Trang Chủ-vượt trội-Công nghệ điều khiển từ xa Intel vPro. Quản lý từ xa Thiết lập BIOS

Công nghệ điều khiển từ xa Intel vPro. Quản lý từ xa Thiết lập BIOS

Bạn có biết rằng kết nối từ xa với máy tính của bạn có thể thực hiện được mà không chỉ sử dụng trình điều khiển mạng của hệ điều hành mà còn không có hệ điều hành nào cả? Bạn thậm chí có thể vào BIOS từ xa và thường làm bất cứ điều gì với máy tính - bao gồm tải xuống nội dung của ổ cứng, xóa chúng và tắt máy vĩnh viễn, biến nó thành một cục sắt vô dụng.

Công nghệ này khá chính thức, nó được gọi là Intel vPro và được triển khai trong phần cứng của bộ vi xử lý Intel Sandy Bridge và Ivy Bridge. Thực ra, ngoài bộ vi xử lý thì cũng cần phải có chipset thích hợp - nhưng đây không phải là vấn đề, vì bản thân Intel đã cung cấp chipset từ lâu rồi, ha ha. Tốt nhất, một card mạng gigabit và một bộ điều hợp video nên được tích hợp vào bo mạch chủ, có khả năng hoạt động ở mức thấp (và lý tưởng hơn là cùng một WiFi). Và một lần nữa, đừng lo lắng - Intel đã thực hiện tất cả những điều này và biến nó trở thành tiêu chuẩn thực tế. Những người có tầm nhìn xa nhất từ ​​lâu đã tự hỏi tại sao giao diện WiFi được tích hợp trong bo mạch chủ của máy tính để bàn, giao diện này không cần thiết trong 99% máy tính để bàn - và vì vậy nó được tích hợp cho doanh nghiệp, để bạn có thể truy cập máy tính mà không cần kết nối với một mạng cục bộ, và thậm chí với một máy tính ở trong một phòng riêng biệt không được kết nối với bất kỳ mạng nào.

Tất nhiên, việc bạn tắt Wi-Fi này trong BIOS sẽ không ảnh hưởng đến việc truy cập theo bất kỳ cách nào. Đối với Intel vPro, tất cả các giao diện luôn hoạt động. Hơn nữa, máy tính "tắt" cho Intel vPro cũng hoạt động (mặc dù nó không sáng bằng đèn về nó). Cách duy nhất để ngắt máy tính khỏi Intel vPro là tắt nó bằng cách rút dây nguồn khỏi ổ cắm (nhưng vì những lý do rõ ràng, con số này sẽ không hoạt động với máy tính xách tay - pin trên hầu hết các thiết bị hiện đại không thể tháo rời, và điều này không chỉ được thực hiện).

Phiên giao tiếp được mã hóa và có thể truy cập vào máy tính thông qua bảng điều khiển (nối tiếp qua mạng LAN), giao diện web hoặc VNC. Giao diện web có thiết kế làm việc kín đáo (hiển thị hoàn hảo trên máy tính bảng) và cho phép bạn nhận thống kê về phần cứng, trạng thái của nó và khởi động lại máy tính, định cấu hình giao diện mạng và chính sách truy cập AMT, xem lịch sử sự kiện - ví dụ: tìm hiểu lý do tại sao thư ký hệ thống không khởi động được khi không đến gần máy tính của nó:

Khi được kết nối qua bảng điều khiển và VNC, bạn hoàn toàn có thể làm mọi thứ: vPro cung cấp KVM chính thức từ máy cục bộ đến máy từ xa với hỗ trợ độ phân giải màn hình lên đến 1920x1200 và khả năng xem cách hệ thống khởi động từ khởi tạo BIOS đến khởi động hệ điều hành trực tiếp. Trong trường hợp này, ngay cả khi hệ thống được khởi động lại, vẫn không có hiện tượng tắt máy! Điều duy nhất là để truy cập BIOS, nó sẽ không hoạt động chỉ cần nhấn giữ Delete khi khởi động hệ thống và bạn sẽ phải chọn mục đặc biệt “khởi động vào BIOS”. Sau đó, BIOS thực sự tải:

Bạn có thể kết nối với một máy từ xa thông qua VNC ngay cả khi trình điều khiển cạc mạng bị lỗi ở đó (xét cho cùng, vPro hoạt động ở mức thấp hơn hệ điều hành) và cài đặt tất cả các trình điều khiển trực tiếp thông qua VNC.

Một tính năng thú vị khác được gọi là IDE-R cho phép bạn khởi động từ một nguồn bên ngoài - như thể đó là một ổ cứng bên trong. Có nghĩa là, bạn có thể kết nối qua VNC, chỉ định một hình ảnh để tải xuống và khởi động vào hệ điều hành của riêng bạn - để chủ sở hữu máy tính sẽ không biết rằng nó đã được bật.

Với sự trợ giúp của vPro, công nghệ Chống Trộm của Intel sẽ hoạt động. Nếu máy tính hoặc máy tính xách tay của bạn bị đánh cắp, bạn có thể liên hệ với Intel và họ sẽ chặn nó. Máy tính sẽ chỉ dừng khởi động, hiển thị màn hình đen với dòng chữ - họ nói, Intel Anti-Theft bị chặn, hãy trả lại máy tính cho chủ sở hữu.

Rất nhanh chóng, khi thế hệ máy tính một lần nữa sẽ được thay thế bởi ngay cả những người dùng không có nhu cầu nhất và các công ty tiến bộ thậm chí còn sớm hơn, một thế giới mới dũng cảm về sự minh bạch tuyệt đối cho các cơ quan tình báo sẽ đến ở khắp mọi nơi.

Tái bút. Sau đó, một người bạn hỏi - họ nói rằng hóa ra là máy tính bị tắt có thể được ping?

Tôi giải thích: trong khuôn khổ của Intel vPro, card mạng luôn lắng nghe đường truyền, ngay cả khi máy tính "tắt". Nhưng không phải lúc nào họ cũng trả lời. Đó là, đối với câu hỏi “có thể ping không” - câu trả lời là có, hoàn toàn có thể, nếu nó được cho phép trong cài đặt BIOS. Nếu bạn không cho phép, thì máy tính đã tắt sẽ không phản hồi với ping, nhưng nó sẽ lắng nghe cổng của nó (trong trường hợp chung là 16992) và sẽ hoạt động với Intel vPro.

Nó đã được kiểm tra trên chipset Q45 - nó hoạt động.

P.P.S. Các chipset cũ của Intel và các CPU không phải GPU của chúng chỉ hỗ trợ phần Nối tiếp qua mạng LAN của công nghệ Intel vPro (nghĩa là, bảng điều khiển quản lý dựa trên văn bản hoạt động, có thể tải xuống tệp, khởi động hệ điều hành từ xa từ đĩa từ xa hoạt động, v.v. nhưng theo dõi màn hình người dùng và bảng điều khiển đồ họa).

Đối với những người tò mò - IDE-R / SOL qua cổng TCP = 16994, IDE-R / SOL qua cổng TLS = 16995. Bạn có thể đánh hơi lưu lượng truy cập trên đường truyền và xem.

Chà, hãy nhớ rằng phần mềm cháy AMT chặn lưu lượng truy cập từ card mạng trong phần cứng và không chuyển đến hệ điều hành những gì liên quan đến hoạt động của vPro (cổng 16992, 16993, 16994, 16995). Có nghĩa là, trên máy tính có công nghệ này, bạn sẽ không nhận hoặc phát hiện bất kỳ gói nào đến các cổng 16992, 16993, v.v. từ Hệ điều hành. Để tìm thấy chúng một cách đáng tin cậy, bạn cần một máy tính cũ với các cạc mạng cũ triển khai bộ lặp Luôn ở giữa trong suốt và đánh hơi lưu lượng truy cập.

Và tất nhiên là có:

(a) Intel giữ khả năng truy cập vào bất kỳ máy nào
(b) Có thể biết cô ấy đang ở đâu và có thể liên lạc với cô ấy bất cứ lúc nào
(c) Có thể chặn hoàn toàn nó (trong khi nó sẽ tiếp tục gửi tín hiệu có tọa độ)

Chà, để không có những ảo tưởng không cần thiết - tôi đang nói về Intel chỉ vì công nghệ này hoàn toàn mở và được mô tả chính thức trong đó. Intel đã hành xử rất thành thạo - cửa hậu dành cho lực lượng đặc biệt không bị ẩn hoặc bị từ chối, mà được trình bày như một dịch vụ bổ sung cho người dùng và quản trị viên. AMD và tất cả các công ty lớn khác trên thị trường vi xử lý đều có các giải pháp tương tự - chúng không trung thực như Intel và thích chơi theo mặc định.

Các chipset hiện đại cho phép bạn tạo ra các hệ thống chơi game phổ thông và thậm chí hoàn chỉnh trên bo mạch chủ Mini-ITX. Nhưng có một lựa chọn hiếm hoi khác - Thin Mini-ITX, đặt ra các điều kiện nghiêm ngặt hơn về kích thước của bo mạch chủ, hạn chế không chỉ hình chiếu mà còn cả chiều cao của nó. Theo tiêu chuẩn này, tất cả các phần tử của bảng không được cao hơn 25 mm. Định vị chính thức của các thiết bị như vậy - HTPC, AIO và các tùy chọn khác yêu cầu các giải pháp siêu nhỏ gọn.

