Реализация технологии Intel vPro в материнских платах компании GIGABYTE UNITED
Наверняка, все, кто мало-мальски интересуется происходящими в ИТ-индустрии событиями, слышали о часто упоминаемой в последнее время технологии Intel vPro. Не обошел ее вниманием и наш журнал — в нем тоже можно было найти публикации, посвященные данной технологии. Последняя и наиболее полная из них — статья «Технологии Intel vPro и Intel Centrino Pro для корпоративного сектора», напечатанная в сентябрьском номере.
Такое внимание к Intel vPro не удивляет, ведь применение данной технологии сулит немалые выгоды. Так, средства удаленного управления и обеспечения безопасности компьютеров, которые предоставляет Intel vPro, позволяют значительно снизить издержки на содержание вычислительного парка компаний (по имеющимся данным, использование технологии Intel vPro позволяет сократить число вызовов специалистов служб технической поддержки на рабочие места сотрудников на 91%, а число неполадок оборудования — на 56%), а для домашних пользователей, вполне вероятно, можно было бы открыть качественно иной вид сервисного обслуживания — дистанционное.
Однако, несмотря на то, что о возможностях этой технологии уже достаточно давно и много говорится, практическим опытом ее применения могли похвастаться лишь избранные, которым были доступны системы, отвечающие предъявляемым ею требованиям. Ведь, по сути, процессорная технология Intel vPro (именно так она правильно именуется) представляет собой сочетание двух других технологий: технологии удаленного управления (Intel Active Management Technology, Intel AMT) и технологии виртуализации (Intel Virtualization Technology, Intel VT) — и для ее реализации, согласно последней версии от 2007 года, обязательным является наличие следующих компонентов:
- центрального процессора с поддержкой технологии виртуализации Intel VT (Intel Virtualization Technology). В последней версии технологии речь идет только о процессорах семейства Intel Core 2 Duo, хотя поддерживают ее как более ранние модели серии Intel Pentium D 9x0, так и более поздние — Intel Core 2 Quad и Intel Core 2 Extreme;
- материнской платы с поддержкой технологии Intel AMT (Intel Active Management Technology), а это подразумевает, что такая системная плата должна быть создана на базе набора микросхем Intel Q35 Express с южным мостом ICH9DO и с сетевым контроллером, поддерживающими эту технологию.
Такие требования обусловлены тем, что технология Intel vPro, а точнее входящая в ее состав технология Intel AMT, предоставляет доступ к управляемому компьютеру даже в том случае, если он отключен, а следовательно, и в этом состоянии данная система должна иметь активные компоненты, способные обеспечить такую возможность. Чипсет Intel Q35 Express был специально создан с учетом названных требований и, имея ряд специализированных интегрированных компонентов — управляющее ядро (Management Engine, ME) и гигабитный сетевой контроллер, работающий в тандеме с чипом PHY-уровня Nineveh 82566DM), — позволяет получить удаленный доступ к информации и настройкам AMT, хранящимся в энергонезависимой памяти как при включенном, так и при выключенном компьютере (единственное условие для этого: на системную плату должно подаваться дежурное напряжение, то есть система попросту должна быть подключена к электрической сети).
Сегодня, после состоявшегося 28 августа в рамках презентации обновленной версии платформы Intel vPro официального представления нового чипсета Intel Q35 Express, можно говорить о том, что данная технология становится массовой. Одной из первых свое решение с ее поддержкой представила компания GIGABYTE UNITED, выпустившая материнскую плату GIGABYTE GA-Q35M-S2. Заполучив пару этих системных плат, мы решили ознакомить наших читателей с их возможностями, а заодно на практике проверить, что представляет собой технология Intel AMT.
Материнская плата GIGABYTE GA-Q35M-S2 (рис. 1) выполнена в формфакторе microATX (размеры — 244x244 мм) в традиционных цветах компании GIGABYTE UNITED — на PCB (Printed Circuit Board) синего цвета. Основной целевой аудиторией этой системной платы, в силу поддерживаемых ею функций и технологий, являются прежде всего корпоративные пользователи. Основой для нее послужил набор системной логики Intel Q35 Express (Intel Q35 Express плюс ICH9DO), возможности которого дополняет контроллер ввода-вывода ITE IT8718F.
