Intel Active Management Technology v7.0 管理员指南 概览 管理 产品概览 开箱即用体验 操作模式 设置和配置概览 Intel AMT Web GUI 菜单及默认设置 MEBx 设置概览 ME 常规设置 AMT 配置 Intel 快速呼叫帮助 MEBx 默认设置 ME 常规设置 AMT 配置 设置和配置 AMT 重定向 (SOL/IDE-R) AMT 重定向概览 Intel Management and Security Status 应用程序 Intel Management and Security Status 应用 程序 故障排除 故障排除 方法概览 配置服务 - 使用 USB 设备 配置服务 - USB 设备步骤 系统部署 操作系统驱动程序 如果您购买的是 Dell™ n 系列计算机,则本说明文件中关于 Microsoft ® Windows ® 操作系统的任何参考内容均不适用。 本说明文件中的信息如有更改,恕不另行通知。 © 2011 Dell Inc. 版权所有,翻印必究。 未经 Dell Inc.
产品概览 Intel Active Management Technology (Intel AMT) 使公司能够轻松管理其联网计算机。 了解网络上的计算机资产,无论计算机处于打开还是关闭状态 – Intel AMT 使用存储在非易失性系统内存中的信息来访问计算机。即使计 算机处于关闭状态,也能对其进行访问(也称为带外 [OOB] 访问)。 在操作系统发生故障后可远程修复系统 – 在软件或操作系统发生故障的情况下,可使用 Intel AMT 远程访问计算机以进行修复。此外,IT 管理员还可在 Intel AMT 的 OOB 事件记录和警报的协助下,轻松检测系统问题。 保护网络免受外来威胁,同时保持网络上的软件和病毒防护程序始终最新。 软件支持 多家独立软件供应商 (ISV) 都在开发可与 Intel AMT 功能配合使用的软件包。这可以为 IT 管理员提供许多选项来远程管理公司的联网计算机资 产。 功能和优点 Intel AMT 功能 带外 (OOB) 访问 优点 无论电源或操作系统处于什么状态,都可对平台进行远程管理。 远程故障排除和恢复 大大降低现场访问次数,提高 IT 技术人员的效率。 预先警报
通过通知(而非唤醒) 中的控制台系统,来应答 请求 和邻居发现信息包 。 新 Win7 LAN 要求 仅适用于 5 MB SKU 和电源策略 2 深度睡眠 S4/S5 在 PP2 中预配置 AMT 时,此选项被自动禁用。 身份保护技术 (IPT) 通过基于 ME 的验证,启用基于一次性密码的安全登录和 Web 事务处理。 客户端系统要求 本说明文件中的客户端系统基于 Intel 6 芯片组系列/Intel PCH 平台,并受 Intel Management Engine 管理。要在客户端系统上配置和运行 Intel Management Engine,必须先满足以下针对安装和设置的固件和软件要求。 SPI 闪存设备已使用集成了 BIOS、Intel Management Engine 和 GbE 组件映像的 Intel AMT 7.
开箱即用体验 Intel Active Management Technology (Intel AMT) 计算机附带以下材料: 出厂安装 Intel AMT 7.0 从 Dell 工厂出厂时处于出厂默认状态。 《安装与快速参考指南》 Intel AMT 概览(含指向《Dell 技术指南》的链接)。 《Dell 技术指南》 高级别 Intel AMT 概览、设置、预配置和支持。 备份介质 Resource CD 中包含固件和关键驱动程序。 请参阅 support.dell.com\manuals 上的管理员指南,了解有关 Intel AMT 的详情。
操作模式 在 Intel AMT 5.0 和早期版本中,有两种操作模式 – SMB 模式和企业模式。在 Intel AMT 6.0 和 AMT 7.0 中,已对功能进行整合,以在企业 模式中提供与之前相同的功能。 新配置选项包括: Manual Setup and Configuration(手动设置和配置)(适用于 SMB 客户) Automatic Setup(自动设置) Configuration(配置) Intel AMT 5.0 和早期版本的默认选项 设置 Intel AMT 6.0/7.
设置和配置概览 下面是与 Intel AMT 设置和配置相关的重要术语列表。 设置和配置 — 在 Intel AMT 管理的计算机中填写用户名、密码及网络参数的过程,以便从远程管理计算机。 配置服务 — 可完成 Intel AMT 预配置的第三方应用程序。 Intel AMT WebGUI — 一种基于 Web 浏览器的界面,适用于进行有限远程计算机管理。 在使用 Intel AMT 之前,必须在计算机中对其进行设置和配置。通过 Intel AMT 设置,计算机将能够使用 Intel AMT 模式,并启用网络连接。 在计算机的整个使用期限内,此设置通常只需执行一次。启用 Intel AMT 后,管理软件便可通过网络找到它。 在企业模式中设置 Intel AMT 后,即可启动对其自身功能的配置。当所有必需的网络要素均已具备时,您只需将计算机连接至电源和网络,Intel AMT 便会自动启动对其自身的配置。配置服务(第三方应用程序)将助您完成该过程。随后,Intel AMT 便可用于远程管理。此配置通常只需数 秒时间。设置和配置 Intel AMT 后,您可以根据需要为业务环境重新配置该技术。 如果在 SMB 模
MEBx 设置概览 Intel Management Engine BIOS Extension (MEBx) 可提供平台级配置选项,用于配置 Management Engine (ME) 平台的行为。这些选项 包括启用和禁用各个功能以及设置电源配置。 本部分详细介绍 MEBx 配置的选项和限制(如果有)。 访问 MEBx 配置用户界面 通过执行以下步骤,可在计算机上访问 MEBx 配置用户界面: 1. 打开(或重新启动)计算机。 2. 系统显示 DELL™ 徽标时,立即按 键并选择 MEBx。 注:如果等待时间过长,系统已显示操作系统徽标,则请继续等待直至看到 Microsoft Windows 桌面。然后关闭计算机并再试一 次。 3.
