддерживает Intel AMT 9.0.

Asus CS-B + AMT 9.0

К сожалению, рекомендованная в предыдущей части утилита Intel AMT Diagnostics Tool не хочет работать с Intel AMT 9:
 

Diagnostics Tool error AMT9

И не признаёт в ней АМТ вообще - она поддерживает лишь системы до Intel AMT 8 включительно.

Это важный момент - много какое "старое" ПО с поддержкой АМТ перестало с ним работать с выходом девятой версии (по причине отсутствия поддержки SOAP в AMT9+). В частности, это касается и MS SCCM 2012.

Хотя, если запустить ACU Wizard 10, то всё определится:
 

ACU10 correct

Как видно, AMT9-компьютер не проинициализирован (не сконфигурирован).


Инициализация Intel AMT 9 в BIOS/MEBx с помощью Activate Network Access

В предыдущих частях мы использовали много разных способов инициализации AMT, не раз упоминая про один из наиболее "очевидных" вариантов с инциализацией AMT посредством фичи Activate Network Access. Правда всегда проходили мимо её, т.к. Activate Network Access отсутствует на платах прозводства Intel (в основном которыми я и пользовался, прежде чем компания Intel свернула своё производство в этом сегменте). В данном случае плата не от Intel, а потому представился удобный способ показать конкретно то, о чём так часто упоминалось.

Настройки АМТ в BIOS Asus CS-B выглядят следующим образом:
 

Asus CS-B BIOS Advanced

Здесь можно включить AMT, расконфигурировать Intel ME (т.е. сбросить AMT в "админ-админ"), а также включить возможность захода в MEBx:
 

Asus CS-B BIOS AMT Config

Включив Hotkey, перезагружаемся, нажав CTRL-P и попадаем в MEBx:
 

MEBx admin

Я делаю это впервые с момента получения платы, потому здесь ввожу пароль admin и задаю новый:
 

MEBx new pas

Стандартное меню, переходим в AMT Configuration:
 

MEBx AMT Configuration

И находим "главную кнопку" - Activate Network Access:
 

MEBx Activate Network Access

Нажимаем, и AMT мгновенно инициализируется и переходит в админский режим управления:
 

MEBx Activate Network Access Y

В результате изменяется и набор менюшек:
 

MEBx Unconfigure Network Access

В частности - появляется Unconfigure Network Access.

Нужно различать расконфигурирование здесь (в MEBx) - пункты:

  • Unconfigure Network Access
  • Partial Unprovision
  • Full Unprovision

И расконфигурирование в BIOS:

  • Включение/выключение AMT
  • Un-Configure ME

Получается, что они "дублируются в чём-то. Но нужно помнить, что для доступа к вариантам в MEBx потребуется отдельный пароль (не зная который не получится его просто так "поломать". В то время как варианты в BIOS позволяют вам и расконфигурировать и, вообще, отключить функционал АМТ - не зная админского АМТ-пароля.

Теперь, загрузившись, увидим:
 

ACU10 AMT Admin mode

АМТ-компьютер сконфигурирован в админский режим.


Настройка AMT 9 в Meshcentral-сервере

Если мы посмотрим AMT9-компьютер на базе Asus CS-B в своём локальном Meshcentral-сервере, который мы поставили в прошлой статье:
 

MeshCentral Asus CS-B

То также увидимо, что он работает в админском режиме.

Чтобы использовать Meshcentral для работы функционалом AMT - жмём маленькую стрелочку «Настройка Intel AMT»:
 

MeshCentral AMT Setup

Вводим заданный нами в MEBx пароль и выбираем вариант HBP (Host Based Provisioning):
 

MeshCentral AMT Setup HBP

Нажав Create Record запустится процесс конфигурации AMT для работы с нашим локальным сервером Meshcentral:
 

MeshCentral AMT Setup HBP Pending

Спустя некоторое время (1-2 минуты - для обновления статуса можно жать клавишу Refresh) процессс закончится:
 

MeshCentral AMT Setup HBP Completed

Теперь в основном меню увидим, что АМТ 9 компьютер сконфигурирован с поддержкой TLS:
 

MeshCentral AMT TLS

И теперь мы сможем управлять AMT прямо отсюда, из Meshcentral, просто с помощью браузера:
 

MeshCentral AMT9 Control

В частности, видно, как много различных состояний компьютера- это ещё одно отличие версии Intel AMT 9 от предыдущих. Собственно - как результат прихода платформы Haswell. Для сравнения, вот какой набор возможностей есть у AMT 7:
 

MeshCentral AMT7 Control


Он стандартный для всех версий до AMT1-8 включительно.


Итого, за более чем три десятка частей, мы, наконец, добрались до современной версии AMT9. Дальше особого смысла разбирать будет не так много - версии AMT 9 и AMT 10 "ещё более ничем не отличаются". Однако важно, что данные версии являются официально "наиболее рекомендуемыми". Потому, конечно же, при желании использовать потенциал AMT на полную и возможности выбора - смело выбирайте решения с поддержкой Intel AMT 9 и новей. Не реклама. Ну, если лишь только совсем немного - чисто из любви к Intel, vPro и AMT. smile.gif

Комментарии

а есть ли в 9-й версии возможность работы с KVM\VNC на проце без поддержки встроенной графики? У меня Xeon 1220, поддержка АМТ там есть, но вот получается что KVM нет, видео только через внешнюю карту. Получается что безголовым сервером через KVM не порулить...

Аватар пользователя apple_rom

Всё верно, раз в Intel Xeon E3-1220 нет встроенной видеокарты, значит он и не может Intel KVM. Остальные фичи Intel AMT он при этом может - также, как и в случаях использования дискретных карт на процессорах с поддержкой Intel AMT KVM.

Большое спасибо за хорошую статью. С первого раза настроил AMT на связке E3-1246v3 + ASUS Q87M-E.
Стоит добавить, что при смене пароля с admin на свой в MEBx система не примет простой пароль (нужны цифры и знаки препинания). Немного споткнулся на этом этапе.

Аватар пользователя apple_rom

Добавление про строгие правила для MEBx паролей совершенно справедливо. В частности про это, естественно, написано здесь же в статье по паролям Интел АМТ: https://vpro.by/osnovnye-paroli-intel-amt#AMT-password-rules.

Насколько я понял, Radmin использует методы протокола AMT до версии 9?
Не могу подключиться Radmin 3.5, пишет Ошибка протокола Soap. realvnc plus при этом подключается на ура.
(плата gigabyte ga-q87m-d2h)

Аватар пользователя apple_rom

Верно, обычно (к сожалению) подавляющее большинство утилит, работающих с Intel AMT, застряло на старых (ибо простых и уже кем-то написанных) методах с использованием SOAP, потому они работоспособны лишь до версии Intel AMT 9 не включительно. Ваша GA-Q87M-D2H - это АМТ 9.0, так что Radmin (его функционал для работы с АМТ) работать не будет. Возможно разработчики Radmin проапгрейдят этот функционал в какой-то версии (если уже - буду признателен, кто пользовался, отписаться).

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
Anti-bot.