Когда-то давно, когда я ещё не был программистом, но с компьютерами уже дружил, технологии по типу RAdmin для меня были подобны чуду. Можно было подключиться к удалённому компьютеру, прямо как в самом крутом фильме про хакеров, открыть блокнот и написать там угрожающую надпись. Правда, пользоваться мне этим было негде.

Потом в мою жизнь пришёл ssh: осознание, что управляешь сервером за океаном сначала восхищало, а теперь уже стало обыденностью. Пока не наберешь случайно halt, ага. А потом начинаешь открывать админку хостера и пытаться зайти в консоль управления сервером, чтобы его запустить. А она почему-то сегодня тупит. Тогда пишешь в саппорт и нерничаешь. Не очень нравится. Но это мои личные программерские страхи.

Как-то на старой работе после смены администратора вновь пришедший решил навести порядок в компьютерном парке и для этого подходил к компьютеру, выгонял работника, скачивал Everest, запускал диагностику и сохранял результат в файл. Так, обойдя всего лишь ~60 рабочих мест на трёх этажах, он узнал, какое железо есть в его распоряжении. Неудобно.

И тут на сцену выходит Intel vPro.

Intel vPro – это такая штука, которая позволяет не бояться вещей, описанных выше и даже делать намного больше. Состоит vPro из двух компонентов: аппаратного и программного и про них я расскажу под катом.

Аппаратная часть

На аппаратном уровне нужен процессор и материнская плата (чипсет, как правило, начинается на Q, но нужно смотреть спецификации), поддерживающая vPro. В материнскую плату встроена гигабитная сетевая карта и видеоадаптер, которые способны на низкоуровневую работу. На практике это значит, что подключиться к компьютеру при помощи vPro можно без использования, мало того, что сетевых драйверов ОС, так и без самой ОС! И да, можно зайти в BIOS удалённо.

Поддерживается как проводное, так и беспроводное подключение. В случае WiFi полёта для фантазии не очень много – операционная система должна быть загружена и подключена к точке доступа, зато вот при использовании провода подключиться можно даже к выключенному компьютеру. Ну, так говорят маркетологи: на деле же выключенный компьютер можно включить и – далее как обычно.

Программная часть

Программная часть заключена в аббревиатуре AMT – это Intel Active Management Technology, которая обслуживает подключения и обладает огромными возможностями.

Сначала компьютер надо сконфигурировать для работы с vPro и для этого понадобится физический доступ. После этого его, если это сервер, можно потерять или замуровать в комнате, как в анекдотах про администраторов. В случае, если администратор находится с пациентом в одной локальной сети, проблем не возникает, если же нужный компьютер спрятан за NAT – придётся ставить сервер внутри для доступа. Правда иначе и быть не может – базовые требования сетевой безопасности.

Сеанс связи шифруется, а доступ к серверу можно получить через консоль (serial over LAN), web-интерфейс или VNC. Web-интерфейс обладает неприметным рабочим дизайном (который при этом отлично отображается на планшетах) и позволяет получать статистику о железе, его состоянии и перезапускать компьютер, настраивать сетевой интерфейс и политики доступа к AMT, смотреть историю событий – узнать, почему же у секретарши не грузится система, не подходя к её компьютеру.

При подключении через консоль и VNC можно делать уже совсем всё: vPro предоставляет полноценный KVM с локальной машины на удалённую с поддержкой разрешения экрана до 1920х1200 и возможностью посмотреть, как загружается система от инициализации BIOS до непосредственной загрузки ОС. При этом даже при перезагрузке системы не происходит отключения! Единственное что для доступа в BIOS не получится просто зажать Delete при старте системы и надо будет выбрать специальный пункт «Reboot to BIOS».

После чего в самом деле загружается BIOS.

Особенно приятно то, что можно подключиться к удалённой машине по VNC даже в том случае если там слетели драйвера сетевой карты (ведь vPro работает на более низком уровне чем ОС) и прямо через VNC поставить все драйверы. И если в пределах офиса это ещё решаемо, то вот ехать в дата-центр может быть не с руки.

Есть еще одна интересная возможность под название IDE-R которая позволяет загружаться с внешнего источника как будто это внутренний жёсткий диск. То есть можно подключиться по VNC, указать образ для загрузки и загрузиться в заведоморабочей системе. Очень может быть полезная функция как для диагностики, так и для администрирования. Например можно загружать клиентскую машину с системой в которой настроен эталонный антивирус, проверять жетский диск и незаметно уходить.

Про безопасность

При помощи vPro работает технология Intel Anti-Theft. Если у вас украли ноутбук, то вы можете связаться с Intel и они заброкируют его. В блоге Intel есть уже данной технологии. После блокировки новый обладатель компьютера увидит такую картинку.

Заключение и ссылки

Совсем скоро, когда поколение компьютеров в очередной раз сменится даже у самых нетребовательных пользователей, а у прогрессивных компаний и того раньше, работы у администраторов останется столько же, но вот делать её будет куда приятнее.

Подпишитесь на комментарии к посту - в них обещает быть много интересного. Или проверьте топик через пару дней - я вынесу все самые интересные комментарии отдельным списком внизу поста.

    IPMI (от англ. Intelligent Platform Management Interface) - интеллектуальный интерфейс управления платформой, предназначенный для автономного мониторинга и управления функциями, встроенными непосредственно в аппаратное и микропрограммное обеспечения серверных платформ. Другими словами IPMI – это средство управления, которое реализовано независимо от основного оборудования сервера и обеспечивает его включение, выключение, сброс, удаленное подключение виртуальных мониторов, клавиатур и мышей, наблюдение за работой оборудования и оповещение о важных событиях, связанных с работоспособностью сервера. Спецификация IPMI версии 1.0 была опубликована еще в 1998г. и базировалась на подключении к модулю IPMI через последовательный интерфейс RS-232. Текущая спецификация IPMI опубликована в 2004 г. и базируется на использовании стандартного сетевого интерфейса.

