Intel vPro AMT KVM konfigurieren

Intel vPro ist die Fernwartungseinheit, die in den „Business“-Varianten der Intel Prozessoren und Chipsätze verbaut ist. vPro ermöglicht ein paar spannende Dinge per Remote, z.B.

  • einen ausgeschalteten Rechner einzuschalten,
  • jederzeit den Bildschirm des Rechners einzusehen, selbst wenn dieser gerade bootet oder sogar auf einem Bluescreen festhängt,
  • ihn notfalls auch wieder ausschalten bzw. rebooten zu können
  • und ins BIOS zu gelangen.

Wohlgemerkt: alles über das Netzwerk!

Gedacht ist die vPro-Funktion, um im Firmennetzwerk schnell Hilfe leisten zu können. Man kann sie aber auch wunderbar für den eigenen Heimserver gebrauchen, der „headless“ im Keller herumsteht und dem man ab und an auf die Finger schauen möchte. Doch bevor der Spaß funktioniert, wollen einige Fallstricke überwunden werden.

Voraussetzungen für dieses Tutorial

Im Folgenden gehe ich davon aus, dass ein vPro-fähiger Rechner mit aktivierter Intel Management Engine (Intel ME) vorhanden ist, der von einem nicht vPro-PC mit Windows administriert werden soll.

Folgende Schritte sollten bereits erledigt sein – ich reiße sie hier nur kurz an:

  • Die ME muss manuell im Bios aktiviert und mit einem Passwort versehen werden.

me_pw_eingebenTipp: Das Passwort muss mindestens 8 Zeichen lang sein und sowohl Groß- wie Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Beispiel: Pass1234!

Passwörter, die kürzer als 8 Zeichen sind, werden nicht akzeptiert. Ich habe von älteren vPro Implementierungen gelesen, die Passwörter nach dem achten Zeichen abschneiden sollen – bei meinem vPro Chip aus dem Jahre 2011 besteht das Problem offenbar nicht (mehr).

  • ME benötigt eine separate IP-Adresse, die im Bios manuell hinterlegt werden muss. In diesem Tutorial verwende ich die 192.168.0.1. Um es klarzustellen: diese IP ist nicht die Adresse, die der vPro-PC im regulären Betrieb nutzt. Die 192.168.0.1. ist eine separate Adresse, auf der lediglich die Intel ME antwortet.

Tipp: Intel ME will im Bios wissen, ob ein Local oder Remote Setup durchgeführt werden soll. Hier ist Local auszuwählen, anschließend kann die IP konfiguriert werden.

Funktionstest der Intel Active Management Technology

Um herauszufinden, ob die BIOS-Settings so funktionieren wie gewünscht, wird der vPro-PC vom Client aus per Browser kontaktiert. D.h., es wird auf den ausgeschalteten (aber mit dem Netzwerk verbundenen) vPro-PC unter dessen ME IP Adresse connected (http://192.168.0.1). Dort sollte nun auch ein Login-Fenster erscheinen. Eingeloggt wird sich mit dem Usernamen admin, das Passwort ist das ME-Passwort aus dem Bios-Setting (z.B. Pass1234!).

Von hier aus kann nun über den Punkt Remote Control der vPro-PC gestartet werden. Klickt dazu auf Normal boot und Send Command. Der vPro-PC wird dann starten und grundsätzlich könnte er auch über dieses Menü wieder abgeschaltet werden. Das an sich ist schon mal ganz schön, aber natürlich nur die halbe Miete. Wir wollen schließlich kein schnödes Web-Interfache sondern das richtige Leben auf dem vPro-PC sehen.

Software zur Nutzung von Intel vPro

  1. Intel Manageability Developer Tool Kit Binary
  2. RealVNC Viewer

Als erstes wird das Intel Manageability Developer Toolkit installiert und dann das Manageability Commander Tool gestartet. Danach:

  1. Über Add Known Computer wird die ME IP Adresse eingetragen und Username sowie Password werden hinterlegt.
  2. Der vPro-PC erscheint nun in der Software und kann direkt connected werden. Das machen wir auch – per Klick auf connect.
  3. Jetzt den Reiter Remote-Control anwählen und Take Control klicken.
  4. Beim Punkt Remote KVM Settings auf Enable – Both Ports klicken und ein Standard Port Password vergeben. Das Passwort muss genauso komplex sein wie bereits oben beschrieben.
  5. Enable Opt In bzw. User Consent deaktiveren.

windowswirdgestartetIm Prinzip war es das schon. Wer jetzt auf KVM Viewer Standard Port klickt, sollte bereits einen Connect auf den vPro-PC hinbekommen – allerdings noch mit einem sehr störenden RealVNC Werbebanner. Nichts desto trotz: der VNC-Server steht jetzt bereit.

Wer auf den Werbebanner verzichten will, installiert sich noch schnell den RealVNC Viewer oder eine kompatible Software. Und wer lieber per Mac OS X auf vPro per VNC zugreifen möchte, dem sei die Software Chicken of the VNC empfohlen.