Một điều khá hợp lý là chuyên môn càng hẹp thì càng có ít ưu đãi trên thị trường. Nhưng tất nhiên, một nhà sản xuất như Intel, cố gắng tạo ra tiếng nói chung cho toàn ngành và tự mình tạo ra những hướng đi mới, không thể bỏ lỡ ngay cả phân khúc giải pháp phổ thông tương đối nhỏ này.

Bo mạch chủ DQ77KB được đánh giá hôm nay là một phần của dòng Executive, có các tính năng quản lý, bảo mật và tiết kiệm năng lượng tiên tiến. Như đã rõ trong phần mô tả này, tùy chọn phù hợp nhất trong trường hợp này sẽ là sử dụng chipset dành cho doanh nghiệp Intel Q77, hỗ trợ vPro và các công nghệ liên quan khác.

Gói và các tiện ích có thương hiệu

Bảng mẫu được trình bày để thử nghiệm được đóng gói trong một hộp phổ thông tiêu chuẩn và có bộ phân phối tối thiểu - một bảng, hai phích cắm cho bảng điều khiển phía sau (tiêu chuẩn và "thấp"), một cặp cáp SATA, một cáp nguồn SATA, một đĩa CD với trình điều khiển và một hướng dẫn cài đặt.

Việc một sản phẩm như vậy khó có thể được sản xuất hàng loạt dưới dạng "hộp", vì rõ ràng nó nhắm đến các nhà lắp ráp chứ không phải người dùng cuối. Đánh giá theo mô tả trên trang web, ngoài các thành phần được mô tả, nguồn cung cấp chính thức cũng sẽ chứa bộ điều hợp HDMI-DVI và đĩa CD cũng sẽ chứa các tiện ích của Intel dành cho bộ tích hợp hệ thống, chương trình chống vi-rút và điều khiển từ xa. Đặc biệt, bo mạch này còn chạy chương trình giám sát Intel Desktop Utilities và tiện ích tùy biến BIOS Intel Intergrator Toolkit.

Tính năng bảng

Đã khó hơn khi nói về bo mạch Thin Mini-ITX rằng chúng cho phép bạn tạo ra các hệ thống phổ quát. Giới hạn chiều cao ảnh hưởng đáng kể đến khả năng của nhà sản xuất - bạn không thể đặt thẻ Wi-Fi miniPCIe hoặc mạch nguồn theo chiều dọc và bạn không thể thực sự dọn dẹp bằng bộ tản nhiệt. Vì vậy, hiệu suất tối đa hiển nhiên sẽ bị hạn chế. Đặc biệt, DQ77KB được coi là chỉ hỗ trợ bộ vi xử lý cho LGA1155 với TDP lên đến 65W. Mặc dù phải thừa nhận rằng với sự chuyển đổi sang công nghệ xử lý mới từ Intel, các mẫu như i7-3770S và i5-3570S với tần số hơn 3 GHz được xếp vào loại này, và i7-2600S và i5-2500S từ thế hệ trước được hỗ trợ. Trong thử nghiệm, chúng tôi sử dụng bộ vi xử lý Intel Core i3-2120T, i5-2400S và i5-3450S.

Các hạn chế đối với hệ thống làm mát đã lắp đặt sẽ được quyết định bởi trường hợp bắt buộc chứ không phải bo mạch chủ, vì phần tử cao nhất và gần nhất của nó là đầu nối quạt bộ xử lý, có thể được bỏ qua nếu cần.

Có hai khe SO-DIMM để lắp các mô-đun RAM. Hỗ trợ các mô-đun DDR3-1333 / 1600, dung lượng tối đa là 16 GB. Các khe cắm song song với PCB. Trong trường hợp của chúng tôi, chúng tôi đã sử dụng một cặp thanh DDR3-1333 4 GB trên chip Hynix.

Định dạng này áp đặt những hạn chế đáng kể đối với việc sử dụng thẻ mở rộng. Rõ ràng là bất kỳ thẻ mở rộng tiêu chuẩn nào được lắp đặt trong một khe cắm mà không có bộ điều hợp "ở góc" sẽ cao hơn 25mm. Nhưng với ứng dụng tiềm năng cho các dự án đặc biệt, có khả năng cấu hình thiết bị bổ sung sẽ rất đáng mong đợi. Vì vậy, trong DQ77KB, người ta đã quyết định lắp một khe cắm PCIe 2.0 / 3.0 x4 kết nối với bộ điều khiển trong bộ xử lý. Điều đáng tiếc duy nhất là nó là x4: rõ ràng là có đủ không gian cho x16 và việc lắp đặt một khe cắm “lớn” sẽ làm tăng một chút khả năng của sản phẩm. Tất nhiên, nếu cần, bạn có thể sử dụng các công cụ tùy biến và tạo một khe ở thành sau của đầu nối, nhưng tùy chọn này sẽ không phù hợp với tất cả mọi người. Ngoài ra, trong trường hợp này, ngay cả card màn hình cấp nhập cảnh đơn giản nhất cũng sẽ chặn đầu nối quạt CPU.

Nếu yêu cầu bộ điều khiển đơn giản hơn, chẳng hạn như Wi-Fi, thì bo mạch có thêm hai khe cắm mở rộng - một miniPCIe rưỡi đầy đủ. Hơn nữa, trước đây cũng hỗ trợ ổ đĩa flash mSATA, giúp giảm thêm dung lượng bị chiếm dụng bởi nền tảng. Tài liệu chỉ ra rằng các đầu nối này cũng có đầu ra USB 2.0. Để thử nghiệm, chúng tôi đã sử dụng mô-đun Lite-On LMT-32L3M 32 GB. Ngoài ra, một lỗ được cung cấp đối diện với đầu nối này trên nắp bảng điều khiển phía sau, có thể cho phép lắp các thẻ mở rộng chuyên dụng.

Trong số các đầu nối I / O tiêu chuẩn, bo mạch có năm cổng USB 2.0 (hai cổng trên hai đầu nối và một trên cổng thứ ba), một cổng COM nối tiếp và một đầu nối âm thanh. Tất nhiên, chúng tôi đã không quên về các chỉ báo và nút trường hợp truyền thống. Để sử dụng trong các hệ thống AIO, cũng có các đầu nối cho bảng kỹ thuật số, LVDS, quản lý nguồn, gỡ lỗi và hơn thế nữa. Người dùng cuối có thể quan tâm đến bộ khuếch đại âm thanh nổi 3 W tích hợp, cho phép bạn kết nối với loa thụ động.

Nhìn chung, bố cục không tệ, hầu hết các cổng kết nối đều nằm ở các cạnh của bảng và dễ dàng tiếp cận. Bản thân bảng mạch in có màu xanh lục, nó có một cặp đèn báo LED (nguồn điện ở chế độ chờ và trạng thái ME), gắn chặt vào vỏ là tùy chọn bốn vít tiêu chuẩn cho Mini-ITX. Xem xét định vị của sản phẩm, không có ý kiến ​​đáng kể về thiết kế của bảng.

Sơ đồ điện và làm mát

Không có gì đặc biệt để nói trong phần này - sản phẩm sẽ được vận hành độc quyền ở chế độ bình thường, nếu không ở cấu hình đặc biệt "làm chậm". Mối quan tâm thực tế chỉ là kết nối nguồn điện với bảng. Đối với điều này, nguồn điện bên ngoài có đầu ra 19 V được sử dụng, giống như hầu hết các máy tính xách tay. Đầu nối tương tự như đầu nối được tìm thấy trên các kiểu máy công ty của HP. Tùy chọn thứ hai là đầu nối hai chân trên bảng mạch in. Mức tiêu thụ tối đa được công bố ở mức 12 A, tất nhiên hầu hết các cấu hình thực sẽ tiêu thụ ít hơn nhiều. Trong trường hợp có nguồn điện bên ngoài, câu hỏi đặt ra là kết nối các thiết bị ngoại vi, cụ thể là các ổ đĩa. Để làm được điều này, bo mạch có đầu nối nguồn ra SATA cung cấp 12, 5 và 3,3 V từ bộ chuyển đổi tích hợp. Công suất tối đa cho phép trên nó là khoảng 25 watt, khá đủ cho ổ cứng và ổ quang, chưa kể SSD. Chipset được bao phủ bởi một bộ tản nhiệt nhỏ, không có gì thuộc loại này trên các phần tử của mạch nguồn.

Các quạt của hệ thống làm mát được kết nối thông qua hai đầu nối 4 chân. Cả hai đều hỗ trợ điều khiển tốc độ tự động tùy thuộc vào nhiệt độ, được cấu hình trong Cài đặt BIOS. Trong trường hợp này, bạn có thể "ràng buộc" điều khiển với một hoặc hai trong số các cảm biến nhiệt độ: bộ xử lý, chipset, RAM, hệ thống nguồn. Đối với giám sát phần cứng, chúng tôi cũng đề cập đến sự hiện diện của bảy cảm biến điện áp.