Ядром системы управления серверной платформой является специализированное устройство - Baseboard Management Controller (BMC) , который практически является специализированным компьютером, встроенным в серверную платформу, имеющим свои собственные процессор, память, периферийное оборудование и операционную систему. Спецификация IPMI не задает жестких стандартов по реализации IPMI-устройств. Они могут быть выполнены в виде отдельного адаптера, могут быть распаяны непосредственно на материнской плате или выполнены в виде отдельного микроконтроллера. В настоящее время, наиболее распространены интегрированные в серверные материнские платы контроллеры BMC на базе технологии “система на одном кристалле” (System-on-Chip, SoC), позволяющие реализовать как эффективное взаимодействие с управляемой платформой, так и огромное количество функций по удаленному мониторингу, оповещению о важных событиях по e-mail или SNMP, ведению журналов и т.п.

Контроллеры BMC для серверных материнских плат подключаются к ним через системный интерфейс, названный IPMB (Intelligent Platform Management Bus/Bridge) или к другим контроллерам BMC через интерфейс IPMC (Intelligent Platform Management Chassis). Для удаленного управления оборудованием через контроллер BMC может быть использован специальный протокол прикладного уровня Remote Management Control Protocol (RMCP) , обеспечивающий работу через обычную локальную сеть. Как правило, современные контроллеры BMC обеспечивают управление серверными платформами через веб-интерфейс, а также обеспечивают удаленное подключение устройств CD/DVD и работу клавиатуры-видео-мыши по сети (IP KVM), что позволяет легко выполнять, например изменять настройки BIOS или выполнять установку операционной системы, не имея физического доступа к оборудованию сервера.

Возможности управления материнской платой через IPMI.

Рассмотрим возможности управления сервером через интерфейс IPMI на примере материнской платы Supermicro X8DTT-IBQF с интегрированным контроллером Nuvoton WPCM450 Baseboard Management Controller с поддержкой IPMI 2.0. Данный контроллер поддерживает графическое ядро с PCI-интерфейсом, устройства Virtual Media (виртуальные CD/DVD) и перенаправление клавиатуры-видео-мыши (Keyboard/Video/Mouse, KVM). Для подключения к локальной сети используется внешний контроллер Ethernet, распаянный на материнской плате. Для взаимодействия с компонентами управляемой системы используются шины управления платформой Platform Environment Control Interface (PECI) . На материнской плате имеется перемычка для отключения BMC-контроллера, если возникнет такая необходимость. Также, на ней имеется светодиод BMC LED (BMC Heartbeat LED) для индикации работоспособного состояния контроллера – зеленый мерцающий индикатор, начает, что BMC работает нормально.

Первичная настройка интерфейса IPMI выполняется в разделе Adnanced – IPMI Configuration основного BIOS.

Status of BMC состояние контроллера BMC

View BMC System Event Log - просмотр системного журнала событий (SEL), который ведется контроллером BMC.

Clear BMC System Event Log - очистка журнала событий

Set LAN Confi guration - настройка сетевой конфигурации адаптера, используемого контроллером BMC. Можно настроить на получение IP-адреса, маски и адреса шлюза автоматически по DHCP, или задать их вручную.

Set PEF Confi guration - настройка фильтра событий, регистрируемых контроллером Platform Event Filter (PEF). В данном пункте меню можно настроить реакцию контроллера на определенные события, как например, выключение питания при увеличении температуры, или снижении скорости вращения вентиляторов. По умолчанию, фильтрация событий отключена.

BMC Watch Dog Timer Action - можно настроить опрос состояния управляемой системы и ее сброс, перезагрузку или выключение питания при зависании. По умолчанию, отключено.

Основные возможности по управлению и мониторингу состояния платформы доступны через веб-интерфейс. Для подключения к модулю BMC используется любой браузер с поддержкой java, в адресной строке которого вводится IP-адрес IPMI-устройства и, после подключения, выполняется авторизация с использованием имени пользователя и пароля, указанных в документации или заданных пользовательскими настройками. Имя пользователя и пароль по умолчанию для IPMI-устройств производства Supermicro - ADMIN / ADMIN . После успешной авторизации откроется основное окно управления платформой с активированной вкладкой “System Information”:

Вкладка “Server Health” позволяет контролировать состояние оборудования сервера:

Sensor Reading - просмотр данных контролируемых датчиков

Sensor Reading with Thresholds - просмотр данных контролируемых датчиков и пороговых значений

Event Log - просмотр журнала событий

Отображаемая информация датчиков включает их имена, состояние и считанное значение. В нижней части экрана имеются кнопки Refresh - обновить данные датчиков и Show Thresholds - показать пороговые значения. С помощью подменю Select a sensor type category можно выбрать тип датчиков (температура, напряжение и т.п.). Пример отображаемой информации:

Просмотр журнала событий позволяет определить время возникновения фиксируемого состояния датчика, получить его краткое описание и оценить уровень опасности для функционирования оборудования. Пример отображаемой информации:

Вкладка Configuration позволяет выполнить настройки оповещений о состоянии оборудования, изменять сетевые параметры, настроить политику доступа к устройству IPMI.

Alerts - настройка оповещений. Можно создать до 15 записей с различными правилами оповещений. Имеется возможность задать категорию событий, по которым выполняется оповещение – информация, предупреждение, критическое событие, невосстановимое состояние. Оповещение возможно по электронной почте или через отправку SNMP trap. В первом случае, необходимо указать e-mail, на который будет отправлено письмо, при возникновении события заданной категории, во втором – IP-адрес сервера, собирающего SNMP-оповещения. При использовании оповещения через электронную почту, необходимо указать IP-адрес и порт SMTP-сервера и адрес отправителя в разделе SMTP

Разделы LDAP , Active Directory , RADIUS ,Users и SSL sertificate настраиваются в зависимости от требований безопасности доступа к IPMI-устройствам. В разделе Network можно изменить сетевые настройки IP-адрес, маску, шлюз. В разделе Ports - номера портов, которые используются при эмуляции виртуальных устройств загрузки, видеомонитора, клавиатуры и мыши. Также можно изменить номер порта для веб-доступа к устройству IPMI.

Вкладка Remote Control позволяет выполнить удаленное подключение к консоли сервера с использованием java-апплета. Необходимо учитывать, что при первом подключении, консоль может длительное время не работать, поскольку для выполнения апплета требуется запуск виртуальной машины Java. Кроме обычной эмуляции терминала, в данной программе возможно выполнение записи сеанса работы через меню Video – Capture Screen , использование программной клавиатуры (Keyboard – Soft Keyboard ) и подключение виртуальных носителей (Media – Virtual Media Wizard )

Вкладка Remote Control используется для включения, выключения и сброса сервера. Maintenance - для обновления прошивки и принудительного сброса IPMI-устройства.     Для управления платформами через интерфейс IPMI используется программное обеспечение, разрабатываемое производителями оборудования или открытое ПО.

