2 A mérés menete A felkészülést a mérésvezető minden alkalommal ellenőrzi. A mérés célja az Intel vpro technológia AMT részének megismerése, a technológia segítségével kisebb IT problémák elhárítása, valamint a mérésről részletes, szemléletes, a mérés elvégzését tanúsító mérési jegyzőkönyv elkészítése. A mérési jegyzőkönyv tartalmazzon minden olyan információt, amelyek szükségesek a mérési feladat megoldásának megismétléséhez. A megoldásokat indoklásokkal, magyarázatokkal is lássák el, amikből kiderül, hogy megértették, amit csináltak. A szemléletesség kódrészletekkel, parancssori utasításokkal, képernyőrészletekkel növelhető. 2.1 A mérési környezet kialakítása Legelőször a mérés során felügyelt gépet kell úgy beállítani, hogy a mérés megkezdhető legyen. Ennek során nem mindegy, hogy újabb (AMT 6.0-t támogató) vagy régebbi (AMT 2.0-t, 3.0-t támogató) gépet kell felügyelnünk. 2.1.1 A felügyelt gép beállítása (AMT 6.0 esetén) A felügyelt gép beállításához be kell lépni a megfelelő konfigurációs menübe (MEBx): Indítsák el a gépet, majd a boot folyamat során, amikor a gép kéri, <F2>-t nyomva lépjenek be a BIOS konfigurációs menü Intel ME (management engine) fülébe. Jelentkezzenek be! (A jelszót a mérésvezető tudja.) Ezt a jelszót éles környezetben a gép használói általában nem ismerhetik, ez a távfelügyeletet ellátók hozzáférését biztosítja. FIGYELEM: SEMMI ESETRE SE változtassák meg a jelszót!!! Beállítások ellenőrzése (Először Intel AMT Configuration, utána Intel ME Configuration!!! Az itt fel nem sorolt menüpontokkal ismerkedjenek, de ne állítsák el őket.): Intel(R) AMT Configuration (az Intel AMT vezérlő beállítása I.): Setup and Configuration Mode: Local Local Setup and Configuration: Computer Name: LABPCYY, ahol YY egy kétjegyű szám TCP/IP: a hálózati csatlakozás legyen engedélyezett, a DHCP ne legyen, adják meg egy IP-címet (10.224.200.YY) és az alhálózati maszkot (255.255.0.0). A felügyeleti konzol és a felügyelt gép azonos hálózatba kerül. Más hálózati topológia mellett ez az AMT működéséhez nem lenne szükséges. Az itt beállított IP-cím ráadásul nem azonos a felügyelt gépen futó operációs rendszer által használt IP-címmel. (Azonos is lehetne, de a mérés így egyszerűbb lesz.) Domain name üres, alapértelmezett átjáró és DNS szerverek 0.0.0.0 SOL/IDER Conf.: minden alpontja legyen engedélyezett KVM Conf.: maradjon Enabled, Required és Enabled (A KVM-et engedélyezzük, de a helyi felhasználó engedélyéhez kötjük a használatát, viszont a vezérlést is engedélyezzük.) Intel(R) ME Configuration (az Intel AMT vezérlő beállítása II.) Manageability Feature: Intel AMT ME On in S0, ME Wake in S3, S4-5 : Enabled Idle Timeout: 65535 (a lehető legnagyobb) Ha valami megváltozott, a menüből kilépve itt újraindul a gép, ekkor értelemszerűen szükség esetén újra belépés szükséges a fenti jelszóval. Figyelni kell, hogy nem ír-e ki olyan üzenetet, hogy az AMT nincs konfigurálva! 16