Was noch zu tun ist

Dieses Tutorial ermöglicht einen Quick-and-Dirty Connect auf einen vPro-PC. Mehr aber auch nicht. Die Verbindung ist weder verschlüsselt noch wurden separate vPro-User mit ausgefeilten Zugriffsrechten angelegt. Und auch die Interaktion mit dem User am vPro-PC ist nicht Teil dieses Tutorials gewesen. Möglichkeiten etwas zu tun gibt es reichlich – doch wer einfach nur seinem Heimserver im Keller auf die Finger schauen will, der ist mit diesem Tutorial bereits gut bedient.

Dieser Artikel ist Teil meines Homecloud-Server-Projekts.

5 (100%) 2 votes

11 Replies to “Intel vPro AMT KVM konfigurieren”

  1. Das liest sich jetzt so, als ob ich auch ohne zusätzliche proprietäre Software auf den mit AMT versehenen Rechner zugreifen kann, also nur mit Browser und VNC-Viewer (welchen auch immer) – ist das so?

    Ich würde nämlich gerne einen Server in den Keller stellen und den dann per AMT/vPro steuern, allerdings gibt’s im Haus keinen Windowsrechner, auf dem die ganzen Intel-Windows-only-Sachen installiert werden könnten. Alternative wäre dann, wenn es nur einmalig erledigt werden muss, das ganze in einer virtuellen Maschine zu tun.

    Ansonsten Danke für die Übersicht, Berichte zum AMT/vPro sind ja schon eher rar gesät… 🙂

    • „Im Prinzip“ sollte das so funktionieren, wie du es vor hast. VNC vom Mac ist kein Problem, Browser sowieso. Je nach AMT Implementierung kommst du vielleicht sogar ohne die Command-Tools aus. Und falls nicht, wird sich die Steuerung über eine VM erledigen lassen.

  2. Ich komme bis zum Login beim Explorer.
    Hier nimmt er aber nicht das ME-Passwort aus dem Bios-Setting?
    Habe das Passwort schon mehrmals geändert ohne Erfolg!?

    • Die Intel ME arbeiteten mit dem US-Tastaturlayout. Wenn du dann über den Browser connectest, hast du mit Sicherheit eine andere Codepage.
      Versuch es testweise(!) mal mit Passwörtern, die ASCII und WesternLatin unkritisch sind, z.B. test1234 oder pass5678. Außerdem empfehle ich, zunächst mit 8-Zeichen-Passwörtern zu starten – da gibt es scheinbar ein paar krude Restriktionen in der ME Implementierung.

      • Okay habe das ME-Bios nochmal auf Werkseinstellungen zurück gesetzt und das Passwort neu vergeben und kann mich nun einloggen. Danke für den Tipp!
        Alles funktioniert soweit neu starten, runterfahren, KFM usw. nur wenn ich den Computer jetzt ausschalte / herunter fahre komme ich nicht mehr zum Login bzw. kann in nicht mehr einschalten. Wenn ich in per Hand einschalte kann ich mich wieder einloggen. Muss ich hier noch etwas aktivieren?

      • Es kann sein, dass der interne Webserver des ME nach dem Shutdown nicht verfügbar ist. In dem Fall kannst du den PC über das AMT Manageability Commander Tool per Remote aktivieren.

  3. Pingback: Citrix XenServer based Home-Lab - Teil 2 - AMT XEN NFS

  4. Hallo Andreas,

    gibt es Möglichkeit über AMT auf Desktop von Remote VPN (NCP-Client) zugreifen? Über VNC gehet es.

    Gruß
    Michael

    • Ein komplexes Szenario, ich fasse zusammen:
      – du willst von deinem Arbeitsplatz-PC…
      – …über einen VPN Tunnel (Juniper NCP)…
      – …auf einen entfernten Client auf die AMT Schnittstelle zugreifen?

      Falls das dein Thema ist, klingt das für mich eher nach einem Routing- und Firewall-Thema anstatt nach einer Herausforderung fürs AMT. Das AMT im Remote Client muss so konfiguriert sein, dass es vom Netzwerksegment her zu deinem Tunnel passt. Per IPSEC ist das IMHO relativ leicht machbar – und das wird von NCP unterstützt. HTH.

      Schönen Gruß
      Andreas

  5. Ein sehr interessanter und wertvoller Artikel zum Einstieg in das Thema vPro / AMT – vielen Dank.

    Ich habe jetzt einige Stunden auf einem HP Elitedesk Mini G2 i7-6700 getestet. Der Rechner ist als ESXi 6 System installiert, alles (ESXi und vPro/AMT) läuft fein.

    Mein einziges Problem ist, dass der VNC Zugriff zum BIOS oder laufenden ESXi nur mit angeschlossenem Monitor möglich ist. Für einen Headless Betrieb ist die Lösung somit nur bedingt geeignet.

    Nach einigen Stunden Suche im Internet und Tests am System, sehe ich nur die oft vorgeschlagene Lösung mit einem Monitor Simulator.

    Hast Du / habt Ihr noch eine andere Idee / Lösung?

    Schöne Grüße

    Dirk

  6. Woran kann es liegen, wenn der Zugriff über das Webinterface (also http://:16992) funktioniert, aber der Connect über die GUI nicht? Die Debug Information liefert einen Error namens „System.Net.WebException“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.