Удаленное администрирование с помощью технологии Intel® AMT

Удаленное администрирование - штука хорошая в первую очередь из-за экономии времени: сотруднику ИТ-отдела не нужно бегать к чужому рабочему месту (которое может находиться на приличном расстоянии), тратя на это свое и чужое время: можно сразу подключиться к удаленному ПК с рабочего места специалиста по обслуживанию. Удаленное управление (УУ) позволяет решать большое количество проблем с ПО и настройками системы. Однако традиционное УУ работоспособно только в том случае, когда операционная система (ОС) функциональна, драйвер сетевого адаптера работает и, обеспечено подключение к локальной сети. Достаточно сбоя в работе хотя бы одного из этих звеньев и удаленно уже ничего сделать нельзя. Проблемы вне ОС, например, в BIOS, так тоже не устранишь. Как и причины, мешающие загрузке системы. Да, кстати: не забудем, что для традиционного УУ компьютер должен быть включен.

Технология Intel® AMT в этом плане на голову выше: она реализована на аппаратном уровне, поэтому компьютером можно управлять даже при неработоспособной ОС. Можно удаленно запустить систему, настроить параметры BIOS, загрузиться с внешнего накопителя для установки и развертывания ОС и ПО, переустановить сетевые драйверы и т.д. Фактически, с помощью АМТ можно решить любые программные проблемы: если «железо» работает нормально, то все остальное выполнимо.

Немного о технической реализации Intel АМТ

Intel® AMT присутствует в решениях Intel уже почти десять лет (впервые она появилась в 2006 году) и все это время активно развивалась. Начиная с 6-й версии технология предоставляет полноценный KVM (keyboard-video-mouse), то есть удаленный оператор получает картинку с монитора и может управлять удаленным ПК с помощью клавиатуры и мыши, как обычно. Последние версии, кстати говоря, поддерживают передачу картинки с разрешением FullHD и выше. АМТ способна передавать управление с удаленной системы всегда, когда включен компьютер: будь то загрузка ОС, выбор загрузчика, загрузка на уровне BIOS или управление параметрами BIOS.

Правда, у аппаратной реализации есть оборотная сторона: нужно выбирать такоке оборудование, которое поддерживает АМТ. И думать об этом следует при закупке оборудования, а не при возникновении аварийной ситуации. АМТ является частью набора vPro, для поддержки которого требуется специальная версия процессора, платформы и сетевого адаптера. Ее поддерживают некоторые чипсеты Intel профессиональных серий, индексы которых заканчиваются на «7», и некоторые модели процессоров Intel ® Core ™ i5 и i7. Однако проще ориентироваться на наличие логотипа vPro.

С технической точки зрения АМТ работает следующим образом: она создает отдельный, совершенно независимый и изолированный от основного, зашифрованный канал обмена данными по локальной сети. Полноценно технология работает только при проводном подключении к локальной сети. Мобильные устройства могут работать и через беспроводные сети, но с серьезными ограничениями: ОС и драйверы сетевого адаптера должны быть установлены, а подключение к сети быть активным. Все необходимое для работы АМТ ПО находится в особой защищенной зоне внутри BIOS.

Наконец, Intel ® АМТ использует распространенный протокол управления VNC, под который существует много продуктов. В качестве ПО для удаленного рабочего стола можно использовать следующие продукты:

1) TightVNC Viewer (Windows);

2) Real VNC Viewer (Windows);

3) VNC Viewer Plus (Windows);

4) Ultra VNC (Windows);

5) SSVNC (Linux);

6) Remmina (Linux);

7) KRDC (Linux);

8) Real VNC Viewer for Android (Android);

9) AndroidVNC Viewer (Android);

10) akRDC Free VNC Viewer (Android);

11) Remote Ripple-VNC (Android);

12) и др.

Как видим, список VNC-клиентов обширен, и важно что поддержана работа в Windows, Linux и Android. Это позволяет осуществлять УУ с любого устройства. То есть технология Intel ® AMT имеет широкую поддержку и не привязана к конкретным ОС.

Кроме того, возможно удаленное управление компьютером с помощью портала meshcentral.com. Впрочем, об этом подробно рассказывается в видеоролике, посвященном АМТ, поэтому не будем повторяться.

Основные преимущества

Итак, коротко взглянем на основные преимущества технологии по сравнению с распространенными средствами УУ:

В отличие от программных средств AMT работает и при нефункциональной ОС, позволяет настраивать BIOS и пр.;

Имеет встроенные средства безопасности и надежные алгоритмы шифрования;

Является бесплатной, тогда как многие программные средства удаленного администрирования - платные. Хотя здесь следует учитывать, что ее стоимость включена в стоимость компонентов с логотипом vPro;

Позволяет включать и выключать компьютер;

Позволяет загрузиться с удаленного носителя, в том числе для установки или развертывания ОС и ПО.

В общем, по совокупности возможностей АМТ далеко обходит программные решения

Сценарии использования

Самый распространенный сценарий - дистанционное решение проблем, возникающих на компьютере пользователя. AMT дает огромный выигрыш во времени. Особенно это выгодно в ситуациях, когда когда ИТ-отдел и пользователи находятся в разных зданиях. К тому же АМТ позволяет решать гораздо более широкий круг проблем; т.е., практически все проблемы кроме отказа аппаратных компонентов.

Появляется возможность удаленно проводить плановое сервисное обслуживание, например, установку обновлений. Специалисту не требуется физический доступ к компьютеру, он может производить любые действия, включая перезагрузку системы, удаленно. Также он может мгновенно переключаться от одной системы к другой, что ускоряет выполнение работы. Это тем более важно, поскольку установка обновлений ОС и ПО в рабочее время нежелательна и эти действия производятся, как правило, после окончания рабочего дня или на выходных.

Следующий выгодный сценарий использования АМТ - возможность обеспечения круглосуточной поддержки. Поскольку для решения большинства технических проблем уже нет необходимости в физическом доступе к компьютеру пользователя, можно использовать ИТ-персонал из других регионов с другими часовыми поясами. Кстати говоря, это позволяет предприятию сэкономить, размещая удаленные ИТ-отделы в регионах, где заработные платы ИТ-персонала ниже.

