SCCM 2007 & AMT-based computers.

            После первого пакета исправлений в сервере SCCM, кроме всего прочего, появилось новое понятие "Out of band management" и вытекающая из неё поддержка технологии AMT. Аббревиатура AMT расшифровывается как Active Management Technology и предназначена для удалённого управления компьютерами сети без установки специального программного обеспечения, точнее это обеспечение встраивается непосредственно в компьютер (точнее процессор компьютера, но не только). Какое отношение имеет механизм AMT к серверу SCCM? Механизм AMT позволяет удалённо включать и выключать компьютеры, удалённо настраивать BIOS компьютера и даже загружать компьютер с образа (в формате *.iso) хранящегося в сети. Или же можно воспользоваться AMT, чтобы удалённо изучить аппаратную конфигурацию компьютера. При этом непосредственно управляемый компьютер может быть выключен, а также в состоянии ожидания или сна (hibernate). Но для того чтобы получить доступ к этим возможностям необходимо использовать какое-либо программное обеспечение на компьютере,  с которого происходит управление сетью. В качестве такого программного обеспечения можно использовать, например, встроенный непосредственно в AMT web-сервер, доступ к которому выполняется через порт 16993, даже когда компьютер выключен.

А можно использовать утилиту AMT Commander из пакета AMT Developer Tool Kit.

Популярные, и уже не бесплатные, средства удалённого управления сетевыми компьютерами также реализуют функции управления на основе технологии AMT.  Примером может служит приложение RAdmin.
 

            Естественно, что компания Microsoft добавила в свой сервер SCCM поддержку столь полезной функциональности. Поэтому в системах конфигурации сети SCCM SP1 и последующих версий, появилась функциональность "Out of band management", т.е. управление компьютерами посредством технологии AMT. Название "Out of band management" отражает  противоположность традиционному методу управления посредством клиентского программного обеспечения, являющемся приложением работающем под управлением полноценной операционной системы. Традиционный метод теперь именуется  "In band management". Упрощённо управление "Out of band management" -это управление без клиента сервера SCCM, "In band management" - это управление через клиента сервера.  Хотя кое где эти два метода пересекаются.

            Следующим шагом следует разобраться почему и когда имеет смысл использовать сервер SCCM для "Out of band management" управления компьютерами, вместо встроенного web-сервера, AMT Commander'а и даже RAdmin'а. Но для этого следует совершить более глубокий экскурс в принципы настройки технологии AMT, потому что прежде чем использовать AMT необходимо задать значения ряду параметров этого механизма. И именно здесь на сцену выходит сервер SCCM. Но всё по порядку.

Краткое изложение принципов AMT.

            Как было обозначено выше термин AMT обозначает аппаратное решение для удалённого управления компьютером без установки на него какого-либо дополнительного программного обеспечения, в том числе операционной системы. Таким  образом, технология AMT  представляет собой независимое от платформы решение. Из сказанного вытекает, что технология AMT требует аппаратной поддержки со стороны управляемого компьютера, который должен быть оснащён:

• Процессором Intel с технологией vPro,
• Специальным набором микросхем (chipset) Intel Q965 ,
• Сетевой картой на специальном наборе микросхем Intel® 82566DM (Gigabit Network ) для проводной сети или Intel® Wireless WiFi Link 4965 AGN для беспроводной сети,
• Программное обеспечение технологии AMT (Firmware), хранящееся в BIOS компьютера.
• Дополнительно - драйвера и программное обеспечение для локального контроля технологии AMT на уровне компьютера c её поддержкой.
• Поддержка процессором компьютера технологии VT (Virtualization Technology), также является дополнительным условием.

Требование к процессорам для поддержки AMT.

Далее следует конкретизировать требования к процессорам. Технология vPro опционально встраивается в процессоры Intel Core 2 (Duo и Quad) и Centrino  . Опционально означает, что она может быть в вашем процессоре, а может не быть.  Иногда, если поддержка vPro встроена в процессор, к его названию добавляется аббревиатура Pro, например, Centrino Pro. Процессоры Core 2 предназначены для мощных рабочих станций, а процессоры Centrino  для мобильных компьютеров. Соответственно могут использоваться как в домашних компьютерах, для которых возможность удалённого управления скорее потенциальная угроза, так и для оснащения рабочих мест сотрудников предприятия, для оптимизации управления которыми и предназначена функциональность AMT. Соответственно при покупке процессоров или готовых компьютеров нужно убедится в наличии или отсутствии в них технологии vPro. Если речь идёт об уже приобретенном оборудовании, то следует проверить наличие поддержки vPro в процессорах компьютеров, прежде чем рассчитывать на  применение технологии AMT. Проверить наличие поддержки технологии vPro процессором можно изучив его логотип, на котором должна присутствовать аббревиатура vPro:

Если же логотип недоступен, то определить поддержку vPro можно через BIOS, в котором при наличии в процессоре технологии vPro будут соответствующие функции настройки технологии AMT.