Kapcsolják ki a gépet. 2.1.2 A felügyelt gép beállítása (AMT 2.0 esetén) A felügyelt gép beállításához be kell lépni a megfelelő konfigurációs menübe (MEBx): Indítsák el a gépet, majd a boot folyamat során, amikor a gép kéri, <CTRL-P>-t nyomva lépjenek be az Intel AMT ME (management engine) menüjébe. Jelentkezzenek be! (a jelszót a mérésvezető tudja) Ezt a jelszót éles környezetben a gép használói általában nem ismerhetik, ez a távfelügyeletet ellátók hozzáférését biztosítja. FIGYELEM: SEMMI ESETRE SE változtassák meg a jelszót!!! Beállítások ellenőrzése (Először AMT, utána ME!!! Az itt fel nem sorolt menüpontokkal ismerkedjenek, de ne állítsák el őket.): Intel(R) AMT Configuration (az Intel AMT vezérlő beállítása I.): A gép neve az elején lévő matricáról a LABPCYY, ahol YY egy kétjegyű szám Provision model: Intel AMT 2.0 Mode (vagy 3.0, de semmiképp nem 1.0) Small (nem Enterprise!!!, bár az az alapértelmezett) TCP/IP: a hálózati csatlakozás legyen engedélyezett, a DHCP ne legyen, adják meg egy IP-címet (10.224.200.YY) és az alhálózati maszkot (255.255.0.0). A felügyeleti konzol és a felügyelt gép azonos hálózatba kerül. Más hálózati topológia mellett ez az AMT működéséhez nem lenne szükséges. Az itt beállított IP-cím ráadásul nem azonos a felügyelt gépen futó operációs rendszer által használt IP-címmel. (Azonos is lehetne, de a mérés így egyszerűbb lesz.) Domain name üres, alapértelmezett átjáró és DNS szerverek 0.0.0.0 SOL/IDE-R: minden alpontja legyen engedélyezett Idle Timeont: 0x0 (ez a végtelennek felel meg, amelyik gép ilyet nem ismer, ott a megengedett legnagyobb értéket válasszák) Intel(R) ME Configuration (az Intel AMT vezérlő beállítása II.) ME State Control legyen engedélyezve ME Features Control: Feature Selection: Intel(R) AMT ME Power Control: ME State upon initial Power-On: ON ME ON in Host Sleep States: ALWAYS (vagyis minél több nem Wake-on-LAN állapotban) Ha valami megváltozott, a menüből kilépve itt újraindul a gép, ekkor értelemszerűen szükség esetén újra belépés szükséges a fenti jelszóval. Figyelni kell, hogy nem ír-e ki olyan üzenetet, hogy az AMT nincs konfigurálva! Kapcsolják ki a gépet. 2.2 Intel AMT Commander alapok 1. Indítsák el az AMT Commander alkalmazást. A bal oldali fához adják hozzá a felügyelni kívánt gépet, majd csatlakozzanak hozzá. Jegyezzék fel, hogy milyen információkat tudhatnak meg a felügyelt gépről. Vegyék át az irányítást a felügyelt gép felett, indítsák el először a saját feltelepített operációs rendszerével, majd egy helyreállító lemez segítségével, és tekintsék át az így elérhető lehetőségeket. Helyreállító lemezként a felügyeleti konzol gépen az Asztalon található rescue.iso és Hirens Boot CD.iso fájlokat használhatják. Ezt kell a távoli gép CD meghajtójára csatolni, majd a gépet egy távoli 17
utasítással a CD-ről elindítani. (A mérés folytatásához szükségük van a felügyelt gépen lévő rendszerre, ezért inkább ne éljenek a CD nyújtotta lehetőségekkel. A feladat célja csak annak bemutatása, hogy mi mindent lehetne megtenni egy elindulni sem képes géppel.) A Terminalban figyelemmel kísérhetik a felügyelt gép indulási folyamatát. A kiválasztott helyreállító lemez az indulás folyamán külön rákérdez, hogy tényleg CD-ről bootoljon-e a gép, ezen a ponton Enter -t vár. (A Terminal fejléce alatt bal oldalon látják, hogy a SOL kapcsolat csatlakozott-e, szükség esetén a Terminal menüben újracsatlakozhatnak. A Terminal alsó sávjának közepén látják a felügyelt gépre a konzolról csatolt lemezmeghajtók beállításait, ezek közül a legalsó mutatja, hogy a meghajtók átirányítása aktív-e.) Ezt követően a Terminalban szüntessék meg a lemezmeghajtók átirányítását. 