Развертывание ОС и ПО перестает быть проблемой, т.к. АМТ поддерживает загрузку компьютера с использованием удаленного образа. Если физически компьютер подключен к проводной сети, то специалист может удаленно включить его, загрузиться с помощью технологии IDE-R и произвести установку и настройку системы. Кстати, если необходима эта функция, то нужно внимательно ознакомиться с настройками, так как скорость удаленной загрузки может значительно отличаться от привычной.

Существенно упрощается ситуация в случае заражения системы вирусом. Поскольку канал управления независим от ОС, вирус не может нарушить удаленное управление, а специалист может производить любые нужные действия, вплоть до переустановки ОС и развертывания настроенного образа.

Итоги

Как мы видим, у технологии Intel ® АМТ много преимуществ. Так почему же ее не используют повсеместно? Может быть для ее использования необходимо специфическое и дорогое оборудование?

На самом деле, особо критичных требований у Intel ® АМТ нет. Правда, на этапе закупки техники необходимо обратить внимание на наличие в ней поддержки vPro, а потом правильно все настроить, но и тут особых сложностей не возникает. Проводное соединение не является проблемой, так как ЛВС в современном офисе есть везде. К тому же AMT (при соблюдении некоторых простых условий) работает везде, в том числе, посредством Интернет.

В качестве аппаратного решения, помогающего системным администраторам производить антивирусную проверку и даже переустановку операционной системы. Стоит особо подчеркнуть, что речь шла об антивирусной проверке и настройке BIOS в случае частичной неработоспособности операционной системы, когда использование стандартных средств удалённого доступа, таких как RDP , RAdmin и RealVNC , не представляется возможным. Сегодня мы представляем нашим читателям ещё один способ управления рабочими станциями без использования внешних устройств.

Удалённое управление

Технология удалённого управления рабочей станцией Intel AMT существует уже достаточно давно, однако аппаратная поддержка данной технологии реализована далеко не во всех современных материнских платах и процессорах. Перед использованием описываемого в данной статье метода подключения к удалённому узлу необходимо убедиться, что процессор поддерживает технологию vPro, а материнская плата построена на чипсете серии Q, например, Q67 или Q77. Мы не будем вдаваться в детали реализации vPro и AMT, а также в требования к оборудованию, но приведём пример, возможно, не совсем стандартного использования обсуждаемых механизмов удалённого доступа.

Итак, в нашем распоряжении был персональный компьютер на базе материнской платы ASUS P8Q77-M (BIOS версии 0303) и процессора Intel i7 3770, который мы считаем обычным ПК рядового пользователя дома или в офисе. Проблема удалённого управления серверами имеет множество успешных решений, к числу которых относятся технологии IPMI , iLO и другие, однако подобные методы не применимы к стандартным ПК. Внедрение решений на основе Adder IPEPS нельзя назвать беспроблемным, так как подключение такой аппаратуры к каждому узлу требует приобретения большого количества дополнительных устройств, а также приводит к занятию ещё одного порта на сетевом оборудовании. Временное же подключение IP KVM к проблемному ПК требует наличия технического персонала на удалённом объекте, к тому же сам по себе Adder IPEPS не позволяет справиться с ситуацией, когда управляемый ПК завис или находится в состоянии BSOD. Мы упоминали об одном из методов удалённого управления питанием , однако он также может оказаться весьма затратным. Использование технологии Intel AMT не приводит к дополнительным затратам на покупку дорогостоящего оборудования, так как её поддержка реализована в некоторых широко распространённых комплектующих.

На момент написания статьи нам были известны две утилиты, поддерживающие подключение к удалённым узлам с использованием Intel AMT: RAdmin и VNC . К сожалению, нам так и не удалось подключиться к тестовому ПК с помощью утилиты RAdmin, к тому же данная утилита поддерживает подключения только к узлам, работающим в текстовом видеорежиме. Мы без проблем выполняли включение, выключение и перезагрузку машины, но получить доступ к BIOS или операционной системе не могли из-за разнообразных ошибок. Конечно, это решает проблему удалённого включения ПК для домашних пользователей в том случае, когда их маршрутизатор не поддерживает функцию WOL (Wake on LAN) – требуется выполнить лишь перенаправление портов – но в нашем случае этого явно не достаточно. При использовании VNC Viewer Plus администратору необходимо указать IP-адрес управляющего AMT-модуля, который, естественно, отличается от собственного адреса узла, указать тип шифрования, а также выбрать режим подключения. Здесь мы опускаем вопросы предварительной настройки самой рабочей станции, необходимой для разрешения удалённых подключений.

После успешного подключения администратору необходимо ввести логин и пароль, заданные в настройках AMT на удалённом узле.

Хотелось бы отдельно отметить, что изменение параметров доступа по технологии Intel AMT на удалённой машине с помощью VNC Viewer Plus невозможно.

Как мы отметили в названии статьи, мы собираемся использовать технологию Intel AMT для антивирусной проверки удалённых узлов. Конечно, такая проверка имеет смысл лишь в том случае, когда операционная система и установленное в ней антивирусное программное обеспечение не могут справиться самостоятельно. Как и в случае с локальной проверкой нам потребуется образ загрузочного диска, содержащий собственную операционную систему и антивирус. Подобные образы доступны от разных производителей антивирусного программного обеспечения, к числу которых относятся «Лаборатория Касперского» и «Доктор Веб» . Последний предлагает загрузить полностью готовый образ с сайта , тогда как диск для Касперского может быть создан с помощью установленной на узле администратора программы.

Скачанный или подготовленный образ необходимо смонтировать в программу VNC Viewer Plus.

После того, как диск будет монтирован, можно производить включение удалённого ПК с выбором загрузки с диска.

Дальнейшее управление происходит так же, как если бы администратор загрузился с этого диска и находился в непосредственной близости от проблемного компьютера.

Стоит, однако, отметить, что нам не удалось таким образом осуществить удалённую проверку с помощью Доктора Веб из-за «отсутствия» загрузочного устройства, тогда как работа с антивирусным продуктом Лаборатории Касперского не вызвала затруднений.