Программное обеспечение (firmware) AMT.

Как упоминалось выше для поддержки технологии AMT, кроме соответствующего процессора и наборов микросхем, необходимо, чтобы в BIOS материнской платы компьютера было включено программное обеспечение AMT, которое называется Intel Management Engine (ME) BIOS extension или сокращённо MEBX.

Для того, чтобы технология AMT могла функционировать необходимо настроить ряд параметров, что можно сделать через интерфейс MEBX. Вход в этот дополнительный BIOS может реализовываться разными способами, которые зависят от разработчика материнской платы компьютера. Интерфейс для настройки MEBX может быть включён в основной интерфейс BIOS'а, или же может быть  реализован отдельно. В этом случае вход в MEBX выполняется по комбинации клавиш Ctrl+P при загрузке компьютера. Обычно компьютеры с поддержкой AMT стандартно, при загрузке, выдают приглашение нажать комбинацию клавиш Ctrl+P для входа в MEBX. Но некоторые системы могут в своём основном BIOS иметь параметр включающий/выключающий это приглашение.

При обращении к MEBX прежде всего нужно пройти аутентификацию. Стандартное имя администратора MEBX "admin", стандартный пароль "admin" (пароль чувствителен к регистру). При работе c MEBX локально имя администратора не запрашивается, но оно потребуется при удалённом подключении через встроенную web-консоль или любое другое программное обеспечения для доступа к функциям AMT, сервер SCCM не исключение. При первом обращении к MEBX система потребует, прежде всего, изменить стандартный пароль для входа в на более сложный (обязательно включающий большие и маленькие буквы, цифры и специальные символы),

затем, в разделе Intel (R) AMT Configuration, нужно указать имя компьютера, задать режим настройки (provisioning) технологии AMT, настроить IP-адрес (статический или динамический), включить функции SOL(Serial-over-LAN, для удалённого доступа к BIOS и экрану компьютера во время начальной загрузки) и IDE-R (IDE-Redirect, для загрузки из образа по сети). Также будет полезно просмотреть параметров в разделе Intel (R) ME Configuration. Отдельный вопрос это версия программного обеспечения AMT. На настоящий момент существует пять основных  версий, которые различаются функциональными возможностями, но поскольку цель нашей статьи сервер SCCM, то важно знать, что непосредственно с сервером SCCM SP1 может взаимодействовать версия AMT 3.2.1 и последующие, в которой появилась поддержка интерфейса WS-Management или WS-MAN (Web Service Management). Для более старых версий потребуется дополнительные действия при настройке сервера SCCM.

Драйвера и программное обеспечение для операционной системы.

Несмотря на то, что технология AMT независящее от  платформы решение, для полной его настройки следует воспользоваться диском пришедшим с компьютером (процессором) и установить с него необходимые драйвера и специальное программное обеспечение, которое позволит контролировать AMT на уровне операционной системы. После того, как всё будет установлено в оснастках "Device Manager" и "Services" появится ряд устройств и сервисов, по наличию которых можно судить о успешности ваших действий, кроме того, сразу после установки драйверов и сервисов, операционная система выдаст предупреждение о том, что на вашем компьютере работает механизм AMT.

В итоге в менеджере устройств должны появятся драйвера

• Intel 82566DM Network Interface Controller
• Intel Management Engine Interface
• Драйвер Serial-Over-Lan (SOL)
• IDE-Redirect Controller
• IDE-Redirect драйвер перенаправления CD-ROM' ов

А также два сервиса

• Intel® Active Management Technology LMS Service
• Intel® AMT System Status Service

Место сервера SCCM в технологии AMT.

            Теперь внимательному читателю должно быть понятно, что собой представляет в целом технология ATM, пришло время объяснить какую роль может играть в инфраструктуре ATM сервер SCCM. То есть сервер SCCM является не только конечным потребителем функционала ATM, предоставляя пользователям интерфейс для доступа к возможностям удалённого управления компьютерами, но и используется для непосредственной настройки технологии ATM на компьютерах сети. Каким же образом?

