Поддержка Intel* vPro

В роутере нет parent domain

Второй шаг для инициализации через интернет (“Parent Domain” и другие вариации его названия в разных роутерах) требует наличия возможности задать так называемое значение DHCP Option 15. Некоторые роутеры (обычно старые и/или дешёвые) такого не могут (хотя это не нечто “необычное”, а весьма примитивное и часто “появляется” после обновления прошивки роутера). В таком случае придётся внести данное значение “вручную”. Это можно сделать многими способами:

• с помощью USB-флешки (так называемый USB-provisioning)
• вручную, зайдя в MEBx и введя в поле PKI DNS-suffix: “vpro.by” (без кавычек)

Инициализация флешкой заслуживает отдельной статьи (и не одной), потому пока остановлюсь на рекомендации “поработать ручками”.

Для генерации набора идентификаторов комплексной обработки
intel vpro выполните следующие действия:

1. Щелкните Конфигурация > Параметры Intel
   vPro > Генерация идентификаторов (Configure > Intel
   vPro options > ID Generation).
2. Введите число генерируемых идентификаторов (обычно
   это число устройств, планируемых для комплексной обработки).
3. Если для идентификаторов нужно использование другого
   префикса, введите его в поле Префикс PID (PID prefix). Этот
   префикс может содержать только символы алфавита, введенные на
   верхнем регистре, и цифры из кодовой таблицы ASCII. Длина префикса
   не может превышать 7 символов.
4. Введите имя набора для идентификации группы
   сгенерированных идентификаторов (необязательно).
5. Щелкните Сгенерировать идентификаторы
   (Generate IDs).
6. После создания идентификаторов выберите параметр
   Печать списка идентификаторов (Print ID list) для распечатки
   списка идентификаторов. (Будут распечатаны только отображенные в
   настоящий момент идентификаторы). Откроется диалоговое окно печати
   Windows. Выберите принтер и нажмите кнопку Печать.
7. Для просмотра всех ранее созданных идентификаторов
   выберите Показать все (Show all) в раскрывающемся списке
   Просмотр идентификаторов набора (View batch IDs).
8. Для просмотра одного набора из созданных
   идентификаторов в раскрывающемся списке выберите Просмотр
   идентификаторов набора (View batch IDs).

Ключи комплексной обработки хранятся в базе данных для
дальнейшего использования при комплексной обработке других
устройств Intel vPro. После выполнения комплексной обработки
устройств и использования ключей комплексной обработки отображается
страница Генерация идентификаторов Intel vPro (Generate
Intel vPro IDs), на которой использованные идентификаторы показаны
с затенением, что упрощает контроль их использования.

Префикс идентификатора PID добавляется для удобства определения
идентификаторов, но его использование необязательно. Рекомендуется
использовать от 0 до 4 символов; максимальная длина префикса — 7
символов.

Необходимо указать имя для идентификации набора ключей
аутентификации. Это должно быть описательное имя, которое указывает
на принадлежность идентификаторов к устройствам. Например, можно
сгенерировать наборы для каждого подразделения внутри компании и
назвать их:

“Производство”, “Маркетинг”, “Финансы” и т. д.
Если вы в дальнейшем хотите просмотреть сгенерированные
идентификаторы, введите имя набора и нажмите Просмотр
идентификаторов набора (View batch IDs) для просмотра
идентификаторов только из этого набора.

Для установки пароля intel vpro выполните следующие
действия:

1. В главном сервере щелкните Конфигурация
   > Параметры Intel vPro > Общая конфигурация
   (Configure > Intel vPro options > General
   configuration).
2. В разделе Настройка и конфигурация (Setup and
   Configuration) введите надежный пароль и подтвердите его.
3. Если у вас уже есть управляемые устройства Intel vPro
   и вы хотите использовать тот же самый пароль конфигурации для этих
   устройств, выберите функцию Синхронизировать пароль
   (Synchronize this password).
4. Если у вас используется среда конфигурации с высокой
   степенью безопасности и вы предпочитаете не использовать режим TLS
   при настройке новых устройств, выберите функцию Использовать
   режим связи без TLS (Use non-TLS communications) (рекомендуется
   использовать режим TLS).
5. Нажмите OK.