Рис. 1. Материнская плата
GIGABYTE GA-Q35M-S2
Эта материнская плата поддерживает работу системной шины с частотой 800, 1066 и 1333 МГц и предназначена для работы с процессорами Intel, выполненными в формфакторе LGA775, в том числе и с новыми процессорами Intel, производимыми по 45-нм техпроцессу — черырехъядерными Yorkfield и двухъядерными Wolfdale.
Для установки модулей системной памяти (предполагается, что будут применяться модули небуферизованной памяти стандарта DDR2 SDRAM 667 или 800) на плате предусмотрено четыре DIMM-слота. Работа подсистемы памяти возможна как в одно-, так и в двухканальном режиме. Максимальный объем системной памяти, поддерживаемый платой, составляет 8 Гбайт.
Материнская плата GIGABYTE GA-Q35M-S2 имеет интегрированное графическое ядро Intel Graphics Media Accelerator 3100 (Intel GMA 3100), полностью поддерживающее API DirectX 9с и OpenGL 1.4 и отвечающее всем требованиям новой операционной системы Windows Vista для работы с интерфейсом Aero. Если же возможности этого интегрированного графического решения окажутся недостаточными, то, используя имеющийся на плате слот PCI Express x16, можно будет установить дискретную графическую карту, соответствующую всем требованиям, предъявляемым к производительности графической подсистемы. Кстати говоря, кроме этого слота для установки дополнительных карт, расширяющих возможности материнской платы, на GIGABYTE GA-Q35M-S2 реализованы еще два PCI-слота и один слот PCI Express x1.
Для работы в проводных Ethernet-сетях GIGABYTE GA-Q35M-S2 предоставляет в распоряжение пользователя гигабитный Ethernet-контроллер, интегрированный в микросхеме южного моста, PHY-уровень которого реализован чипом Nineveh 82566DM.
Встроенный звуковой контроллер материнской платы представляет собой связку интегрированного в южный мост High Definition Audio-контроллера и аудиокодека Realtek ALC888, обеспечивающего возможность воспроизведения звука формата 7.1 и поддерживающего технологию Dolby Digital Live!, а также формат звучания DTS (Digital Theater Systems). Отметим также, что этот чип (Realtek ALC888) обеспечивает возможность одновременной работы десяти выходных каналов, позволяя реализовать схему подключения «7.1 (восемь каналов) плюс стерео (два независимых канала на передней панели ПК)».
Для организации дисковой подсистемы плата предоставляет пользователю одноканальный IDE ATA-контроллер JMicron JM368, позволяющий подключать до двух устройств с интерфейсом ATA66/100/133 или ATAPI и шестипортовый SATA II RAID-контроллер, который позволяет создавать RAID-массивы уровней JBOD, 0, 1, 0+1, 5 или Intel Matrix RAID (сочетание RAID-массивов уровней 0 и 1, созданных на двух физических дисках), причем работу по управлению RAID-массивами можно осуществлять непосредственно в среде Windows, например можно произвести миграцию из RAID-массивов младших уровней (0 или 1) в RAID 5.
Важным компонентом системы, обеспечивающим качественно новый уровень безопасности, является модуль TPM (Trusted Platform Module), которому тоже нашлось место в этом решении от компании GIGABYTE UNITED. Напомним, что TPM-модуль представляет собой специально разработанный чип, расширяющий функции обеспечения безопасности системы, что происходит за счет предоставления защищенного пространства для операций с ключами и других задач, важных с точки зрения безопасности.
Выходная панель системной платы (рис. 2) имеет следующий набор интерфейсов: два разъема PS/2 для подключения клавиатуры и мыши, сетевой порт RJ-45, шесть портов USB 2.0, один COM-порт, а также набор аудиоразъемов (шесть mini-jack-разъемов).