Năng lượng và hiệu suất làm mát đã được kiểm tra với bộ xử lý Intel Core i5-2400S và bộ làm mát lõi đồng tiêu chuẩn của Intel cho ổ cắm này. Khi được tải bằng chương trình LinX, nhiệt độ tối đa của bộ xử lý là 63, chipset - 45 và hệ thống nguồn - 40 độ, tương ứng. Những con số này không gây ra bất kỳ mối quan tâm nào. Nhớ lại rằng chân đế đã mở và bộ làm mát cổ phiếu, chạy yên tĩnh ở tốc độ 1800 vòng / phút, cũng hướng một phần luồng không khí đến bộ tản nhiệt chipset và mạch nguồn.

BIOS

Cài đặt BIOS khá tiêu chuẩn cho các hệ thống Intel. Đã triển khai hỗ trợ cho giao diện EFI và việc sử dụng chuột để điều hướng.

Tổng cộng, menu có bảy phần quen thuộc về bài viết cuối cùng:

  • Main: thông tin về bo mạch, bộ xử lý và bộ nhớ, cài đặt ngày và giờ;
  • Cấu hình: cấu hình bộ điều khiển ngoại vi, cổng lưu trữ, nhân đồ họa tích hợp, điều khiển quạt, điều khiển cảm biến phần cứng;
  • Hiệu năng: thay đổi một số thông số của vi xử lý, nhân đồ họa và RAM;
  • Bảo mật: thiết lập mật khẩu hệ thống và đĩa cứng;
  • Power: quản lý các chế độ hệ thống điện;
  • Khởi động: lựa chọn thiết bị, thứ tự và các tùy chọn để khởi động hệ thống;

Cập nhật BIOS dễ thực hiện nhất bằng cách sử dụng tiện ích tích hợp, nhưng có thể sử dụng các chương trình Windows hoặc MS-DOS. Lưu ý sự hiện diện của Công cụ quản lý Intel bổ sung đặc biệt, được sử dụng cho hoạt động của Intel AMT, vPro và các công nghệ khác.

Trong thử nghiệm, phiên bản BIOS 0042 đã được sử dụng.

& nbsp & nbsp IPMI(từ tiếng Anh. Giao diện quản lý nền tảng thông minh) - một giao diện quản lý nền tảng thông minh được thiết kế để giám sát và quản lý tự động các chức năng được tích hợp trực tiếp vào phần cứng và phần sụn của nền tảng máy chủ. Nói cách khác, IPMI là một công cụ quản lý được thực hiện độc lập với phần cứng máy chủ chính và cung cấp khả năng bật, tắt, đặt lại nó, kết nối từ xa màn hình ảo, bàn phím và chuột, giám sát hoạt động của thiết bị và thông báo về các sự kiện liên quan đến tình trạng của máy chủ. Đặc tả IPMI phiên bản 1.0 đã được xuất bản vào năm 1998. và dựa trên kết nối với mô-đun IPMI thông qua giao diện RS-232 nối tiếp. Đặc điểm kỹ thuật IPMI hiện tại đã được xuất bản vào năm 2004 và dựa trên việc sử dụng giao diện mạng tiêu chuẩn.

Cốt lõi của hệ thống quản lý nền tảng máy chủ là một thiết bị chuyên dụng - Bộ điều khiển quản lý bo mạch chủ (BMC), thực tế là một máy tính chuyên dụng được xây dựng trên nền tảng máy chủ, có bộ xử lý, bộ nhớ, thiết bị ngoại vi và hệ điều hành riêng. Đặc tả IPMI không đặt ra các tiêu chuẩn cứng nhắc cho việc triển khai các thiết bị IPMI. Chúng có thể được làm như một bộ chuyển đổi riêng biệt, chúng có thể được hàn trực tiếp trên bo mạch chủ hoặc chúng có thể được làm như một bộ vi điều khiển riêng biệt. Hiện tại, bộ điều khiển BMC dựa trên công nghệ Hệ thống trên chip (SoC) được tích hợp vào bo mạch chủ máy chủ là phổ biến nhất, cho phép bạn thực hiện cả tương tác hiệu quả với nền tảng được quản lý và một số lượng lớn các chức năng giám sát từ xa, thông báo các sự kiện quan trọng qua e -mail hoặc SNMP, ghi nhật ký, v.v.

BMC cho bo mạch chủ máy chủ kết nối với chúng thông qua một giao diện hệ thống được gọi là IPMB(Bus / Bridge quản lý nền tảng thông minh) hoặc tới các BMC khác thông qua giao diện IPMC(Khung quản lý nền tảng thông minh). Một giao thức lớp ứng dụng đặc biệt có thể được sử dụng để điều khiển thiết bị từ xa thông qua bộ điều khiển BMC Giao thức điều khiển quản lý từ xa (RMCP), cung cấp công việc thông qua một mạng cục bộ thông thường. Thông thường, các BMC hiện đại cung cấp khả năng quản lý nền tảng máy chủ dựa trên web, cũng như ổ CD / DVD từ xa và bàn phím-video-chuột mạng (IP KVM), cho phép thực hiện các tác vụ dễ dàng như thay đổi cài đặt BIOS hoặc thực hiện cài đặt hệ điều hành mà không cần có quyền truy cập vật lý vào phần cứng máy chủ.

Khả năng quản lý bo mạch chủ thông qua IPMI.

Hãy xem xét các khả năng quản lý máy chủ thông qua giao diện IPMI bằng cách sử dụng bo mạch chủ Supermicro X8DTT-IBQF với Bộ điều khiển quản lý bo mạch chủ Nuvoton WPCM450 tích hợp với hỗ trợ IPMI 2.0 làm ví dụ. Bộ điều khiển này hỗ trợ lõi đồ họa PCI, các thiết bị Virtual Media (CD / DVD ảo) và chuyển hướng bàn phím / video / chuột (Keyboard / Video / Mouse, KVM). Để kết nối với mạng cục bộ, bộ điều khiển Ethernet bên ngoài được sử dụng, được hàn trên bo mạch chủ. Các bus điều khiển nền tảng được sử dụng để tương tác với các thành phần của hệ thống được quản lý Giao diện kiểm soát môi trường nền tảng (PECI). Có một jumper trên bo mạch chủ để tắt bộ điều khiển BMC nếu cần. Ngoài ra, nó có đèn LED BMC (BMC Heartbeat LED) để cho biết tình trạng của bộ điều khiển - đèn nhấp nháy màu xanh lục cho biết BMC đang hoạt động bình thường.

Cấu hình ban đầu của giao diện IPMI được thực hiện trong phần Cấu hình IPMI được thừa nhận BIOS chính.

Tình trạng của BMC Tình trạng BMC

Xem Nhật ký Sự kiện Hệ thống BMC- xem Nhật ký sự kiện hệ thống (SEL) do BMC duy trì.

Xóa Nhật ký sự kiện hệ thống BMC- xóa nhật ký sự kiện

Đặt cấu hình mạng LAN- cấu hình cấu hình mạng của bộ điều hợp được BMC sử dụng. Có thể được cấu hình để nhận địa chỉ IP, mặt nạ và địa chỉ cổng tự động qua DHCP hoặc đặt chúng theo cách thủ công.

Đặt cấu hình PEF- cấu hình bộ lọc các sự kiện được đăng ký bởi bộ điều khiển Bộ lọc Sự kiện Nền tảng (PEF). Trong mục menu này, bạn có thể định cấu hình phản ứng của bộ điều khiển đối với các sự kiện nhất định, chẳng hạn như tắt nguồn khi nhiệt độ tăng hoặc tốc độ quạt giảm. Theo mặc định, tính năng lọc sự kiện bị tắt.

BMC Watch Dog Timer Action- bạn có thể cấu hình thăm dò trạng thái của hệ thống được quản lý và thiết lập lại, khởi động lại hoặc tắt nguồn khi nó bị treo. Theo mặc định, đã bị vô hiệu hóa.

Các tính năng chính để quản lý và giám sát trạng thái của nền tảng có sẵn thông qua giao diện web. Để kết nối với mô-đun BMC, bất kỳ trình duyệt nào có hỗ trợ java đều được sử dụng, trong thanh địa chỉ mà địa chỉ IP của thiết bị IPMI được nhập và sau khi kết nối, ủy quyền được thực hiện bằng tên người dùng và mật khẩu được chỉ định trong tài liệu hoặc được chỉ định bởi thiết lập người dùng. Tên người dùng và mật khẩu mặc định cho các thiết bị IPMI của Supermicro là QUẢN TRỊ / QUẢN TRỊ VIÊN. Sau khi ủy quyền thành công, cửa sổ quản lý nền tảng chính sẽ mở ra với tab “Thông tin hệ thống” được kích hoạt:

Tab “Tình trạng máy chủ” cho phép bạn kiểm soát trạng thái của phần cứng máy chủ:

Đọc cảm biến- xem dữ liệu của các cảm biến được giám sát

Đọc cảm biến với ngưỡng- xem dữ liệu cảm biến được giám sát và giá trị ngưỡng

Nhật ký sự kiện- Xem nhật ký sự kiện

Thông tin cảm biến được hiển thị bao gồm tên, trạng thái và giá trị đọc của chúng. Có các nút ở cuối màn hình. Làm mới- cập nhật dữ liệu cảm biến và Hiển thị các ngưỡng- hiển thị các giá trị ngưỡng. Sử dụng menu con Chọn danh mục loại cảm biến bạn có thể chọn loại cảm biến (nhiệt độ, điện áp, v.v.). Ví dụ về thông tin được hiển thị:

Xem nhật ký sự kiện cho phép bạn xác định thời điểm xảy ra trạng thái cảm biến cố định, nhận mô tả ngắn gọn và đánh giá mức độ nguy hiểm đối với hoạt động của thiết bị. Ví dụ về thông tin được hiển thị:

Chuyển hướng Cấu hình cho phép bạn cấu hình các thông báo về trạng thái của thiết bị, thay đổi cài đặt mạng, cấu hình chính sách truy cập vào thiết bị IPMI.

