商标与版权
商标
lenovo、联想、lenovo联想、ThinkCentre、ThinkPad、IdeaCentre、IdeaPad、扬天、昭阳以及相关标识是联想(北京)有限公司或其关联公司的商标或注册商标。
赛扬、Celeron Inside、迅驰、Centrino Inside、Core Inside、英特尔、英特尔标识、英特尔凌动、Intel Atom Inside、英特尔酷睿、Intel Inside, Intel Inside 标识、英特尔欢跃、英特尔博锐、安腾、Itanium Inside、奔腾、Pentium Inside、Viiv Inside、vPro Inside、至强 和 Xeon Inside 均是英特尔公司在美国或其他国家的商标。
AMD、AMD箭头标志、速龙、皓龙、羿龙、闪龙、Turion、ATI、ATI标识、ATIRadeon、ATI Avivo、AMD LIVE、Catalyst、Cool 'n' Quiet、CrossFireX、Powerplay及其组合是Advanced Micro Devices公司的商标。
Microsoft、Encarta、MSN和Windows以及相关标识是微软公司在美国和/或其它国家的商标或注册商标。
除以上列明的商标或注册商标外,本产品使用说明书提及的其他产品、标志和商号名称也可能是联想或其他公司的商标或注册商标,并由其各自公司拥有,无论是否在产品上或者本说明书中逐一注明™ 和 ® 标记,均受相关商标法律法规、国际公约的保护。
版权
本产品附带以及使用说明书描述的随机软件,均受相关著作权法律法规、国际公约以及用户许可协议/条款的保护,是基于相应许可协议的条款和条件提供的,仅许可您在其预装或所依附的联想硬件产品上使用,不得复制、修改、编译、分发、分许可、出租或以其它方式转让或变相非法使用。
本使用说明书的版权属于联想(北京)有限公司,受著作权法律法规保护,未经联想(北京)有限公司事 先书面授权,任何人士不得以任何方式对本手册的全部或任何部分进行复制、抄录、删减或将其编译为机读格式,以任何形式在可检索系统中存储、在有线或无线网络中传输,或以任何形式翻译为任何文字。
版权所有©2011 联想(北京)有限公司,保留所有权利。
导读
此白皮书旨在为您提供使用Intel(R) Active Management Technology的操作指南。通过这版白皮书,使用户可以根据里面详尽的操作步骤指导来成功配置和应用您电脑上的Intel(R) AMT技术。
在您读这版白皮书之前,我们建议您应该对网络和计算机技术有基本的了解,并且熟悉一些专业术语,比如TCP/IP, DHCP, IDE, DNS, 子网掩码,默认网关, 和域名等,在此我们不再详尽解释这些相关技术原理。
这版白皮书包括下面的内容:
第一章:“Intel vPro和Intel AMT 技术介绍”。本章大概介绍Intel vPro技术和Intel AMT技术。
第二章:“Intel AMT 7内置管理功能”。本章介绍用户能够获得哪些基于Intel AMT技术的性能提升。
第三章:“联想远程管理平台”。本章介绍了配合Intel AMT技术使用的应用软件---联想远程管理平台。
第四章:“Intel AMT 7的功能”。本章介绍了用户能够获得哪些基于Intel AMT技术的功能。
第五章:“Intel AMT 7的配置方法”。本章通过配置实例,给出如何配置Intel AMT的方法。
第六章:“Web用户界面”。本章介绍如何登陆ME提供的Web用
户界面来实现一些简单的管理功能。
第一章 Intel vPro和Intel AMT技术介绍
Intel vPro™是一个商用计算机平台品牌,它能够增强商用计算机的远程管理能力。使用支持Intel vPro™技术的计算机,IT管理员能够通过管理软件,快速发现和控制安全威胁,远程修复系统,远程部署软件补丁,远程收集被管理计算机的软硬件资产信息,远程诊断以及远程提供各种服务,而这些与被管理计算机的电源状态和操作系统状态无关,即关机状态,操作系统损坏情况下,仍然可以实现上述远程管理,远程诊断和远程修复功能。
Intel Active Management Technology (AMT) 是Intel vPro™平台中的一个重要部分,其设计目的是提供一种独立于操作系统和电源状态的管理服务执行环境。Intel AMT最大的优点就是,无论计算机的电源状态和操作系统状态如何,只要您的电脑插着电源,并且连着网络,就能够实现远程主动管理。
缩略词列表
| 缩略词 | 全称 |
| AMT | Active Management Technology |
| ASF | Alert Standard Format |
| DHCP | Dynamic Host Configuration Protocol |