Рис. 2. Выходная панель материнской платы GIGABYTE GA-Q35M-S2
Отметим, что GIGABYTE GA-Q35M-S2 поддерживает 12 USB-портов: еще шесть, помимо уже упомянутых, которые расположены на выходной панели, можно подключить с помощью дополнительных планок расширения, для чего на плате предусмотрено три разъема (по два порта на разъем).
Для питания компонентов системы в GIGABYTE GA-Q35M-S2 используется четырехканальный блок VRM (Voltage Regulator Module), созданный с применением фирменной технологии Ultra Durable, а это означает, что для обеспечения большей надежности и долговечности материнской платы в его цепях используются только твердотельные конденсаторы.
Для охлаждения микросхем северного и южного мостов применяется пластинчатый легкосплавный радиатор. Отметим также, что эта системная плата имеет два разъема для подключения вентиляторов охлаждения: четырехконтактный (CPU FAN) — для процессорного кулера и трехконтактный (SYS FAN) — для системного вентилятора.
Как видно из названия этой модели, системная плата GIGABYTE GA-Q35M-S2 относится к решениям S-серии компании GIGABYTE UNITED. Она имеет два набора S-технологий (о чем свидетельствует индекс S2 в ее названии) — Smart и Safe. О возможностях функций, входящих в упомянутые наборы, уже не раз рассказывалось на страницах нашего журнала, поэтому на сей раз ограничимся лишь их перечислением. В набор функций Smart входят такие программные продукты, как Download Center, @BIOS, Q-Flash, Xpress Install, Boot menu и Smart Fan, обеспечивающие простое и удобное управление различными настройками. Набор S-функций Safe включает несколько аппаратно-программных средств, позволяющих повысить отказоустойчивость компьютера: технологии GIGABYTE Virtual Dual BIOS и BIOS Setting Recovery, а также утилиты Xpress Recovery 2, PC Health Monitor и C.O.M.
На этом закончим техническое описание данной системной платы и перейдем к рассмотрению ее возможностей при работе с технологией Intel AMT.
Поскольку Intel AMT — это технология удаленного управления, то для ее реализации требуются как минимум две AMT-компьютерные системы, подключенные к локальной вычислительной сети. Вообще говоря, от инфраструктуры ЛВС напрямую зависит настройка компонентов технологии Intel AMT.
Поэтому на первом шаге при настройке компьютерных систем с технологией Intel vPro, в частности с Intel AMT, необходимо определиться, какая модель будет использоваться для управления. В технологии Intel AMT предусмотрены две такие модели: SMB (Small/Medium Business) и Enterprise. Режим SMB является базовым и ориентирован на небольшие корпоративные сети. В данном режиме применения обеспечиваются следующие возможности:
- удаленное управление питанием компьютеров;
- просмотр данных об основном оборудовании (инвентаризация);
- просмотр журнала событий;
- удаленное обновление AMT Firmware.
Режим Enterprise ориентирован на крупные корпоративные сети, в которых первостепенное значение имеет обеспечение сетевой безопасности. Он включает все функциональные возможности режима SMB, но, в отличие от него, предусматривает закрытые каналы связи между клиентами vPro и консолью управления и требует наличия сервера SCS (Setup and Configuration Server), отвечающего за шифрование и аутентификацию.
Возможно, сделать оптимальный выбор того, какая схема Intel AMT наилучшим образом подойдет для решения именно ваших задач, помогут ответы, которые вы дадите на следующие вопросы:
- существует ли необходимость в том, чтобы весь трафик, передаваемый между консолью управления и клиентом, был зашифрованным, то есть нужен ли закрытый канал связи? (Если ответ «да» — выбор в пользу Enterprise, «нет» — возможна схема Enterprise или SMB);
- согласно инструкциям безопасности требуется ли вашей организации частая смена паролей, которая будет выполняться с центральной консоли управления? (да — Enterprise, нет — SMB);
- инфраструктура вашей сети поддерживает статические IP? (да — SMB, нет — возможна схема Enterprise или SMB);
- имеет ли место частая смена клиентов сети (в связи с реорганизацией или передислокацией работников), что требует изменения имен для PC? (да — выбор в пользу Enterprise, нет — возможна схема Enterprise или SMB);
- все ли консоли управления поддерживают Enterprise-режим? (да — Enterprise или SMB, нет — SMB);
- требуется ли вам использовать инструкции аутентификации Windows logon сredentials для управления устройствами AMT? (да — Enterprise, нет — возможна схема Enterprise или SMB).