Cảnh báo- cài đặt cảnh báo. Bạn có thể tạo tối đa 15 mục nhập với các quy tắc cảnh báo khác nhau. Có thể đặt danh mục sự kiện mà thông báo được thực hiện - thông tin, cảnh báo, sự kiện quan trọng, trạng thái không thể khôi phục. Có thể thông báo bằng e-mail hoặc bằng cách gửi bẫy SNMP. Trong trường hợp đầu tiên, bạn phải chỉ định e-mail mà bức thư sẽ được gửi đến khi một sự kiện của một danh mục nhất định xảy ra, trong trường hợp thứ hai, địa chỉ IP của máy chủ thu thập thông báo SNMP. Khi sử dụng thông báo qua email, bạn phải chỉ định địa chỉ IP và cổng của máy chủ SMTP và địa chỉ người gửi trong SMTP

Phần LDAP, Thư mục hoạt động, RADIUS,Người dùngChứng chỉ SSLđược cấu hình tùy thuộc vào các yêu cầu bảo mật để truy cập vào các thiết bị IPMI. Trong chuong mạng Bạn có thể thay đổi cài đặt mạng Địa chỉ IP, mặt nạ, cổng vào. Trong chuong Các cổng- số cổng được sử dụng khi mô phỏng thiết bị khởi động ảo, màn hình video, bàn phím và chuột. Bạn cũng có thể thay đổi số cổng để truy cập web vào thiết bị IPMI.

Chuyển hướng điều khiển từ xa cho phép bạn kết nối từ xa với bảng điều khiển máy chủ bằng applet java. Xin lưu ý rằng khi bạn kết nối lần đầu, bảng điều khiển có thể không hoạt động trong một thời gian dài, vì việc thực thi applet yêu cầu khởi chạy máy ảo Java. Ngoài mô phỏng thiết bị đầu cuối thông thường, trong chương trình này, có thể ghi lại một phiên thông qua menu Màn hình quay video, sử dụng bàn phím phần mềm ( Bàn phím - Bàn phím mềm) và kết nối phương tiện ảo ( Media - Virtual Media Wizard)

Chuyển hướng điều khiển từ xađược sử dụng để bật, tắt và thiết lập lại máy chủ. Sự bảo trì- để cập nhật chương trình cơ sở và buộc thiết lập lại thiết bị IPMI. & nbsp & nbsp Để quản lý nền tảng thông qua giao diện IPMI, phần mềm được phát triển bởi các nhà sản xuất phần cứng hoặc phần mềm nguồn mở được sử dụng.

CHRIS KASPERSKY

Quản lý từ xa Thiết lập BIOS

Mỗi người trong số các bạn đều ít nhất một lần trong đời phải vào Cài đặt BIOS và “vặn nhẹ” nó hoặc sửa Windows NT, Linux / FreeBSD bị “sập”. Theo truyền thống, tác vụ này được giải quyết bằng cách sử dụng chuột và bàn phím, nhưng nếu máy chủ không khả dụng về mặt vật lý thì sao?

Các máy tính thuộc họ IBM PC từ lâu đã được coi là những máy trạm rẻ tiền và các máy chủ dựa trên chúng chỉ mới bắt đầu được chế tạo gần đây. Các nhà phát triển đã tăng số lượng bộ xử lý, bổ sung hỗ trợ sửa bộ nhớ, các mảng đĩa có khả năng chịu lỗi và các tính năng thú vị khác, nhưng việc chuyển đổi hoàn toàn thành một máy chủ đã không xảy ra. Đặc biệt, vấn đề quản trị từ xa vẫn còn. Hệ điều hành của họ Windows NT chỉ hỗ trợ điều khiển từ xa về mặt hình thức. Ngay cả các chương trình như Quản trị viên từ xa cũng thực hiện một số giới hạn các hoạt động đơn giản và không có khả năng bảo trì máy chủ chính thức qua mạng. Mọi thứ tốt hơn một chút trong thế giới UNIX, nhưng vẫn còn nhiều vấn đề.

Ví dụ: BIOS từ chối khởi động, nhắc bạn nhấp để vào Cài đặt BIOS hoặc để khởi động với các thông số mặc định (xem Hình 1). Nhưng máy chủ được đặt ở đầu kia của thành phố, và thậm chí trong một căn phòng mà quản trị viên không có chìa khóa. Một tình huống quen thuộc, phải không? Một lựa chọn khác: sau khi cài đặt gói dịch vụ tiếp theo, hệ điều hành "chết", trở thành nạn nhân của một cuộc tấn công của hacker, hoặc đơn giản là bị treo. Trong tất cả những trường hợp này, các công cụ điều khiển từ xa tiêu chuẩn không còn hoạt động và bạn phải đến gần máy chủ, điều này khá khó khăn. Ngay cả khi máy chủ được đặt ở tầng tiếp theo, bạn nên quản lý nó mà không cần rời khỏi chiếc ghế yêu thích của mình hơn là chạy đi chạy lại với các đĩa mềm (đĩa laze).

Và nó thực sự có thể được thực hiện! Có ít nhất ba cách mà tôi muốn nói đến.

Điều khiển BIOS từ xa

Thứ tự khởi động BIOS nói chung trông như thế này. Đầu tiên nhận quyền điều khiển là khối BOOT (khối khởi động hoặc bộ nạp chính, đừng nhầm với khối khởi động!). Nó khởi tạo phần cứng chính (RAM, bộ điều khiển ngắt, bộ đếm thời gian hệ thống, v.v.), quét bus ISA và chèn BIOS của tất cả các thiết bị được phát hiện (ví dụ: bộ điều khiển SCSI, video, card mạng, v.v.). Trước khi hoàn thành công việc của mình, BOOT-block giải nén mã BIOS chính (cái gọi là phần mở rộng BIOS, hoặc bộ nạp khởi động phụ) và chuyển quyền kiểm soát cho nó. Bộ nạp khởi động thứ cấp quét bus PCI và thực hiện quá trình khởi tạo phần cứng cuối cùng - nhận dạng ổ IDE, hiển thị trình chỉnh sửa Thiết lập BIOS tương tác nếu cần, phân phối tài nguyên hệ thống giữa các thiết bị PnP và cuối cùng đọc khu vực khởi động từ đĩa mềm hoặc đĩa cứng.

Do đó, BIOS được cài đặt trên các thẻ mở rộng nhận được quyền kiểm soát ở giai đoạn khởi tạo sớm nhất, rất lâu trước khi tính toán tổng kiểm CMOS hoặc giải nén bộ nạp khởi động thứ cấp bắt đầu. Nhân tiện, hầu hết các tiện ích "ghi" BIOS không chạm vào khối BOOT, và ngay cả khi ghi không thành công, các khe cắm mở rộng ISA vẫn được khởi tạo. Với các khe cắm PCI, mọi thứ phức tạp hơn nhiều và trong trường hợp chung, chúng chỉ có sẵn từ bộ nạp khởi động thứ cấp (và nó sẽ chết nếu quá trình ghi không thành công). Một số nhà sản xuất, chẳng hạn như ASUS, bao gồm một trình điều khiển đặc biệt để làm việc với bus PCI trong khối BOOT để bo mạch chủ có thể khởi tạo card màn hình và hiển thị ít nhất thứ gì đó trên màn hình, ngay cả khi mã BIOS chính bị đánh bại. Nhưng tôi không biết bất kỳ BIOS nào có khối BOOT có thể hoạt động với bus AGP hoặc PCI-express.

Do đó, tất cả những gì chúng ta cần là tạo một thẻ ISA hoặc PCI "giả", cài đặt BIOS "của chúng tôi" trên đó và lập trình nó để điều khiển từ xa. Đã có lúc, tôi “hoàn thiện” các card mạng cổ (chỉ đơn giản là vứt đi), biến chúng thành một “điều khiển từ xa” cho phép tôi chỉnh sửa cài đặt BIOS qua mạng cục bộ. Nó khá dễ dàng để làm! Chỉ cần có thể lập trình trong Assembler và hiểu biết một chút về kiến ​​trúc phần cứng là đủ (xem Hình 2).