2.3 Távoli gép indítási folyamatának felügyelete A legtöbb számítógép az indítási folyamat során folyamatosan üzeneteket ír ki a konzoljára. Ugyan szakértők számára ezek az üzenetek hasznosak (különösen, ha az indítási folyamat hiba miatt megszakad), azonban az átlag felhasználó számára inkább ijesztőek, ezért a legtöbb mai operációs rendszer egy úgy nevezett splash képernyővel (a szó fröcskölt, loccsantott foltot jelent) elrejti a konzolt a felhasználó elől. Szükség esetén ez a színes ám semmitmondó képernyő eltüntethető. A következő feladatban a távoli gép konzolját a felügyelő gépen fogjuk figyelemmel követni. Az AMT Commander alkalmazás segítségével indítsák el a felügyelt gépet távoli újraindítással. A GRUB indulásakor gyorsan nyomják meg az ESC billentyűt, majd az első pontot kiválasztva nyomják meg az e (edit) gombot. Az így olvashatóvá váló indítási parancs második sorának végéről a quiet splash szavakat (ezek az üzenetek elrejtésére és a színes képernyő megjelenítésére utasítják az induló gépet) cseréljék le a console=ttys1,115200 utasításra. (Az utasításban ne legyen szóköz. Ezzel a konzol tartalmát az első soros portra irányítjuk, amit viszont az AMT a SOL kapcsolaton keresztül a felügyelő gépen futó Terminalra továbbít.) Ezután Enter, majd b (boot). A Terminal rosszul viseli, amikor az indítási folyamat grafikusra állítja át a felügyelt gép képernyőjét. A Terminal/Testing Features/Reset Terminal menüpont segít. 2.4 Operációs rendzsertől független távoli segítségnyújtás 2. Az Intel AMT részeként (AMT 6.0-tól) az alaplapi chipkészlet tartalmazza egy KVM (keyboard-videomouse) kapcsoló képességeit. Ennek segítségével a felügyelt gép monitorának képe megjeleníthető a felügyelő gépen, és billentyűzete valamint egere is távolról irányítható. Ez a szokásos megoldásoktól abban különbözik, hogy ehhez sem extra kapcsolóra, sem a működő operációs rendszeren futó extra alkalmazásra nincsen szükség. A KVM kapcsolók tipikusan csak egy előre megadott felbontásig képesek átvinni a képernyő képét, ez a laborgépeinken 1600x1200-as felbontásig működik. (A nagy monitorainkhoz illeszkedően a gépeink általában 1920x1080-as felbontást használnak. Ha a gépek képernyőfelbontását elállítják, akkor a mérés vége előtt állítsák is vissza!) Az AMT Commander alkalmazás Remote Control fülén indítsák el a KVM Viewer Standard Port alkalmazást. (Jelszóként használhatják a már ismert AMT admin jelszót. A két jelszó lehetne eltérő is, de itt a mérésen nem azok.) Vizsgálják meg, hogy ez a távoli hozzáférés mit tesz lehetővé az operációs rendszer elindulása előtt illetve utána. 2.5 Soros vonali kapcsolat kiépítése távoli géppel A mérés következő részében megmutatjuk, hogy a távolról felügyelt géppel élő, kétirányú kapcsolatot tudunk létrehozni. A mérés egyszerűsítése érdekében ezen a kapcsolaton csak szöveges üzeneteket fogunk cserélni, de ugyanígy lehetőség lenne fájlok le- és feltöltésére, hálózati kommunikáció továbbítására vagy másra is. A futó felügyelt gépre jelentkezzenek be, majd egy konzol parancssorába írják be: minicom 18