Кстати говоря, если в вашей локальной сети используются статические IP-адреса, то следует помнить, что в этом случае AMT-система может иметь два IP-адреса: определяемый для сетевого интерфейса в ОС и устанавливаемый в настройках ядра управления (Management Engine, ME) AMT-устройства. Кроме того, при статических IP-адресах рекомендуется задавать различные имена для системы: уникальное хост-имя в ОС и уникальное хост-имя в МЕ.
Определившись со схемой работы Intel AMT, на следующем шаге следует обратиться к документации производителей программного обеспечения, которое будет использоваться для консоли управления, с целью установить, какие еще сетевые компоненты и их настройки, а также компоненты системы необходимы для выбранной вами реализации данной технологии.
В нашем случае для проведения тестирования мы выбрали схему SMB с поддержкой DHCP (Dynamic Host Configuration Protocol), что является, на наш взгляд, наиболее оптимальным вариантом для применения технологии Intel AMT в рамках небольшого предприятия (в случае если не предъявляются повышенные требования к сетевой безопасности).
Две компьютерные системы, собранные на базе имевшихся в нашем распоряжении материнских плат GIGABYTE GA-Q35M-S2, были подключены к маршрутизатору с включенным DHCP-сервером. В результате мы получили одноранговую сеть с динамическим выделением IP-адресов, настройка AMT в которой практически полностью соответствует случаю работы в домене Active Directory.
Следующим шагом при включении технологии Intel AMT должна стать настройка ядра управления (Management Engine, ME) в специализированной BIOS, которая носит название Entering the Management Engine BIOS extensions (MEBx). В случае с материнской платой GIGABYTE GA-Q35M-S2 в настройки BIOS ядра ME можно попасть посредством комбинации клавиш Ctrl+P, о чем, впрочем, пользователь будет предупрежден соответствующим сообщением, выводимым на экран после прохождения системой процедур POST (рис. 3).
Рис. 3. Экран инициации входа в настойки BIOS ядра ME
После первого входа в MEBx для выполнения дальнейших настроек нужно будет обязательно изменить пароль, заданный по умолчанию (традиционно — admin), при этом новый пароль должен отвечать следующим требованиям:
- не менее восьми, но не более 32 символов;
- как строчные, так и прописные латинские буквы;
- по крайней мере одна цифра;
- хотя бы один ASCII-символ, отличный от буквы и цифры (!, @, #, $, %, ^, &, *).
При каждом последующем входе в MEBx для выполнения любых настроек необходимо будет вводить этот пароль (рис. 4).
Рис. 4. Экран ввода пароля для доступа к настройкам MEBx
Затем, выбрав пункт меню Intel AMT Configuration, задаем имя для узла AMT (рис. 5). В случае использования в сети DHCP-сервера оно должно соответствовать уникальному имени компьютера, задаваемому в ОС.
Рис. 5. Окно ввода имени узла AMT
Далее, перейдя к пункту Provision Model, выбираем реализуемую модель для технологии Intel AMT. При загрузке этого пункта меню настроек будет предоставлена возможность выбрать версию технологии Intel AMT (Intel AMT 1.0 или Intel AMT 3.0) — рис. 6.
Рис. 6. Окно выбора версии технологии Intel AMT
Определившись с версией Intel AMT, в следующем окне можно выбрать одну из моделей функционирования данной технологии — SMB или Enterprise (рис. 7).