新密码必须包含以下要素: 八个字符(最多不超过 32 个字符) 一个大写字母 一个小写字母 一个数字 一个特殊字符(非字母数字),例如 !、$ 或 ;,不包括 :、" 及 , 字符。 注:下划线 ( _ ) 和空格是有效的密码字符,但不会增加密码的复杂性。 注:关闭系统、拔下交流和直流电源以及执行 RTC 重设,均可将密码重设为默认设置 (admin)。 * 本页面上的信息由 Intel 提供。
ME 常规设置 要访问 Intel Management Engine (ME) 平台配置 页面,请执行以下步骤: 1. 在 Management Engine BIOS Extension (MEBx) 主菜单下,选择 Intel ME General Settings(Intel ME 常规设置)。按 键。 2.
Set PRTC(设置 PRTC) 在 Intel ME Platform Configuration(Intel ME 平台配置)菜单下,选择 Set PRC(设置 PRC),然后按 键。 有效的日期范围为 2004 年 1 月 1 日至 2021 年 1 月 4 日。设置 PRTC 值可用于在断电 (G3) 状态下物理保留 PRTC。 按照 GMT (UTC) 格式“YYYY:MM:DD:HH:MM:SS”(年:月:日:时:分:秒)键入 PRTC,然后按 键。
Power Control(电源控制) 在 Intel ME Platform Configuration(Intel ME 平台配置)菜单下,选择 Power Control(电源控制),然后按 键。 系统将显示 Intel 电源控制页面。 为符合能源之星* 和 EUP LOT6 要求,可在各种睡眠状态下关闭 Intel ME。Intel ME Power Control(Intel ME 电源控制)菜单可用于配置 Intel ME 平台上与电源有关的策略。 Intel ME ON in Host Sleep States(在主机睡眠状态下开启 Intel ME) 在 Intel ME Power Control(Intel ME 电源控制)菜单下,选择 Intel ME ON in Host Sleep States(在主机睡眠状态下开启 Intel ME),然后按 键。 使用上箭头键和下箭头键来选择所需的电源策略,然后按 键。
最终用户管理员可以选择所需的电源组,以根据系统使用情况予以使用。 通过 Intel ME WoL,计时器超时后,Intel ME 会一直保持 M-off(移动关闭)状态,直至有命令发送到 ME。系统发送了此命令后,Intel ME 将切换到 M0 或 M3 状态,并且将对发送的下条命令作出反应。发送到 Intel ME 的 ping 命令也将使 Intel ME 转到 M0 或 M3 状态。 Intel ME 需要一小段时间才能从 M-off(移动关闭)状态切换到 M0 或 M3 状态。在此期间,Intel AMT 将不会对任何 Intel ME 命令作出反 应。Intel ME 已转成 M0 或 M3 状态后,系统才对 Intel ME 命令作出反应。 下表显示了电源组的详细信息。 电源组 1 2 S0 ON(开启) ON(开启) S3 OFF(关闭) ON/ME WoL(开 启/ME WoL) S4/S5 OFF(关闭) ON/ME WoL(开 启/ME WoL) 选择所需的“Power Policy”(电源策略),然后按 键。 注:将系统更改为预配置状态,将自动切
此设置用于设置超时值,以定义 M3 状态下的 Intel ME 空闲超时。请以分钟数形式输入该值。该值表示 Intel ME 转变为 M-off 状态之前,可在 M3 状态中保持空闲的总时间。 注:如果 Intel ME 处于 M0 状态,则不会转为 M-off 状态。 Previous Menu(上一级菜单) 在 Intel ME Platform Configuration(Intel ME 平台配置)菜单下,选择 Previous Menu(上一级菜单),然后按 键。 系统将显示 Intel ME Platform Configuration(Intel ME 平台配置)页面。 Previous Menu(上一级菜单) 在 Intel ME Platform Configuration(Intel ME 平台配置)菜单下,选择 Previous Menu(上一级菜单),然后按 键。 系统将显示 Main Menu(主菜单)。 * 本页面上的信息由 Intel 提供。
AMT 配置 在配置完成 Intel Management Engine (ME) 功能后,务必在配置 Intel AMT 前进行重新引导,以完成无干扰的系统引导。下图显示了用户从 Management Engine BIOS Extension (MEBx) 主菜单中选择 Intel AMT Configuration(Intel AMT 配置)选项后,所显示的 Intel AMT Configuration(Intel AMT 配置)菜单。用户可使用此功能配置具备 Intel AMT 功能的计算机,以支持 Intel AMT 管理功能。 注:您需要对网络和计算机技术术语(例如 TCP/IP、DHCP、VLAN、IDE、DNS、子网掩码、默认网关和域名)有基本了解。对这些术 语进行解释并不属于本说明文件的范畴。 要浏览至 Intel AMT Configuration(Intel AMT 配置)页面,请执行以下步骤: 1.
Current Provisioning Mode(当前预配置模式) Provisioning Record(预配置记录) RCFG Start Configuration(开始配置) Previous Menu(上一级菜单) Provisioning Server IPv4/IPv6(预配置服务器 IPv4/IPv6) Provisioning Server FQDN(预配置服务器 FQDN) TLS PSK Set PID and PPS(设置 PID 和 PPS) Delete PID and PPS(删除 PID 和 PPS) Previous Menu(上一级菜单) TLS PKI Remote Configuration(远程配置) PKI DNS Suffix(PKI DNS 后缀) Manage Hashes(管理散列值) 添加定制散列值 删除散列值 更改活动状态 查看证书散列值 Previous Menu(上一级菜单) Previous Menu(上一级菜单) Previous Menu(上一级菜单) Manageability Feature Selection(可管理性功能选择) 1.