| DNS | Domain Name Server |
| FQDN | Fully Qualified Domain Name |
| FW | Firmware |
| HECI | Host Embedded Controller Interface |
| ICH | I/O Controller Hub |
| IDE-R | Integrated Device Electronics Redirection |
| LMS | Local Manageability Service |
| ME | Management Engine |
| MEBx | Management Engine BIOS Extension |
| MEI | Management Engine Interface |
| NAT | Network Address Translation |
| NVM | Non-volatile Memory |
| OEM | Original Equipment Manufacturer |
| PID/PPS | Provisioning ID and Provisioning Pre-shared Key |
| PKI | Public Key Infrastructure |
| PRTC | Protected Real Time Clock |
| PSK | Pre-shared Key |
| SMB | Small and Medium Businesses |
| SOL | Serial-Over-LAN |
| TCP | Transmission Control Protocol |
| TLS | Transport Layer Security |
| VLAN | Virtual Local Area Network |
| BIOS | Basic Input Output System |
| ZTC | Zero Touch Configuration |
| KVM | Keyboard-Video-Mouse |
| HBP | Host based provisioning |
| CIRA | Client Initiated Remote Access |
第二章 Intel AMT 7内置管理功能
Intel AMT 7拥有内置的管理功能,使得IT管理员能更好地查找、修复和维护其网络内的计算机:
查找:Intel AMT在非易失性内存中存储了计算机的硬件和软件信息。因此,允许IT管理员即使是在关机的情况下(被管理的计算机)仍然能够获取其网内管理的计算机的资产信息。
修复:Intel AMT的管理功能同时支持带外管理。因此,允许IT管理员能够在其管理的计算机操作系统出现问题后,远程去修复操作系统。而且警告信息和事件日志能够帮助IT管理员更快的检查问题所在,减少宕机时间。
保护:Intel AMT提供系统防御功能。系统防御功能主动阻止侵入网络的威胁,而且当一些重要的软件客户端被卸载时,系统会向管理员端发出预警。
第三章 联想远程管理平台
联想远程管理平台是从用户角度出发,特别是从中国IT管理员的需求出发,设计开发的管理平台应用软件,为用户提供了丰富的远程管理功能。
联想远程管理平台中的vPro管理模块,使得用户能够获得强大的远程管理功能:
Ÿ 通过启动、故障排除、诊断和维护等功能,迅速远程修复操作系统;
Ÿ 无论计算机处于何种状态,即使关机或宕机均可实施大量的远程操作;
Ÿ 通过硬件过滤器,对带宽、流量进行管理,并可灵活设置上网权限;
Ÿ 通过全新安全层有效保护系统,防范计算机遭受蠕虫的恶意扫描攻击;
Ÿ 无论电源状态如何,皆可实时获得计算机硬件信息;
Ÿ 通过事件日志管理,快速定位故障源,实施高效的日常维护;
Ÿ 支持Intel KVM,从而获得良好的“远程协助”功能。无论计算机处于操作系统状态,或者是启动过程中等其他状态,IT管理员都可以通过“远程协助”功能,接管被管理计算机进行诊断、操作。
第四章Intel AMT 7的功能
通过Intel AMT 7技术,结合使用管理软件(如联想远程管理平台),IT管理员能够更好、更安全、更有效地管理企业内的计算机。主要功能如下:
l 远程电源控制
a. 远程关机
b. 远程开机
c. 远程重启
d. 远程电源状态循环(关&开或者开&关)
l 资产管理
a. 带外硬件资产管理
b. 带外软件资产管理
l 磁盘重定向 (Integrated Device Electronics –Redirection)
a. 软驱重定向
b. 光驱重定向
l Keyboard-Video-Mouse (KVM)
l Host Based Provisioning
l Serial-Over-LAN (SOL)
a. 屏幕重定向 (文本格式)
b. 键盘重定向
c. 网络重定向