Рис. 7. Окно выбора модели работы технологии Intel AMT
Как уже говорилось, для наших целей мы выбрали режим SMB. В этом случае для работы AMT нам остается сконфигурировать настройки TCP/IP. Перейдя в соответствующий пункт меню, вначале необходимо будет отказаться от отключения сетевого интерфейса (рис. 8).
Рис. 8. Окно включения/отключения сетевого интерфейса
После этого следует отклонить предложение о выключении поддержки протокола DHCP (рис. 9).
Рис. 9. Окно включения/отключения поддержки протокола DHCP
В последнем окне этого пункта меню нужно указать имя домена (используется при работе в домене Active Directory, в противном случае поле может быть оставлено пустым) — рис. 10.
Рис. 10. Окно ввода имени домена
На этом настройку МЕ можно считать законченной и переходить к следующему этапу — установке драйверов операционной системы.
В общем случае, согласно документации Intel, для работы технологии Intel AMT используются следующие драйверы:
Intel Management Engine Interface (MEI) driver — обеспечивает безопасное локальное соединение интерфейсов ОС и МЕ через Management Engine Interface (MEI);
Serial-over-LAN (SoL) driver — эмулирует создание COM-порта для VT100 или ANSI удаленных сессий, для того чтобы получить доступ к графическому интерфейсу до загрузки операционной системы. Это позволяет удаленно видеть и отправлять команды на машину клиента, когда операционная система еще не загружена, включая возможность входа в BIOS и контроль процедур POST;
Local Management Service (LMS) driver — позволяет программным агентам управления связываться с МЕ, с помощью того же высокоуровневого протокола, который используется для удаленного управления (например, XML, SOAP). При первой загрузке выводится всплывающее окно с подтверждением того, что Intel AMT запущен (рис. 11).
Рис. 11. Окно предупреждения о включении технологии Intel AMT
После этого на компьютерную систему может быть установлено ПО сторонних производителей, повышающее удобство и расширяющее функциональность работы с системами, поддерживающими технологию Intel AMT.
В зависимости от того, какие программы консоли управления будут установлены, дальнейшие действия по настройке AMT-системы могут несколько различаться, но в общем случае для всех консолей управления типичной можно назвать следующую последовательность операций:
Поиск AMT-устройств. На этом этапе консоль управления сканирует сеть на предмет наличия в ней включенных AMT-устройств.
Интеграция в базу данных. Однажды найденное AMT-устройство должно быть импортировано в базу данных консоли управления.
В нашем случае мы воспользовались программным обеспечением компании SyAM Software, включающим консоль управления SyAM System Area Manager и агент, устанавливаемый на клиентские системы, — SyAM System Client. Консоль управления SyAM System Area Manager от этого производителя позволяет автоматизировать упомянутый выше этап настройки. Так, после установки данного ПО (консоли — на компьютер, который будет использоваться для управления, а агента — на клиентские системы) для выполнения поиска AMT-устройств нужно запустить консоль управления SyAM System Area Manager. Это можно сделать как через Star Menu, так и посредством веб-браузера, обратившись к компьютеру, на котором установлена консоль, по IP-адресу или по имени хоста, установив соединение через порт 3930 (например http://192.168.1.2:3930 или http://host_name:3930).
После появления стартового окна консоли необходимо выполнить поиск AMT-устройств — нажать кнопку Go (Пойти) — рис. 12.
Рис. 12. Стартовое окно консоли управления SyAM System Area Manager
В открывшемся окне (рис. 13) нужно указать диапазон адресов для сканирования, причем для группировки AMT-устройств, найденных в этом диапазоне, можно сразу задать их описание (Location (Расположение) и Function (Функции)).
Рис. 13. Окно подключения AMT-устройств
Найденные в процессе сканирования устройства будут автоматически добавлены в базу данных и отображены на левой панели утилиты (в соответствии с заданной сортировкой). В зависимости от состояния AMT-системы ее значок будет иметь тот или иной цвет (включен — зеленый, выключен — черный и т.д.) — рис. 14.
