インテル アクティブ・マネジメント・テクノロジーは、
インテルが開発した多数のクライアントマネジメントを
効率的にこなす為の仕組みです。
インテル アクティブ・マネジメント・テクノロジー = Intel AMT (以下Intel AMTで統一)
★☆ クライアントのマネジメントって? ☆★
個人ではあまり使わない(実は考えようによっては便利なので結構使える)機能ですが、
クライアントをマネジメントするってどういう事でしょうか。
企業では、たくさんのPCが稼働しています。
その1台1台にとってのセキュリティポリシーを満たすための
設定変更や、不具合確認や、故障の対応の為の確認を行うにあたり、
各自でやってくれてらいう事はありませんが・・・
実情はそんなことはできませんよね。
全員がすべての項目を知っていて、かつ、適切に処理できるほど
PCは簡単ではないからです。
では、その1台1台の対応を、担当のあなたがするとした場合、
それぞれ現場に行って対応するのが良いことでしょうか?
同じ事務所内であれば、まだ手は回るかもしれません。
でも、他の地域に事務所があったり、国外にも・・・となってきた場合、
それはとてもじゃないですが、担当が実際に行って対応ってのは
基本的にできません。
費用対効果が馬鹿にできない上に、時間がかかりすぎるので!!
では、どのように対応していくのが良いでしょうか?という所を
こういうお助けならばできますよってハードウェア面から
強力にサポートするのがIntel AMTです。
★☆ Intel AMTってどんなことができますか? ☆★
Intel AMTが実現する機能は、要約すると以下の機能ですね。
大項目として『リモートメンテナンス機能』があります。
この機能配下で以下の機能が実現されています。
リモートメンテナンス機能
ト電源の強制OFF/ON(@コールドブート可)
トPOST状態表示確認
トBIOS設定操作
ト仮想Disk挿入
トOSインストール/再構成
トOSログイン・操作
●
ただし、対象とするPCがメンテナンス/管理をするPCから
アクセスできるネットワーク上に接続されている事が必須条件です!!
ただつながっているだけでなく、TCP/UDPポート(16992-16995)が
疎通できるのが最低限の条件ですね。
どのポートもそれぞれ利用される通信が違うので
全部解放必要であるいう点が要注意です!!
なお、Intel AMTにはバージョンがあり、今回レビューで使用する
「Core i7-3770」と「Intel DQ77MK」の組み合わせの場合は
Intel AMT 8.0というバージョンでの機能が使えます。
少し古いPCで使う場合、このIntel AMTのバージョンが下がり、
できる事が少なくなっていってしまうので、要注意です。
特に、Intel AMT5.0以降に実装されているリモート機能が
便利極まりないと当方は感じています!!
AMT 5.0では、BIOS等のコンソール画面だけしか見れませんでしたが、
AMT 6.0以降では、OSの画面が見れるようになっているので、
一般利用では、6.0以降が本命ですね!
AMT 7.0では、画面解像度が1920x1200まで対応となっており
より一層、一般的な画面表示サイズに対応して使いやすくなっています。
リモートでOS操作するんだったら、Windows標準機能の
リモートデスクトップや、リモートデスクトップソフト
(代表例としてはSymantecのPCAnywhereですね)がありますが、
これは、OSが正常に立ち上がってこそのソフトであり、
また、ソフトウェア側の問題でハングアップ等のトラブルがあれば
途中で操作ができなくなってしまうという問題を常にはらんでします。
途中で問題が起きると、遠隔地のPCには手を出せなくなってしまうのですが、
回復する方法がもう何にもないって事になって焦るわけです、ホントに。
正常に操作が終わってログオフだけ正常にできず、永遠にログオフ画面が続いて
次回ログインが永久にNGだなんて、どうすればいいんだよ・・・という状況に
陥ったことも有る当方が言うんだから、間違いない(笑)
その点、OSが立ち上がる前のBIOSの操作や、正常にOSが動かない状況でも
Intel AMTのリモート操作ならば、現地にいるのと同じぐらいの
情報が得られるのが大きな利点です。
サーバーであれば、リモート監視用のカードがあったりするのですが、
この機能がオプションカード+ソフトとしての販売(HPだとILOと機能解除キー)でなく、
デフォルトの機能として入っているってのが大きなポイントです!