Tuy nhiên, không nhất thiết phải miệt mài với trình gỡ lỗi, mọi thứ đều có thể mua sẵn. Các bảng như vậy (chúng được gọi là Bảng từ xa) được sản xuất bởi nhiều công ty. Thông thường chúng là một card VGA tiêu chuẩn với một cổng COM tích hợp để kết nối với một modem bên ngoài. Một số kiểu máy có cổng Ethernet. Nó có thể được cắm vào modem DSL hoặc kết nối với Switch. Thông qua các cổng này, một bản sao của màn hình được truyền đến một màn hình từ xa và các lệnh từ bàn phím sẽ được nhận, do đó PC IBM biến thành một "khung chính" thực sự và không còn yêu cầu quyền truy cập vật lý vào nó nữa (xem Hình 3)!

Mô hình Remote Insight của Hewlett-Packard, được lắp vào khe cắm PCI và được điều khiển qua cổng Ethernet 10/100 Mbit, rất phổ biến. Nó hỗ trợ cả chế độ văn bản và đồ họa (lên đến 1280x1024 / 256 màu), được cấp nguồn từ nguồn bên ngoài, cho phép nó "nhấn" nút "Nguồn" và "Đặt lại". Ngoài chuột và bàn phím từ xa, có thể kết nối ổ đĩa từ xa và ổ đĩa CD-ROM mà không cài đặt lại hệ thống nào có thể làm được. Nó chỉ là tuyệt vời! Bạn luôn có thể khởi động từ Live CD và xem điều gì đã xảy ra với máy chủ và lưu dữ liệu còn sót lại vào bất kỳ phương tiện nào có sẵn. Điều này giúp tăng cường tính bảo mật của hệ thống, vì máy chủ được trang bị "Remote Insight" có thể hoàn toàn không có bất kỳ phương tiện di động nào!

Nhân tiện, về bảo mật. Remote Insight hỗ trợ SSL và mã hóa 128-bit, cho phép nó hoạt động ngay cả trên các kênh không an toàn (và thường là không có kênh nào khác theo ý của quản trị viên thông thường).

Tất cả việc kiểm soát diễn ra thông qua telnet hoặc qua trình duyệt web. Vì nó sẽ thuận tiện hơn cho người quản trị. Hầu hết mọi hệ điều hành đều có thể được cài đặt trên máy chủ: Windows 2000/2003 (Advanced Server, Data Center, Terminal Server, Standard hoặc Enterprise Edition), Novell NetWare 5.1, 6.0, Red Hat Advanced Server2.1, Red Hat Linux 7.3 / 8.0 , SuSE Linux Enterprise Server V7 / V8 và một số khác (xem Hình 4).

Bạn có thể mua thẻ tại cửa hàng hoặc đặt hàng trực tuyến trực tiếp từ chính Hewlett-Packard. Nó sẽ có giá 399 đô la, rõ ràng là xứng đáng! Về nguyên tắc, bạn có thể tìm thấy một nhà sản xuất rẻ hơn, nhưng về giá cả / chức năng thì thẻ này không bằng, tuy nhiên nó vẫn còn xa lý tưởng. Không ai sẽ cung cấp cho chúng tôi văn bản nguồn của phần sụn và sẽ không thể sửa đổi nó bằng một “tệp” cho các nhu cầu cụ thể của chúng tôi (về mặt lý thuyết, điều này là có thể, nhưng rất khó). Ngoài ra, chất lượng của việc thực hiện các giao thức mã hóa là một câu hỏi lớn. Có lẽ có các cửa sổ gỡ lỗi hoặc bộ đệm tràn trong bản đồ sẽ cho phép kẻ tấn công nắm lấy bánh xe điều khiển trong tay (xem Hình 5)!

PC Weasel 2000 của công ty cùng tên bị tước bỏ những thiếu sót này. Cùng với chính bo mạch, người mua sẽ nhận được mã nguồn đầy đủ của phần sụn và giấy phép để có quyền thay đổi nó. Đây vẫn là bo mạch VGA tương tự, nhưng thay vì cổng Ethernet, nó có bộ điều khiển UART (hay còn gọi là cổng COM tiêu chuẩn như 16550). Thật không may, chức năng của nó kém hơn nhiều. Chỉ các chế độ video văn bản được hỗ trợ và không có ổ đĩa từ xa, tuy nhiên, vẫn có thể “nhấn” máy chủ trên “Đặt lại” hoặc xem mã POST để đánh giá ngay mức độ của vấn đề (xem Hình 6).

Phiên bản ISA sẽ trả lại cho bạn 250 đô la, trong khi tùy chọn PCI sẽ khiến bạn mất 350 đô la. Giá cho một giấy phép mở có phải là quá cao với chức năng bị giảm không? Đừng vội vàng kết luận. Văn bản nguồn là một điều tuyệt vời! Bạn có thể mua một bo mạch và cài đặt trên số lượng máy không giới hạn. Chúng tôi không cần sao chép phần cứng. Nếu bạn thay đổi một chút chương trình cơ sở, bạn có thể sử dụng các thành phần tiêu chuẩn, nhưng nhiều hơn về điều đó sau này. Đầu tiên, chúng ta hãy làm quen với loại thiết bị điều khiển từ xa hoàn toàn trái ngược nhau, trong số đó, có lẽ, thiết bị mơ ước của bạn ẩn nấp (xem Hình 7).

KVM hoặc Điều khiển từ xa tiếp tục

Nhược điểm chính của bo mạch VGA được sửa đổi BIOS là chúng yêu cầu mở thùng máy chủ, điều này không phải lúc nào cũng mong muốn. Ngoài ra, kỹ thuật đánh chặn hình ảnh và giả lập đầu vào bàn phím còn xa lý tưởng và cực kỳ mâu thuẫn. Thiết bị chuyển mạch KVM có một cách tiếp cận hoàn toàn khác. Họ lấy tên từ ba chữ cái đầu tiên: Bàn phím, Màn hình video và Chuột. Switch là một thiết bị độc lập được kết nối với máy tính thông qua các đầu nối VGA chuẩn PS / 2 và DB15. Tín hiệu của chúng được chuyển đổi thành một luồng kỹ thuật số và truyền đến một thiết bị đầu cuối KVM gần đó được kết nối với một máy tính từ xa. Nói một cách đại khái, chúng tôi kết nối bàn phím, chuột và màn hình bằng dây cáp rất dài (xem Hình 8).

Bạn có thể định cấu hình Thiết lập BIOS hoặc xem xét Windows đã rơi vào màn hình xanh, nhưng chúng tôi không có ổ đĩa từ xa hoặc thậm chí khả năng nhấp vào Đặt lại, nghĩa là ảo tưởng về quyền truy cập vật lý đầy đủ không hoàn toàn như vậy. Nhưng hầu như tất cả các chế độ video đều được hỗ trợ và không có thay đổi nào được thực hiện đối với mã BIOS và điều này rất quan trọng trong các cơ sở hạ tầng quan trọng. Chúng tôi chỉ đơn giản là sẽ không được phép giới thiệu trình mô phỏng của bên thứ ba vào máy tính ngân hàng, vì công nghệ này không được chứng nhận, nhưng theo quy định, công tắc KVM có tất cả các chứng chỉ cần thiết (xem Hình 9).

Phần lớn các mô hình được thiết kế để quản lý nhiều máy chủ từ một thiết bị đầu cuối, trong khi tín hiệu được gửi qua cáp xoắn đôi được bảo vệ với chiều dài tối đa vài trăm mét. Đây hoàn toàn không phải là Ethernet và bạn không thể chèn nó vào một trung tâm mạng! Để điều khiển từ xa thực sự qua Internet hoặc modem, chúng ta cần cài đặt thêm một máy tính nhận tín hiệu KVM và sử dụng phần mềm đặc biệt, truyền lại nó thành dạng mạng "tiêu hóa được". Và điều này là không tốt! May mắn thay, một số kiểu máy hỗ trợ hoạt động của modem hoặc mạng LAN. Loại chuyển mạch KVM này được gọi là "qua IP", mặc dù có các biến thể ở đây. Chỉ cần xem qua thông số kỹ thuật: nếu có thứ gì đó tương tự như mạng LAN hoặc Dial-Up, thì đây là thứ chúng ta cần (Hình 10)!

Minicom đã chứng tỏ bản thân khá tốt, trong số đó bạn có thể tìm thấy ít nhất hai mô hình phù hợp - Truy cập từ xa Phantom Dial-Up và Bộ mở rộng IP thông minh Chuyển qua IP. Cái đầu tiên có giá khoảng 800 đô la, cái thứ hai ... - 3500 đô la. Đối với các ngân hàng và các tổ chức tài chính khác, một số tiền như vậy có thể phù hợp, nhưng đối với một văn phòng nhỏ thì điều đó khó xảy ra. Tất nhiên, lục tung các cửa hàng, bạn có thể tìm thấy công tắc KVM rẻ hơn, nhưng tốt hơn là bạn nên tự lắp ráp hệ thống điều khiển từ xa.

Cách thức hoạt động hoặc Điều khiển từ xa do bạn tự làm!