SOL/IDER/KVM 在 Intel AMT Configuration(Intel AMT 配置)页面(已启用 Intel AMT)下,选择 SOL/IDER/KVM,然后按 键。 Intel AMT Configuration(Intel AMT 配置)页面将切换至 SOL/IDER 页面。 Username and Password(用户名和密码) 在 SOL/IDER 页面下,选择 Username and Password(用户名和密码),然后按 键。 此选项提供用于 SOL/IDER 会话的用户身份验证。如果使用 Kerberos*,则应将此选项设置为 DISABLED(已禁用)。用户身份验证将通过 Kerberos 进行处理。如果未使用 Kerberos,则 IT 管理员可选择在 SOL/IDER 会话中启用或禁用用户身份验证。 选项 说明 Enabled(已启用) 已启用 Username and Password(用户名和密码)。 Disabled(已禁用) 已禁用 Username and Password(用户名和密码)。 SOL 在
SOL 允许受 Intel AMT 管理的客户端的控制台输入/输出重新定向到管理服务器控制台(如果客户端系统支持 SOL)。如果该系统不支持 SOL, 则无法启用此值。 选项 说明 Enabled(已启用) 已启用 SOL。 Disabled(已禁用) 已禁用 SOL。 注:禁用 SOL 不会删除此功能,只是阻止使用此功能。 IDER 在 SOL/IDER 页面下,选择 IDER,然后按 键。
IDE-R 允许受 Intel AMT 管理的客户端由管理控制台通过远程磁盘映像进行引导。如果该客户端系统不支持 IDER,则无法启用此值。 选项 说明 Enabled(已启用) 已启用 IDER。 Disabled(已禁用) 已禁用 IDER。 注:禁用 IDER 不会删除此功能,只是阻止使用此功能。 Legacy Redirection Mode(传统重定向模式) 在 SOL/IDER 页面下,选择 Legacy Redirection Mode(传统重定向模式),然后按 键。
通过 Legacy Redirection Mode(传统重定向模式),可控制重定向的工作方式。如果设置为禁用该模式,则在每次开始对话前,控制台都需要 打开重定向端口。该情况针对支持打开重定向端口的企业控制台和新型 SMB 控制台而言。因为旧 SMB 控制台(Intel AMT 6.
Enabled(已 启用) 在 Intel MEBx 中启用重定向后,端口将始终处于打开状态。Intel AMT 6.
可选择以下选项: 选项 说明 None(无) 远程计算机建立 KVM 远程控制台会话不需要本地用户同意。 KVM 远程计算机建立 KVM 远程控制台会话需要本地用户同意。 All(全部) SOL、IDER 和 KVM 都需要本地用户同意。 注:使用基于主机的预配置时,客户端模式将代替此设置,并如同已选择 All(全部)选项那样工作。有关基于主机的预配置和客户端模式 的详细信息,请参阅 SDK 套件中的 Activator++ 用户指南 和 UCT(用户同意工具)用户指南。 Opt-in Configurable from remote IT(从远程 IT 配置自愿加入) 在 IKVM Configuration(IKVM 配置)页面下,选择 Opt-in Configurable from remote IT(从远程 IT 配置自愿加入),然后按 键。 此设置决定在向此计算机建立 KVM 远程控制台会话时,远程计算机用户是否可以配置自愿加入策略。
选项 说明 Disable Remote Control of KVM Opt-in Policy(禁 远程用户无法选择 User OPT-IN(用户自愿加入)策略。在这种情况 用 KVM 自愿加入策略的远程控制) 下,只有本地用户可以控制自愿加入策略。 Enable Remote Control of KVM Opt-in Policy(启 用 KVM 自愿加入策略的远程控制) 允许远程用户选择 User OPT-IN(用户自愿加入)策略。 Previous Menu(上一级菜单) 在 User Consent Configuration(用户同意配置)页面下,选择 Previous Menu(上一级菜单),然后按 键。 系统将显示“Intel AMT Configuration”(Intel AMT 配置)页面。 Password Policy(密码策略) 在 Intel AMT Configuration(Intel AMT 配置)页面下,选择 Password Policy(密码策略),然后按 键。 此选项决定何时允许用户通过网络更改 Intel MEBx 密
选项包括: 选项 Default Password Only(仅默 认密码) 说明 如果尚未更改默认密码,则可通过网络界面更改 Intel MEBx 密码。 During Setup and 只能在设置和配置过程中通过网络界面更改 Intel MEBX 密码,而不能在其他时间更改。一旦完 Configuration(在设置和配置过程 成设置和配置过程,便无法再通过网络界面更改 Intel MEBx 密码。 中) Anytime(任何时候) 可随时通过网络界面更改 Intel MEBX 密码。 Network Setup(网络设置) 在 Intel ME Platform Configuration(Intel ME 平台配置)菜单下,选择 Network Setup(网络设置),然后按 键。 系统将显示 Intel ME Network Setup(Intel ME 网络设置)页面。 网络名称设置 在 Intel ME Network Name Settings(Intel ME 网络名称设置)下,选择 Intel ME Network Name Settings(Intel ME
1. Host Name(主机名) 在 Intel ME Network Name Settings(Intel ME 网络名称设置)下,选择 Host Name(主机名),然后按 键。 可为 Intel AMT 计算机分配主机名。这是已启用 Intel AMT 的系统的主机名。 2.
在 Intel ME Network Name Settings(Intel ME 网络名称设置)下,选择 Domain Name(域名),然后按 键。 可为 Intel AMT 计算机分配域名。 3. Shared/Dedicated FQDN(共享/专用 FQDN) 在 Intel ME Network Name Settings(Intel ME 网络名称设置)下,选择 Shared/Dedicated FQDN(共享/专用 FQDN),然后按 键。 此设置决定 Intel ME 完全合格域名 (FQDN)(即“HostName.
ME。 选项 说明 Dedicated(专用) FQDN 域名专用于 ME。 Shared(共享) 与主机共享 FQDN 域名。 4.
注:Periodic Update Interval(定期更新间隔) 选项仅在已启用 Dynamic DNS Update(动态 DNS 更新)的情况下才可用。 定义固件 DDNS 更新客户端发送定期更新的时间间隔。该间隔应根据公司 DNS 清理策略进行设置。单位为分钟。将该值设为 0 可禁用定期更 新。所设的值必须等于或大于 20 分钟。此属性的默认值为 24 小时,即 1440 分钟。 6.