            Как говорилось одной главой выше, механизм ATM перед использованием должен быть предварительно настроен. Другими словами, прежде чем использовать возможность удалённого управления, администратор должен подойти к компьютеру и вручную настроить на нём функции ATM. Такой способ на относительно небольших предприятиях или при наличии непосредственного доступа к компьютеру вполне приемлем. Но если компьютеров очень много и/или получить непосредственный доступ к рабочему месту невозможно, то как быть? Здесь следует вспомнить один малопонятный параметр, мельком упоминавший в главе о интерфейсе MEBX. Речь идёт о параметре из раздела "Intel (R) AMT Configuration " задающем режим настройки (AMT provisioning mode) технологии ATM. Этот параметр может принимать два значения "Small Business Mode" и "Enterprise mode". Как нетрудно понять из названий режим малого бизнеса подразумевает ручную настройку, после выбора этого параметра настраивать в данном разделе больше ничего не нужно - дальше переходим к настройке других параметров, таких как имя компьютера, IP-адрес, включению/выключению необходимых функций и т.д., другими словами этот режим - это то, что описывалось главой выше. А вот если в этом пункте выбрать режим предприятия, то нужно будет указать IP-адрес некого Provisioning Server'а (так называемого SCS - Setup and Configuration Server сервера), откуда компьютер будет получать параметры для механизма ATM. В качестве такого сервера можно приложение AMT Director из уже упоминавшегося AMT Development Tool Kit'а, а можно использовать сервер SCCM, который позволит нам выполнить так называемую настройку технологии ATM. Т.е. нам не придётся даже настраивать пароль MEBX или включать "Enterprise Provisioning mode".

Использование сервера SCCM для настройки (provisioning) технологии ATM.

            Настройка сервера SCCM для последующей настройки механизма ATM  и дальнейшего использования его функционала для управления компьютерами сети достаточно сложный, многошаговый процесс. Но прежде всего следует убедится что при установке сервера SCCM была расширена схема AD.  Расширенная схема необходима для "zero-touch" настройки ATM, выполняемой клиентами сервера SCCM. 

            Теперь первый шаг. Начинаем с создания группы "ConfigMgr Primary Site Servers" в которую включаем учётные записи компьютеров, играющих роли Site Server'ов (если у нас несколько сайтов).  Затем создаём организационное подразделение "Out of Band Management Controllers" и созданной ранее группе даём разрешение полного доступа на само подразделение и все его дочерние объекты. Механизм ATM на этих компьютерах, в терминологии сервера SCCM, называется контроллером управления - Management Controller. Для каждого такого контроллера в созданном выше организационном подразделении будет создаваться специальный объект, в котором будет хранится его описание и выданный ему сертификат.
            Второй шаг заключается в создании шаблона сертификата, на основе которого будут генерироваться сертификаты для каждого контроллера управления. Для генерации сертификатов потребуется Enterprise центр сертификации (CA) из состава операционной системы. Шаблон создаётся на основе стандартного шаблона "Web server". Назвать новый шаблон можно, например, "ConfigMgr AMT Web Server Certificate" при этом важно на вкладке General в свойствах сертификата установить параметр публикации сертификата в AD. Затем даём группе "ConfigMgr Primary Site Servers" разрешения полного доступа на этот сертификат. После чего выпускаем новый шаблон, а в свойствах уже самого центра сертификации даём всё той же группе "ConfigMgr Primary Site Servers" разрешение  "Issue and Manage Certificates", чтобы сервер сайта мог отзывать сертификаты контроллеров управления, для которых будет отменятся настройка командой Delete Provisioned Data... Теперь можно приступать к настройке непосредственно сервера SCCM.

            Третий шаг настройка сервера SCCM. Сначала устанавливаем роль сайта OOB Service Point, через которую будет осуществляться взаимодействие с контроллерами управления (Management Controllers) ATM.