d.远程进BIOS
l 强制远程启动
a. 强制本地硬盘启动
b. 强制本地光驱启动
c.强制本地PXE启动
l 事件管理
a. 事件预警
b. 事件日志
c. 统计事件
l Agent Presence
l 系统防御
l Client Initiated Remote Access (CIRA)
提示:AMT功能不能单独使用,必须配合管理软件才能得到相应功能。因此,上述所列功能,如果某些功能无法获得,是由于所选用管理件暂未支持该功能。
第五章 Intel AMT 7的配置方法
Intel (R) Management Engine (ME) 是一个独立的、并且被保护的计算资源。Management Engine BIOS Extension (MEBx)是在BIOS中配置和修改ME的接口。也就是说,对于ME的配置不直接在BIOS中进行,而是通过MEBx实现的。MEBx提供了修改和配置ME的界面接口,包括ME的工作模式,电源策略等。
提示:
1. 在这一章中出现的缩略词,请参阅第一章中的缩略词表;
2. 保存在MEBx中所做的配置和修改时,请按照MEBx中提示的退出操作,正常退出MEBx,配置才能被保存;如果MEBx中途非正常退出,之前所做的配置和修改将会丢失。
5.1 BIOS中的Intel AMT信息
在系统启动过程中,按“F1”键,即可进入BIOS设置界面。通过键盘上的四个方向键,查看BIOS中各个参数值。进入“Advanced”选项,会看到“Intel (R) Managebility”这一项,点击进入。如下图所示。
Intel(R) Manageability Control:请在配置前,确认这一项的值为“Enabled”。这一项用来激活或者禁用AMT功能。
Intel(R) Manageability Reset:“Enabled”将会使MEBx恢复出厂设置。该项默认值为“Disabled”。请在需要恢复MEBx出厂设置时,进入该界面将其设置为“Enabled”,然后按“F10”保存设置并退出。重启过程中系统会有提示,选择“Y”即可完成MEBx恢复出厂设置。此过程完成后,该项自动变为默认值“Disabled”。下次需要时,按上述步骤重复操作即可。
Press <CTRL-P> to enter MEBx: 此项用来在系统启动过程中显示或禁止显示提示信息“<CTRL-P>”。用户可以根据自己的需要,来选择“Diasbled”或者“Enabled”。
此页面中其余各项,一般情况下,用户不需要修改。
5.2 Intel AMT配置实例 --- 手动配置模式
如果需要配置Intel AMT为手动模式,可以参考以下操作:
1、 进入MEBx:计算机(支持Intel AMT)重启过程中,重复按<Ctrl+P>,直到看到进入MEBx的提示信息,按“1”进入MEBx页面。如下图所示。
2、 修改密码:初始密码为“admin”,系统会提示修改密码。新密码应遵循如下规则:
1)长度为8-32位(不支持汉字)。
2)至少有一个数字。
3)至少一个7位ASCII非字母数字字符(如’$’, ‘;’, !’,)
不包括‘:’, ‘,’和‘”’。
4)包含大小写。
5)空格和下划线也是有效的,但是不能增加密码的复杂度。
3、 选择Intel (R) AMT Configuration ➙ Network Setup ➙ Intel (R) ME Network Name Settings:在此项设置“Host Name”和“Domain Name”。
4、 选择Intel (R) AMT Configuration -> Network Setup -> TCP/IP Settings:在此项根据您自己的网络情况设置网络。
5、 选择Intel (R) ME General Settings -> Power Control -> Intel ME ON in Host Sleep States: 设置AMT电源策略。此项默认设置为“Desktop: ON in S0”,如果使用默认设置,则计算机在关机状态下,将无法实现远程开机。若要使用远程开机功能,请修改此项设置为“Desktop: ON in S0, ME Wake in S3, S4-5”。
6、 激活配置:选择Intel (R) AMT Configuration -> Activate Network Access,按提示选择“Y”激活当前配置。
7、 退出保存:按照MEBx提示,一步一步退出MEBx,设置自动保存,配置成功。
5.3 Intel AMT配置实例 --- ZTC配置模式
如果需要配置Intel AMT为手动模式,可以参考以下操作:
1、 进入MEBx:计算机(支持Intel AMT)重启过程中,重复按<Ctrl+P>,直到看到进入MEBx的提示信息,按“1”进入MEBx页面。
