Trotz vPro-CPU kein Intel AMT möglich

[PieczonyKurczak]

Hallo zusammen,

ich habe jetzt seit vorgestern einen ASUS NUC 14 Pro (Tall) mit einem vPro-CPU (Intel Ultra 5 135H). Laut einer ASUS Dokumentation ( https://dlcdnets.asus.com/pub/ASUS/NUC/TPS/NUC14_Pro_ProPlus_TPS_1.1_5-2-2024.pdf ) kann dieses Modell auch Intel AMT.

Leider bekomme ich es einfach nicht hin, Intel AMT einzurichten. Im UEFI (welches ich auch auf die aktuellste Version 0044 aktualisiert habe) wurden alle notwendigen Einstellungen gesetzt, auch wurde ein sicheres Passwort gesetzt welches den Anforderungen genügt. Beim Booten kann ich egal was ich versuche nicht mit der Tastenkombination STRG+P das Intel MEBx Menü aufrufen, es bootet einfach stur weiter bis Windows 11 Pro auftaucht.

Im Anhang habe ich Fotos sämtlicher UEFI-Einstellungen hochgeladen, ich weiß einfach alleine keinen Rat mehr.
Im Netzwerk von einem anderen Gerät aus kann ich von einem Browser aus KEIN Intel AMT aufrufen, weder http://192.168.178.38:16992 noch https://192.168.178.38:16993 funktionieren.

Da ich weder beim Booten mittels STRG+P auf das MEBx-Menü zugreifen kann, noch über den Browser von einem anderen Gerät im Netzwerk aus mittels Browser auf Intels AMT zugreifen kann, benötige ich eure Hilfe. Ich persönlich weiß gerade einfach gar nicht weiter. Habt ihr Ideen was ich noch versuchen könnte?

UEFI habe ich auch mehrmals zurückgesetzt und auch schon mittels Recovery-Funktion neu geflasht. Bisher kein Erfolg...
Danke schon einmal im Voraus!

 

[kleiner_muck]

Hat das Board mehr als ein LAN Anschluss ?
Wenn ja, normalerweise ist nur einer für iAMT vorbereitet.

Ok, nur ein Port. Was sagt der Treiber, ist es ein i226-V oder ein I226-LM ?
Laut deiner Bilder ein I226-LM, passt soweit.

 

[madmax2010]

Kannst du ihn anpingen?
Geht MeshCMD?
Dezidierter / Shared Port fuer AMT irgendwo eingestellt?

 

[Mar1u5]

Laut Bild 2606 ist dein Link aktuell disconnected.
Außerdem: Teste es mal mit fester IP statt DHCP und evtl. das MGMT nicht shared mit dem OS sondern eigene feste IP und Hostname (2591-2592)

 

[Der_Dicke82]

Dir ist klar, das du einen angeschlossenen Monitor brauchst? Bzw. einen Dongle der dem PC das vorgaukelt!
Dazu ist es oft nur ein Port der überprüft wird, also mal durchprobieren! In der Regel ist es der erste DP
Sollte dein Monitor am HDMI hängen, oder an einer dGPU funktioniert vPro nicht

 

[PieczonyKurczak]

Kannst du ihn anpingen?

Nach dem Hinweis von @Mar1u5 habe ich im UEFI eine fixe IP (192.168.178.58) vergeben. Wenn Windows gebootet ist, kann ich diese IP nicht anpingen. Im ausgeschalteten Zustand ist diese IP anpingbar. Über den Browser ist kein Aufruf von http://192.168.178.58:16992 bzw. https://192.168.178.58:16993 möglich.

Laut Bild 2606 ist dein Link aktuell disconnected.