注:TTL 选项仅在已启用 Dynamic DNS Update(动态 DNS 更新)的情况下才可用。 此设置允许以秒为单位配置 TTL 时间。此数值应该大于零。如果将该值设为零,则固件会使用其内部默认值,即 15 分钟或 1/3 的 DHCP 租用时 间。 7.
1.
已禁用 DHCP Mode(DHCP 模式)。 2.
3. Subnet Mask Address(子网掩码地址) 选择 Subnet Mask Address(子网掩码地址),然后按 键。 在地址栏中键入子网掩码地址,然后按 键。 4.
选择 Default Gateway Address(默认网关地址),然后按 键。 在地址栏中键入默认网关地址,然后按 键。 5.
6. Alternate DNS Address(备用 DNS 地址) 选择 Alternate DNS Address(备用 DNS 地址),然后按 键。 在地址栏中键入备用 DNS 地址,然后按 键。 7.
注:Intel ME 网络堆栈支持多宿主 IPv6 接口。每个网络接口均可配置为以下 IPv6 地址: 1. 一个链接本地自动配置的地址 2. 三个自动配置的全局地址 3. 一个已配置 DHCPv6 的地址 4. 一个静态配置的 IPv6 地址 1.
启用:选择“Enabled(已启用)”,然后按 键。 即可启用 IPv6 Feature Selection(IPv6 功能选择),从而进行更多配置。 2.
选项 说明 Random ID(随机 ID) 如 RFC 3041 中所述,使用随机号码自动生成 IPv6 接口 ID。这是默认选项。 Intel ID 使用 MAC 地址自动生成 IPv6 接口 ID。 Manual ID(手动 ID) 手动配置 IPv6 接口 ID。要选择此类型,需要使用有效值设置 Manual Interface ID(手动接口 ID)。 要选择手动配置 ID,请 1. 选择“Manual ID(手动 ID)”。 2. 按 键。IPV6 Interface ID Type(IPV6 接口 ID 类型)下面将显示新选项 IPV6 Interface ID(IPV6 接口 ID)。 3. 选择“IPV6 Interface ID(IPV6 接口 ID)”。 4. 按 键。 5.
3. IPv6 Address(IPv6 地址) 在 Wired LAN IPv6 Configuration(有线 LAN IPv6 配置)下,选择 IPv6 Address(IPv6 地址),然后按 键。 键入 IPv6 地址,然后按 键。 4.
键入 IPv6 默认路由器,然后按 键。 5. Preferred DNS IPv6 Address(首选 DNS IPv6 地址) 在 Wired LAN IPv6 Configuration(有线 LAN IPv6 配置)下,选择 Preferred DNS IPv6 Address(首选 DNS IPv6 地址),然后按 键。 键入首选 DNS IPv6 地址,然后按 键。 6.
键入备用 DNS IPv6 地址,然后按 键。 7.
1. IPv6 Feature Selection(IPv6 功能选择) 在 Wireless LAN IPv6 Configuration(无线 LAN IPv6 配置)下选择 IPv6 Feature Selection(IPv6 功能选择),然后按 键。 2.
键。 自动配置的 IPv6 地址包含两部分: IPv6 前缀(由 IPv6 路由器设置) 接口 ID(分别为 64 位) 选项 说明 Random ID(随机 ID) 如 RFC 3041 中所述,使用随机号码自动生成 IPv6 接口 ID。这是默认选项。 Intel ID 使用 MAC 地址自动生成 IPv6 接口 ID。 Manual ID(手动 ID) 手动配置 IPv6 接口 ID。要选择此类型,需要使用有效值设置 Manual Interface ID(手动接口 ID)。 要选择手动配置 ID,请: 1. 选择 Manual ID(手动 ID)。 2. 按 键。IPV6 Interface ID Type(IPV6 接口 ID 类型)下面将显示新选项 IPV6 Interface ID(IPV6 接口 ID)。 3. 选择 IPV6 Interface ID(IPV6 接口 ID)。 4. 按 键。 5.
3.
注:如果默认电源策略设置为 PP1,则电源策略将在激活网络访问后更改为 PP2。 Unconfigure Network Access(取消配置网络访问) 在 Intel ME Platform Configuration(Intel ME 平台配置)菜单下,选择 Unconfigure Network Access(取消配置网络访问),然后按 键。 注:此操作会使 Intel ME 切换到预配置状态。 选择 Y(是)可取消配置。
选择 Full Unprovision(完全取消预配置),然后按 键。 选项 说明 Full 如 RFC 3041 中所述,使用随机号码自动生成 IPv6 接口 ID。这是默认设置。 Unprovision(完全取 完全取消预配置操作将取消预配置 AMT,并删除所有 PID/PPS 信息或者所生成的任何 消预配置) 新认证信息。 Full 使用 MAC 地址自动生成 IPv6 接口 ID。完全取消预配置操作将取消预配置 AMT,但将 Unprovision(部分取 保留所输入的 PID/PPD 信息或任何新认证信息。
消预配置) 正在取消预配置。 Remote Setup and Configuration(远程设置和配置) 在 Intel AMT Configuration(Intel AMT 配置)下,选择 Remote Setup and Configuration(远程设置和配置),然后按 键。 系统将显示 Intel Automated Setup and Configuration(Intel 自动设置和配置)页面。
Current Provisioning Mode(当前预配置模式) 在 Automated Setup and Configuration(自动设置和配置)下,选择 Current Provisioning Mode(当前预配置模式),然后按 键。 Current Provisioning Mode(当前预配置模式)– 显示当前的预配置 TLS 模式:None(无)、PKI 或 PSK。 Provisioning Record(预配置记录)
