1. 140 Computer
4/15
Connect
P
ředchozí článek o technologii
vPro, který vyšel v Computeru
8/2014, přibližoval, jak nejjedno-
dušeji aktivovat technologii zabudo-
vanou do podnikových notebooků
a desktopů. V článku uvedená
metoda, nazvaná host based konfigu-
race a dostupná v počítačích zhruba
od roku 2011, nepředstavuje jediný
způsob aktivace. Existují i pokročilejší
a zároveň složitější způsoby. Například
vzdálená aktivace, která je určena do
prostředí velkých firem a vyžaduje
aktivační službu běžící na serveru
s nainstalovaným aktivačním certifiká-
tem. Pro využití Intel vPro technologie
a ovládání aktivovaných počítačů není
rozhodující, jaká metoda byla použita
pro aktivaci.
Pokud už aktivovaný počítač máte,
je načase vyzkoušet funkce, které tato
technologie nabízí. Zaměříme se pře-
devším na jednoduché nástroje, které
jsou zcela zdarma nebo s dostupnou
cenou.
V každém počítači vybaveném tech-
nologií Intel vPro se nachází v čipsetu
mikroprocesor nazvaný ME – mana-
gement engine, se kterým správce
počítače může po síti komunikovat
i v případě, že je poškozený operační
systém nebo je počítač vypnutý. Ko-
munikace probíhá pomocí protokolu
TCP/IP přes pro tuto technologii
dedikované porty. Konkrétně se jedná
o následující porty v řadě:
16992 – Intel AMT HTTP, používán
pro WS-Management komunikaci
16993 – Intel AMT HTTPS, stejné
použití, ale při šifrované TLS komu-
nikaci
16994 – Intel AMT Redirection/TCP,
používán pro SOL, IDER a KVM při
Intel AMT autentizaci
16995 – Intel AMT Redirection/TLS,
opět varianta pro TLS komunikaci
5900 – VNC, standardní port
pro KVM, pokud se nepoužije AMT
autentizace
Webový prohlížeč
Nejjednodušším nástrojem, který má
každý již naistalován, je libovolný we-
bový prohlížeč. Tedy pouze v případě,
že jste při aktivaci technologie vPro
nezakázali WebUI neboli zabudovaný
webový server. Ostatně stejný princip
platí i pro ostatní funkce – SOL, IDER
či KVM, které mohou být při aktivaci
zakázané a pak je pochopitelně nelze
žádným programem používat. Až do
nové, třeba jen rozdílové aktivace,
kde požadované funkce můžeme opět
povolit.
Do adresového řádku napíšeme
jméno počítače nebo jeho IP adresu,
následované číslem portu po dvojtečce,
například http://192.168.168.130:16992.
Tlačítkem Log On se přihlásíme,
základní uživatel je admin a heslo je
nastavené od aktivace.
Zabudovaný webový server 1
zpřístupňuje jen některé funkce.
Umí počítač zapnout, vypnout nebo
zresetovat přes Remote Control a umí
zobrazit konfiguraci počítače včetně
jednotlivých komponent a jejich séri-
ových čísel. Více ale od něj nečekejte.
Jeho hlavní funkci vidím v jednoduché
možnosti snadno otestovat funkčnost
aktivace vzdálené správy.
Manageability Commander Tool
Jeden ze specializovaných programů,
který umí i něco více než prohlížeč, je
Manageability Commander Tool. Verzi
Mesh Edition získáte jako součást
balíčku Open Manageability Developer
Tool Kit na stránce opentools.homeip.
net/open-manageability. V době
psaní tohoto textu byla k dispozici
verze Tool Kitu 0.1.33. Při instalaci
vyberte Komponentu Intel AMT mana-
gement, která obsahuje tři samostatné
programy, Manageability Commander,
Director a Monitor.
