Etiket arşivi: provision edilmesi

VPRO Aktivasyon (Provision) – Manual Amt Konfigurasyonu

Büyük ve küçük ölçekli tüm kurumlar karmaşıklığı ve boyutu artmaya devam eden bilgisayar ortamlarının iş yükünü azaltacak çözümler arıyor. Bu çözümlere verilebilecek en son örnek intel vPRO teknolojisidir. Intel Vpro platform ile kurumların bu önemli hedeflerine ulaşmalarını sağlıyor. Intel vpro teknolojisi geleneksel yazılımların yetersiz kaldığı işletim sistemi hataları gibi durumlarda organizasyonların sistemle aşamaları göstereceğim.

Provison nedir?

Provison vpro özelliği taşıyan desktop/notebook vb. cihazlardaki AMT chipsetinin setup ve konfigürasyonun yapılması demektir. Bu setup SMB mode ve Enterprise Mode dediğimiz 2 yönteme gore değişiklik gösteriyor

SMB Mode

Enterprise Mode

Yapı

Aynı anda sadece 1 makina setup

Çoklu setup (merkezi yönetim)

Setup

Manual BIOS Konfigürasyonu

BIOS a müdahale etmeden otomatik

Network

Open

Encrypted (128bit)

User Authenticaton

HTTP Digest

TLS, Kerberos, HTTP Digest

Öncelikle manual BIOS konfigürasyonun nasıl yapıldığından bahsedelim, çok kullanılan ya da tercih edilen bir yöntem olmasa da görmek de fayda var. Çünkü domain yapısında amacımız makinalar kapalı olsa dahi merkezi olarak yönetmektir. Çoklu lokasyon yapılarında her makinanın başına tek tek gidip biraz sonar göstereceğim ayarları yapmanın hem vakit, hem de nakit olarak olasılığı yoktur. Ancak bir makinamız varsa deneme için kullanılabilir. Enterprise Mode, ki bundan sonraki makalelerimde hep kullanacağımız mode, bu makaledeki BIOS konfigürasyonuna hiç dokunmadan setup kullanabileceğimiz mode dur. Fabrikasyon olarak HP DC7800p Q35chipset içerisine gömülü hizmet veren dört tane sertifika server ın hash bilgisi database e gömülüdür. Bu gömülü olan hash verisini aşağıdaki görebilirsiniz.

VeriSign Class 3 Primary CA-G1
74 2C 31 92 E6 07 E4 24 EB 45 49 54 2B E1 BB C5 3E 61 74

VeriSign Class 3 Primary CA-G3
13 2D 0D 45 53 4B 69 97 CD B2 D5 C3 39 E2 55 76 60 9B 5C

Go Daddy Class 2 CA
27 96 BA E6 3F 18 01 E2 77 26 1B A0 D7 77 70 02 8F 20 EE

Comodo AAA CA
D1 EB 23 A4 6D 17 D6 8F D9 25 64 C2 F1 F1 60 17 64 D8 E3

Starfield Class 2 CA
AD 7E 1C 28 B0 64 EF 8F 60 03 40 20 14 C3 D0 E3 37 0E B5

Bu veriler enterprise mode da herşeyin sertifika tabanlı olmasını istediğimiz zaman almamız gereken sertifikanın güvenildiği CA server ların hash bilgileridir. Bu CA ler dışında alacağımız sertifikanın bir anlamı olmayacaktır ancaki , 5 CA ile sınırlı kalmak istemiyorsak bu database’e eklemeler yapabilirizJ

Provision yöntemlerine baktığımız zaman toplamda 4 ayrı provision edebilmek için yol var

Enterprise

SMB

1)MANUAL: Tüm Provison parametreleri BIOS a elle girilerek yazılır. Hem harcadığınız zaman, hem de zorluğu nedeniye tercih edilmez

Enterprise

SMB

2)OEM: Üreticinin vereceği bir tool yardımıyla yapılabilir

Enterprise

3)USB: SCS Konsolundan export edeceğimiz parameter bilgilerinin olduğu flash bellek ile makinaları restart edilebilir

Enterprise

4)REMOTE:Hiç bir manual müdahalede bulunmadan merkezi yönetim ile yapılabilir. Ancak bu yöntemde sertifika kullanılmalıdır.