Этот новый пароль необходимо ввести перед созданием набора
идентификаторов комплексной обработки.

Замечания по использованию параметров переназначения ide

При использовании параметров переназначения IDE файлы образа
дискеты должны иметь формат .img, а файлы образа компакт-диска —
формат .iso. Для некоторых BIOS необходимо, чтобы образ
компакт-диска находился на жестком диске.

Intel vPro обычно хранит все последние настройки IDE-R, но
приложение Management
Suite очищает их через 45 секунд, поэтому при следующей
загрузке функция IDE-R не будет запущена. Сеанс IDE-R на устройстве
Intel vPro длится 6 часов или до тех пор, пока он не будет закрыт с
консоли Management
Suite. Все операции IDE-R, продолжающиеся более 6 часов,
будут прерваны.

ПРИМЕЧАНИЕ: В
некоторых ситуациях процесс загрузки IDE-R может превысить время
ожидания на консоли последовательного интерфейса через локальную
сеть (SOL), в то время как процесс загрузки по-прежнему
продолжается.

Если инициализация загрузочного образа и отправка
данных на консоль SOL занимают слишком много времени, то консоль
SOL прекращает взаимодействие, и связь с клавиатурой теряется. Это
происходит, когда используемые для загрузки носители имеют большое
время ответа, и инициализация занимает более 60 секунд (это
максимальное значение времени ожидания).

Инициализация amt

Любая версия Intel AMT требует трёх вещей:

1. Intel AMT “должна быть” (на плате, в компьютере-ноутбуке-планшете-итп), т.е. чипсет должен иметь её поддержку вообще (см. список здесь на сайте).
2. Intel AMT должна быть включена (не запрещена в BIOS, перемычками и пр.)
3. Intel AMT должна быть проинициализирована.

Первые два пункта достаточно очевидны, но про них нужно помнить и не путать Intel MEI и Intel AMT – первое есть на всех современных чипсетах, а второе, лишь на тех, что “vPro supported”.

Что касается инициализации, то в терминологии Intel с этим тоже путаница. Обычно это подразумевает термин Provisioning, а последующая “настройка” обозначается как Configuring. Однако есть ещё и Setup и, собственно Initialization и прочие вариации на данную тему – всё это имеет неоднозначную трактовку и в разных документах (самой же Intel) подразумевает разные вещи.

И в данной статье мы рассмотрим первое – инициализацию, то бишь перевод компьютера с поддержкой Intel AMT из состояния “не сконфигурирован” (так пишется в интеловском агенте, показывающем состояние AMT в Windows – что как раз хорошо отражает упомянутую выше путаницу) в состояние “сконфигурирован”.

Информация о продукте и производительности

Использование команд управления питанием intel vpro

1. В списке Все устройства (All devices) щелкните
   правой кнопкой мыши устройство Intel vPro и выберите Параметры
   Intel vPro > Диспетчер удаленной загрузки Intel vPro
   (Intel vPro Options > Intel vPro Remote Boot Manager).
2. Выберите команду управления питанием.
3. Если выбрана команда Перезагрузка (Reboot),
   выберите параметр загрузки.
4. Если вы выбираете метод загрузки с переназначением
   IDE, укажите дисковод для дискет или компакт-дисков или файл
   образа.
5. Если сеанс IDE-R все еще открыт, и вам нужно закрыть
   его, щелкните Закрыть сеанс IDE-R (Close IDE-R
   session).
6. Щелкните Отправить (Send) для выдачи команды
   управления питанием или выберите Закрыть (Close).

Использование статических ip-адресов с
устройствами intel vpro

Поскольку устройства Intel vPro состоят из двух компонентов,
каждому из которых назначается IP-адрес (микросхема Intel vPro и
операционная система устройства), в списке обнаруженных устройств
могут потенциально присутствовать две записи для одного устройства
Intel vPro. Это происходит только в том случае, если пользователь
использует статический IP-адрес вместо службы DHCP.