Prvním krokem po spuštění progra-
mu Commander je vyhledání aktivo-
vaných počítačů. To provedete přes
Nástroje pro ovládání
počítačů s Intel vProPočítače s aktivovanou technologií Intel vPro nabízejí řadu funkcí, které
využijete zejména při jejich správě. V mnohém zjednoduší například
práci s podnikovou sítí. Pomocí několika nástrojů a technologie vPro ji
můžete jednoduše ovládnout.
František Fait
Enterprise
Technology
Specialist
společnosti Intel
Autor
1
2. 141Computer
4/15
funkci AMT Discovery specifikováním
rozsahu IP adres. Po proskenování
rozsahu adres jsou nabídnuty nalezené
počítače a tlačítkem Add Computer
doplníte heslo a počítač zaregistrujete.
Alternativně lze registraci provést při
znalosti jména nebo IP adresy rovnou
tlačítkem Add Known Computer. 2
Pro ovládání je potřeba vybrat
počítač ze seznamu uvedeného pod
Network a stisknout Connect. 3
Nyní máte pod kontrolou veškeré
funkce vPro. Pod názvem počítače se
otevřel strom s informacemi o hard-
waru počítače, obsahem paměti AMT
určené pro uživatelská data a logy.
Další funkce jsou k dispozici pod
jednotlivými záložkami.
Remote Control – část Remote Con-
trol umožňuje převzít textovou konzoli
(SOL) a nabootovat ji ze vzdáleného
média (IDER), část Remote Desktop
4 se týká nastavení vzdálené plochy
(KVM). Komunikace je standardně
směrována přes AMT porty 16993
nebo 16995, lze povolit i VNC port
5900, který se bude hodit spolu s na-
staveným heslem pro VNC Viewer.
Pokud máte VNC Viever naistalován,
uveďte cestu k programu na posled-
ní položce a tento pak bude možné
spouštět z prostředí Commanderu
pomocí tlačítka Launch Viewer.
Management Engine – zde vidíte
verze AMT a BIOS, můžete nastavit
chování v závislosti na stavu napájení
a také budík umožňující zapínat počí-
tač v nadefinovaný čas.
Security – definuje administrátory,
AD integraci a nastavení TLS včetně
certifikátu.
Networking – jak název napovídá,
slouží k prohlédnutí či nastavení sítě.
Obvykle se používá pouze záložka
Remote Control, ostatní slouží spíše
pro testy a ladění. Při správné aktivaci
není třeba nic měnit, maximálně zkon-
trolovat, že bylo vše nastaveno tak, jak
jsme zamýšleli.
Real VNC
Nástroj Real VNC vám umožní jak
vzdáleně sledovat dění na obrazovce
počítače, tak převzít i jeho klávesni-
ci a myš a počítač dostat plně pod
kontrolu. Toto ovládání funguje, na
rozdíl od specializovaných programů
typu Vzdálená plocha, TeamViewer
nebo LogMeIn, vždy, a to bez nutnosti
cokoli na počítači instalovat. Také
funguje v případě, že je software
nebo operační systém nefunkční.
Umožňuje dokonce ovládat počítač
od jeho startu a vstupovat například
do nastavení BIOSu. To z principu
žádný softwarový nástroj nedokáže.
Podmínkou fungování je integrovaná
grafická karta Intel v procesoru, což je
u podnikových počítačů s technologií
vPro standardem.
Klasický program Real VNC
mnozí znáte a pravděpo-
dobně i využíváte. Na straně
klienta je nainstalovaná
serverová část, ke které se
připojíte pomocí prohlížeče.
Intel vPro technologie
naproti tomu používá
server zabudovaný do
firmwaru ME, a tak není
třeba nic instalovat. Stačí
si pořídit prohlížeč pro
administrátora. Máte na
výběr z více možností.
Základní VNC Viewer
umí komunikovat pouze přes port
5900, komunikace není šifrovaná a je
chráněna pouze heslem. Pokud poža-
dujete vyšší bezpečnost, je potřeba
zakoupit licenci na VNC Viewer Plus.