Dies steht komischerweise immer, auch kann ich den Link Status nicht anwählen / anpassen.
Jedoch ist er stets mit der Fritz!Box verbunden, wenn hochgefahren mit 1GBit und einer IP die von der Fritz!Box vergeben wurde. Im ausgeschalteten Zustand besteht eine Verbindung mit 10Mbit, im UEFI eingestellte fixe IP 192.168.178.58 ist auch anpingbar. Über den Browser ist kein Aufruf von http://192.168.178.58:16992 bzw. https://192.168.178.58:16993 möglich.

Außerdem: Teste es mal mit fester IP statt DHCP und evtl. das MGMT nicht shared mit dem OS sondern eigene feste IP und Hostname (2591-2592)

Ich habe folgendes angepasst:

IP: 192.168.178.58
SNM: 255.255.255.0
Gateway: 192.168.178.1
Primary-DNS: 192.168.178.1
Secondary-DNS: 0.0.0.0

Dir ist klar, das du einen angeschlossenen Monitor brauchst?

Es ist ein Monitor am ersten HDMI-Port angeschlossen.

Sollte dein Monitor am HDMI hängen, oder an einer dGPU funktioniert vPro nicht

Der ASUS NUC 14 Pro hat kein DisplayPort.

Dezidierter / Shared Port fuer AMT irgendwo eingestellt?

Nach einem Hinweis habe ich von shared auf dedicated umgestellt. Bisher kein Erfolg.

Im Anhang habe ich Bilder, auch einen FQDN (amt.fritz.box) habe ich gesetzt. Auch ist ein Bild zu sehen was angezeigt wird, wenn ich F9 drücke. In dem Zustand kann ich über den Browser auch kein AMT aufrufen.

 

[Mar1u5]

Bild 2609 - was ist das für eine Policy? Ist das womöglich eine Art lokale Firewall, die Zugriffe einschränkt?

Hast du alles was sich hinter diesen unterstrichenen Menüs verbirgt gescreenshotet oder gibts da noch mehr?

Evtl. kannst du mal einen Computer mit LAN Kabel direkt an dein NUC hängen und schauen ob du dann das AMT aufrufen kannst (falls die Fritzbox da aktuell irgendwas blockiert). Du musst natürlich dafür eine statische IP im selben Netz auch auf dem Computer konfigurieren.

 

[madmax2010]

Bild 2609 - was ist das für eine Policy? Ist das womöglich eine Art lokale Firewall, die Zugriffe einschränkt?

Password policy beschreibt wie das passwort aufgebaut sein muss

 

[kleiner_muck]

Kannst Du nun, mit fester IP in Windows, das Windows anpingen?
Das wird aus Deiner Beschreibung nicht klar.

 

[PieczonyKurczak]

Okay jetzt wird es verwirrend: Im UEFI wird in den MEBx-Einstellungen -> Netzwerkeinstellungen jedes mal wenn ich im Bereich Shared/Dedicated-FQDN von Shared auf Dedicated umstelle beim Drücken von F10 (UEFI Einstellungen Speichern und Neustarten) ganz Kurz ein Fehler oben Rechts angezeigt "Set FQDN Data Error" angezeigt. Danach wird neu gestartet, ein Blick im UEFI -> MEBx -> Netzwerk und dort ist wieder Shared zu sehen. Wiederholtes Ändern bringt nichts. (Bild im Anhang)

Bild 2609 - was ist das für eine Policy? Ist das womöglich eine Art lokale Firewall, die Zugriffe einschränkt?

Dort kann man angeben, wann ein Passwort angefordert wird. Anytime bedeutet bei jedem Zugriff auf das AMT wird das Kennwort abgefragt.

Kannst Du nun, mit fester IP in Windows, das Windows anpingen?

