Как стать автором
Обновить

Комментарии 56

Я так понимаю, если это работает на L3 модели OSI, то получается выключенные компы можно пинговать? Или по старинке сначала придется wake-on-lanить?
Насколько понял — придется.
Не прийдется. Сетевая карта слушает всегда. На счет «можно пинговать» — да, можно, если разрешить в настройках. Если не разрешить, то выключенный комп на пинг отзываться не будет, но свой порт (16992) слушать будет.
Пользую такое дома (Q45 чипсет) — очень удобно иногда ребутить машину в другой комнате или получить доступ к консоли на Serial порту.
Первая версия Kaspersky Rescue Disc (которая 8-ая) поддерживала AMT со своей стороны. Почему-то никому не понадобилось.
Не время тогда было)
Очень хорошая статья, сейчас добавлю в пост, спасибо :).
Хорошая штука для использования в корпоративной среде, например. Жаль что VNC функциональность (Intel AMT KVM) доступна только начиная с AMT 6.0, для чипсетов выше Q67 и только если у процессора есть встроенный GPU.
Более старые чипсеты или CPU без GPU поддерживают только Serial-over-LAN (удобно если лины, grub и консоль туда завернуть) и удаленное управление питанием (с вебкой естественно).

А так получается идеальный Remote Assistance без разделения на вендора и версии OS. Ну и ходить никуда не нужно чтобы ребутнуть машину :)
Про админа бегающего то места к месту — это повеселило. У меня уже давно раз в месяц делается авто-инвентаризация строчкой вида:
C:\> psexec @список_айпишников -d -n10 путь_к_AIDA64\aida64.exe /R путь_к_отчётам\%COMPUTERNAME% /TEXT /CUSTOM путь_к_конфигу_отчётов\aida64.rpf
плюсы в том, что можно получить и залогиненых на компе пользовователей и их количество, установленный софт, марку монитора и т.д.
А ещё решение кроссплатформенное, без привязки к сетевухе или платформе в общем.
Для включения компов WOL, а про средства удалённого управления и говорить не буду — их сотни.
Аиду ж тоже надо поставить. В любом случае бегать в первый раз :)

Но там надо было ещё и срочно — узнать не украл ли чего старый.
Ее надо её ставить всем. Зачем?
Всё запускается из единственного источника, в том-то и прелесть.
Если её ставить всем, это Corporate покупать нужно. Но если уж приелость поставить всем — то у Aida есть silent режим установки, похожим скриптом она вкатывается вообще всем.
А на счёт срочности:
15 минут на установку и подготовку скриптов + время на его отработку(зависит от количества хостов), но скрипт многопоточный так что 40 минут на /22 подсеть.
Что в комментариях распылятся на такую тему. К тому же с человеком которой не самый сильный администратор. Пишите пост, вы толковый :).
Покорнейше благодарю.
Только, для статьи материала маловато.
60 виндовых компьютеров в сети и без домена?
Ну такой вот был старый админ :).
неленивый
ироничный тэг был сьеден.
rpc? если в домене и бегать не нужно все можно и удаленно поставить включая aida.
Опа, у меня как раз компьютер с vPro… Любопытно!