В случае если операционная система на удалённом узле полностью испорчена и не подлежит восстановлению, администратор может произвести её переустановку с использованием подключения по всё той же технологии Intel AMT. Правда, время, затрачиваемое на эту операцию, может неприятно удивить, так как сетевое подключение в этом режиме у нас заработало лишь на скорости 10 Мбит/с, а дистрибутивы современных операционных систем едва помещаются на DVD-диски. После переустановки системы администратор может столкнуться с отсутствием ряда драйверов, необходимых для подключения к сети. К счастью, эта проблема может быть легко решена путём добавления нужных файлов в образ диска. Имеется в виду простое добавление файлов в файл ISO, а не внедрение драйверов непосредственно в сам дистрибутив. Такое добавление можно произвести, например, с помощью утилиты UltraISO .

На этом мы завершаем наш краткий экскурс в проблему антивирусных проверок удалённых узлов.

Заключение

Подводя итоги, хочется отметить, что компания Intel предлагает администраторам чрезвычайно мощный инструментарий по удалённому решению проблем с операционной системой, лечению вирусов и настройке BIOS, не требуя при этом приобретения дорогостоящего оборудования, - весь функционал заложен в чипсет и процессор. Доступ к узлу возможен как во включённом, так и в выключенном состоянии. Стоит также отметить, что для выполнения ряда простых функций (включение, выключение, просмотр состояния, получение информации об оборудовании и так далее) не требуется никакого специализированного программного обеспечения – достаточно современного браузера, подключающегося к управляемому узлу по протоколу HTTP на порт 16992.

И хотя Intel AMT является чрезвычайно полезной технологией для администраторов, для простых пользователей она может оказаться очередным чёрным ходом в их систему, оставленным разработчиками для удобства администрирования.

Алексей Шобанов

Наверняка, все, кто мало-мальски интересуется происходящими в ИТ-индустрии событиями, слышали о часто упоминаемой в последнее время технологии Intel vPro. Не обошел ее вниманием и наш журнал - в нем тоже можно было найти публикации, посвященные данной технологии. Последняя и наиболее полная из них - статья «Технологии Intel vPro и Intel Centrino Pro для корпоративного сектора», напечатанная в сентябрьском номере.

Такое внимание к Intel vPro не удивляет, ведь применение данной технологии сулит немалые выгоды. Так, средства удаленного управления и обеспечения безопасности компьютеров, которые предоставляет Intel vPro, позволяют значительно снизить издержки на содержание вычислительного парка компаний (по имеющимся данным, использование технологии Intel vPro позволяет сократить число вызовов специалистов служб технической поддержки на рабочие места сотрудников на 91%, а число неполадок оборудования - на 56%), а для домашних пользователей, вполне вероятно, можно было бы открыть качественно иной вид сервисного обслуживания - дистанционное.

Однако, несмотря на то, что о возможностях этой технологии уже достаточно давно и много говорится, практическим опытом ее применения могли похвастаться лишь избранные, которым были доступны системы, отвечающие предъявляемым ею требованиям. Ведь, по сути, процессорная технология Intel vPro (именно так она правильно именуется) представляет собой сочетание двух других технологий: технологии удаленного управления (Intel Active Management Technology, Intel AMT) и технологии виртуализации (Intel Virtualization Technology, Intel VT) - и для ее реализации, согласно последней версии от 2007 года, обязательным является наличие следующих компонентов:

• центрального процессора с поддержкой технологии виртуализации Intel VT (Intel Virtualization Technology). В последней версии технологии речь идет только о процессорах семейства Intel Core 2 Duo, хотя поддерживают ее как более ранние модели серии Intel Pentium D 9x0, так и более поздние - Intel Core 2 Quad и Intel Core 2 Extreme;
• материнской платы с поддержкой технологии Intel AMT (Intel Active Management Technology), а это подразумевает, что такая системная плата должна быть создана на базе набора микросхем Intel Q35 Express с южным мостом ICH9DO и с сетевым контроллером, поддерживающими эту технологию.

Такие требования обусловлены тем, что технология Intel vPro, а точнее входящая в ее состав технология Intel AMT, предоставляет доступ к управляемому компьютеру даже в том случае, если он отключен, а следовательно, и в этом состоянии данная система должна иметь активные компоненты, способные обеспечить такую возможность. Чипсет Intel Q35 Express был специально создан с учетом названных требований и, имея ряд специализированных интегрированных компонентов - управляющее ядро (Management Engine, ME) и гигабитный сетевой контроллер, работающий в тандеме с чипом PHY-уровня Nineveh 82566DM), - позволяет получить удаленный доступ к информации и настройкам AMT, хранящимся в энергонезависимой памяти как при включенном, так и при выключенном компьютере (единственное условие для этого: на системную плату должно подаваться дежурное напряжение, то есть система попросту должна быть подключена к электрической сети).

Сегодня, после состоявшегося 28 августа в рамках презентации обновленной версии платформы Intel vPro официального представления нового чипсета Intel Q35 Express, можно говорить о том, что данная технология становится массовой. Одной из первых свое решение с ее поддержкой представила компания GIGABYTE UNITED, выпустившая материнскую плату GIGABYTE GA-Q35M-S2. Заполучив пару этих системных плат, мы решили ознакомить наших читателей с их возможностями, а заодно на практике проверить, что представляет собой технология Intel AMT.

Материнская плата GIGABYTE GA-Q35M-S2 (рис. 1) выполнена в формфакторе microATX (размеры - 244x244 мм) в традиционных цветах компании GIGABYTE UNITED - на PCB (Printed Circuit Board) синего цвета. Основной целевой аудиторией этой системной платы, в силу поддерживаемых ею функций и технологий, являются прежде всего корпоративные пользователи. Основой для нее послужил набор системной логики Intel Q35 Express (Intel Q35 Express плюс ICH9DO), возможности которого дополняет контроллер ввода-вывода ITE IT8718F.

Рис. 1. Материнская плата
GIGABYTE GA-Q35M-S2

Эта материнская плата поддерживает работу системной шины с частотой 800, 1066 и 1333 МГц и предназначена для работы с процессорами Intel, выполненными в формфакторе LGA775, в том числе и с новыми процессорами Intel, производимыми по 45-нм техпроцессу - черырехъядерными Yorkfield и двухъядерными Wolfdale.

Для установки модулей системной памяти (предполагается, что будут применяться модули небуферизованной памяти стандарта DDR2 SDRAM 667 или 800) на плате предусмотрено четыре DIMM-слота. Работа подсистемы памяти возможна как в одно-, так и в двухканальном режиме. Максимальный объем системной памяти, поддерживаемый платой, составляет 8 Гбайт.