在 Automated Setup and Configuration(自动设置和配置)下,选择 Provisioning Record(预配置记录),然后按 键。 Provisioning Record(预配置记录)– 显示系统的预配置 PSK/PKI 记录数据。如果尚未输入数据,则 Intel MEBX 会显示信 息:“Provision Record not present(预配置记录不存在)”。 如果已输入数据,则 Provisioning Record(预配置记录)会显示如下信息: 选项 说明 TLS provisioning mode(TLS 预配 置模式) 显示系统的当前配置模式:None(无)、PSK 或 PKI。 Provisioning IP(预配置 IP) 设置和配置服务器的 IP 地址。 Date of Provision(预配 置日期) 显示预配置的日期和时间,其格式为“MM/DD/YYYY,HH:MM” DNS 表示在执行远程配置前,Intel MEBx 中是否已配置“PKI DNS Suffix(PKI DNS 后缀)”。值为 0 表
Time Validity Pass(有效期通 过) 表示证书是否已通过有效期检查。 RCFG 在 Intel Automated Remote Setup and Configuration(Intel 自动远程设置和配置)菜单下,选择 RCFG,然后按 键。 系统将显示 Intel Remote Configuration(Intel 远程配置)页面。 Start Configuration(开始配置) 在 Intel Remote Configuration(Intel 远程配置)菜单下,选择 Start Configuration(开始配置),然后按 键。 如果不激活远程配置,则无法进行远程配置。 要激活(启用)远程配置,请选择“Y(是)”。
Previous Menu(上一级菜单) 在 Intel Remote Configuration(Intel 远程配置)菜单下,选择 Previous Menu(上一级菜单),然后按 键。 系统将显示 Intel Automated Setup and Configuration(Intel 自动设置和配置)页面。 Provisioning Server IPv4/IPv6(预配置服务器 IPv4/IPv6) 在 Intel Automated Setup and Configuration(Intel 自动设置和配置)菜单下,选择 Provisioning Server IPv4/IPv6(预配置服务 器 IPv4/IPv6),然后按 键。 1.
2.
证书中提及的预配置服务器的 FQDN(仅 PKI)。这也是 AMT 针对 PSK 和 PKI 向其发送问候信息包的服务器 FQDN。 TLS PSK 在 Intel Automated Setup and Configuration(Intel 自动设置和配置)菜单下,选择 TLS PSK,然后按 键。 系统将显示 Intel TLS PSK 配置页面。 此子菜单包含用于 TLS PSK 配置设置的设置。
Set PID and PPS(设置 PID 和 PPS) 在 Intel TLS PSK 配置菜单下,选择 Set PID and PPS(设置 PID 和 PPS),然后按 键。 键入 PID,然后按 键。 键入 PPS,然后按 键。 如果设置和配置“正在进行”,则设置 PID/PPS 会导致部分取消预配置。PID 和 PPS 应以破折号格式输入。(例如,PID:1234ABCD;PPS:1234-ABCD-1234-ABCD-1234-ABCD-1234-ABCD)。 注:PPS 的值为“0000-0000-0000-0000-0000-0000-0000-0000”并不会改变设置配置状态。如果使用此值,则设置和配置将保 持“未启动”状态。 如果输入了无效的条目,则系统将显示一则错误信息:
Delete PID and PPS(删除 PID 和 PPS) 在 Intel TLS PSK 配置菜单下,选择 Delete PID and PPS(删除 PID 和 PPS),然后按 键。 此选项会删除存储在 Intel ME 中的当前 PID 和 PPS。如果之前没有输入 PID 和 PPS,则 Intel MEBx 会返回错误信息。 要删除 PID 和 PPS 条目,请选择 Y(是),否则请选择 N(否)。 Previous Menu(上一级菜单)
在 Intel TLS PSK 配置菜单下,选择 Previous Menu(上一级菜单),然后按 键。 系统将显示 Intel Automated Setup and Configuration(Intel 自动设置和配置)页面。 TLS PKI 在 Intel Automated Setup and Configuration(Intel 自动设置和配置)菜单下,选择 TLS PKI,然后按 键。 系统将显示 Intel Remote Configuration(Intel 远程配置)页面。 Remote Configuration(远程配置) 在 Intel Remote Configuration(Intel 远程配置)菜单下,选择 Remote Configuration(远程配置),然后按 键。 如果设置和配置服务器“正在进行”,则启用/禁用 Remote Configuration(远程配置)将导致部分取消预配置。 选项 Disabled(已 禁用) 说明 已禁用 Remote Configuration(远程配置)。只显示“Remote C
Manage Hashes(管理散列值) 在 Intel Remote Configuration(Intel 远程配置)菜单下,选择 Manage Hashes(管理散列值),然后按 键。 选择此选项,将枚举系统中的散列值,并显示散列值名称、活动状态和默认状态。如果系统中不包含任何散列值,则 Intel MEBx 会显示下方所示 的屏幕。
回答“Yes(是)”,系统将开始添加定制散列值。Manage Certificate Hash(管理证书散列值)屏幕提供了多个键盘控件,用于管理系统中的散 列值。在 Manage Certificate Hash(管理证书散列值)菜单中,以下键有效。 键 说明 键 从菜单退出。 键 向系统添加定制的证书散列值。 键 删除系统中当前选定的证书散列值。 <+> 键 更改当前选定证书散列值的活动状态。 键 显示当前选定的证书散列值的详细信息。 添加定制散列值 在 Manage Certificate Hash(管理证书散列值)屏幕中按 键后,系统将显示如下所示的屏幕。
要添加定制证书散列值:键入散列值名(不得超过 32 个字符)。按 键后,系统将提示您选择目前用于 PKI 预配置的散列值算法。如果 正在使用 SHA1,则键入 Y,否则输入 N。 受支持的散列值算法为: 1. SHA1 2. SHA2-256 3.
