Neuere Einträge
24 Jun 2012
Basteln Server NAS 2

Das Fräulein vom AMT

Das neue Motherboard für New²ton mit Q67-Chipset ist mit Intels vPro™ Plattform ausgestattet und hat somit die hauseigene Telefonistin „Intel Active Management Technologie“ mit an Bord. In diesem Post möchte ich ein wenig aus dem Nähkästchen plaudern und von unserem Näherkommen erzählen.

Bildurheber unbekannt

Die „Active Management Technologie“ ist mehr oder minder der God-mode bezüglich Fernwartung: Über ein Webinterface bekommt man die Möglichkeit den Rechner ein- und auszuschalten bzw. zu resetten. Ebenso wird ein VNC-Server gestartet, der jeglichen Bildschirminhalt remote anzeigt - und zwar alles: Vom BIOS über Betriebssystem­installation und dem regulären Betrieb bis hin zum BSoD. AMT bleibt auch aktiv, wenn der Rechner ausgeschaltet an Stromnetz und Netzwerk hängt (S5 - „Soft Off“). Klingt alles sehr nice. Ist es auch, hakt aber hier und da doch noch mal.

Hier möchte ich nun beschreiben, wie ich das AMT 7.0 (Intel Q67 Chipset) zum Laufen bekommen habe und ein Ubuntu 12.04 darauf installiert habe - natürlich remote! Denn Dokumentation ist immer so eine Sache ... auch bei Intel und es hat immer etwas mit trial and error zu tun.

AMT aktivieren und konfigurieren

Zunächst muss AMT auf dem frisch geliefertem Mainboard aktiviert werden. Dazu schließe ich Monitor und Tastatur an und starte das BIOS durch einen Tastendurck auf [F2].

Dann navigiere ich zum Reiter „Intel ME“ und logge mich nach dem Betreten des Menüpunktes „Enter Intel Management Engine Password“ mit dem Standardpasswort „admin“ ein. (Besonders ärgerlich ist, dass es kein brauchbares Handbuch gibt, wo so etwas wie Defaultpasswörter enthalten sind. Erst via Google bin ich da fündig geworden.)

Bevor man nun irgendetwas einstellen kann, muss man mit einem Klick auf „Change Intel Management Engine Password“ ein Passwort setzen, was mindestens einen Großbuchstaben, ein Sonderzeichen und eine Zahl enthalten muss. Ebenso muss es mindestens 8 Zeichen lang sein. Ja, das Fräulein vom AMT ist da außerordentlich wählerisch.

Dann betrete ich das Menü „Intel Active Management Technology Configuration“ und setze „Setup and Configuration Mode“ auf „Local“. Unter dem Punkt „Local Setup and Configuration“ befindet sich die „IPV4 TCP/IP Configuration“, wo man ggf. die IP-Adresse hinterlegen kann. Ich hingegen nutze dort meinen DHCP-Server und lasse das ganze dynamisch. Nun noch speichern und neu starten. Das war 's auch schon, was man lokal einstellen muss.

Ich baue mich nun wieder aus der viel zu vollen, unaufgeräumten, den Server beherbergenden Abstellkammer aus und begebe mich nun wieder ganz gemütlich mit einem Kaffee vor meinen Desktoprechner.

Hier kann man mit dem Browser seiner Wahl dem AMT bereits einen Besuch abstatten: http://IPADRESSE:16992/
Der Nutzername lautet „admin“ und als Passwort gibt man das eben gesetzte Hochsicherheitspasswort ein. Neben ein paar Details zur verbauten Hardware und einem Event Log befindet sich unter „Remote Control“ DIE Fernbedingung schlechthin. Immer erreichbar! Zu beachten gibt es, dass „Turn Power Off“ nur ausführbar ist, wenn niemand via VNC auf dem Gerät eingeloggt ist.

Bereits jetzt könnte man mit dem „VNC Viewer Plus“ von RealVNC auf den VNC-Server zugreifen und die anderen Features wie „Remote Disk Mount“ nutzen. Die Software kostet aber $99.00. Da ich wahrscheinlich (oder eher: hoffentlich) nur sehr selten auf AMT zurückgreifen werde, ist mir das zu teuer und ich konfiguriere weiter.

Denn noch lauscht AMT auf keinerlei VNC-Ports. Und das ist nötig, damit andere Viewer eingesetzt werden können. Um diese Einstellung vorzunehmen, benötigt man von Intel eine besondere Software: Das Intel Manageability Developer Tool Kit. Leider habe ich keine andere Möglichkeit gefunden - auch wenn ich das BIOS akribisch abgesucht habe. Wenn jemand der hier anwesenden weiß, wie man ohne Windows-only Spezialexperten-Software diese Konfiguration vornimmt, möge er sich bitte mit einem kurzen Kommentar melden und der Nachwelt etwas Gutes tun.

Nach der Installation wird das „Manageability Commander Tool“ gestartet. Mit einem Klick auf „Add Known Computer“ wird die eben vorbereitete Kiste hinzugefügt. Auch hier kommt die Zugangsdatenkombination zum Einsatz.
Dann wählt man den angelegten Computer aus und verbindet sich mit einem Klick auf „Connect“.