Материнская плата GIGABYTE GA-Q35M-S2 имеет интегрированное графическое ядро Intel Graphics Media Accelerator 3100 (Intel GMA 3100), полностью поддерживающее API DirectX 9с и OpenGL 1.4 и отвечающее всем требованиям новой операционной системы Windows Vista для работы с интерфейсом Aero. Если же возможности этого интегрированного графического решения окажутся недостаточными, то, используя имеющийся на плате слот PCI Express x16, можно будет установить дискретную графическую карту, соответствующую всем требованиям, предъявляемым к производительности графической подсистемы. Кстати говоря, кроме этого слота для установки дополнительных карт, расширяющих возможности материнской платы, на GIGABYTE GA-Q35M-S2 реализованы еще два PCI-слота и один слот PCI Express x1.

Для работы в проводных Ethernet-сетях GIGABYTE GA-Q35M-S2 предоставляет в распоряжение пользователя гигабитный Ethernet-контроллер, интегрированный в микросхеме южного моста, PHY-уровень которого реализован чипом Nineveh 82566DM.

Встроенный звуковой контроллер материнской платы представляет собой связку интегрированного в южный мост High Definition Audio-контроллера и аудиокодека Realtek ALC888, обеспечивающего возможность воспроизведения звука формата 7.1 и поддерживающего технологию Dolby Digital Live!, а также формат звучания DTS (Digital Theater Systems). Отметим также, что этот чип (Realtek ALC888) обеспечивает возможность одновременной работы десяти выходных каналов, позволяя реализовать схему подключения «7.1 (восемь каналов) плюс стерео (два независимых канала на передней панели ПК)».

Для организации дисковой подсистемы плата предоставляет пользователю одноканальный IDE ATA-контроллер JMicron JM368, позволяющий подключать до двух устройств с интерфейсом ATA66/100/133 или ATAPI и шестипортовый SATA II RAID-контроллер, который позволяет создавать RAID-массивы уровней JBOD, 0, 1, 0+1, 5 или Intel Matrix RAID (сочетание RAID-массивов уровней 0 и 1, созданных на двух физических дисках), причем работу по управлению RAID-массивами можно осуществлять непосредственно в среде Windows, например можно произвести миграцию из RAID-массивов младших уровней (0 или 1) в RAID 5.

Важным компонентом системы, обеспечивающим качественно новый уровень безопасности, является модуль TPM (Trusted Platform Module), которому тоже нашлось место в этом решении от компании GIGABYTE UNITED. Напомним, что TPM-модуль представляет собой специально разработанный чип, расширяющий функции обеспечения безопасности системы, что происходит за счет предоставления защищенного пространства для операций с ключами и других задач, важных с точки зрения безопасности.

Выходная панель системной платы (рис. 2) имеет следующий набор интерфейсов: два разъема PS/2 для подключения клавиатуры и мыши, сетевой порт RJ-45, шесть портов USB 2.0, один COM-порт, а также набор аудиоразъемов (шесть mini-jack-разъемов).

Рис. 2. Выходная панель материнской платы GIGABYTE GA-Q35M-S2

Отметим, что GIGABYTE GA-Q35M-S2 поддерживает 12 USB-портов: еще шесть, помимо уже упомянутых, которые расположены на выходной панели, можно подключить с помощью дополнительных планок расширения, для чего на плате предусмотрено три разъема (по два порта на разъем).

Для питания компонентов системы в GIGABYTE GA-Q35M-S2 используется четырехканальный блок VRM (Voltage Regulator Module), созданный с применением фирменной технологии Ultra Durable, а это означает, что для обеспечения большей надежности и долговечности материнской платы в его цепях используются только твердотельные конденсаторы.

Для охлаждения микросхем северного и южного мостов применяется пластинчатый легкосплавный радиатор. Отметим также, что эта системная плата имеет два разъема для подключения вентиляторов охлаждения: четырехконтактный (CPU FAN) - для процессорного кулера и трехконтактный (SYS FAN) - для системного вентилятора.

Как видно из названия этой модели, системная плата GIGABYTE GA-Q35M-S2 относится к решениям S-серии компании GIGABYTE UNITED. Она имеет два набора S-технологий (о чем свидетельствует индекс S2 в ее названии) - Smart и Safe. О возможностях функций, входящих в упомянутые наборы, уже не раз рассказывалось на страницах нашего журнала, поэтому на сей раз ограничимся лишь их перечислением. В набор функций Smart входят такие программные продукты, как Download Center, @BIOS, Q-Flash, Xpress Install, Boot menu и Smart Fan, обеспечивающие простое и удобное управление различными настройками. Набор S-функций Safe включает несколько аппаратно-программных средств, позволяющих повысить отказоустойчивость компьютера: технологии GIGABYTE Virtual Dual BIOS и BIOS Setting Recovery, а также утилиты Xpress Recovery 2, PC Health Monitor и C.O.M.

На этом закончим техническое описание данной системной платы и перейдем к рассмотрению ее возможностей при работе с технологией Intel AMT.

Поскольку Intel AMT - это технология удаленного управления, то для ее реализации требуются как минимум две AMT-компьютерные системы, подключенные к локальной вычислительной сети. Вообще говоря, от инфраструктуры ЛВС напрямую зависит настройка компонентов технологии Intel AMT.

Поэтому на первом шаге при настройке компьютерных систем с технологией Intel vPro, в частности с Intel AMT, необходимо определиться, какая модель будет использоваться для управления. В технологии Intel AMT предусмотрены две такие модели: SMB (Small/Medium Business) и Enterprise. Режим SMB является базовым и ориентирован на небольшие корпоративные сети. В данном режиме применения обеспечиваются следующие возможности:

• удаленное управление питанием компьютеров;
• просмотр данных об основном оборудовании (инвентаризация);
• просмотр журнала событий;
• удаленное обновление AMT Firmware.

Режим Enterprise ориентирован на крупные корпоративные сети, в которых первостепенное значение имеет обеспечение сетевой безопасности. Он включает все функциональные возможности режима SMB, но, в отличие от него, предусматривает закрытые каналы связи между клиентами vPro и консолью управления и требует наличия сервера SCS (Setup and Configuration Server), отвечающего за шифрование и аутентификацию.