2、 修改密码:初始密码为“admin”,系统会提示修改密码。新密码应遵循如下规则:
1)长度为8-32位(不支持汉字)。
2)至少有一个数字。
3)至少一个7位ASCII非字母数字字符(如’$’, ‘;’, !’,)
不包括‘:’, ‘,’和‘”’。
4)包含大小写。
5)空格和下划线也是有效的,但是不能增加密码的复杂度。
提示:请在配置开始前确认Intel (R) AMT Configuration -> RCFG处值是否为Start Configuration。若为Halt Configuration,请先选择Halt Configuration,然后待此项值变为Start Configuration之后,再开始如下步骤。
3、 选择Intel (R) AMT Configuration ➙ Network Setup ➙ Intel (R) ME Network Name Settings:在此项设置“Host Name”和“Domain Name”。
4、 选择Intel (R) AMT Configuration -> Network Setup -> TCP/IP Settings:在此项根据您自己的网络情况设置网络。
5、 设置Hash:选择Intel (R) AMT Configuration -> Remote Setup And Configuration -> TLS PKI -> Manage Hashes,按“Insert”,增加您自己证书对应的Hash值。
6、 激活配置:选择Intel (R) AMT Configuration -> RCFG-> Start Configuration,按提示选择“Y”激活当前配置。
7、 退出保存:按照MEBx提示,一步一步退出MEBx,设置自动保存,配置成功。
5.4 Intel AMT配置实例 --- USB配置模式
如果需要使用USB配置Intel AMT,可以参考以下操作:
1、 MEBx重置:计算机重启过程中,按“F1”进入BIOS,选择Advanced -> Intel (R) Manageability -> Intel (R) Manageability Reset,将此值修改为“Enabled”,按“F10”保存设置并退出BIOS,按照屏幕提示信息,选择“Y”,MEBx即被重置。
2、 生成USB配置文件:在管理软件界面,进入USB配置模块,生成USB配置文件到插入的U盘中。
提示:
1、 用来做USB配置的U盘大小必须小于等于2GB,并且需要在生成文件之前格式化成FAT格式;
2、 USB配置文件生成过程中,可以自定义配置的计算机数,可以自定义配置完成后的AMT密码,此密码需遵循如同MEBx密码同样的规则。
3、 USB配置AMT:将步骤2中生成好USB配置文件的U盘,插入到AMT计算机中,重启计算机,屏幕会有提示“Found USB Key for provisioning. Continue with Auto Provisioning (Y/N)”,按“Y”配置将自动进行。
第六章 Web用户界面
Intel ME提供了一个Web用户接口。除了通过管理软件来管理计算机,用户也能够通过ME提供的Web用户界面来实现一些简单的管理功能,如电源管理和资产管理。
提示:用户也可以通过这样的登陆方式,来确认Intel AMT是否配置正确,即您的计算机是否处于可被管理的状态。如果Web用户界面无法连接,请重新检查AMT配置。
6.1 登陆Web用户界面
对于不同的配置模式,登陆Web用户界面的地址不同。
1) 手动配置模式:
请您在浏览器地址栏中输入:“http:// IP_Address:16992”(比如 http://192.168.1.13:16992),回车后即可出现登陆界面,如下图。
2) 自动配置模式和USB配置模式:
请您在浏览器地址栏栏中输入:“https:// IP_Address:16993”(比如 https://192.168.1.13:16993),回车后即可出现登陆界面,如下图。
点击“Log On”按钮后,将出现如下登陆界面。
输入正确的用户名和密码后,即可登陆成功。
6.2 Web用户界面功能
Web用户界面提供如下功能:
1、查看系统状态;
2、查看硬件信息,包括系统,处理器,内存,硬盘;
3、查看和清除事件日志;
4、远程电源管理,包括关机,电源状态循环,重启,从本地光驱启动,从本地硬盘启动;
5、查看和管理Intel AMT电源策略;
6、查看和管理Intel AMT网络设置;
7、查看和管理Intel AMT系统名字设置;
8、查看和管理Intel AMT用户账号
6.3 Intel AMT相关驱动介绍
如果你准备在windows环境下使用Intel AMT,请参考阅读下面对相关驱动的介绍。
6.3.1 Management Engine Interface (MEI)