如果未选择 SHA256,则在下一个屏幕中,键入 Y 以选择 SHA2-384。 如果输入 N,屏幕上会显示一则错误信息,提示用户选择一个受支持的算法。 选择所需的散列值算法后,系统将提示您键入证书散列值。
证书散列值是一个十六进制数字(对于 SHA-1,为 20 字节;对于 SHA-2,为 32 字节)。必须使用正确的格式输入散列值,否则系统会显 示“Invalid Hash Certificate Entered - Try Again(输入的散列值证书无效 - 请重新输入)”信息。按 键后,系统会提示您设置散列 值的活动状态。 您可以将定制散列值设置为以下活动状态: Yes(是)– 将定制散列值标记为活动。 No(否)(默认值)– 将定制散列值添加到 EPS,但并不处于活动状态。
删除散列值 在 Manage Certificate Hash(管理证书散列值)屏幕上按 键后,系统会显示如下所示的屏幕。 注:无法删除设为“Default(默认值)”的证书散列值。 此选项允许删除选定的证书散列值。 Yes(是)– Intel MEBx 向固件发送删除选定散列值的信息。 No(否)– Intel MEBx 不会删除选定的散列值,并将返回 Remote Configuration(远程配置)。 更改活动状态 在 Manage Certificate Hashes(管理证书散列值)屏幕上按 <+> 键后,系统将显示如下所示的屏幕。 回答 Y(是),会将当前选定的证书散列值切换为活动状态。将散列值设置为活动状态,表示可在 PSK 预配置期间使用该散列值。 查看证书散列值
在 Manage Certificate Hash(管理证书散列值)屏幕上按 键后,系统会显示如下所示的屏幕。 系统会向用户显示选定证书散列值的详细信息,其中包括: 散列值名称 证书散列值数据 活动状态和默认状态 Previous Menu(上一级菜单) 在 Intel Remote Configuration(Intel 远程配置)菜单下,选择 Previous Menu(上一级菜单),然后按 键。 系统将显示 Intel Automated Setup and Configuration(Intel 自动设置和配置)页面。 Previous Menu(上一级菜单) 在 Intel Automated Setup and Configuration(Intel 自动设置和配置)菜单下,选择 Previous Menu(上一级菜单),然后按 键。 系统将显示 Intel AMT Configuration(Intel AMT 配置)菜单。 Previous Menu(上一级菜单) 在 Intel AMT Configuration(Intel AMT 配
Intel 快速呼叫帮助 Intel 快速呼叫帮助适用于 VPro SKU。如果 VPro 系统位于公司网络之外,则 Intel 快速呼叫帮助连接使最终用户能够请求帮助。 注:建议按 键,然后选择 Fast Call for Help(快速呼叫帮助)。仅在 IT 管理员已将系统配置为支持该功能的情况下,才可使用 该功能。 要求 要从操作系统上建立 Intel 快速呼叫连接,VPro 系统必须首先: 1. 启用环境检测 2. 创建远程连接策略 3. 配备管理现场服务器 (MPS) 完全整合 要获得 Intel 快速呼叫帮助,系统需要处于已预配置状态。如果系统支持完整的 VPro,则可使用 Intel 快速呼叫帮助。如果系统仅支持 Intel Standard Manageability,则无法启用 Intel 快速呼叫帮助。 1. 在启动 Intel 快速呼叫帮助之前,必须先启用环境检测。该操作可让 Intel AMT 确定系统是否位于公司网络中。通过 ISV 应用程序可对其 进行配置。 2.
ME 常规设置 下表列出了常规设置页面上 Intel Management Engine BIOS Extension (MEBx) 的默认设置。 Password(密码) Password(密码) admin Change Intel ME Password(更改 Intel ME 密码) Change Intel ME Password(更改 Intel ME 密码) 空白 Set PRTC(设置 PRTC) Set PRTC(设置 PRTC) 空白 Power Control(电源控制) Power Control(电源控制) Intel ME ON in Host Sleep(在主机睡 眠状态下开启 Intel ME) Mobile: ON is S0(移动: 在 S0 状态下开启) Mobile: ON is S0, ME Wake in S3, S4-5 (AC only)(移动: 在 S0 状态下开启,在 S3、S45 状态下 ME 唤醒 [仅交流电源])* Idle Time Out(空闲超时) 1 *默认设置 **可能导致 Intel AMT 部分取消预配置 1 仅可
AMT 配置 下表列出了 AMT 配置页面上 Intel Management Engine BIOS Extension (MEBx) 的默认设置。 Manageability Feature Selection(可管理性功能选择) SOL/IDER Username and Password(用户名和密 码) Disabled(已禁用) Enabled(已启用)* SOL Disabled(已禁用) Enabled(已启用)* IDER Disabled(已禁用) Enabled(已启用)* Legacy Redirection Mode(传统重定向模 Disabled(已禁用) 式) Enabled(已启用)* Disabled(已禁用) Enabled(已启用)* KVM User Consent(用户同意) User Opt-in(用户自愿加入) None(无) KVM * All(全部) Opt-in Configurable from remote IT(从远程 IT 配置自愿加入) Disable Remote Control of KVM Opt-In Policy(禁
DHCP Mode(DHCP 模式) Disabled(已禁用) Enabled(已启用)* 以下配置页面仅在选择 Enabled(已启用)之后才会显示 IPv4 Address(IPv4 地址) 0.0.0.0 Subnet Mask Address(子网掩码地 址) 0.0.0.0 Default Gateway Address(默认网关 地址) 0.0.0.0 Preferred DNS Address(首选 DNS 地址) 0.0.0.0 Alternate DNS Address(备用 DNS 地址) 0.0.0.