Возможно, сделать оптимальный выбор того, какая схема Intel AMT наилучшим образом подойдет для решения именно ваших задач, помогут ответы, которые вы дадите на следующие вопросы:

• существует ли необходимость в том, чтобы весь трафик, передаваемый между консолью управления и клиентом, был зашифрованным, то есть нужен ли закрытый канал связи? (Если ответ «да» - выбор в пользу Enterprise, «нет» - возможна схема Enterprise или SMB);
• согласно инструкциям безопасности требуется ли вашей организации частая смена паролей, которая будет выполняться с центральной консоли управления? (да - Enterprise, нет - SMB);
• инфраструктура вашей сети поддерживает статические IP? (да - SMB, нет - возможна схема Enterprise или SMB);
• имеет ли место частая смена клиентов сети (в связи с реорганизацией или передислокацией работников), что требует изменения имен для PC? (да - выбор в пользу Enterprise, нет - возможна схема Enterprise или SMB);
• все ли консоли управления поддерживают Enterprise-режим? (да - Enterprise или SMB, нет - SMB);
• требуется ли вам использовать инструкции аутентификации Windows logon сredentials для управления устройствами AMT? (да - Enterprise, нет - возможна схема Enterprise или SMB).

Кстати говоря, если в вашей локальной сети используются статические IP-адреса, то следует помнить, что в этом случае AMT-система может иметь два IP-адреса: определяемый для сетевого интерфейса в ОС и устанавливаемый в настройках ядра управления (Management Engine, ME) AMT-устройства. Кроме того, при статических IP-адресах рекомендуется задавать различные имена для системы: уникальное хост-имя в ОС и уникальное хост-имя в МЕ.

Определившись со схемой работы Intel AMT, на следующем шаге следует обратиться к документации производителей программного обеспечения, которое будет использоваться для консоли управления, с целью установить, какие еще сетевые компоненты и их настройки, а также компоненты системы необходимы для выбранной вами реализации данной технологии.

В нашем случае для проведения тестирования мы выбрали схему SMB с поддержкой DHCP (Dynamic Host Configuration Protocol), что является, на наш взгляд, наиболее оптимальным вариантом для применения технологии Intel AMT в рамках небольшого предприятия (в случае если не предъявляются повышенные требования к сетевой безопасности).

Две компьютерные системы, собранные на базе имевшихся в нашем распоряжении материнских плат GIGABYTE GA-Q35M-S2, были подключены к маршрутизатору с включенным DHCP-сервером. В результате мы получили одноранговую сеть с динамическим выделением IP-адресов, настройка AMT в которой практически полностью соответствует случаю работы в домене Active Directory.

Следующим шагом при включении технологии Intel AMT должна стать настройка ядра управления (Management Engine, ME) в специализированной BIOS, которая носит название Entering the Management Engine BIOS extensions (MEBx). В случае с материнской платой GIGABYTE GA-Q35M-S2 в настройки BIOS ядра ME можно попасть посредством комбинации клавиш Ctrl+P, о чем, впрочем, пользователь будет предупрежден соответствующим сообщением, выводимым на экран после прохождения системой процедур POST (рис. 3).

Рис. 3. Экран инициации входа в настойки BIOS ядра ME

После первого входа в MEBx для выполнения дальнейших настроек нужно будет обязательно изменить пароль, заданный по умолчанию (традиционно - admin), при этом новый пароль должен отвечать следующим требованиям:

• не менее восьми, но не более 32 символов;
• как строчные, так и прописные латинские буквы;
• по крайней мере одна цифра;
• хотя бы один ASCII-символ, отличный от буквы и цифры (!, @, #, $, %, ^, &, *).

При каждом последующем входе в MEBx для выполнения любых настроек необходимо будет вводить этот пароль (рис. 4).

Рис. 4. Экран ввода пароля для доступа к настройкам MEBx

Затем, выбрав пункт меню Intel AMT Configuration, задаем имя для узла AMT (рис. 5). В случае использования в сети DHCP-сервера оно должно соответствовать уникальному имени компьютера, задаваемому в ОС.

Рис. 5. Окно ввода имени узла AMT

Далее, перейдя к пункту Provision Model, выбираем реализуемую модель для технологии Intel AMT. При загрузке этого пункта меню настроек будет предоставлена возможность выбрать версию технологии Intel AMT (Intel AMT 1.0 или Intel AMT 3.0) - рис. 6.

Рис. 6. Окно выбора версии технологии Intel AMT

Определившись с версией Intel AMT, в следующем окне можно выбрать одну из моделей функционирования данной технологии - SMB или Enterprise (рис. 7).

Рис. 7. Окно выбора модели работы технологии Intel AMT

Как уже говорилось, для наших целей мы выбрали режим SMB. В этом случае для работы AMT нам остается сконфигурировать настройки TCP/IP. Перейдя в соответствующий пункт меню, вначале необходимо будет отказаться от отключения сетевого интерфейса (рис. 8).

Рис. 8. Окно включения/отключения сетевого интерфейса

После этого следует отклонить предложение о выключении поддержки протокола DHCP (рис. 9).

Рис. 9. Окно включения/отключения поддержки протокола DHCP

В последнем окне этого пункта меню нужно указать имя домена (используется при работе в домене Active Directory, в противном случае поле может быть оставлено пустым) - рис. 10.

Рис. 10. Окно ввода имени домена

В общем случае, согласно документации Intel, для работы технологии Intel AMT используются следующие драйверы:

Intel Management Engine Interface (MEI) driver - обеспечивает безопасное локальное соединение интерфейсов ОС и МЕ через Management Engine Interface (MEI);

Serial-over-LAN (SoL) driver - эмулирует создание COM-порта для VT100 или ANSI удаленных сессий, для того чтобы получить доступ к графическому интерфейсу до загрузки операционной системы. Это позволяет удаленно видеть и отправлять команды на машину клиента, когда операционная система еще не загружена, включая возможность входа в BIOS и контроль процедур POST;

Local Management Service (LMS) driver - позволяет программным агентам управления связываться с МЕ, с помощью того же высокоуровневого протокола, который используется для удаленного управления (например, XML, SOAP). При первой загрузке выводится всплывающее окно с подтверждением того, что Intel AMT запущен (рис. 11).