Рис. 14. Отображение добавленных в базу данных консоли
AMT-устройств
После того как AMT-устройства будут найдены и добавлены в базу данных консоли, следует проверить их работоспособность. Каждый разработчик консолей имеет свои собственные пошаговые инструкции по проверке функциональности AMT-платформы. По крайней мере, для того чтобы убедиться в успешном завершении конфигурации AMT-устройства, нужно удостовериться, что им поддерживаются следующие возможности:
- доступность информации об устройстве;
- возможность удаленного включения (Wake-up);
- возможность удаленного управления операциями посредством протоколов SoL (Serial over LAN) и IDE Redirection Operations.
- Проверка AMT-устройства может выполняться как с использованием консоли управления, так и при помощи веб-браузера. Для работы с AMT-платформами могут применяться следующие браузеры:
- Internet Explorer 6.0 SP1;
- Netscape 7.2 для Windows и Linux;
- Mozilla Firefox 1.0 для Windows и Linux;
- Mozilla 1.7 для Windows и Linux.
Если для удаленного доступа к AMT-устройству применяется веб-браузер, нужно ввести его IP-адрес с указанием порта, по которому будет установлено соединение (порт 16992). Данная строка может иметь следующий вид: http://192.168.0.3:16992. Если клиентская AMT-система настроена верно, то будет загружена начальная страница идентификации (рис. 15).
Рис. 15. Начальная страница идентификации веб-интерфейса
AMT-устройства
Для получения доступа к настройкам необходимо, нажав кнопку LogOn, в появившемся окне идентификации ввести логин (по умолчанию — admin) и пароль, заданный для ME удаленного AMT-устройства (рис. 16).
Рис. 16. Окно аутентификации веб-интерфейса AMT-устройства
После успешного прохождения идентификации можно будет получить доступ к следующим настройкам AMT-устройства:
- установление статуса системы (включена или выключена, IP-адрес, ID системы);
- просмотр информации об установленном оборудовании и firmware;
- просмотр журнала событий (Event Log) — рис. 17;
Рис. 17. Страница просмотра журнала событий через веб-интерфейс
AMT-устройства
- удаленное управление питанием;
- удаленное управление сетевыми настройками ME;
- возможность изменения прав на просмотр и редактирование настроек AMT.
Особо подчеркнем, что все эти настройки доступны как во включенном, так и в выключенном состоянии удаленного AMT-устройства, необходимо лишь наличие дежурного питания, подаваемого на его материнскую плату, если устройство включено в розетку.
При использовании стороннего ПО, совместимого с технологией Intel vPro, базовые функции, доступные через веб-интерфейс AMT-устройств, значительно расширяются. Так, в нашем случае применение ПО от компании SyAM Software дало возможность более полно реализовать возможности удаленного управления, в том числе с переадресацией консоли через протокол SоL (что позволяет контролировать прохождение процедур POST и выполнять настройки в CMOS Setup базовой системы ввода-вывода (BIOS) удаленного компьютера — рис. 18) и возможностью изоляции зараженных ПК (аппаратное блокирование сетевого трафика), а также с предоставлением дополнительных возможностей для мониторинга и настройки системы оповещений на основе показаний аппаратных датчиков платформы (с передачей предупреждающих сообщений по почте и SMS) — рис. 19.
Рис. 18. Доступ к настройкам CMOS Setup базовой системы ввода-вывода
(BIOS) удаленного компьютера из консоли управления
SyAM System Area Manager, полученный через протокол SоL
Рис. 19. Настройки системы оповещений на основе показаний
аппаратных датчиков удаленной AMT-платформы в консоли управления
SyAM System Area Manager
В заключение отметим, что упомянутые здесь утилиты от компании SyAM Software с 15-дневной лицензией свободно доступны на сайте компании-разработчика (http://syamsoftware.com). И если вам посчастливится устанавливать в своей корпоративной сети компьютерные системы, построенные на базе материнских плат GIGABYTE GA-Q35M-S2 от компании GIGABYTE UNITED, мы бы рекомендовали вам воспользоваться этим или аналогичным программным продуктом, чтобы в полной мере оценить все преимущества использования платформ Intel vPro с технологией Intel AMT.