Bu makalemde 1 numaralı manual yöntemde BIOS a erişim ve girilecek parametrelerini HP 7800p desktop makianalarımızı kullanarak inceliyor olacağız.  AMT destekli makinaların POST ekranı sırasında Ctrl+P tuş kombinasyonu olarak vpro aktivasyonu ile ilgili parametreleri girebileceğimiz AMT BIOS umuza ulaşırız.

image001

Resim -1

Default olarak kullanıcı adı “admin”, password “admin” olarak gelir. Cmos reset yaparsak yine bu kullanıcı adı passwordüne dönecektir. Admin password ile giriş yaptığımızda password değiştirmeden parametre girişine izin vermeyecektir. Change ME(Management Engine)password yapıyoruz.

image002

Resim -2

Önce ME satırında neler yapabildiğimize bakalım. Giriş yapmak istediğimizde verilen uyarıyı Kabul ederek devam ediyoruz.

image003

Resim -3

image004

Resim -4

Burada en önemli avantajlardan biri vpro teknolojisi ile makinalar kapalı iken bile yönetilebildiği durumudur. Ancak hangi power durumlarında bu teknolojiden yararlanacağımızı ME Configuration\ power control bölümüne gireceğimiz parameter ile belirliyoruz. Biz her durumda yönetmek istediğimiz için tüm seçeneklerin olduğu satırı işaretliyoruz. Dİğer özellikleri de aşağıdaki resimden görebiliyoruz.

image005

Resim -5

image006

Resim -6

AMT Configuration bölümünde, makinamızın işletim sisteminden bağımsız olrak adı, domain suffixi, ip adresi, bağlı olacağı provision server makinasının adresini yazmamız gerekiyor. Daha once provison edilen bir makinaysa unprovison ederek eski ayarlarına döndürebiliriz.

image007

Resim -7

image008

Resim -8

image009

Resim -9

image010

Resim -10

image011

Resim -11

Makinanın bağlı olduğu provison server, bu makinayı ismine gore değil PID VE PPS numaralarına gore bilecektir. Bu numaraları SCS konsolunda görüyor olacağız.

image012

Resim -12

image013

Resim -13

image014

Resim -14

image015

Resim -15

İlgili parametreleri girdik ve kaydederek çıkıyoruz.

image016

Resim -16

Görülen o ki; ME BIOSuna erişerek makinanın adı, domain suffixi, provision server ip adresi, PID numaralarını ve power opsiyonlarını girmek vakit alıcı, zor ve sıkıcı olacaktır. Bu ekrana hiç erişmeden tüm işin merkezi system tarafından yapılacağını biliyoruz. Sadece göstermek istedim. Bundan sonraki makalemde SCS konsolunu(provision server) tanıyacağız.

Türker ATA

VPRO Aktivasyon (Provision) – SCS Server Kurulumu

Büyük ve küçük ölçekli tüm kurumlar karmaşıklığı ve boyutu artmaya devam eden bilgisayar ortamlarının iş yükünü azaltacak çözümler arıyor. Bu çözümlere verilebilecek en son örnek intel vPRO teknolojisidir. Intel Vpro platform ile kurumların bu önemli hedeflerine ulaşmalarını sağlıyor. Intel vpro teknolojisi geleneksel yazılımların yetersiz kaldığı işletim sistemi hataları gibi durumlarda organizasyonların sistemlerini yönetip problemlere hemen cevap vermesini sağlıyor. Bu makalede provision edilen makinaların merkezi yönetimini sağlayan SCS Server kurulumunu ve yapılandırmasını göreceğiz.