А какие порты требуется прокинуть для доступа через инет? Комп сидит за NAT-ом.
Вот тут говорят что 16992, но оно вполне может и не заработать через нат. Надо проверять или спросить у тех кто пользуется, например тут
Как уже написали 16992 для HTTP, 16993 если получится настроить (а это не очень просто). Если много комьютеров за натом в организации есть специальные фичи чтобы роутить трафик при помощи дополнительный софтовой компоненты (специальный gateway, MPS).
Забыл что есть еще IDE/Serial redirection: IDE-R/SOL over TCP = 16994, IDE-R/SOL over TLS = 16995. С VNC я уже не работал, так что не знаю нужны ли там еще какие-нибудь порты.
Блокировка моего(!) ноута Intel-ом где и когда он захочет? Чертовски привлекательно. Не говоря уже о том, что будет если найдут дыру. А злоумышленники будут снимать батарею или класть ноут в экранированную сумку, а потом не торопясь перетыкать джампер или ломать модуль приемник.
Палка о двух концах. Вон в андроидах насколько я помню гугл говорил что имеет право удалять неугодные ему приложения якобы для борьбы с вирусами.
ну не знаю, одно дело ты сам можешь заблочить, другое кто то по ему известным правилам и причинам. Гугл не помню чтобы удалял на устройствах что либо, с маркета да. По сути через приложение маркета сможет, но не думаю что все что есть. А тут компания хоть и хорошая, но все же…
странно, но busybox, который загружается, если сервер на ubuntu 10.04 LTS не может примонтировать корень — не видит сетевую клавиатуру, если не воткнута физическая о_О (такая ситуация возникла недавно, а сервер за 1500км)
про другие случаи — не знаю
не может примонтировать корень если не видит клавиатуру? :) Возможно проблема в настройке убунты или в биосе стоит флаг «паниковать при отсутствии клавиатуры»?
grub не может примонтировать корень, загружает busybox, чтобы можно было разобраться. и вот этот busybox, если не воткнута клавиатура — не грузится с ошибкой «не могу найти клавиатуру», хотя виртуальный kvm подключен.
технологий SOL/IDE-R (Serial over LAN + IDE-Redirection) работают так, что SOL создает виртуальный последовательный порт, и в таблице ACPI при загрузке ставит бит, что перенаправление активно. Обычно консольная ОС подхыватывает это и перенаправляет текстовой ввод/вывод туда. Но не всегда. Иногда это приходиться делать явно. Во всяком случае, при загрузке Windows можно просто перенаправить поток на соответствующий COM-порт, '<>COM3:'. С технологией IDE-R ситуация похожая — создается виртуальное IDE устройство со своими PCI Device ID. Идентификаторы этого порта поддерживаются только в новых версиях ядра (не помню когда точно, где-то в 2.6.35+ добавили патч из openamt.org для этого). Соответственно, старые ядра Линукса просто не идентифицируют виртуальный DVD, как собственное загрузочное устройство и пишут, что не могут примонтировать корень. Должно решаться новым ядром, хотя сам не пробовал.
Спасибо за ответ :).
Не мог примонтировать корень он по более прозаичной причине — при обновлении ядра изменилось определение аппаратного RAID массива и UUID стал другой, вот и не подмонтировал он корень.
Не очень понятно, а чем это отличается от IPMI в серверных системах и рабочих станциях?
Интел принимает активное участие в разработке IPMI и поэтому у IPMI и AMT много общего, но у AMT есть как минимум одна киллер фича: разрешение экрана до 1920x1200. Должны быть и другие, но я не пока не знаю что такое IPMI.

Если будет время на выходных разберусь.

Спасибо, это хороший вопрос. Попробую призвать технических специалистов интела.
Все же vPro больше на рабочих станциях и ноутах больше распространена, разве нет? То есть это замечательная история про halt по ssh у хостера видимо пока не из реальной жизни?
halt по ssh из реальной, а вот поднятие по vPro пока нет. Впрочем в посте есть ссылка на настройка 1U сервера с vPro и когда лично мне понадобится dedicated сервер — буду собирать его с vPro.
Отличие именно в том, что IPMI — серверная технология, имеющая долгую историю, и построенная на базе SNMP. Обычно реализуется посредством дополнительного чипа, который стоит дороже, чем поддержка AMT, обычно требует отдельного сетевого ввода. AMT предназначается в большой степени для корпоративных компьютеров, где важно централизованное управление и специфический функционал. То что их объединяет, это функционал удаленного управления питанием, перенаправление консоли/экрана, и удаленная загрузка. А дальше идут отличия — поддержка эвристического обнаружения сетевой активности ботнетов и сканирования сети, agent presence — контроль работы, например, антивирусных приложений, механизмы конфигурации, большая безопасность за счет поддержки HTTPS, mutual TLS для аутенфикации (серверы то обычно управляющий интерфейс в открытую сеть не выдают).
Немного не понял про VNC… как долго будет доступен экран рабочей станции? до загрузки драйверов ОС? Можно ли полноценно установить операционную систему? В общем интересует полноценный ли это KVM или только биос и выбор пункта в меню загрузчика?