Intel AMTは知らない人が多い機能だと思うので、
IT管理をする人ならば、ぜひ知っておきたい機能だと思いますね!
では、さっそく実践にて、初期設定から、OSのインストールまで
実施してみましょう!!
色々なメンテナンスの手段が実行できるIntel AMTは結構便利!
★☆ BIOSでIntel AMTを有効化してみましょう!! ☆★
Intel TXTを有効化するには、マザーボードのBIOS設定で
以下の通り初期設定をしなくてはいけません。
起動時に[Ctrl] + P で Intel MEのMAIN MENUを開きます。
初回ログイン時には、MEパスワードの更新が必要であり、
初期パスワードはIntelに問い合わせるとわかります。
初期パスワードは「admin」です。
新しいパスワードとして、複雑性を満たす物を設定する必要があり、
以下の5点を満たす物であることが条件となっています。
・8文字以上である事
・英字小文字を含む事
・英字大文字を含む事
・記号を含む事
・数字を含む事
言葉で表記するとちょっぴりわかりにくいですが、
上記のパスワード設定は、例えば「aDmiN!2013」等の
設定とする必要があるという事です。
そして、日本語キーボードでの問題も多少あるので要注意です。
皆さんが使うキーボードは日本語配置のキーボードですが、
このBIOS上で認識されているのは英語配列キーボードです。
一部記号などのキー配置が違う割り当てとなっているので、
入力する際には注意が必要ですね。
オススメの記号としては「!」「#」「$」「%」が
日本語キーボードと同じ配置なのでこちらを使用すると
後々リモート接続する際に英語配列キーボードして
実際に入力された内容と、日本語配置キーボードの差異がなく
間違いが起こりにくいです。
このパスワードが分かってしまうと色々と
システムに対して悪用ができるので、超重要という事で
わかりにくいパスワード必須という事です!!
新しいパスワードでログイン完了すると、メイン画面が表示されますので、
Intel(R) AMT Configuration を選択してEnter!!
初期設定でも動作的には問題ない設定となっていますが、
マネジメントするためのIPアドレスだけは、固定しておきましょう。
起動するたびに代わるとわからなくなるので(笑)
> Network Setup を選択し、Enter!!
> Wired LAN IPV4 Configuration しかないのでそのままEnter!!
DHCP Mode を Disabled へ変更!!
そうすると、IPを入力できるようになります。
ネットワーク内でアクセスできる適切なIPを割り当てます。
MAIN MENUに戻り、「Activate Network Access」を選択してEnter!!
コレを有効化しないと、いくら設定があっていても接続できませんからね!!
これで、BIOS上の基本設定は完了です。
次は、メンテナンスを行う端末から操作の確認をしてみましょう。
★☆ 遠隔地のPCはブラウザで電源ON?! そんな事ができるんです!! ☆★
Intel AMTでの一番簡単な利用法は、遠隔地からのリモート電源ONですね。
では、さっそく実践してみます。
操作は非常に簡単です。
先ほど設定したIPアドレスに対して、IE6以上のバージョンのブラウザでアクセスします。
今回の例ですと、 http://192.160.20.100:16992 です。
此処でさくっと上記のページが表示されない場合は、IPが間違っているか、
必要なポートが経路内で許可されていないか、Intel AMTが有効化できていないかです。
案外、Intel AMTが対応しないほうのNICにLANケーブルを刺しているかもしれないので
そこらあたりを再チェックですね~。
Loginを押すと、ID/Passを聞いてきますので、先ほど設定した
MEパスワードを入れてログインします。
ログイン完了すると、現状のハードの状態が表示されます。
電源Off状態なので、さくっと電源ONしてみましょう!