Для использования статических IP-адресов с устройствами Intel
vPro необходимо настроить микропрограмму устройства Intel vPro на
использование ее собственного MAC-адреса. (Для получения инструкций
по повторной установке микропрограммы и ее правильной настройке
обратитесь к представителю компании Intel.)

После выполнения настройки MAC-адрес, IP-адрес и имя узла
устройства Intel vPro будут отличаться от аналогичных параметров
операционной системы устройства. Для правильного управления
устройствами Intel vPro необходимо использовать следующие настройки
для DHCP и статических IP-адресов:

Если комплексная обработка машины Intel vPro 2.x осуществляется
в корпоративном режиме, то единственная возможность связи с ней —
это передача пакета приветствия “hello” на сервер настройки и
конфигурирования. При управлении машиной с помощью программного
обеспечения LANDesk
функции Intel vPro могут работать на этой машине как обычные
операции. Что пользователю не следует делать, так это пытаться
обнаружить и управлять IP-адресом операционной системы, так как в
этом случае у него будет две записи, представляющие один и тот же
компьютер.

Если необходимо установить агенты LANDesk, нельзя выполнить их
принудительную отправку, поскольку единственным IP-адресом в базе
данных является IP-адрес Intel vPro, а утилите принудительной
отправки необходим адрес операционной системы.

Перед тем как выполнить извлечение агентов, рекомендуется
изменить настройку утилиты службы конфигурации.

1. Выберите Пуск > Все программы > LANDesk >
   Служба конфигурации LANDesk (LANDesk Configure Services)
2. На вкладке Инвентаризация выберите
   Идентификаторы устройств для управления повторяющимися
   записями.
3. В списке атрибутов разверните элемент
   Информация AMT (AMT Information).
4. Перейдите к атрибуту AMT GUID в списке
   Атрибуты идентификации (Identity Attributes).

   Это позволит использовать AMT GUID в качестве одного из атрибутов,
   который может быть использован для уникальной идентификации
   компьютера.

Если после изменения этой настройки результаты сканирования
инвентаризации управляемого устройства Intel vPro импортируются в
базу данных, служба инвентаризации сопоставляет Intel AMT GUID
устройства, который уже присутствует в базе данных, с информацией
операционной системы в файле сканирования.

Использование экспортированных идентификаторов комплексной
обработки на новых устройствах intel vpro

1. Выполните экспорт набора идентификаторов комплексной
   обработки (как описано выше) и сохраните файл setup.bin в корневой
   каталог устройства USB.
2. Подключите устройство USB к каждому новому устройству
   Intel vPro и перезагрузите его.

После загрузки устройства выполняется обращение к файлу
setup.bin и получение доступной пары идентификаторов комплексной
обработки (PID и PPS), которые будут использоваться в процессе
комплексной обработки. Использованная пара идентификаторов
комплексной обработки помечается, поэтому ее нельзя будет
использовать для другого устройства. Следующее устройство, которое
проходит комплексную обработку, получает следующую доступную пару
идентификаторов.

Как работает инициализация amt через интернет

Результатом “запуска инициализации AMT” становится специальный так называемый Hello-пакет, который AMT-компьютер отсылает на “Provision Server”. Адрес “инициализационного сервера” он “высчитывает” как “provisionserver” “Parent Domain”, т.е. в нашем случае это provisionserver.my-sertif.ru.

Проверив все эти параметры (сертификаты для АМТ3 , PID/PSK-ключи для АМТ2) на валидность, AMT-компьютер “соглашается” на свою инициализацию и принимает конфигурационные данные с сервера, расположенного в интернете (в частности, это облачный сервис от Amazon). Т.к. такое соединение для роутера входящее (на 16993-й порт для инициализации и 16992 для конфигурирования) – требуется пробросить данные порты на АМТ-компьютер в вашей подсети.

При выполнении всех этих условий – АМТ-компьютер благополучно проинициализируется где-то в течении минуты (зависит от соединения). Если попытка проинициализироваться по какой-то причине не получится – Hello-пакет будет слаться с некоторой периодичностью в течении некоторого времени (варьируется, обычно это 6 часов, но у некоторых ОЕМ-вариантов от 255 часов до бесконечности).