Bundan önceki makalemde SCS kurulumunu gerçekleştimiştik. SCS konsolunu ilgili kısayoldan  açtığımızda  karşımıza çıkan ekranı tanıyalım.

image001

Resim -1

General bölümünde SCS konsolunun AMT özelliği olan makinaları hangi porttan dinleyeceği ayarı önemlidir. Defaultta 9971 numaralı porttan dinleme yapılır. Otomatik provision da 9971 kullanılır. Dilenirse değiştirilebilir ancak daha önceki makalemde gösterdiğim client makinalardaki amt bios ayarlarında bu portu yazmak gerekiyor. Diğer ayarlar isminden okunduğu gibi anlaşılacak ayarlardır. Varsayılan olarak kalabilir.

image002

Resim -2

Biraz sonar göreceğiniz profil sekmesinde yapacağımız değişikliklerden sonar ayarların geçerli olabilmesi için makinaların tekrar provision edilmesi gerekir. Makinaların hangi sıklklarla provision edeceğini ve passwordün değiştireceğini ayarlarız.

image003

Resim -3

Makinalar provision edildikten sonar yarattığımız profil içinde var olan kuralları Kabul eder. Bu profili önceden oluşturmak zorundayız. Her bir kural ve seçenekleri resimlerden görebiliriz.

image004

Resim -4

image005

Resim -5

Provision edilen makinalar kapalı dahi olsa yönetilebiliyor. Ping atmak, web arayüzüne bakmak vs.. ancak bu pencerede isteğe bağlı kapatabiliriz.

image006

Resim -6

Profili  yönetecek kullanıcılarımızı ve haklarını seçeriz.

image007

Resim -7

image008

Resim -8

Provision yöntemlerinden birinde usb den boot etmek seçeneği vardı. Usb den boot ile provision edebilmek için scs konsolunda security keys bölümündeki anahtarları usb belleğimize export etmemiz gerekiyor. Export edilecek bu key ler, mebx bölümünde default fabrikasyon gelen amt password “admin”, provision edildikten sonraki password “P@ssw0rd” olsun istiyorum bu bilgilere ait 3 tane key yaratmasını istedim ve key ler yaratıldı. Bu key leri usb belleğe export ettim.

image009

Resim -9

image010

Resim -10

SCS yi yönetecek kullanıcı ve haklarını seçeriz

image011

Resim -11

Intel AMT Systems bölümünde provision olmuş makinaları görüyoruz. Makinalardan birini seçip operation bölümünde saat senkronizasyonui tekrar provision etmek gibi seçenekleri tek makina için kullanabiliriz

image012

Resim -12

image013

Resim -13

Global operation bölümünde ise yukarıdaki makinalara tek tek yapılan ayarları tümüne aynı anda yapılmasını sağlar.

image014

Resim -14

Olup biten herşeyi log bölümünde görebilirsiniz.

image015

Resim -15

Bu arada provison etmek için domainimdeki bir makinayı usb bellek ile boot ettim kısa süren bu aşamadan sonra bu makinadan haber geldiJ

Incoming connection from 192.168.0.100:16994
provisioning Intel AMT device UUID:428….
No rows found in get configuration parameters : error

image016

Resim -16

Ilgili loglar yeni bir makinanın bağlantı kurmak istediğini; ancak parametreler eksik olduğu için yapılamadığını söylüyor. Çok doğru; çünkü gelen makinanın sadece UUD ve ip adresi geliyor bizim SCS konsoluna bu UUID nin fqdn I budur diyebilmeliyiz. Bunu demenin iki yolu var: Eski ismi ile “RCT.exe” yeni ismi ile “Activator.exe” Bu exe nin görevi SCS e UUID nin Fqdn ismini ve Activde Directory deki AMT sistemler için yarattığımız OU nun ismini söyler. Provision edilecek makinalarda bu exe nin bu aşamadan sonra çalıştırılması gerekir. Bir ikinci manual yol ise bu bilgileri bizim elle yazmamızdır. Unprovisoned görülen makinaya “set props” diyelim ve elle yazalım

image017

Resim -17

image018

Resim -18

Bakın bu bilgileri yazında log lar nasıl değişti.

image019

Resim -19

Makinamız provison oldu. Artık yönetilmeye hazır.

image020

Resim -20

Şimdiye kadar SCS konsolunu kullanarak usb boot ile ve SCS ye elle veri yazarak client makinasını provision ettik. Ancak bu provison bize sadece web arayüzünü kullanmaya izin verecek başka bir yönetim mekanizması şimdilik yok. Bir sonraki makalede web arayüzünden neler yapabildiğimizi göreceğiz.

İyi çalışmalar

Türker ATA