(A minicom egy szöveges terminál emulációra használt kis program, amelyet arra találtak ki, hogy másképp éppen nem elérhető gépekhez soros porton egy PC-t vagy laptopot csatlakoztatva a csatlakoztatott gépen a problémás gép terminálját emulálja. Az így kapott terminálon keresztül sokféle karbantartási, javítási feladatot el lehet végezni. Jelen feladatban a minicom a felügyelendő gépen fut, és a soros vonal másik végén lévő AMT Commander Terminallal kommunikál.) A megjelenő képernyőn látható, hogy a minicom a ttys1 portot használja. Azért lett így beállítva, mert ez az a soros port, amelyet az AMT motor a SOL kapcsolaton keresztül továbbít. A minicomban a Ctrl-a z e billentyűkombinációval tudjuk ki- és bekapcsolni, hogy akarjuk-e látni a saját magunk által begépelt karaktereket. (Ez nem szükséges, de kényelmes.) Ctrl-a x billentyűkombinációval tudunk kilépni. Ctrl-Enter jelenti a soremelést (FL). Enter billentyű csak a kocsi vissza (CR) karaktert küldi el. Ez a viselkedés a Terminal Edit/Advanced Properties/Terminal Options pontjában kompenzálható. 2.6 Távoli számítógép menedzselése A winrm használata előtt parancssorból adja ki az alábbi utasítást: winrm set winrm/config/client/defaultports @{HTTP= 5985 } 3. Az Intelligens rendszerfelügyeletből ismerős WS-Management szabvány segítségével az AMT motor lehetőséget nyújt az (akár éppen kikapcsolt) számítógép távoli menedzselésére is. A winrm program segítségével kérdezze le a felügyelhető számítógépek listáját (ComputerSystems), a felügyelt gép BIOS-ának elemeit és képességeit, a felügyelt gép házának (chassis) sorozatszámát, a felügyelt gép egy AMT specifikus tulajdonságát, és értelmezze a kapott válaszokat. WS-Management eszközökkel állítsa le és indítsa el a felügyelt gépet. A feladathoz segítséget az előre kiadott mérési útmutatóban talál. Tanulmányozza az alábbi utasítás mintát is: winrm enumerate http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/ CIM_HostedService -remote:%your_amt_ip%:16992/wsman -u:admin -p: %YOUR_AMT_PASS% -a:digest -encoding:utf-8 A winrm program segítségével kérdezze le, hogy felügyelt gépben a KVM kapcsoló legfeljebb hány percet vár arra, hogy a felügyeletet végző személy megszerezze felhasználó hozzájárulását az átirányításra(optinpolicytimeout). Állítsa át ezt az értéket 20 perce. (winrm put...) 2.7 A mérés befejezése, rendrakás A mérés befejeztével állítsák vissza alaphelyzetbe a rendszert: Ellenőrizzék, hogy a felügyelt gép képernyőjének felbontását visszaállították-e. Állítsák le mindkét gépet. AMT 6.0 esetén: Indítsák el a felügyelt AMT-s gépet, majd a boot folyamat során, amikor a gép kéri, <F2>-t nyomva lépjenek be BIOS konfigurációs menü Intel ME (management engine) fülébe. Itt az Intel AMT Configuration pontban válasszák ki az Reset Intel AMT to deafult 19
factory settings menüpontot, és indítsák el az AMT beállítások teljes visszaállítását. Lépjenek ki az Intel AMT ME menüből, és az újraindult gépet ismét állítsák le. AMT 2.0 esetén: Indítsák el a felügyelt AMT-s gépet, majd a boot folyamat során, amikor a gép kéri, <CTRL-P>-t nyomva lépjenek be az Intel AMT ME (management engine) menüjébe. Itt az Intel(R) AMT Configuration pontban válasszák ki az Un-Provisioning menüpontot, és indítsák el az AMT beállítások teljes eltávolítását. Lépjenek ki az AMT ME menüből, és az újraindult gépet ismét állítsák le. 20