Unter dem Reiter „Remote Control“ können die „Remote KVM Settings“ bearbeitet werden. Als „KVM State“ stelle ich „Enabled - Both Ports“ ein und setze das VNC-Passwort. Hier muss man genau so penibel vorgehen, wie vorhin: Mindestens einen Großbuchstaben, ein Sonderzeichen, eine Zahl und exakt 8 Zeichen lang. Das „Enable Opt-In“ schalte ich aus. Alles wird mit einem Klick auf „OK“ bestätigt.

Nun kann man mit einem Normalsterblichen-VNC-Viewer ein Blick in die Ferne zu werfen. Ich nutze den VNC Viewer.

Betriebssystem installieren

Da mein im Netzwerk IP-Adressen dealende WG-Server einen PXE-Install für Ubuntu 12.04 annonciert, genügt es beim Start [F12] zu drücken und die Kiste vom Netzwerk booten zu lassen. Genauso wäre es natürlich möglich, das ganze via USB-Stick oder wer es ganz nostalgisch mag via Installations-CD zu erledigen. Danach lässt man sich gemütlich durch die Menüs führen.

Interessant ist dabei die Tastaturlayout-Auswahl. Ich lasse mich vom Assistenten unterstützen und wir finden heraus, dass es sich um das Layout „us:intl“ handelt. Okay. VNC scheint dort etwas umzumappen. Jedoch stelle ich fest, dass das Slash ( / ) sich seiner verweigert und stattdessen ein Fragezeichen an den Start schickt. Ebenso sind die Umlaute wirkungslos. Hat hier jemand eine Idee, wie man das lösen kann? Bitte einmal in den Kommentaren uns alle schlauer machen. Merci!

Beim Partitionieren entscheide ich mich dafür das System vollständig zu verschlüsseln. Ich hatte ja schon mal durchblicken lassen, dass ich das immer mache. Und gerade jetzt wo mir AMT ermöglicht das Passwort remote einzugeben, bevor Dienste wie SSH geladen sind, überlege ich nicht lange ... Hier sei darauf hingewiesen, dass VNC komplett unverschlüsselt übertragen wird! Daher sollte die Verbindung unbedingt getunnelt werden, wenn man die Eingabe durch nicht vertrauenswürdige Netze hindurch gemacht wird!

Ich führe die Installation zu Ende und installiere den Bootloader. Das System ist für den ersten Start bereit!

Nachdem sich der Bootloader GRUB2 gemeldet hat und den Kernel lädt, ist plötzlich das Bild im VNC weg! Das liegt daran, dass nun kein Bildschirm angeschlossen ist und Linux wohl sämtliche Grafikfunktionen abschaltet. Soweit ja auch logisch. Ich starte das System nun im „recovery mode“ - da bleibt das Bild nämlich erhalten - und öffnen die Datei „/etc/default/grub“. Die Datei wird nun bearbeitet:

  1. # If you change this file, run 'update-grub' afterwards to update
  2. # /boot/grub/grub.cfg.
  3. # For full documentation of the options in this file, see:
  4. #   info -f grub -n 'Simple configuration'
  5.  
  6. GRUB_DEFAULT=0
  7. GRUB_HIDDEN_TIMEOUT=0
  8. GRUB_HIDDEN_TIMEOUT_QUIET=true
  9. GRUB_TIMEOUT=10
  10. GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
  11. GRUB_CMDLINE_LINUX_DEFAULT="nomodeset"
  12. GRUB_CMDLINE_LINUX="bootdegraded=true"

Um die Änderungen zu übernehmen, wird folgender Befehl ausgeführt

  1. $ update-grub

Nun dürfte Das System auch ohne Bildschirm booten können.

Fazit

Insgesamt bin ich mit AMT zufrieden. Auch wenn es schlecht dokumentiert ist, habe ich es mit einer Prise Google zum Laufen bekommen. Zwar gibt es im VNC hier und da ganz gerne mal Verbindungsabbrüche und langsame Internetleitungen machen es äußerst mühselig, damit zu arbeiten - aber bis jetzt habe ich alles damit erreicht, was nötig war. Als besonders hilfreich erweist sich der Reset in der Weboberfläche, wenn man mal überhaupt kein Lebenszeichen mehr von seinem Server bekommt.

Veröffentlich von Juergen Fitschen am 24.06.2012
Permanentlink: http://bequemlichkeitsgruen.de/post/1340497558

2 Kommentare wurden hinterlassen

#122.01.2013 23:47

Jan:

Hi,
Das mit dem Layout ist so die Standardkrankheit vieler IP KVMs^^ Hier ein interessantes paper dazu (Intel hat da wirklich ne gute Doku ;-) :
http://software.intel.com/...

Laut der sollte das mit dem RealVNC gehen.

#212.02.2013 03:07

Jue:

Hi Jan,

danke für deinen Kommentar! Auch wenn ich ihn in der Moderation lange Zeit übersehen hatte ... pardon!

Ja, es geht mit dem RealVNC Viewer Plus. Also das kostenpflichtige Teil. Der kostenlose stellt sich bei den Umlauten leider etwas an.

Schreibe den 3. Kommentar

Ältere Einträge
CC BY-NC-SA 3.0