Ich habe jetzt folgenden Aufbau:
-Eingebaute LAN-Schnittstelle ist in Windows komplett deaktiviert, für Windows habe ich einen USB-C LAN Adapter dran angeschlossen. Die eingebaute LAN-Schnittstelle soll temporär zur Fehlerfindung nur für Intel AMT Zwecke verwendet werden
-Für USB-C wird DHCP verwendet

Komisch: im ausgeschalteten Zustand kann ich jetzt nicht mehr die 192.168.178.60 die ich fix im UEFI -> MBEx eingestellt habe anpingen. Diese IP habe ich gesetzt, da ich zwischenzeitlich das gesamte UEFI noch einmal komplett auf 0 gesetzt habe. Egal ob vom Laptop über das Netzwerk oder von Windows (USB-C) auf die 192.168.178.60.

Das kann doch nicht so schwer sein Intel AMT einzurichten... Ich fress 'nen Besen gleich!

Ergänzung (12. November 2024)

Kurzes Update: Jetzt kann ich im ausgeschalteten Zustand die 192.168.178.60 anpingen. Ich fress wirklich gleich 'nen Besen!

 

[kleiner_muck]

Grundsätzlich solltest du jede IP Nummer nur einmal im Netz haben. Also den interne Port mit der .60 auszustatten und den USB-C ebenfalls, geht nicht, wenn sie im selben LAN sind. Ständige die Portnummern zu wechseln ist ebenfalls keine gute Idee, wenn du fest IPs vergibst behalte sie bei.
Feste Portnummern dürfen auch nicht vom DHCP doppelt zugewiesen werden können.
Also Nummer z.b. 1-99 selbst vergeben und DHCP darf 100-250 selbständig vergeben.

iAMT funktioniert nur über einen Netzwerkport der iAMT unterstützt, dein Port über USB-C tut das nicht. Lass den USB-C Port weg, kann nur eine Lösung verkomplizieren, wie sich hier zeigt.

Der Netzwerkontroller I226 ersetzt nun die älteren I225 und ist noch recht neu. Schau ob auch wirklich der neusten Windows Treiber installiert ist.
Hast du schon den Meshcommander ausprobiert?

 

[PieczonyKurczak]

Hast du schon den Meshcommander ausprobiert?

Irgendwie habe ich es nach Stunden geschafft irgendwie auf das AMT zu kommen, jedoch weiß ich nicht wie ich den Modus aktivieren kann dass ich ohne Meshcentral direkt per Browser auf das Intel AMT zugreifen kann. Auch funktioniert über Meshcentral kein Remote-Desktop oder ähnliches.

Also irgendwie bin ich drauf aber irgendwie auch nicht wirklich.

Ergänzung (13. November 2024)

Okay jetzt kann ich per HTTPS auch auf dem Browser zugreifen... lol. Bin noch am Testen.

 

[PieczonyKurczak]

So eine Rückmeldung sollte ich geben. Also erst einmal:

-Intel AMT läuft, inkl. sämtlicher Funktionen wie Remote Control (aus jeden Zustand heraus), das einbinden von Images aus der Ferne usw.
-auch über ein Management-System wie MeshCentral (Windows oder Linux) oder Intel Endpoint Management (selfhosted in einer Windows Server Umgebung) ist ein Administrieren ohne Probleme möglich.

Woran lag der Fehler? Kurz: An meinem MacBook bzw. genauer gesagt an MacOS. Egal was ich versuchte, über MacOS konnte ich einfach nichts einrichten. Dann habe ich irgendwann aus Neugier in Parallels mit einer Windows VM MeshCentral installiert und? Es funktionierte auf anhieb. Auch das aufrufen der eher nutzlosen Weboberfläche in Windows funktionierte auf anhieb.

Auch in einer VM mit Linux: Kein Problem. Vom NUC aus (localhost) ist AMT ohne Probleme mittels MeshCentral kein Problem.

Mit MacOS ist bis heute kein Erfolg zu verzeichnen. Und ich habe wirklich viel versucht mittels Netzwerkeinstellungen, Firewalleinstellungen etc. zu testen. Ein weiterer Grund weshalb ich MacOS immer mehr hasse... lol.

Also kurz: MacOS war der Buhmann. Danke an euch!