(设置 和 ) Delete PID and PPS(删除 PID 和 PPS) 空白 Y/N(是/否) TLS PKI Remote Configuration(远程配置) Disabled(已禁用) Enabled(已启用)* PKI DNS Suffix(PKI DNS 后缀) 空白 Manage Hashes(管理散列值) *默认设置 **可能导致 Intel AMT 部分取消预配置 1 仅可在进行 Management Engine (ME) 故障排除时更改 Intel ME 平台状态控制。 2 在企业模式下,DHCP 会自动载入域名。 3 仅当已预配置该框后,才能查看取消预配置设置。
方法概览 如“设置和配置概览”部分所述,必须先对计算机进行配置,Intel AMT 功能才能与管理应用程序进行交互。完成预配置过程共有三种方法(按照从 最简单到最复杂的顺序): 配置服务 — 配置服务使您可以通过服务器上的 GUI 控制台完成预配置过程,整个过程只需您对每台具备 Intel AMT 功能的计算机操作一 次。使用保存在 USB 大容量存储设备中的文件(通过配置服务创建),来填写 PPS 和 PID 字段。 MEBx 界面 — IT 管理员在每台已配置 Intel AMT 的计算机上手动配置 Management Engine BIOS Extension (MEBx) 设置。通过在 MEBx 界面中键入通过配置服务创建的 32 个字符和 8 个字符的字母数字密钥,来填写 PPS 和 PID 字段。 TLS-PKI — 通常称为“远程配置 (RCFG)”或“零接触配置 (ZTC)”。此流程要用到与 ProvisionServer 有关的证书。Intel Management Engine BIOS Extension (MEBx) 中必须列出相关的证书散列值。*TLS-PKI 即传输层安全 - 公
使用 USB 设备 本部分讨论有关使用 USB 存储设备设置和配置 Intel AMT 的内容。您可以使用 USB 驱动器闪存设置以及在本地配置密码、预配置 ID (PID) 和 预配置密文 (PPS) 信息。这也被称为“USB 预配置”。借助 USB 预配置,您可以手动设置和配置计算机,从而避免因手动键入条目所引起的问 题。 注:只有 MEBx 密码设置为出厂默认值“admin”时,USB 预配置才有效。如果已更改密码,则可通过清除 CMOS 将其重设为出厂默认 值。 典型 USB 驱动器闪存的设置和配置步骤如下。有关使用 Altiris Dell Client Manager (DCM) 的详细操作步骤,请参阅“USB 设备步骤”页面。 1. 将 USB 驱动器闪存插入配备管理控制台的计算机。 2. 通过控制台向设置和配置服务器 (SCS) 请求本地设置和配置记录。 3. SCS 将执行以下操作: 1. 生成相应的密码、PID 和 PPS 设置。 2. 将此信息保存到其数据库中。 3. 将此信息返回到管理控制台。 4.
USB 设备步骤 Dell Client Management (DCM) 应用程序是所提供的默认控制台软件包。本部分介绍使用 DCM 软件包设置和配置 Intel AMT 的步骤。如本说 明文件先前所述,第三方供应商还可提供若干其他软件包。 开始此过程前,必须对计算机进行配置并可由 DNS 服务器检测到该计算机。此外,还必须具备 USB 存储设备,并且必须符合“使用 USB 设 备”页面上所列的要求。 注:管理软件有一个固有特性,即它并非总是处于动态或实时状态。您可能需要多次重复一项操作,才能获得结果。 1. 使用 FAT16 文件系统格式化 USB 设备并且不设卷标,然后将其放置在一边。 2. 通过双击桌面图标或通过开始菜单,打开“Altiris Dell Client Manager”应用程序。 3.
4.
5. 单击 <+> 以展开“Section 1. Provisioning”(第 1 部分.
6.
7. 选择“Step 1. Configure DNS”(步骤 1. 配置 DNS)。 8.
9.
10.
11. 选择“Step 2. Discovery Capabilities”(步骤 2.
12.
13. 选择“Step 3. View Intel AMT Capable Computers”(步骤 3.
14.
15. 选择“Step 4. Create Profile”(步骤 4.
16.
17.
18. “Network”(网络)选项卡提供用于启用 ping 响应、VLAN、WebUI、LAN 上串行以及 IDE 重定向的选项。如果手动配置 Intel AMT,则也可在 MEBx 中使用所有这些设置。 19.
20. “ACL”(访问控制列表)选项卡可用于查看已与此配置文件关联的用户,以及添加新用户并定义其访问权限。 21. “Power Policy”(电源策略)选项卡包含为 Intel AMT 选择睡眠状态以及“Idle Timeout”(空闲超时)设置的配置选项。为获得最 佳性能,建议始终将空闲超时设置为 0。 注:“Power Policy”(电源策略)选项卡的设置对计算机是否能始终符合能源之星 4.
22. 选择“Step 5. Generate Security Keys”(步骤 5.
23. 选择带有指向“Export Security Keys to USB Key”(将安全密钥导出到 USB 闪存)的箭头的图标。 24.
25. 键入要生成的密钥数量(取决于需预配置的计算机数量)。默认值为 50。 26.
27. 单击“Generate”(生成)。一旦创建密钥,会在“Generate”(生成)按钮左侧出现一个链接。 28.
29. 单击“Download USB key file”(下载 USB 闪存文件)链接,以将 setup.bin 文件下载至 USB 设备。默认情况下,系统可自动识 别 USB 设备;将该文件保存至 USB 设备。 注:如果将来需要其他密钥,则必须先重新格式化 USB 设备,然后再将 setup.bin 文件保存到该设备。 a. 单击“文件下载”对话框中的“保存”。 b.
c. 单击“下载完毕”对话框中的“关闭”。 30. 此时便可在驱动器资源管理器窗口中看到 setup.
31. 关闭“Export Security Keys to USB Key”(将安全密钥导出到 USB 闪存)和驱动器资源管理器窗口,返回至 Altiris 控制台。 32. 插入 USB 设备,然后打开计算机。系统会立即识别出 USB 设备,并提示您 Continue with Auto Provisioning (Y/N)(继续执行自动预配置 [是/否]) 33. 按 键。 Press any key to continue with system boot...(按任意键继续系统引导...
34. 完成后,请关闭计算机并返回到管理服务器。 35. 选择“Step 6. Configure Automatic Profile Assignments”(步骤 6.
36. 验证该设置是否已启用。在“Intel AMT 2.
37. 选择“Step 7. Monitor Provisioning Process”(步骤 7.
38.
