带有Intel vPro技术的电脑贵的原因之一:AMT远程管理折腾笔记

装B 徐 自远 2393℃

声明:本人是业余的,纯粹折腾而已,说的不对之处还请指正。这帖子是针对玩家的,不是能用于生产环境或企业环境。

远程管理大体上分为两类:

  • 带外管理(Out-of-band management,OOB):使用独立管理通道进行设备维护。无论被管理设备是否处于开机状态,只要已经通电并联网,就可以远程监控和管理设备,包括远程关机、远程开机、远程重启、远程更改BIOS设置、远程安装操作系统等。
  • 带内管理(In-Band Network Access,IBN):是指使用常规数据通道来管理设备。这种管理要求被管理设备不仅要通电、联网,而且必须已经开机、运行了客户端程序等。

直白的解释:

  • 惠普iLO、戴尔DRAC、超微和永擎的IPMI都属于OOB:这些管理工具不依赖于操作系统,只要主板通电并联网,配置好之后,可以远程修改BIOS,远程安装操作系统,甚至Windows系统蓝屏、ESXi紫屏崩溃时,可以远程查看错误崩溃的错误信息。
  • Windows远程桌面、Linux SSH属于常见的IBN:只有当操作系统启动后,且远程桌面服务正常运行时,才能连接并管理远程主机。如果Windows已经蓝屏,远程是没办看到蓝屏信息的;当然也没法远程修改BIOS、安装操作系统等操作。

可见,OOB对于远程折腾是非常好用的一个功能。比如,组装一个NAS扔到角落里,万一需要维护时无需连接键、盘鼠、标显示器(Keyborad Video Mouse,KVM),直接用OOB远程管理就行。一般玩家在家里使用OOB远程管理的目的很简单:比如墙角有一个自己组装的NAS,系统挂掉了,需要重启或排除一下故障,或者改下BIOS,通过OOB会更方便,不用连接显示器、键盘和鼠标,就可以远程完成这些操作,需求就这么简单。
完整的OOB远程管理主要包括三个方面发:

  • 最基本远程连接,读取一些温度信息、日志之类的。比如通过网页方式访问惠普iLO可以看到温度、日志等信息。
  • 远程控制台或者叫KVM。惠普iLO中叫做Remote Console,连接后是一个增强版的远程桌面,可以直接操控远程电脑。
  • 远程介质。惠普iLO中叫做Virtual Media。可以加载本地文件为远程主机安装操作系统。

随着当年大量工包戴尔主机遍布大江南北,玩家体验到了DRAC;
随着MicroServer Gen8的海淘热,玩家体验到了iLO;
随着大船,玩家体验到了超微IPMI。
其实iLO、DRAC、IPMI这几个技术从根本上讲都是IPMI,只是各家叫法不同而已。

除了上述这些OOB远程管理,Intel也有自家的远程管理技术:Intel vPro。
其中,一个技术叫AMT(Active Management Technology),类似于IPMI,用于远程连接、管理(比如获取远程主机的电源状态,内存配置,硬盘信息等);
另一个技术叫做Intel KVM Remote Control,用于通过网络连接实现键盘、显示和鼠标的功能,类似于iLO的iLO Integrated Remote Console功能。

不严谨的说,AMT是Intel vPro的一部分。
下面是带有vPro和不带vPro的CPU的徽标:

基本上,如果是品牌机的话,看到带有vPro的徽标,就表示可以使用vPro的AMT远程管理技术。
当然,vPro很复杂,除了远程管理,还有很多其他的东西。这里仅折腾vPro的远程管理。

AMT作为Intel的OOB远程管理方案,类似于IPMI,但属于不同的技术。

Intel以及各大厂家的白皮书写的非常详细、严谨,但是对于新手可能有点不友好——比较晦涩难懂。

简单地说:
支持vPro技术的电脑,在BIOS中会有一个叫做AMT或ME(Management Engine)的设置菜单,用于开启和关闭AMT功能。
然后还有一个Management Engine固件,一般是开机时按F6进入,主要用于设置远程管理的密码、IP地址等信息。

名词术语:

  • “被管理设备”:这个设备稍候会被远程管理,比如NAS。
  • “电脑”:就是个普通电脑,用来访问和管理远程的“被管理设备”。

开启步骤简述:

  • 在“被管理设备”上进入BIOS开启AMT;
  • 在“被管理设备”上进入ME设置AMT;
  • 在“电脑”上运行MDTK软件连接“被管理设备”的IP地址;
  • 在“电脑”上的MDTK中使用UltraVNC作为KVM工具访问“被管理设备”。

硬件环境:
支持Intel vPro技术的主板、BIOS(含远程管理固件)、CPU、网卡(无线网卡)等。注意,是这些东西都要支持vPro才行。新手建议使用惠普、戴尔等品牌机学习和体验vPro技术。自己DIY的电脑有可能体验vPro会失败。

本帖使用的是HP EliteBook 820 G3 i7-6600U版。
注意:i7-6500U不支持vPro。

软件环境:
个人玩玩,不需要下述正规白皮中提及的软件,这些是给企业级部属用的,个人用太折腾,不好用:
Intel® Setup and Configuration Software (Intel® SCS),
VNC Viewer Plus。

个人玩,用下两个述软件足以。这两个都是完全免费的软件,无需破解,也没有功能限制:

具体配置AMT方法大体有三种:

  • 直接在“被管理设备”上手工设置IP地址等信息,必要时还要生成密钥等——推荐个人玩家使用这种方法,最简单,最可控。
  • 其“电脑”上用企业级工具制作n个U盘,然后将U插入需要设置的“被管理设备”中,用于企业级部署几十台甚至上百台电脑——家里就一两台的话就别这么折腾了。
  • Intel “天网”法,具体手册没看懂,大体意思是“电脑”无需通过U盘等与“被管理设备”交互,直接将分布在各地的“被管理设备”进行设置——听起来像黑客后门一样神奇的技术,完全不懂。

关键步骤和实现效果;
被管理设备通电,开机,设置开启AMT并设置AMT的IP地址(相当于iLO的地址)。

HP EliteBook 820 G3按下ESC键开机,会显示主板的开机菜单,选择并进入:
ME Setup (F6)
注:也可以开机时直接按F6进入。

按下F10进入BIOS,浏览到Advanced菜单,会有一项叫做Remote Management Options

进入Remote Management Options会看到如下信息:

其中USB Key Provisioning Support就是用于被U盘设置的选项。咱们是手工设置,无需勾选这个。
USB Redirection Support需要勾选。
Uconfigure AMT on next boot表示在下次启动时彻底清除AMT设置。如果设置乱了,可以选中Apply保存并从其即可清空AMT设置。
其他保持默认即可。

抱存BIOS设置后重启,按F6键进入ME/AMT设置菜单

首次登录时需要设置密码,注意密码需要大写字母+小写字母+阿拉伯数字+符号,四种字符都要包含,长度似乎至少8位。

进入Intel AMT Configuration菜单

开启Manageability功能。

进入SOL/Storage Redirection/KVM菜单

四个选项都开启:访问时需要密码,SOL开启,存储重定向,KVM开启。

返回后,进入User Consent菜单

将User Opt-in改为NONE。这个的意思是在任何时候,都不需要“被管理设备”同意,你就可以直接从远程访问被管理设备。
如果选择其他,比如KVM,则会在KVM连接时,“被管理设备”的屏幕上显示六位数字的授权码,需要在”电脑”上输入授权码才能进行KVM控制,这显然不是我们需要的效果,因为NAS已经扔到墙角了,没有屏幕,也无法看到授权码。所以这个选项一定要选择NONE

返回后,进入Network Setup,TCP/IP Settings,Wired LAN IPV4 Configuration


有的电脑还可以通过无线网卡远程管理,这里还有有Wireless选项。


设置好IP地址,子网掩码,网关及DNS。

至此,“被管理设备”设置完毕。
这些设置是独立于操作系统的,与安装什么操作系统无关。

下面开始在“电脑”上操作。下载Open MDTK,地址http://www.meshcommander.com/open-manageability,下载Open MDTK installer。

下载UltraVNC,地址http://www.uvnc.com/downloads/ultravnc.html。下载1.2.1.2版本即可。

MDTK需要安装,安装后有很多图标,运行Manageability Automation Tool。
右键空白处添加“被管理设备”,需要输入IP地址和刚刚设置的那个复杂的密码。用户名填写admin即可。

添加后,右键点击刚刚添加的那行,选择Manage Computer。
软件会自动开始连接,当那个按钮变成Disconnnect时表示已经连接了,点击按钮会断开连接。

此时左侧已经可以查看“被管理设备”的很多信息了。

右侧有几个tab,比较有用的是Remote Control,这就是KVM了。

点击Remote Desktop Settings

开启Redirection Port (16993/16995)。

点击Remote Desktop Viewer

这是KVM使用的工具。将刚刚下载的UltraVNC解压缩,按照“电脑”操作系统的版本,选择vncviewer.exe即可。

这样设置后,Launch Viewer就可以点击了。

通过UltraVNC看到“被管理电脑”的图像了,试一下键盘和鼠标,都是管用的。
下面是UltraVNC显示的“被管理电脑”BIOS界面,

下面是“被管理设备”屏幕的显示效果,屏幕四周有一圈红黄两色交替的线,提醒用户此时电脑已被远程管理。

再回到MDTK,点击那个Take Control按钮。

会显示出下面这个窗口

这个窗口有很多菜单,很有意思。

比如,Remote Command可以关机、强制关机、重启、强制重启等。蓝屏死机时可以使用。

还有Remote Command菜单里的Remote Reboot to BIOS Setup,这个是远程BIOS,

这里也可以修改BIOS设置,不过不是通过KVM,而是通过Remote BIOS功能修改。

当然,也可以加载虚拟介质用于安装操作系统了。

参考:

小结一下:
带有vPro技术的电脑非常普遍,无论是DIY主板还是品牌台式机、笔记本非常多,
至少比带有IPMI技术的主板和电脑多,也更便宜,更容易买到。
这些设备都是可以远程管理的,用这些设备折腾Home Server,NAS,虚拟化软路由之类的非常方便,不一定死守IPMI。

转载请注明:徐自远的乱七八糟小站 » 带有Intel vPro技术的电脑贵的原因之一:AMT远程管理折腾笔记

喜欢 (4)

苏ICP备18041234号-1 bei_an 苏公网安备 32021402001397号