Để tạo hệ thống điều khiển từ xa của riêng mình, chúng tôi cần bất kỳ thẻ PCI nào và một bo mạch chủ hỗ trợ hoạt động với bus PCI thông qua BOOT-block (ví dụ: ASUS). Trên bo mạch thẻ phải có mặt "cũi" với BIOS. Tệ nhất, BIOS có thể nằm trong một vi mạch riêng biệt, dễ dàng tháo ra khỏi bo mạch và cắm vào bộ lập trình. Thật không may, các card mạng có BIOS "bên ngoài" đang không được sử dụng và ngày càng trở nên khó tìm hơn. Các bộ điều khiển Ethernet hiện đại tích hợp BIOS vào chip chispet và chúng ta không còn có thể làm gì với nó nữa (chỉ cần đừng nhầm lẫn BIOS với bảng điều khiển cho Boot-ROM, điều này hoàn toàn không giống nhau!).

Vì vậy, bạn phải chuyển sang bộ điều khiển SCSI, giá đã giảm xuống còn $ 10- $ 14. Tất nhiên, chúng ta đang nói về các mô hình đơn giản nhất, nhưng chúng ta không cần bất cứ thứ gì khác ngoài BIOS! Vì vậy, ngay cả một mô hình giá rẻ sẽ hoạt động không kém hơn một mô hình đắt tiền. Không cần thiết phải quan tâm đến việc duy trì chức năng của bộ điều khiển. Việc viết lại BIOS từ đầu dễ dàng hơn nhiều so với việc thêm các mô-đun của riêng bạn vào một mô-đun hiện có (tuy nhiên, bạn có thể làm điều này nếu muốn) (xem Hình 11).

Bạn không cần phải mua thêm một bộ điều khiển UART. Tốt hơn là sử dụng những gì được tích hợp trong bo mạch chủ và nếu muốn, bạn cũng có thể sử dụng Ethernet tích hợp hoặc bất kỳ phương tiện giao tiếp nào khác.

Việc phát triển phần vững thường được thực hiện trong Assembler, nhưng nếu muốn, các ngôn ngữ cấp cao như C / C ++ cũng có thể được sử dụng. Chỉ cần không sử dụng các thư viện I / O tiêu chuẩn trong bất kỳ trường hợp nào và yêu cầu trình liên kết tắt Start-Up. Để làm điều này, chỉ cần đổi tên chức năng chính thành một cái gì đó như MyMain. Bởi vì C không hỗ trợ tính năng cơ sở, mã đã biên dịch phải được định vị lại hoàn toàn (nghĩa là, nó phải được thực thi bất kể địa chỉ tải bộ nhớ cơ sở). Điều này có thể đạt được bằng cách ngừng sử dụng các biến toàn cục và tắt tất cả các tùy chọn trình biên dịch có thể tạo ra mã không thể di dời mà chúng tôi thậm chí không biết đến (ví dụ: kiểm soát ngăn xếp "ngăn xếp"). Nếu bạn không chắc mình biết rõ về sân sau của trình biên dịch, đừng sử dụng nó! Chương trình trong trình hợp dịch. Anh ấy sẽ không để bạn thất vọng!

Mã phần sụn được thực thi trong phân đoạn chế độ thực 16 bit, nhưng không ai cấm chúng ta chuyển sang chế độ được bảo vệ và thoát khỏi đó, tuy nhiên, không hoàn toàn rõ ràng tại sao điều này là cần thiết. Không được phép sử dụng các chức năng tiện ích BIOS vì một số phần cứng chưa được khởi tạo và bản thân BIOS vẫn chưa được giải nén. Chỉ làm việc thông qua các cổng I / O, tuy nhiên, trước khi làm như vậy, hãy nhớ rằng phần cứng phải được khởi tạo thủ công. Đặc biệt, cổng COM tích hợp chưa có địa chỉ cơ sở hoặc IRQ, do trình quản lý PnP cấp phát tài nguyên hệ thống chưa nhận được quyền kiểm soát! Bạn phải mở tài liệu về cầu nam của chipset và lập trình tất cả phần cứng từ đầu. Đây là mức thấp nhất của "giao tiếp" với thiết bị! Cực kỳ phức tạp, nhưng đồng thời cũng thú vị! May mắn thay, cầu nối máy chủ đã được khởi tạo một phần, vì vậy không cần thiết phải cấu hình bộ điều khiển bộ nhớ.

Bây giờ chúng ta hãy nói về kỹ thuật giả lập và đánh chặn. BIOS sử dụng dịch vụ INT 10h của riêng nó để hiển thị thông tin trên màn hình. Nó cũng được sử dụng ở giai đoạn tải ban đầu của các hệ điều hành thuộc họ Windows và UNIX. Bằng cách bắt được ngắt này, chúng tôi có thể lấy tất cả kết quả đầu ra trên màn hình và chuyển nó đến một máy tính từ xa (“cướp” là một thuật ngữ hoàn toàn hợp pháp được mượn từ các kỹ sư nói tiếng Anh, những người nói “lấy” trong trường hợp này, nghe có vẻ thô lỗ, nhưng thật thà).

Tất nhiên, điều này không phải là không có khó khăn. Vì vectơ ngắt có thể được đặt lại nhiều lần trong quá trình khởi tạo BIOS, nên việc chỉ sửa đổi bảng ngắt (tức là, phương pháp đánh chặn cổ điển) sẽ không đủ. Có, chúng tôi có thể thay đổi con trỏ xa tại: 0000h: 10h * sizeof (DWORD) == 0000h: 0040h bằng cách chuyển hướng nó đến trình xử lý của chính chúng ta, nhưng ... sau một thời gian, quyền kiểm soát INT 10h sẽ bị mất. Để tránh điều này, bạn cần đặt điểm ngắt phần cứng để ghi vị trí bộ nhớ này. Thanh ghi gỡ lỗi của họ DRx sẽ giúp chúng ta điều này. Thanh ghi Dr0-Dr3 lưu trữ địa chỉ vật lý tuyến tính của điểm ngắt và Dr7 xác định các điều kiện mà nó được kích hoạt, buộc bộ xử lý tạo ngắt INT 01h, trên đó bộ xử lý của chúng tôi sẽ được định vị, thực hiện lặp đi lặp lại việc “chiếm đoạt” INT 10h từ hệ thống.

Dưới đây là một ví dụ về cách làm việc với thanh ghi gỡ lỗi.

Liệt kê 1. Interceptor chuyển quyền kiểm soát đến mã của chúng tôi khi khu vực Khởi động được tải

; đánh chặn INT 01 giờ

Rìu MOV, CS

XOR bx, bx

MOV DS, bx

; bù đắp của trình xử lý của chúng tôi

MOV, bù lại our_vx_code

; liên quan đến phân khúc 0000h

MOV, bx

MOV DS, rìu

; đặt một điểm ngắt thực thi

MOV eax, 302h

; địa chỉ vật lý tuyến tính của điểm ngắt

MOV ebx, 7С00h

; Đưa giá trị vào thanh ghi gỡ lỗi

MOV dr7, eax

mov dr0, ebx

Ngắt INT 10h hỗ trợ hơn một trăm chức năng khác nhau, số lượng trong số đó được truyền trong thanh ghi AH. Trong đó, 02h điều khiển con trỏ và 09h in một ký tự. Đương nhiên, để cướp kết quả đầu ra của màn hình, bạn cần có khả năng phân biệt chức năng này với chức năng khác và biết chính xác chức năng của mỗi chức năng. Tuy nhiên, mô tả các chức năng có thể được tìm thấy trong tài liệu kỹ thuật cho một card màn hình cụ thể (và nếu card được tích hợp vào bo mạch chủ, thì trong tài liệu về cầu máy chủ của chipset), hoặc trong Danh sách ngắt nổi tiếng của Ralph Brown. đã không được cập nhật trong một thời gian dài và rất lỗi thời. Phiên bản mới nhất có từ mùa hè năm 2000. Kể từ đó, nhiều thẻ mới đã được phát hành! Tuy nhiên, các tính năng video cơ bản không thay đổi, và nếu bạn loại bỏ các chế độ video không chuẩn, mọi thứ sẽ hoạt động bình thường.

Chế độ văn bản bị cướp đi là tốt, nhưng các chế độ đồ họa không còn phù hợp với băng thông của modem tương tự, và thông tin truyền đi phải được nén bằng cách nào đó. Cách đơn giản nhất là chỉ chuyển các thay đổi, trước đó đã đóng gói chúng bằng cách sử dụng thuật toán gzip, mà có rất nhiều thư viện tạo sẵn.

Đúng như vậy, với việc chuyển đổi hệ điều hành sang chế độ được bảo vệ, mọi hoạt động đánh chặn của chúng ta sẽ bị "triệt tiêu" và máy tính từ xa sẽ hiển thị một màn hình đơ đơ đơ đơ. Về nguyên tắc, điều này có thể được dung hòa. Vấn đề chính là chúng tôi kiểm soát Thiết lập BIOS và giai đoạn tải trục ban đầu, và ở đó bạn có thể sử dụng telnet tiêu chuẩn, tất nhiên, trừ khi Windows ném màn hình xanh lam ở giữa quá trình tải.