39. 选择“Step 8. Monitor Profile Assignments”(步骤 8.
40.
41.
系统部署 准备好为某一用户部署计算机后,请将计算机接通电源并连接至网络。使用集成式 Intel 82566DM 网络接口卡 (NIC)。Intel Active Management Technology (Intel AMT) 无法与任何其他 NIC 解决方案配合使用。 打开计算机后,计算机会立即查找设置和配置服务器 (SCS)。如果计算机找到此服务器,则具备 Intel AMT 功能的计算机便会向该服务器发送问 候信息。 注:用户必须首先通过 MEBx 或使用 Intel Activator 激活网络访问。 DHCP 和 DNS 必须能被设置和配置服务器搜索到,以自动成功完成。如果 DHCP 和 DNS 不可用,则必须将设置和配置服务器 (SCS) IP 地址 手动输入到具备 Intel AMT 功能的计算机的 MEBx。 问候信息包含以下内容: 预配置 ID (PID) 全局唯一标识符 (UUID) IP 地址 ROM 和固件 (FW) 版本号 问候信息对最终用户是透明的。 1. 在 AMT 7 中(通过操作系统),选择 IMSS。 2.
操作系统驱动程序 在操作系统中,必须安装 AMT 统一驱动程序,才能在“设备管理器”中移除未知设备。与之前的版本 3、4 或 5(从客户重新安装方面看,具备两 种不同的 HECI 和 LMS/SOL 驱动程序)不同,现在,它们都在一个称为“AMT 统一驱动程序”的软件包中。安装了统一驱动程序软件包后,它 可管理“设备管理器”中的两种 PCI 设备。 AMT 统一驱动程序 Intel AMT LAN 上串行 (SOL)/Local Manageability Service (LMS) 驱动程序可在 support.dell.com 和 ResourceCD 上的 “Chipset Drivers”(芯片组驱动程序)下找到。该驱动程序标有“Intel AMT SOL/LMS”。双击安装程序可安装该驱动程序。 安装 SOL/LMS 驱动程序后,“PCI Serial Port”(PCI 串行端口) 条目将变成 “Intel Active Management Technology - SOL (COM3)”条目。 Intel AMT 主机嵌入式控制器接口 (HECI) 驱动程序可在 support.dell.
Intel AMT Web GUI Intel AMT WebGUI 是基于 Web 浏览器的界面,适用于进行有限远程计算机管理。WebGUI 常用作一种检测程序,来确定是否能在计算机上正 确执行 Intel AMT 设置和配置。如果远程计算机与运行 WebGUI 的主机之间能成功进行远程连接,则说明远程计算机上的 Intel AMT 设置和配 置正确。 您可以从任何 Web 浏览器(例如 Internet Explorer 或 Netscape)访问 Intel AMT WebGUI。 有限远程计算机管理包括: 硬件清点 事件记录 远程计算机重设 网络设置更改 添加新用户 注:有关使用 WebUI 界面的信息,请访问 Intel AMT Web 站点。 要连接至已完成配置和设置的计算机上的 Intel AMT WebGUI,请执行以下步骤。 1. 打开具备 Intel AMT 功能且已完成 Intel AMT 设置和配置的计算机。 2. 从一台单独的计算机(例如与 Intel AMT 计算机位于同一子网的管理计算机)启动 Web 浏览器。 3.
AMT 重定向概览 无论受管客户端的引导状态和电源状态为何,Intel AMT 都能够将串行通信和 IDE 通信从受管客户端重定向至管理控制台。客户端只需具备 Intel AMT 功能并连接电源和网络。Intel AMT 支持通过 TCP/IP 实现的 LAN 上串行(SOL、文本/键盘重定向)和 IDE 重定向(IDER、CD-ROM 重定向)。 LAN 上串行概览 LAN 上串行 (SOL) 是指通过标准网络连接模拟串行端口通信的功能。SOL 可用于大多数管理应用程序,其中通常需要本地串行端口连接。 使用 Intel AMT 重定向库在已启用 Intel AMT 的客户端和管理控制台之间建立活动 SOL 会话时,客户端的 串行通信通过 Intel AMT 在 LAN 连 接上重定向,并可到达管理控制台。同样,管理控制台可以在 LAN 连接 (连接到客户端的串行端口)上发送 串行数据。 IDE 重定向概览 IDE 重定向 (IDER) 可在标准网络连接上模拟 IDE CD 驱动器、传统软盘或 LS-120 驱动器。IDER 可使管理机器将其中某一本地驱动器连接至 网络上的受管客户端。建立 IDER 会话
Intel Management and Security Status 应用程序 Intel Management and Security Status (IMSS) 应用程序可显示平台的 Intel Active Management Technology (Intel AMT) 和 Intel Standard Manageability 服务相关信息。 IMSS 图标指示该平台中是否在运行 Intel AMT 和 Intel Standard Manageability。该图标位于通知区域。默认情况下,每次 Windows* 启动 时,都会显示该通知图标。 每一代 Intel AMT(4.x、5.x、6.x)都拥有专门版本的 Intel Management and Security Status 应用程序。此处介绍的是适用于 Intel AMT 6.
故障排除 本页介绍在遇到 Intel AMT 配置问题时可采取的几个基本故障排除步骤。请查看 DSN 了解更多故障排除选项。 恢复默认设置 恢复默认设置也称为“取消预配置”。使用 ME 常规设置屏幕上的 Unconfigure Network Access(取消配置网络访问) 选项,可对已设置和 配置 Intel AMT 的计算机执行取消预配置。 请按照以下步骤对计算机执行取消预配置: 1. 选择 Un-Provision(取消预配置),然后选择 Full Un-provision(完全取消预配置)。 此选项可将所有 Intel AMT 配置设置恢复为出厂默认设置,但不会重设 ME 配置设置或密码。约一分钟后,系统将显示取消预配置信息。完成取 消预配置后,控制项将返回到 ME 常规设置屏幕。 1. 选择 Return to previous menu(返回上一级菜单)。 2.