Как пересекаются настройки сетевой карты в операционной системе? Не конфликтует ли драйвера видео с AMT во время работы VNC?

p.s. как узнать, какие материнские платы поддерживают AMT 6.0+, интересует именно работа VNC
Доступен с момента начала загрузки компа. В момент перезагрузки не рвётся коннект.
Можно подключить по IDE-R внешний образ и ставить систему.

Чтобы не было конфликтов необходимо пользоваться встроенной видеокартой.

Вот тут список процессоров и чипсетов:

Intel AMT 6.0 — Intel Core i5/7 vPro desktop platforms based on the Q57 (Piketon: Ibex Peak) chipset, Core i5/7 vPro mobile platforms based on the QM57 and QS57 (Calpella: Ibex Peak) chipset, and Xeon 3400 series/Core i5 vPro entry workstation platforms based on the 3450 chipset.
про сетевую карту ответьте… в операционной системе сеть будет во время работы vnc? спасибо
Насколько я понимаю работу vPro — оно работает независимо от системы и сеть должна быть даже в том случае если в винде будут другие настройки сетевой карты. Но это я так понимаю, я не добрался ещё до железа.

Я попросил ответить на ваш вопрос технических специалистов интела, но сделать они это должны уже после выходных.
AMT fireware перехватывает трафик с сетевой карты и не передает в ОС то что касается работы vPro (порты 16992, 16993). Чтобы насройки ОС и AMT не конфликтовали, там вроде есть пара вариантов. Например когда ОС использует DHCP firmware автоматически понимает все сетевые настройки. Когда в ОС используется статический адрес, то вроде для AMT нужно назначить IP адрес явно (причем по моему другой, отличный от используемого в ОС). Еще есть отдельная песня про WiFi для лаптов, который тоже может использоваться для AMT.
Статический адрес еще нужен при сложных конфигурациях хоста. Например если на хосте крутится XEN с виртуальными машинами в bridge и с получением адреса по DHCP. В этом случае адрес AMT может «прыгать» вслед за виртуальными машинами :( и нужна статическая конфигурация.
iLO к писюкам привинтили? шармаан
HP PCI-X iLO Remote Management Adapter
переставить джампер на материнской плате

а как быть с ноутбуками? тоже джампер?
Неправильно перевёл, извините.

На самом в википедии говорится что при помощи джампера можно сбросить AMT в настройки по умолчанию (не Anti-Theft), а отключить vPro аппаратно нельзя.

Спасибо за наблюдательность :).
В интернетах пишут что только ранние версии Lenovo M55p и T61, HP 6910p, и Panasonic Toughbook имели функцию отлключения vPro.

Но после выходных в тред должны прийти тех. специалисты интела и они, возможно, проккоментируют более подробно.
Хороший обзор :)
Мне кажется, что про безопасноть также стоит добавить, что есть еще две важные функции обеспечивающие безопасность и приватность пользователя: использование User Consent Policy для получения согласия на удаленное обслуживание от пользователя, а также доступ к auditlog, в котором хранится информация о всех удачных и неудачных попытках подключения.
Спасибо, я добавлю ссылку на комментарий в пост.
Писал по интернетам, доступа к железке нет, упустил миллионы интересного :(.
А оно, при отключенном User Contest, позволяет незаметно наблюдать за тем, что происходит у пользователя на рабочем столе? Или все-таки выводится какое-то предупреждение?
Нет, незаметно не получится — в любом случае, когда открыта VNC сессия, у пользователя на экране в правом верхнем углу мигает очень заметная иконка, а вокруг всего экрана появляется красная рамка — эти индикаторы реализованы аппаратно и ни одно приложение, ни даже ОС не может их скрыть.
Подcкажите, как это vPro выключить на ноуте совсем?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.