Trong các mô hình hệ thống điều khiển từ xa đầu tiên của tôi, tôi đã làm điều này: Tôi đã theo dõi nỗ lực chuyển sang chế độ được bảo vệ (và bạn có thể theo dõi nó bằng cách sử dụng tất cả các thanh ghi gỡ lỗi giống nhau), tự mình chuyển sang chế độ được bảo vệ, đặt bộ xử lý ngắt của riêng tôi và cho phép kiểm soát vào hệ điều hành, không cho phép nó không có gì thay đổi. Nó đã làm việc! Mặc dù nó cũng không thành công. Không thể tạo ra một thiết bị đánh chặn đa năng và chúng tôi phải tính đến các tính năng triển khai của tất cả các hệ điều hành. Cuối cùng, tôi đã từ bỏ và viết một trình điều khiển bộ lọc thông thường hoạt động như một cổng mini VGA và gửi đầu ra màn hình đến thẻ mở rộng "của chúng tôi" (Hình 12).

Một số hệ thống điều khiển từ xa (ví dụ: tổ hợp PC Weasel 2000 đã được đề cập) thay vì chặn INT 10h chỉ đơn giản là cướp bộ đệm video, điều này thoạt nhìn đơn giản hóa việc triển khai. Không cần phải loay hoay với các thanh ghi gỡ lỗi, lục trong Danh sách ngắt, v.v. Thực tế, ngay cả ở chế độ văn bản, có rất nhiều trang màn hình và chúng ta thường im lặng về trang đồ họa! Hơn nữa, hoàn toàn không rõ ràng về cách đồng bộ hóa đầu ra màn hình với khả năng đánh chặn của nó. Hoàn toàn có thể quét bộ nhớ video với tần số 50-60 Hz, nhưng khó có thể đẩy dữ liệu bị đánh cắp vào kênh modem. Và làm thế nào mà thứ này sẽ chậm lại! Không có gì ngạc nhiên khi PC Weasel 2000 chỉ hoạt động với các chế độ văn bản!

Bây giờ chúng ta hãy chuyển sang mô phỏng nhập liệu bằng bàn phím. Chúng tôi sẽ không xem xét con chuột, vì các quản trị viên bình thường có thể dễ dàng làm được nếu không có nó. Toàn bộ dịch vụ bàn phím tập trung trong ngắt INT 16h, mà chúng ta phải chặn. Khi một chương trình (và cụ thể là Thiết lập BIOS) đang đợi một phím được nhấn, nó sẽ đặt lại thanh ghi AH và gọi INT 16h. Tất nhiên, có những lựa chọn khác, nhưng cách này là phổ biến nhất. Trong trường hợp này, trình xử lý ngắt của chúng ta phải đặt mã ASCII của ký tự được nhấn trên bàn phím từ xa vào thanh ghi AL và trả về. Đương nhiên, tất cả điều này sẽ chỉ hoạt động cho đến khi hệ điều hành chuyển sang chế độ được bảo vệ và sau đó, bạn sẽ phải tải trình điều khiển của riêng mình, trình điều khiển này “nằm xuống” trên trình điều khiển bàn phím tiêu chuẩn và giả lập đầu vào.

Các đĩa từ xa được thực hiện khá tầm thường. Ngắt INT 13h chịu trách nhiệm cho việc này. Chức năng 02h cung cấp khả năng đọc sector, 03h - ghi nó. Số khu vực được truyền trong thanh ghi CX và DX ở định dạng CHS. CD-ROM từ xa phức tạp hơn một chút. Nếu bạn không giỏi về lập trình hệ thống, thì tốt hơn hết là nên giới hạn bản thân với các đĩa ảo. Nhân tiện, không nhất thiết phải sử dụng đĩa mềm vật lý - một máy tính từ xa có thể làm việc với hình ảnh của chúng được lưu trữ trên đĩa cứng dưới dạng tệp. Để cài đặt lại Windows NT từ xa, kỹ thuật này khá phù hợp. Và không khó để tự động hóa việc thay đổi đĩa ảo.

Kết quả là chúng ta sẽ có được một tổ hợp điều khiển từ xa khá mạnh, và quan trọng nhất là - rất rẻ. Tất nhiên, thời gian của chúng ta cũng đáng giá (và sẽ mất rất nhiều thời gian để phát triển và vận hành), nhưng nếu những khu phức hợp như vậy được thực hiện theo đơn đặt hàng, họ sẽ nhanh chóng tự trả tiền, đặc biệt là vì có nhu cầu ổn định cho họ, bởi vì hầu hết các đối tác phương Tây đơn giản là không có khả năng chi trả.

Để hoàn thành bức tranh, chỉ còn lại một công việc nhỏ - Reset từ xa, nếu không có sự sáng tạo của chúng tôi sẽ kém hơn. Vâng, mọi thứ đều đơn giản. Nó là đủ để kết nối một rơle với cổng LPT, dẫn đến nút "ấp ủ", và vấn đề sẽ được giải quyết. Tất nhiên, từ phần sụn của bộ điều khiển SCSI, chúng ta có thể điều khiển cổng LPT mà không quên rằng nó phải được khởi tạo trước đó.

Một mẹo nhỏ cuối cùng. Nếu bạn không cần một hệ thống điều khiển từ xa chính thức và chỉ cần cấm BIOS yêu cầu nhấn phím khi khởi động, thì điều đó thật dễ dàng thực hiện mà không cần thiết bị bổ sung. Chỉ cần tải phần sụn của BIOS chính vào trình tháo gỡ và tìm thấy tất cả các thông báo "lạm dụng" là đủ. Các tham chiếu chéo sẽ dẫn chúng ta đến mã máy xuất ra các dòng này. Cũng sẽ có một mã chờ khi nhấn phím, chúng ta phải loại bỏ. Cuộc gọi trực tiếp đến INT 16h hiếm khi được sử dụng. Rất có thể, chúng ta sẽ thấy một cái gì đó giống như CALL xxx, trong đó xxx là địa chỉ của hàm wrapper. Để đạt được mục tiêu của mình, chúng ta phải thay thế CALL xxx bằng "MOV AX, scan-code", cho biết mã quét của khóa được yêu cầu. Ví dụ, phím trong hầu hết các BIOS có nghĩa là "khởi động với cài đặt mặc định", nhưng trong một số trường hợp, bạn có thể cần nhấn hoặc.

Vấn đề là hình ảnh BIOS chính được đóng gói và bảo vệ bằng tổng kiểm tra. Hầu như tất cả các nhà phát triển BIOS đều phân phối các tiện ích để giải nén / đóng gói và tính toán lại tổng kiểm tra, nhưng chúng tôi không đảm bảo rằng BIOS đã sửa đổi sẽ hoạt động bình thường. Lỗi có thể xuất hiện ở những nơi bạn không ngờ tới nhất. Hệ thống trở nên không ổn định, bo mạch chủ bắt đầu đóng băng mà không có lý do rõ ràng, v.v. Tất nhiên, điều này là không thể chấp nhận được đối với các máy chủ, vì vậy bạn phải làm theo cách khác.

Thay vì sửa đổi hình ảnh đóng gói của mã BIOS chính, chúng tôi sẽ lấy một khối BOOT chưa được đóng gói và thêm một trình vá lỗi tự động vào đó, sửa các byte cần thiết trực tiếp trong bộ nhớ khi quá trình giải nén đã hoàn tất. Vì mã BIOS chính được giải nén thành RAM nên không có vấn đề gì khi sửa nó. Điều chính là xác định đúng địa chỉ. Thực tế là bản thân BIOS không ghi đè hình ảnh của nó sẽ giúp chúng ta điều này và tại thời điểm tải khu vực khởi động, nó sẽ hiện diện trong bộ nhớ. Chỉ cần viết một chương trình hợp ngữ nhỏ bé đọc 640 KB đầu tiên của bộ nhớ thấp và ghi chúng vào đĩa mềm, sau đó đưa nó vào khu vực khởi động. Sau khi khởi động lại hệ thống, chúng ta sẽ trở thành chủ sở hữu của BIOS đã giải nén, nằm ở địa chỉ "gốc" của nó.

Nó chỉ còn lại để ghi khối BOOT cập nhật và bạn có thể tận hưởng hoạt động trơn tru của máy chủ!

Sự kết luận

Điều khiển từ xa hoàn toàn của hệ thống là một thực tế! Phạm vi các giải pháp khả thi là rất rộng: từ các thiết bị KVM làm sẵn (và rất đắt!) Đến các bảng mở rộng rẻ hơn, nhưng đồng thời nhiều chức năng hơn (!) Mà hầu hết các lập trình viên có thể dễ dàng tự chế tạo. Quyền truy cập vật lý vào máy chủ sẽ chỉ được yêu cầu khi nó đang được sửa chữa (bạn không thể thực hiện nếu không có nó, vì không thể truyền kìm với tuốc nơ vít qua modem), nhưng các lỗi nghiêm trọng không thường xuyên xảy ra.