Intel AMT MEI是主机和Intel ME的接口。MEI为双向通道,Intel ME和主机都能够通过MEI启动执行。
6.3.2 Local Manageability Service (LMS)
LMS是一个在主机操作系统上运行的本地服务。LMS位于HECI驱动上层,通过标准接口来提供AMT功能。而HECI驱动通过标准接口与ME通信。LMS直接监听来自AMT主机的请求命令。当某个应用向本地主机发送SOAP/HTTP消息地址时,LMS拦截此消息,并且将其经由HECI驱动传递给ME接口。
6.3.3 Serial Over LAN (SOL)
SOL是一个AMT ME驱动。这个驱动使得被管理客户端的用户界面能够远程通过管理端显示。
附录 — Intel MEBx 缺省配置列表
| 选项 | 缺省值 | 选项 | 缺省值 |
| Intel (R) MEBx default password | admin | Dynamic DNS Update | DISABLED |
| Change ME Password | Blank | DHCP Mode | ENABLED |
| Local FW Update | ENABLED | IPV6 Feature Selection | DISABLED |
| Set PRTC | Blank | ||
| Intel (R) ME ON in Host Sleep States | Desktop: ON in S0 | ||
| Idle Timeout | 65535 | ||
| DHCP | Enabled | ||
| Manageability Feature Selection | ENABLED | Activate Network Access | Activates the current Network settings and opens the ME network interface Continue: (Y/N) |
| Username & Password | ENABLED | Unconfigure Network Access | Full Unprovision |
| SOL | ENABLED | Current Provisioning Mode | Provisioning Mode: PKI |
| IDER | ENABLED | Provisioning Record | Provision Record is not present |
| Legacy Redirection Mode | DISABLED | Start Configuration | This will activate Remote Configuration. Continue: (Y/N) |
| User Opt-in | KVM | Provisioning Server IPV4/IPV6 | Blank |
| KVM | ENABLED | Set PID and PPS | Blank |
| Opt-in Configurable from Remote IT | Enable Remote Control of KVM Opt-In Policy | Delete PID and PPS | This will delete the PID and PPS entries. Continue: (Y/N) |
| Password Policy | Anytime | Remote Configuration | ENABLED |
| Host Name | Blank | PKI DNS Suffix | Blank |
| Domain Name | Blank | Manage Hashes | VeriSign Class 3 Primary CA-G1 VeriSign Class 3 Primary CA-G3 Go Daddy Class 2 CA Comodo AAA CA Starfield Class 2 CA VeriSign Class 3 Primary CA-G2 VeriSign Class 3 Primary CA-G1.5 VeriSign Class 3 Primary CA-G5 GTE CyberTrust Global Root Baltimore CyberTrust Root Cybertrust Global Root Verizon Global Root Entrust.net CA (2048) Entrust Root CA VeriSign Universal Root CA Lenovo AMT |
| Shared/Dedicated FQDN | Shared |
|
|