Затем переходим в раздел Component Configuration в настройках сайте (Site Settings)

и через свойства компоненты Out of band management указываем:

1. Организационное подразделение "Out of Band Management Controllers", для создания в нём объектов контроллеров управления.
2. Задаём пароль для стандартного администратора технологии ATM "admin". Если пароль был задан вручную через интерфейс MEBX, то пароль заданный через сервер SCCM игнорируется.
3. Устанавливаем параметр Register ProvisionServer as an alias in DNS, что необходимо для сценария "zero-touch" настройки ATM.
4. Затем указываем файл со стандартным сертификатом, который использует механизм ATM при первом обращении к Provisioning Server'у, которым в нашем случае является сервер SCCM, для передачи так называемого One Time Password'а (OTP) одноразового пароля, инициирующего взаимодействие с к Provisioning Server'ом. Сертификат должен находится на диске с драйверами AMT, идущему либо  с процессором, либо материнской платой.
5. Наконец, указываем, центр сертификации и шаблон для выпуска сертификатов контроллерам управления.

После настройки основных параметров AMT, переходим на вкладку AMT Settings, где указываем кто из администраторов сети  и какими функциями AMT сможет воспользоваться, а также включаем необходимые параметры AMT, такие как доступность Web-интерфейса, функций SOL и IDE-Redirect, указываем путь к сетевому образу(iso), который можно использовать для загрузки компьютера.

 После настройки этих основных AMT параметров, переходим на вкладку "Provisioning settings", где указываем одну или несколько учётных записей, которые должен использовать сервер SCCM, если пароль стандартного администратора AMT был изменён локально и пароль с вкладки General не подходит. Другими словами здесь перечисляются все возможные пароли стандартного администратора AMT, которые могли использоваться в управляемой сети.

Следующий шаг - в свойствах метода идентификации Network Discovery включаем параметр Enable discovery of management controllers. При этом сам метод включать и настраивать не нужно. Непосредственная идентификация сети может осуществляться любым другим методом. После этого создаём набор Unprovisioned vPro Clients, который будет включать в себя компьютеры с функциональностью AMT. Набор создаём на основе запроса, который производит выборку компьютеров из таблицы SMS_R_System с атрибутом AMTStatus=2. На языке WQL запрос будет выглядеть так Select * from SMS_R_System where AMTStatus=2 . Следующим шагом включаем для коллекции автоматическую настройку (provisioning) механизма ATM. Для этого открываем настройки набора (команда Modify collection settings из контекстного меню набора) и на вкладке Out of band включаем параметр Enable Automatic out of band management controller provisioning .

Далее, через меню View, добавляем в окно содержимого набора отображение столбца "AMT Status". Если хотим использовать AMT для автоматического включения компьютеров для установки приложений и обновлений, то переключаем функцию Wake On LAN в свойствах сайта в режим Use Power on Command if the computer supports this technology; otherwise, use wake-up packets. Use Power on Command if the computer supports this technology; otherwise, use wake-up packets.

            Теперь инициируем идентификацию, например, методом Active Directory System Discovery. Результатом идентификации станет появление у компьютеров сети значения в поле "AMT Status", которое скорее всего будет Unknown. Далее из контекстного меню любого набора запускаем команду  Discover Management Controllers.

После этого значение в поле "AMT Status" сменится, скорее всего, на значение Not provisioned. Это будет наше состояние на момент начальной настройки технологии "Out of band management" на сервере SCCM. Далее после очередного получения политики клиентами на компьютерах с поддержкой AMT, клиентское программное обеспечение сервера SCCM инициирует процесс настройки (provisioning) механизма AMT, т.е. получение от Provisioning сервера, в качестве которого выступает сервер SCCM, тех параметров, которые мы определили в свойствах компоненты Out of band management. После того как механизм AMT будет настроен, значение в поле AMT Status клиента изменится на Provisioned.

Это позволит администраторам через сервер SCCM использовать функционал механизма ATM для управления компьютерами сети.  Для изменения параметров AMT и управления питанием компьютеров

 И использовать OOB Management console для инвентаризации

доступа к BIOS и экрану загрузки.

А также другим полезным функциям.

            Контролировать описанные выше процессы можно посредством следующих журналов:

• Журнал для контроля процесса настройки (provisioning)- amtopmgr.log
• Журнал для контроля установки OOB Service Point - AMTSPSetup.log
• создание сертификатов, организационного подразделения -AMTproxymgr.log
• AdminUI\AdminLog\OOBConsole.log - работа консоли OOB management console
• AdminUI\bin\oobconsole.exe.config - меняем значение Error на Verbose для детального протоколирования в журнале OOBConsole.log.
• Журнал для контроля взаимодействия клиента с OOB Service Point -OOBMGMT.log