Настройка scep-сервера для автоматического получения amt сертификатов | pro vpro

Обзор поддержки intel vpro

Management Suite
поддерживает устройства, в которых используется технология Inte
vPro — аппаратная и микропрограммная технология, обеспечивающая
дистанционное управление и защиту устройств. Технология Intel vPro
предполагает использование внеполосного (OOB) взаимодействия для
доступа к устройствам независимо от состояния операционной системы
и режима подачи питания устройства.

В этом продукте термин “Intel vPro” относится к технологиям,
используемым на настольных и мобильных компьютерах с поддержкой
Intel vPro. Этот продукт также поддерживает устройства с более
ранними версиями технологии Intel Active Management Technology
(Intel AMT).

В приведенной ниже таблице перечислены функции Intel vPro,
поддерживаемые в данном продукте в различных версиях Intel
vPro.

*Профиль беспроводного доступа необходим для беспроводного
управления портативными компьютерами с поддержкой Intel Centrino
2.5. Для портативных компьютеров с поддержкой Intel Centrino 2.6
профиль беспроводного доступа требуется только для использования
функций последовательного интерфейса через ЛС и перенаправления
IDE; другие функции беспроводного управления могут использоваться
независимо от наличия или отсутствия профиля беспроводного доступа
на портативном компьютере.

LANDesk Management
Suite включает следующие функции для управления устройствами
Intel vPro:

Параметры управления питанием
intel vpro

Management Suite
содержит команды управления энергопотреблением устройств Intel
vPro. Эти параметры можно использовать даже в случае отсутствия
реакции операционной системы устройства, если устройство подключено
к сети и находится в режиме ожидания.

Когда приложение Management
Suite инициирует такую команду, в некоторых случаях не
представляется возможным проверить поддержку такой команды
оборудованием. Некоторые устройства с Intel vPro могут не
поддерживать все функции управления питанием (например, устройство
может поддерживать перезагрузку IDE-R с компакт-диска, но не
поддерживать эту команду с дискеты).

Если команда управления
питанием не работает на каком-либо устройстве, см. документацию к
этому устройству. Если команды управления питанием работают
неправильно, попробуйте использовать обновления встроенного
программного обеспечения и BIOS, предоставляемые компанией
Intel.

При выдаче команды включения питания устройства Intel vPro
приложение Management
Suite сначала отправляет команду пробуждения Intel vPro.
Если эта команда не выполнена, приложение отправляет устройству
обычную команду “Wake on LAN”.

Можно просто включать или выключать питание устройства, а можно
перезагружать его, указав при этом параметры перезагрузки.
Параметры описаны в приведенной ниже таблице.

Получение и установка сертификата настройки клиента intel

На каждом сервере настройки и конфигурации необходим сертификат
настройки клиента Intel. Сертификат действителен для одного
пространства имен в одном домене, поэтому, если главный сервер
используется в нескольких пространствах имен внутри домена, то
необходимо приобрести отдельный сертификат для каждого пространства
имен.

Приобретать сертификат следует у надежного поставщика
сертификатов. Сертификат должен быть классом поддержки. Ниже
приведены поставщики сертификатов для продуктов LANDesk на
следующих устройствах.

ПРИМЕЧАНИЕ: Перед
покупкой сертификата проверьте документацию поставщика, а также
информацию о том, какие сертификаты поддерживаются вашим
устройством.

При покупке сертификата необходимо предоставить файл CSR
(certificate signing request — запрос на подпись сертификата). Этот
файл генерируется для вашего продукта LANDesk вместе с файлом
закрытого ключа. После получения от поставщика файлов сертификата
необходимо сохранить файл закрытого ключа в каталоге, где находятся
файл общего открытого ключа и полученный от поставщика файл
сертификата. Ниже приведено описание этой процедуры.

Управление устройствами intel
vpro

Когда устройство Intel vPro добавлено в базу данных главного
сервера, им можно управлять несколькими способами, даже если в
устройстве не установлен агент LANDesk. (См. раздел Поиск устройств Intel AMT для получения информации об
обнаружении устройств и добавлении их в базу данных главного
сервера).

В следующей таблице перечислены параметры управления, доступные
для устройств, на которых имеется только Intel vPro, в сравнении с
устройствами, на которых имеется Intel vPro и установленный агент
управления Management
Suite.

Управление устройствами с агентами управления и без них

Если устройство поддерживает технологию Intel vPro, то некоторые
функции управления доступны даже в том случае, если в устройстве не
установлен агент LANDesk. Если устройства подключены
к сети и находятся в режиме ожидания, то их можно обнаружить и
включить в базу данных для того, чтобы ими можно было управлять из
других устройств сети.

Если устройство поддерживает Intel vPro, но в нем не установлен
агент управления, его можно обнаружить, добавить в базу данных
инвентаризации и отобразить в списке Мои устройства (My
devices). Для устройств с поддержкой Intel vPro доступны следующие
функции управления:

Другие функции управления Management Suite доступны только
при наличии на устройстве установленного агента управления.
Дополнительную информацию о функциях управления см. в разделе
Управление устройствами Intel vPro.

Экспорт идентификаторов комплексной обработки для использования
с устройством usb

Management Suite
генерирует идентификаторы комплексной обработки (пары идентификатор
PID/ ключ PPS), которые используются для комплексной обработки
новых устройств Intel vPro. Можно напечатать список сгенерированных
идентификаторов и ввести их вручную при комплексной обработке
каждого устройства.

Кроме того, можно экспортировать идентификаторы
в файл ключей setup.bin, сохранить этот файл на устройстве USB, а
затем использовать это устройство USB для комплексной обработки
устройств. Это снижает количество ошибок при комплексной обработке,
поскольку пользователю не нужно вводить идентификаторы для каждого
устройства вручную.

Для нормального выполнения этого процесса необходимо
использовать устройство USB с форматом FAT-16.

Создается файл setup.bin, имеющий специальный формат файла
ключей, разработанный компанией Intel. При осуществлении
комплексной обработки нового устройства Intel vPro пользователь
подключает к нему устройство USB и выполняет перезагрузку. Во время
перезагрузки пара идентификаторов комплексной обработки (PID и PPS)
из файла setup.bin записывается в BIOS Intel AMT устройства.

Экспорт набора идентификаторов комплексной обработки для
использования с устройством usb

1. Щелкните Конфигурация > Параметры Intel
   vPro > Импорт и экспорт (Configure > Intel vPro options
   > Import/Export).
2. Выберите Экспорт идентификаторов AMT в файл
   setup.bin (Export AMT IDs to setup.bin file).
3. Для устройств Intel vPro 2.5 или более поздних версий
   введите пароль, который используется для доступа к экрану
   конфигурации Intel ME.
4. В текстовом поле Количество идентификаторов
   введите количество экспортируемых идентификаторов.
   В этом поле необходимо ввести как минимум число “1”. Максимально
   возможно число — это количество доступных идентификаторов,
   указанное рядом с функцией Экспорт идентификаторов AMT в файл
   setup.bin (Export AMT IDs to setup.bin file).
5. Укажите местоположение файла setup.bin. Нажмите
   кнопку Обзор (Browse) и выберите устройство и путь для
   сохранения файла.
   Можно сохранить файл на любое устройство, а затем скопировать его
   на устройство USB, или просто указать местоположение устройства
   USB, если оно подключено к главному серверу. Чтобы файл setup.bin
   можно было использовать для комплексной обработки, его необходимо
   сохранить в корневой каталог устройства USB.
6. Нажмите Применить (Apply).
   Диалоговое окно остается открытым, пока не будет нажата кнопка
   Закрыть (Close).

ПРИМЕЧАНИЕ:
Создаваемые идентификаторы отображаются на странице Генерация
идентификаторов Intel vPro (Generate Intel vPro IDs) вместе с
другими созданными ранее идентификаторами.