  1. Bảng điều khiển từ xa "Lights Out" - tổng quan về hệ thống điều khiển từ xa (bằng tiếng Anh): http://www.paul.sladen.org/lights-out/riloe.html.
  2. Remote Insight Lights-Out Edition II - Mô tả Thẻ Quản lý Từ xa Trực tuyến Hewlett-Packard: http://h18004.www1.hp.com/products/servers/management/riloe2/server-slot-matrix.html.
  3. PC Weasel 2000 - mô tả bảng điều khiển từ xa thay thế, mã vi mô, được phân phối theo giấy phép mở (bằng tiếng Anh): http://www.realweasel.com/intro.html.
  4. Đặc tính kỹ thuật của một số lượng lớn các hệ thống điều khiển từ xa (chủ yếu là công tắc KVM, bằng tiếng Anh): http://www.kvms.com.
  5. Raritan IP-Reach TR364 - mô tả công tắc TR364 KVM (bằng tiếng Anh): http://www.42u.com/telereach_bk.htm.
  6. Kiến trúc I / O của máy tính cá nhân IBM PC là phiên bản điện tử của cuốn sách dành riêng cho thiết bị IBM PC, cuốn sách này rất được khuyến khích đọc trước khi phát triển hệ thống điều khiển từ xa của riêng bạn (bằng tiếng Nga): http://redlib.narod. ru / asmdocs / asm_doc_07.zip.
  7. Ralf Brown Interrupt List - một hướng dẫn điện tử về tất cả các ngắt, cổng I / O, địa chỉ bộ nhớ "ma thuật", bao gồm các phần mở rộng không chuẩn và các tính năng không có tài liệu (bằng tiếng Anh):

Ngày xưa, khi tôi chưa phải là một lập trình viên, nhưng tôi đã làm bạn với máy tính, những công nghệ như RAdmin đối với tôi như một phép màu. Bạn có thể kết nối với một máy tính từ xa, giống như trong bộ phim hay nhất về tin tặc, mở sổ ghi chú và viết dòng chữ đe dọa vào đó. Đúng, tôi không có nơi nào để sử dụng nó.

Sau đó, ssh bước vào cuộc sống của tôi: nhận ra rằng bạn quản lý một máy chủ xuyên đại dương lúc đầu rất vui, nhưng bây giờ nó đã trở nên phổ biến. Phải, cho đến khi bạn gõ ngẫu nhiên thì dừng lại. Và sau đó bạn bắt đầu mở bảng điều khiển quản trị của nhà cung cấp dịch vụ và cố gắng vào bảng điều khiển quản lý máy chủ để khởi động nó. Và không hiểu sao hôm nay cô ấy lại ngẩn ngơ. Sau đó bạn viết để ủng hộ và hồi hộp. Không thích lắm. Nhưng đây là những nỗi sợ hãi về lập trình của cá nhân tôi.

Bằng cách nào đó, tại một công việc cũ sau khi thay đổi quản trị viên, một người mới quyết định dọn dẹp khu máy tính và vì điều này, anh ta tiếp cận máy tính, đuổi nhân viên đó ra ngoài, tải xuống Everest, chạy chẩn đoán và lưu kết quả vào một tệp. Vì vậy, khi chỉ bỏ qua ~ 60 nơi làm việc trên ba tầng, anh ấy đã tìm ra loại phần cứng mà mình sử dụng. Không thoải mái.

Đây là lúc Intel vPro phát huy tác dụng.

Intel vPro là một thứ cho phép bạn không sợ những điều được mô tả ở trên và thậm chí còn làm được nhiều điều hơn thế. vPro bao gồm hai thành phần: phần cứng và phần mềm, và tôi sẽ nói sơ qua về chúng.

Phần cứng

Ở cấp độ phần cứng, bạn cần một bộ xử lý và một bo mạch chủ (chipset thường bắt đầu bằng Q, nhưng bạn cần xem thông số kỹ thuật) hỗ trợ vPro. Bo mạch chủ được tích hợp card mạng gigabit và bộ điều hợp video có khả năng hoạt động ở mức thấp. Trong thực tế, điều này có nghĩa là bạn có thể kết nối với máy tính bằng vPro mà không cần sử dụng, không chỉ trình điều khiển mạng của hệ điều hành mà còn không cần đến chính hệ điều hành đó! Và có, bạn có thể vào BIOS từ xa.

Cả kết nối có dây và không dây đều được hỗ trợ. Trong trường hợp của WiFi, không có nhiều chuyến bay cho tưởng tượng - hệ điều hành phải được tải và kết nối với một điểm truy cập, nhưng khi sử dụng dây, bạn thậm chí có thể kết nối với một máy tính đã tắt. Đó là những gì các nhà tiếp thị nói: trên thực tế, một máy tính đã tắt có thể được bật và - xa hơn như bình thường.

Phần mềm

Phần phần mềm được viết tắt AMT - đây là Công nghệ Quản lý Hoạt động của Intel, cung cấp các kết nối và có khả năng tuyệt vời.

Máy tính trước tiên phải được cấu hình để hoạt động với vPro và điều này sẽ yêu cầu quyền truy cập vật lý. Sau đó, nếu nó là một máy chủ, nó có thể bị mất hoặc bị treo tường trong một căn phòng, như các quản trị viên nói đùa. Nếu quản trị viên trên cùng mạng cục bộ với bệnh nhân thì không có vấn đề gì, nhưng nếu máy tính mong muốn bị ẩn sau NAT, bạn sẽ phải đặt máy chủ bên trong để truy cập. Sự thật không thể là khác - các yêu cầu cơ bản của an ninh mạng.

Phiên giao tiếp được mã hóa và máy chủ có thể được truy cập thông qua bảng điều khiển (nối tiếp qua mạng LAN), giao diện web hoặc VNC. Giao diện web có thiết kế làm việc kín đáo (hiển thị hoàn hảo trên máy tính bảng) và cho phép bạn nhận thống kê về phần cứng, trạng thái của nó và khởi động lại máy tính, định cấu hình giao diện mạng và chính sách truy cập AMT, xem lịch sử sự kiện - tìm hiểu lý do thư ký không khởi động hệ thống mà không đi đến máy tính của mình.

Khi được kết nối qua bảng điều khiển và VNC, bạn hoàn toàn có thể làm mọi thứ: vPro cung cấp KVM chính thức từ máy cục bộ đến máy từ xa với hỗ trợ độ phân giải màn hình lên đến 1920x1200 và khả năng xem cách hệ thống khởi động từ khởi tạo BIOS đến khởi động hệ điều hành trực tiếp. Trong trường hợp này, ngay cả khi hệ thống được khởi động lại, vẫn không có hiện tượng tắt máy! Điều duy nhất là để truy cập BIOS, nó sẽ không hoạt động chỉ cần nhấn giữ Delete khi khởi động hệ thống và bạn sẽ cần phải chọn mục đặc biệt “Reboot to BIOS”.

Sau đó, BIOS thực sự tải.

Điều đặc biệt là bạn có thể kết nối với một máy tính từ xa thông qua VNC ngay cả khi trình điều khiển card mạng đã bị lỗi ở đó (xét cho cùng, vPro hoạt động ở mức thấp hơn hệ điều hành) và cài đặt tất cả các trình điều khiển trực tiếp thông qua VNC. Và nếu điều này vẫn có thể được giải quyết trong văn phòng, thì có thể không thuận tiện khi đến trung tâm dữ liệu.

Có một tính năng thú vị khác được gọi là IDE-R cho phép bạn khởi động từ một nguồn bên ngoài như thể nó là một ổ cứng bên trong. Nghĩa là, bạn có thể kết nối qua VNC, chỉ định một hình ảnh để tải xuống và khởi động vào một hệ thống làm việc đã biết. Nó có thể là một tính năng rất hữu ích cho cả chẩn đoán và quản trị. Ví dụ: bạn có thể khởi động một máy khách có hệ thống trong đó cấu hình chương trình chống vi-rút tham chiếu, kiểm tra ổ cứng và lặng lẽ rời đi.

Về bảo mật

Với sự trợ giúp của vPro, công nghệ Chống Trộm của Intel sẽ hoạt động. Nếu máy tính xách tay của bạn bị đánh cắp, bạn có thể liên hệ với Intel và họ sẽ chặn nó. Blog của Intel đã có công nghệ này. Sau khi chặn, chủ sở hữu mới của máy tính sẽ nhìn thấy một bức ảnh như vậy.

Kết luận và liên kết

Rất nhanh thôi, khi thế hệ máy tính một lần nữa sẽ bị thay thế ngay cả bởi những người dùng không có nhu cầu nhất, và các công ty tiến bộ thậm chí còn sớm hơn, các quản trị viên sẽ có cùng một khối lượng công việc, nhưng sẽ dễ chịu hơn nhiều.

Đăng ký nhận xétđến bài đăng - chúng hứa hẹn sẽ có rất nhiều điều thú vị. Hoặc kiểm tra chủ đề sau một vài ngày - tôi sẽ đưa tất cả các nhận xét thú vị nhất vào một danh sách riêng ở cuối bài đăng.

Bài viết liên quan: