Настройка Intel AMT KVM в DQ67SW

Материнская плата Intel DQ67SW с поддержкой Intel AMT седьмой версии (v. 7.0/7.1 в зависимости от новизны вашего биоса) была весьма популярна в своё время, а в комплекте с i7-2600 и до сих пор может тягаться с самыми производительными системами. Пользователи подобных систем, желающие при этом задействовать технологию Intel AMT KVM, которую поддерживает данная плата, сталкиваются с особенностями "родного Интела" (как производителя данных плат) — когда "привычный" функционал активации AMT, который есть у всех других производителей, у Intel отсутствует. Как это побороть на материнских платах производства Intel поколений Series 6 и 7, далее прилагается инструкция на примере "включения AMT KVM для DQ67SW".


Activate Network Access



Во всех платах с поддержкой Intel AMT, начиная с Intel Series 5 (т.е. Intel AMT 6 +) в MEBx есть "волшебная кнопка" Activate Network Access, нажав на которую, Intel AMT сразу же инициализируется и переходит в режим Admin Mode (т.е. прямо в BIOS), позволяя использовать Intel AMT KVM и другие возможности "на полную".
Однако нужно поправиться: на всех платах есть, а вот на платах производства Intel - нет. В частности, нет такового и в Intel DQ67SW. Видимо, товарищи из Intel посчитали, что их продукты должны быть "ещё более защищены" и потому сделанную "для упрощения жизни" кнопку жестоко изъяли (либо не добавили). В итоге итак не самый простой процесс становится непреодолимым для многих, кто не может, либо не хочет изучать подробности работы Intel AMT, желая "просто получить VNC-управление" компьютером на плате DQ67SW.


Intel DQ67SW - BIOS Setup

Попадаем в BIOS стандартной кнопкой F2 при старте.

Intel DQ67SW BIOS F2

В моём случае BIOS у DQ67SW оказался стареньким, версии от 2011-го года (хотя есть как минимум 2014-го):
 

Intel DQ67SW BIOS Main
Польза от статьи уже для меня лишь в этом - узнал про обновление BIOS, что может быть весьма актуально в преддверие Windows 10.

В отличие от биосов других матплат, где управление настройками проводится в отдельном модуле MEBx Setup (обычно вызывается по CTRL-P), в "родных Интеловских" биосах - это просто один из меню BIOS Setup — закладка Intel ME.

Объяснение этому следующее - для "других" Intel выдаёт модуль (MEBx), который конкретный биосопроизводитель интегрирует в свой BIOS. В частности, в котором и есть вышеупомянутая менюшка Activate Network Access. Для "своих" же биосов нужды в отдельном модуле нет и это идёт как часть функционала BIOS (UEFI).

Итого, чтобы попасть в настройки AMT - переходим на закладку Intel ME и вводим админский пароль.
 

DQ67SW BIOS Intel ME

Напомню, что по умолчанию (если вы ещё ни разу не заходили сюда) он admin. Либо тот, на который вы его заменили. Наверняка у вас второй случай (раз вы читаете данную статью).
Можно убедиться, что в настройках AMT нет "желанной" «Activate Network Access»:
 

BIOS Intel ME no Activate Network Access

И в «Local Setup and Configuration» лишь стандартные минимальные настройки, не изменяющиеся с первых версий Intel AMT:
 

BIOS Intel ME Local Setup and Configuration

Итак, BIOS нам не помог, загружаемся в Windows.


Intel AMT Diagnostic Tool

Чтобы быстро (и при этом качественно) посмотреть состояние Intel AMT, можно использовать Intel AMT Diagnostic Tool. Хотя разработка этой утилиты застыла в 2012-м году (на версии 1.0.3.6), для AMT7 она подходит отлично. Главное, что нужно нам посмотреть (кроме кучи других возможностей данной утилиты) - состояние проинициализированности Intel AMT ("Provisioning State):
 

Diagnostic Tool Provisioning State

Чтобы всё было нормально, нужно, чтобы оно было в состоянии «Pre» - "нормальное" непроинициализированное состояние, значение 0. Если же у вас там единичка, что обычно обозначает неудачную попытку инициализации до этого, то сначала нужно добиться возврата 0, иначе проблемы с инициализацией AMT более, чем вероятны. В таком случае нужно вернуться в биос и запустить процедуру расконфигурирования («Reset Intel AMT to default factory settings»).

Кстати, описываемая здесь процедура подойдёт также и для платы DQ67OW, и для DQ67EP, т.к. они имеют аналогичные биосы. Например, если с помощью данной утилиты Intel AMT Diagnostic Tool заглянуть в раздел Manufacturer, то он показывает мне DQ67OW:
 

Diagnostic Tool Manufacturer
(Хотя описываемая плата реально именно DQ67SW).

Итак, убедившись, что плата "корректно непроинициализирована", можно приступать, собственно, к инициализации.


Intel AMT Configuration Utility (ACU) Wizard 10

ACU Wizard 10

Для этого используем последнюю на данный момент версию Intel AMT Configuration Wizard 10 из пакета Intel SCS 10.

Чтобы не качать весь пакет Intel SCS 10 (больше 100Мб) - можно использовать лишь папку ACUWizard (14 Мб) из оного.

Выбираем первый пункт - «Configure/Unconfigure this System».

Запускать ACUWizard нужно из-под админа, т.к. операции работы с драйвером Intel ME потребуют админских привилегий.
ACU Wizard not configured

Нажав System Info видим, что система поддерживает Intel AMT и не проинициализирована.

Если тут выбрать первый пункт («Configure via Windows»), то на выходе вы получите проинициализированную AMT-систему, но в режиме "Client Control Mode". Об этом скромно умалчивается в процессе работы, в то время, как "клиентский режим" имеет много ограничений, главное из которых для работы с Intel AMT KVM - обязательное подтверждение с компьютера, которым вы хотите управлять через VNC - так называемый «User Consent». Что обычно крайне не удобно, особенно, если вы хотите управлять собственными же компьютерами (и вам, получается, нужно быть за управляемым компьютером, чтобы узнать пароль, который нужно будет ввести админу). Потому мы данный вариант не рассматриваем, сразу переходим к второму - жмём «Configure via USB-key»:
 

ACU Wizard Configure via USB-Key

Вводим текущий пароль, что мы вводили в биосе (в менюшке Intel ME), далее можем задать новый, т.е. он сменится на тот, что вы здесь укажете (потому обычно нет смысла - в трёх полях вводим одно и то же).

«Power Settings» определяет в каких режимах будет работать Intel ME (а, соответственно и Intel AMT) - оставляем по умолчанию (во всех).

Касаемо настрое «Network Settings», то они актуальны для работы по TLS. Однако в данном случае мы не будем рассматривать вопросы безопасности (т.е. в первую очередь TLS), про это много раз писалось в предыдущих частях Учебника по Intel AMT, потому в поля «Hostname» и «Domain name» можно писать что угодно (однако их лучше таки заполнить).

Прокручиваем и задаём настройки «Redirection Settings»:
 

ACU Wizard Configure via USB-Key2

Ставим все галки, а User Consent переводим в режим "not required". Теперь никаких паролей подтверждения от пользователя не потребуется.

На следующем этапе утилита определит, где у вас вставлена флешка:
 

ACU Wizard Configure via USB-Key USB-Drive
Важно: в связи с тем, что встроенная в Intel ME система не понимает NTFS и даже FAT32, флешка должна быть отформатирована в FAT16. То есть для такой процедуры желательно использовать стареньку флешку объёмом 1-2 Гб. Если такой нет, то можно отформатировать любую большего размер в FAT16 на 2Гб, а после - вернуть (ещё раз отформатировать на номинальный объём).

Утилита затрёт всё на флешке, потому предупредит:

ACU Wizard Configure via USB-Key USB-Drive Warning

После отработки предложит перезагрузиться, не вынимая флешку из компьютера:
 

ACU Wizard Configure via USB-Key Ready

Крайне желательно подключать флешку напрямую к компьютеру, а не через хабы, т.к. через них не все платы работают корректно (официально это вообще не разрешается, но по опыту с многими благополучно работает, однако вам может не повезти, потому втыкайте напрямую).

Если посмотреть-проконтролировать содержимой флешки, то там будет лишь один файл "Setup.bin" следующего вида:
 

USB-Key Setup.bin

Перезагружаемся, если всё нормально, то при старте получим запрос подтверждения на применение ранее нами записанными настройками на USB:

Auto Provisioning

Жмём "Y" и загружаемся.

Если теперь снова запустить ACU Wizard, то увидим желанное:
 

Admin Mode

АМТ проинициализировано — «Intel AMT is configured on this system». И при этом — «Admin Control Mode». Что и требовалось. "АМТ-ключик" в закладке в трее покажет то же самое:
 

Admin Mode


Включение VNC-доступа с помощью MDTK Commander

Теперь, чтобы иметь возможность управлять АМТ-компьютером через VNC, нам потребуется включить порт 5900. Для этого запускаем Командира и присоединяемся к нему по его IP-адресу:



MDTK Commander

Как видно, соединение HTTP - на порт 16992 (повторюсь, вопросы работы HTTPS тут не рассматриваем - см. другие части). Переходим на закладку «Remote Control»:
 

Remote Control

Видим, что «User Consent» не требуется, а пункт «Remote Desktop Settings» не включен. Жмём его:
 

Remote Desktop

Включаем («State») и активируем доступ по VNC (5900 порту). Далее вводим пароль (строгий, 8 символов), который будет запрашивать VNC-клиент при подключении (не путаем с АМТ-паролем, это совсем другой пароль - протокола RFB, хотя они могут быть одинаковыми).
 

Enabled using standard port

Жмём ОК, в результате получим: «Remote Desktop Settings - Enabled using standard port», что нам и требовалось.
И вот теперь, с помощью любого VNC-клиента (см. обзоры бесплатных вариантов под Windows, Linux и Android) подключаемся к Intel DQ67SW:
 

VNC


Итого, Intel AMT KVM на Intel DQ67SW - совершенно реально и не так уж и сложно.