Рис. 11. Окно предупреждения о включении технологии Intel AMT

После этого на компьютерную систему может быть установлено ПО сторонних производителей, повышающее удобство и расширяющее функциональность работы с системами, поддерживающими технологию Intel AMT.

В зависимости от того, какие программы консоли управления будут установлены, дальнейшие действия по настройке AMT-системы могут несколько различаться, но в общем случае для всех консолей управления типичной можно назвать следующую последовательность операций:

Поиск AMT-устройств. На этом этапе консоль управления сканирует сеть на предмет наличия в ней включенных AMT-устройств.

Интеграция в базу данных. Однажды найденное AMT-устройство должно быть импортировано в базу данных консоли управления.

В нашем случае мы воспользовались программным обеспечением компании SyAM Software, включающим консоль управления SyAM System Area Manager и агент, устанавливаемый на клиентские системы, - SyAM System Client. Консоль управления SyAM System Area Manager от этого производителя позволяет автоматизировать упомянутый выше этап настройки. Так, после установки данного ПО (консоли - на компьютер, который будет использоваться для управления, а агента - на клиентские системы) для выполнения поиска AMT-устройств нужно запустить консоль управления SyAM System Area Manager. Это можно сделать как через Star Menu, так и посредством веб-браузера, обратившись к компьютеру, на котором установлена консоль, по IP-адресу или по имени хоста, установив соединение через порт 3930 (например http://192.168.1.2:3930 или http://host_name:3930).

После появления стартового окна консоли необходимо выполнить поиск AMT-устройств - нажать кнопку Go (Пойти) - рис. 12.

Рис. 12. Стартовое окно консоли управления SyAM System Area Manager

В открывшемся окне (рис. 13) нужно указать диапазон адресов для сканирования, причем для группировки AMT-устройств, найденных в этом диапазоне, можно сразу задать их описание (Location (Расположение) и Function (Функции)).

Рис. 13. Окно подключения AMT-устройств

Найденные в процессе сканирования устройства будут автоматически добавлены в базу данных и отображены на левой панели утилиты (в соответствии с заданной сортировкой). В зависимости от состояния AMT-системы ее значок будет иметь тот или иной цвет (включен - зеленый, выключен - черный и т.д.) - рис. 14.

Рис. 14. Отображение добавленных в базу данных консоли
AMT-устройств

После того как AMT-устройства будут найдены и добавлены в базу данных консоли, следует проверить их работоспособность. Каждый разработчик консолей имеет свои собственные пошаговые инструкции по проверке функциональности AMT-платформы. По крайней мере, для того чтобы убедиться в успешном завершении конфигурации AMT-устройства, нужно удостовериться, что им поддерживаются следующие возможности:

• доступность информации об устройстве;
• возможность удаленного включения (Wake-up);
• возможность удаленного управления операциями посредством протоколов SoL (Serial over LAN) и IDE Redirection Operations.
• Проверка AMT-устройства может выполняться как с использованием консоли управления, так и при помощи веб-браузера. Для работы с AMT-платформами могут применяться следующие браузеры:
• Internet Explorer 6.0 SP1;
• Netscape 7.2 для Windows и Linux;
• Mozilla Firefox 1.0 для Windows и Linux;
• Mozilla 1.7 для Windows и Linux.

Если для удаленного доступа к AMT-устройству применяется веб-браузер, нужно ввести его IP-адрес с указанием порта, по которому будет установлено соединение (порт 16992). Данная строка может иметь следующий вид: http://192.168.0.3:16992. Если клиентская AMT-система настроена верно, то будет загружена начальная страница идентификации (рис. 15).

Рис. 15. Начальная страница идентификации веб-интерфейса
AMT-устройства

Для получения доступа к настройкам необходимо, нажав кнопку LogOn, в появившемся окне идентификации ввести логин (по умолчанию - admin) и пароль, заданный для ME удаленного AMT-устройства (рис. 16).

Рис. 16. Окно аутентификации веб-интерфейса AMT-устройства

После успешного прохождения идентификации можно будет получить доступ к следующим настройкам AMT-устройства:

• установление статуса системы (включена или выключена, IP-адрес, ID системы);
• просмотр информации об установленном оборудовании и firmware;
• просмотр журнала событий (Event Log) - рис. 17;

Рис. 17. Страница просмотра журнала событий через веб-интерфейс
AMT-устройства

• удаленное управление питанием;
• удаленное управление сетевыми настройками ME;
• возможность изменения прав на просмотр и редактирование настроек AMT.

Особо подчеркнем, что все эти настройки доступны как во включенном, так и в выключенном состоянии удаленного AMT-устройства, необходимо лишь наличие дежурного питания, подаваемого на его материнскую плату, если устройство включено в розетку.

При использовании стороннего ПО, совместимого с технологией Intel vPro, базовые функции, доступные через веб-интерфейс AMT-устройств, значительно расширяются. Так, в нашем случае применение ПО от компании SyAM Software дало возможность более полно реализовать возможности удаленного управления, в том числе с переадресацией консоли через протокол SоL (что позволяет контролировать прохождение процедур POST и выполнять настройки в CMOS Setup базовой системы ввода-вывода (BIOS) удаленного компьютера - рис. 18) и возможностью изоляции зараженных ПК (аппаратное блокирование сетевого трафика), а также с предоставлением дополнительных возможностей для мониторинга и настройки системы оповещений на основе показаний аппаратных датчиков платформы (с передачей предупреждающих сообщений по почте и SMS) - рис. 19.

Рис. 18. Доступ к настройкам CMOS Setup базовой системы ввода-вывода
(BIOS) удаленного компьютера из консоли управления
SyAM System Area Manager, полученный через протокол SоL

Рис. 19. Настройки системы оповещений на основе показаний
аппаратных датчиков удаленной AMT-платформы в консоли управления
SyAM System Area Manager

В заключение отметим, что упомянутые здесь утилиты от компании SyAM Software с 15-дневной лицензией свободно доступны на сайте компании-разработчика (http://syamsoftware.com). И если вам посчастливится устанавливать в своей корпоративной сети компьютерные системы, построенные на базе материнских плат GIGABYTE GA-Q35M-S2 от компании GIGABYTE UNITED, мы бы рекомендовали вам воспользоваться этим или аналогичным программным продуктом, чтобы в полной мере оценить все преимущества использования платформ Intel vPro с технологией Intel AMT.