Remote Controlを選択します。
どの起動オプションを選択するか選べますので、
通常はそのまま、Normal bootを選びます。
Send Command ボタンをクリックし、確認にOKすると、電源ONとなります。
これで、PCの電源はONとなりました。
ハードウェア、OSに問題がなければ、PCの起動は実施されています。
残念ながら、この画面から起動中のPOSTや、起動後のOSの画面を
確認することはできませんので、そこは別の方法が必要です。
また、この画面から、『電源』を切る事も出来ちゃったりします。
再度、Remote Controlを選択します。
電源Off、再起動、リセットと3パターンが選べますね。
必要に応じて選択したうえで、Send Command ボタンをクリックします。
ですが・・・、この方法は、あくまで『電源』の強制Offです。
その為、PC側からすると、電源ボタンを長押しされたような事となり、
OSは正常にシャットダウンプロセスを通らないので、
起動中のアプリケーションは強制終了+データ保存されませんし、
OSも強制的にシャットダウンされる事から、最悪の場合、データが壊れます。
これは、あくまで最後の手段・・・と言えそうですね。
★☆ 現場に行かなくてもBIOS設定も遠隔で出来ちゃう?! マジっすか!! ☆★
遠隔でBIOS設定出来たら、色々とトラブル対応ができる可能性が
広がりますよね。
例えば、PCが起動しない!って相談があった場合に、
実は、何らかの理由でブートするデバイスの順番がおかしくなっていて、
BIOSでHDDの優先起動順番を変えれば正常に動くようになったとか
そういう対応の場合に威力を発揮します。
遠隔でBIOS設定を実施するために使うツールは、
『Manageability Developer Tool Kit』です。
このツールは、Intelによって作成されたIntel AMTの
各種機能を試すためのサンプルツール群です。
開発用に使ったりするツールですが、フリーのツールとして
使う事ができますので、今回はこれで実現してみます。
まず、Intel サイトからmsiインストーラーキットを
ダウンロードしてきて、指定の手順でインストールします。
インストーラーの言うとおりにするだけです。
インストール完了したら、『Manageability Commander Tool』を起動します。
ネットワークの範囲を指定してスキャンすることが出来るので
試してみると便利です。
今回はサクッと認識しましたので、Add Known Computerボタンを押して
設定を登録します。
これで、Network 配下にアクセス設定が登録されるので、
そちらを選択して作業を進めます。
Connect ボタンをクリックすると、少し時間がかかりますが、
PCに接続されます。
なお、Web Interfaceに表示されているリンクをクリックすると、
先ほど『遠隔地のPCはブラウザで電源ON?!』でチェックした
電源On/OffのWebインターフェースを表示することもできます。
ボタンがDisconnectと表示されると接続完了です。
接続完了すると各種ステータスが表示されるようになります。
Remote Controlタブを開くと、初期設定では下記の通り表示されているはずです。
Remote Control設定で差異がある場合は、Enableとなるように設定変更後に
Take Control ボタンをクリックしてコンソールを開きます。
Remote Comand にて「Remote Reboot to BIOS Setup」を選択すると・・・
ヤッチマッテ問題ないですかい?と聞かれますので、躊躇なくはいを選択!
今回はセキュリティの為に別途BIOSパスワードをかけてますので、
下記パスワード入力の画面まできて止まります。
もちろん、キーボードからの入力もできますので、パスワードを入力してEnter!!
そうすると・・・やってきました、BIOS画面!!
多少、操作してから表示されるまで描画のラグがありますが、
どの設定も変更することができるので、遠隔メンテナンス成功です!!
では、次の目標として、Windowsの画面を確認できるかチェックしてみましょう!