п.с. Напоминаю, что подключиться по VNC можно будет только в случае, если вы используете встроенную в процессор графику, а не "внешнюю" видеокарту.

Комментарии

Большое спасибо за статью! Как раз то, что искал. Скажите, а с внешней видеокартой в каком-нибудь виде вообще компьютером управлять можно, используя технологию vPro? Хотя бы тупо включить или перезапустить не отвечающий по RDP компьютер?

Аватар пользователя apple_rom

Конечно, при наличии внешней видеокарты весь функционал Intel vPro / Intel AMT остаётся. Кстати, остаётся даже Intel AMT KVM, просто в таком случае вы при подсоединении по AMT KVM получите просто чёрный экран (или ошибки - зависит от используемого ПО), т.к. данная видеокарта (к которой и идёт подсоединение) отключена при наличии внешней.

Соответственно, ответ - да, всё останется, можно и включить/выключить и удалённо запустить со своего диска и весь остальной функционал, кроме Intel AMT KVM.

п.с. Кстати, вспомнил, что данный обзор был написан как раз на системе с внешней видеокартой (DQ67SW + i7-2600 + nVidia GeForce GTX 960) - потому и нет скриншота с подсоединённого AMT KVM компьютера, хотя, как видно - само соединение есть. Просто про наличие внешней видеокарты я "узнал" лишь когда лицезрил "чёрный квадрат Малевича" :).

Ибо компьютер (с АМТ7) сына - просто подключался по сети. Кстати, очень удобно выключать с помощью АМТ в "воспитательных целях" - рекомендую.

Я раньше никогда не имел дела с AMT, и не далее чем вчера (еще до прочтения этой статьи) попытался настроить его у себя на DQ67SW руководствуясь интуицеей:
0) Материнская плата новая, на компьютере не установлена никакая ОС;
1) Обновил БИОС до SWQ6710H.86A.0067;
2) Переставил джампер и перезагрузился в BIOS Maintenance Mode (забыв вытащить флешку с новым биосом, в результате чего биос обновился еще раз, и на этот раз кроме main, recovery, memory initialization, backup recovery и Intel ME обновилась также какая-то descriptor area );
3) Еще раз перезагрузился в BIOS Maintenance Mode, после чего выполнил Reset Intel AMT to default factory settings;
4) Перезагрузился в нормальном режиме в БИОС, поменял админский пароль AMT, установил Setup and Configuration Mode , User Consent и прописал статические параметры IPv4;
5) Попробовал подключится через VNC - Вроде всё работало;
6) Поехал домой и в дороге прочитал эту статью, расстроился, поскольку понял что видимо недонастроил AMT и придется возвращаться и проделывать описанные Вами манипуляции;
7) Из дома подключился к компьютеру при помощи commander и director и с удивлением обнаружил:
а) В командоре во вкладке Security написано Control Mode: Admin Control Mode;
б) В директоре во вкладке Management Engine написано Current Setup Mode: Enterprise;

Значит ли это что AMT инициализирована правильно?
Можно ли узнать, правильно ли инициализирована AMT удаленно? (как я понял, ACU и AMT Diagnostic Tool нельзя запустить на удаленной машине)

Аватар пользователя apple_rom

Если вы видите любой из этих пунктов:

  • В командоре во вкладке Security написано Control Mode: Admin Control Mode;
  • В директоре во вкладке Management Engine написано Current Setup Mode: Enterprise;

...то, конечно же - Intel AMT включена и проинициализирована. И ежели:

  • Попробовал подключится через VNC - Вроде всё работало;

Значит и настроено правильно (как минимум - открыты порты для VNC).

Касаемо вопросов:

Можно ли узнать, правильно ли инициализирована AMT удаленно?

Сложно ответить, т.к. исходя из вашего поста, вы делали это локально. Уточните, что значит "удалённо".

(как я понял, ACU и AMT Diagnostic Tool нельзя запустить на удаленной машине)

Почему нельзя? Просто, понятно, нужно закинуть на неё и запустить из-под админа. Требуется наличие установленных драйверов (в плане АМТ).

 

 

Здравствуйте. Мат. плата ga-q170m-d3h. AMT 11. Сделал все как в вашей статье. АМТ активировался, режим админ, коммандер видит и подключается. Но неактивна вкладка"State" и на вкладке "Management Engine" кнопка "Remote access" - unsupported. В чем может быть проблема, подскажите пожалуйста.
С уважением, Сергей.

Аватар пользователя apple_rom

А какой процессор стоит? Точная модель.

http://vpro.by/comment/283#comment-283
Аналогичная проблема, с разницей лишь плата dq67sw-b3 и проц 2600k
Все выполнял строго по пунктам вашей инструкции

Аватар пользователя apple_rom

Процессоры с буквой K на конце не поддерживают Intel AMT (верно для всех процессоров - разных поколений).

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
Anti-bot.