Ten kromě možnosti přesměrovat
komunikaci přes AMT porty umí využít
TLS šifrování a navíc AD integrací
zvýší bezpečnost autentizace adminis-
trátorů. Aby těch výhod placené verze
nebylo málo, přidali autoři do plusové
verze ještě několik funkcí navíc.
Tyto funkce se zpřístupní pomocí
menu v horní oblasti obrazovky. 5
Umožňují využívat power opera-
ce, jako je zapínání, vypínání nebo
resetování počítače a IDER z obrazu
pevného disku nebo diskety.
Pokud sami zkoušíte připojení
pomocí VNC prohlížeče, tak vám
nemohlo uniknout několik rozdílů
oproti obyčejné softwarové verzi VNC
serveru. Tou první je nutnost získání
souhlasu uživatele se vzdáleným
přístupem. Na obrazovce počítače, ke
2
3
4
5
3. 142 Computer
4/15
Connect
kterému se připojujete, vyskočí okno
s vygenerovaným „kódem souhla-
su“ uživatele. Ten musíte zadat do
prohlížeče pro zpřístupnění obrazovky.
Pokud by tento souhlas představoval
pro dané nasazení problém, například
při ovládání bezobslužných kiosků, lze
jej odstranit volbou složitější formy
aktivace. Další změnou je viditelné
upozornění uživatele ovládaného
počítače, že je pod kontrolou. Barevný
blikající rámeček a ikona jsou napevno
nastaveny a není možné se připojit
nepozorovaně.
Intel vPro Platform Solution
Manager
Další z dostupných služeb je příjemně
jednoduchá a přitom umí využít stejné
funkce jako komplikovanější Com-
mander. Intel vPro Platform Solution
Manager lze velmi dobře nasadit do
prostředí s chybějící profesionál-
ní enterprise konzolí. Po doplnění
a zaintegrování VNC prohlížeče získáte
silnou kombinaci nástrojů, která umož-
ní řešit veškeré úlohy administrátora
vzdáleně. 6
Intel vPro Technology Module for
Microsoft Windows PowerShell
Jako poslední jsem si nechal podle
mého názoru nejvýkonnější a záro-
veň nejméně doceněný nástroj, který
je kompletně zdarma a přitom umí
naprosto vše. Instalační soubory
služby Intel vPro Technology Module
for Microsoft Windows PowerShell
a detailní uživatelský manuál lze
získat na adrese www.intel.com/go/
powershell.
Díky skriptování služba umožňuje
přidat funkce vPro i do programů,
které je od autorů nativně neobsahují.
Příkladem může být konzole Dell Kace.
Nejsnadněji lze demonstrovat funkce
modulu pomocí jednoduchého rozhra-
ní volaného příkazem Invoke-AMTgui.
7 Po instalaci modulu nezapomeňte
před jeho prvním použitím modul
naimportovat pomocí Import-Module
IntelvPro. To vše je detailně popsáno
v dokumentaci. Intel poskytl i editor,
a tak si tento nástroj můžete upravit
podle svých potřeb a vkusu.
Intel vPro Technology Module
for Microsoft Windows PowerShell
a jeho funkce jako unikátní AMTSys-
tem PowerShell Drive Provider nebo
System Defence v ostatních progra-
mech nenajdete.
Popsat kompletní
možnosti tohoto
nástroje by si
vyžádalo ale sa-
mostatný článek.
Jak je z ukázek
několika progra-
mů již zřejmé,
jednou aktivovaná
technologie Intel
vPro poskytu-
je přes dobře
zdokumentované
rozhraní standard-
ní sadu funkcí.
Nezáleží na tom,
jakým progra-
mem tyto funkce
voláte, výsledek
bude vždy stejný,
programy se liší
jen grafickým
rozhraním a také
sadou funkcí, kte-
ré implementují.
V každém počítači vybaveném technologií Intel vPro se nachází v čipsetu
mikroprocesor, se kterým správce počítače může po síti komunikovat
i v případě, že je poškozený operační systém nebo je počítač vypnutý
6
7
jedobřetakhle
dohromady?