★☆ 遠隔地のPCのアプリケーションサポートはばっちりです! ☆★
アプリケーションが動かないよ!!って相談されることは、
結構あるんですが、問題は、その症状をどのように確認するかです。
エラーの状況を説明してもらっても、わからない事が多いですし、
ちゃんと確認してほしい事を伝えてもらえないことも有ります。
自分で確認したほうが速いって事を思われるかもしれません。
そういう場合は、KVMを用いる方法が手っ取り早いですね。
PCに接続するために、KVMの設定を変更します。
KVM Stateは、Redirection Port Onlyの方がいいのですが、
うまく接続できなかったので、今回は、Both Portsとします。
Standard Port Passwordは、実は何でもいいです。
使っていないみたいなんですよね。
仮に「AsQw!212」とでも入力しておきます。
後はOKを押して設定完了です。
KVM Viewer Standard Portをクリックします。
そうすると、パスワードを入力する画面が出ます。
パスワードは操作される側のPCにランダム数字で
6ケタ表示されていますので、誰かに確認してもらって入力します。
なお、この表示は、遠隔操作側のPCでキャプチャすることは出来ず、
また、リモートデスクトップ等でアクセスしても見えないので、
セキュアな 一意のランダムパスワードといって差し支えありません。
ログインに成功すると、コンソールに縮小された
相手側のデスクトップが出ます。
描画は少しラグがある感じですし、音も出ませんので
遠隔で映像などを見たりするという用途には使えません。
そして、遠隔接続されるPC側の画面は、下記のように
画面の淵が非常に目立つ 状態となっており、
遠隔操作されていることがはっきりわかる仕様となっています。
意図しない遠隔アクセスの場合、すぐにわかるようにという措置ですね。
一応遠隔操作はできるようになりました!!
システムのステータスは確認することができますし、
イベントログも見て判断・対応可能です。
ただし、もう少し便利ならいいのになって点もあります。
こちらからのファイルの転送や、リモート先のファイルの取得、
ディスクイメージの共有などもできるといいですね。
ソフトに依存する点ですので、他の方法を探してみましょう。
★☆ 有料でもいいのなら・・・こいつが最適解?! ☆★
VNC Viewer Plusを使う事で、Intel AMT環境に対して
簡単かつ、適切にマネジメントすることができます。
有料ソフトですが、90日間のお試しができますので使ってみましょう!
接続モードにIntel AMT KVM ってありますね!!
接続設定として、Scallingを下記のように設定すると
全画面化されて最適な操作感を得られます。
接続するとID、パスワードを聞いてきますが
此処で入力するのは、MEパスワードとなります。
接続完了すると、フルスクリーンで操作できるので
取り扱いはしやすいです。
リモートCD/DVDとリモートフロッピーでの
ファイル共有ができるので、リモート環境での
OSインストール等もできそうですね。
他にも、POST画面上のRAIDコントローラーの操作が
出来るかなと確認してみたところ・・・
WebBIOSインターフェースが見事に表示されました!!
Manageability Commander Toolでは出来なかったので、
コレはうれしいですね。
ホントにOSのセットアップができそうなので、
チャレンジしてみましょう。
まずは、ディスクイメージをマウントします。
VMware ESXi 5.1のイメージをマウントして・・・
電源をONする設定をクリックして・・・
起動するもとをCD/DVDにセットして、電源ON!!
しばらく待ちますと・・・
OSインストールキター!!!
転送速度がちょっと遅いようなので、
仮想環境にインストールする際の「VMware vSphere Client」での
OSディスク共有のように高速でインストールが出来るわけではなく
中々捗りませんが、実行できていることは間違いない!!
中々バーが進みません(泣)
インストールようやくキタ~!!
ドライブも問題なく認識している!!
ようやくインストール完了!!(おそらく30分ぐらいかかったかな?
もちろん、ちゃんとVMWareは起動してくれました!
遠隔でのOSインストールも成功しました!!
★☆ まとめ:ハードウェアからサポートされる便利な遠隔操作 ☆★
Intel AMTの機能を一つ一つ試してきましたが、
遠隔操作から、OSのインストールまで、基本的に現地に居なくても
一通りの事ができる事を確認できました。
画面の描画がちょっと遅かったり、遠隔でOSのディスクを共有して
インストールするのはちょっぴり速度的にきつかったですが、
遠隔地に出張をする事を考えると、総合的に遠隔での対処に
時間がかかってしまっても出張費などは抑えられて良いと思いました。
会社などでは、さらに高度な管理ソフトがあり、大規模なメンテナンスも
実行可能なようですし、Intel AMTはかなり便利ですね!
個人利用としても、例えば、遠隔地の両親のPCをメンテナンスしてあげるために
Intel AMT対応のPCを導入するというのは、案外良い手なのかもしれないと
思いましたので、これから、計画を検討してみます。
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。