WindowsでもXP以降ではリモートアシスタンスなど、遠隔操作によるPCのサポートを可能とする技術が搭載されるようになりましたが、それらはあくまでOSに依存して動作するソフトウェアであり、例えばOSがエラーにより停止してしまった場合や、シャットダウンされている場合などは、手の施しようがありません。

そのような場合に力を発揮するのが「インテル® アクティブ・マネジメント・テクノロジー」（略してIntel AMT）です。主にIntel Qシリーズのチップセットによりサポートされます。

Intel AMTはCPUとは別にME（Management Engine）と呼ばれる組み込みプロセッサを搭載し、対応するBIOS/UEFIと組み合わせることで、コンピューターの電源が切れている環境であってもリモート操作や電源操作などを可能とする技術です。このリモート操作はソフトウェアの操作にとどまらず、UEFIなどOSに依存しない部分の操作も可能になっています。

またシステム・ディフェンス機能により、ウイルスに感染したクライアントが、ネットワーク上の他のコンピューターに影響を及ぼす前に、自身の隔離を行うという動作も可能です。

AMTは主に大規模環境向けであり、多くのサードパーティーによるツールも大量のPCを一元管理することに主眼が置かれています。しかし、一部にはSOHOレベルであってもある程度有用なものも用意されていますので、今回はそのようなツールを動作検証に利用します。

更新: 2013/05/19

j5 create(ジェイファイブ・クリエイト)の魅力や特長 PREMIUM REVIEW

手軽なリモート管理環境を構築する

0.設定前の準備

設定に入る前に行っておいた方が良い手順があります。

MEの設定をきちんとしているのにAMTがうまく動かない場合があるのですが、その場合には一度MEの設定を初期化するとうまく動くことが多いようです。

MEの初期化は、ジャンパピンをショートさせることで可能です。以下の写真の赤丸（マザーボード上電源コネクターの直近）にあるジャンパーピンの、1-2をショートさせましょう。

赤丸の位置にジャンパーピンがある

もちろんこの手順がなくても問題なく動くことが多いようですが、これが原因であった場合にはうまくいかない理由の特定が難しくなりますので、おまじない程度の考えで行っておいた方が無難でしょう。ちなみに私自身の環境では、これを実施するまではうまく動きませんでした。


1.MEの初期設定

MEの設定は、通常であればPCのPOST動作直後（通常BIOS MENUを呼び出すタイミング）にCtrl+Pキーを押下することで表示されるメニューから行います。

それほど設定項目が多いというわけではありませんが、一覧形式など見やすい体裁が整っているわけではありませんので、あまり手軽さは感じられません。

そこで今回はこの設定の段階からサードパーティ製のツールを使いました。

・PIT-Configurator for AMT　（NECキャピタルソリューション株式会社　http://www.pit-navi.jp/service-software/configurator.html）

これはMEの設定を、一覧形式かつ必要な項目だけを絞り込んだ形式で表示してくれるので、極めて簡単に設定を行うことができます。一般的な利用方法では、恐らく設定を書かなければいけないのはMEBXパスワードとLANの設定（DHCPを利用しない場合）程度でしょう。

PIT-Configurator for AMTをUSBメモリにコピーして、DQ77MK上のWindowsで実行すると、以下のような表示が表れます。なお、ダウンロードしたPIT-Configurator for AMTを解凍すると、添付ドキュメント以外のファイルはtoolフォルダ内に生成されます。このツールは実行する際にUSBメモリのルートフォルダ上には配置しないよう指示されていますので、このtoolフォルダをそのままコピーしてしまうのが確実です。

指定された強度を満たすパスワードを入力すると、「プロビジョニング開始」ボタンが有効になる

「プロビジョニング開始」ボタンを押すと、以下の表示が表れますので、指示に従いUSBメモリを挿したまま再起動をかけます。

再起動を要求される

再起動時にOSが立ち上がらず、以下のメッセージが表示されますので、「Y」を入力しましょう。

設定を書き込むかを問われる

書き込みが行われると、このようにメッセージが表示される

これでMEに対する設定は完了です。実に簡単ですね。


2.MEを利用した遠隔操作

これも対応するツールはいくつか出ていますが、今回は個人開発者を主なターゲットにしたIntel純正ツールである「Intel Manageability Development Kit」を使いました。ただ、このツールは一般ユーザー向けのアプリケーションではないためか、完成度はお世辞にも高いとはいえません。実は以前のバージョンをWindows XP環境にインストールしていたため、それをそのまま更新して使おうと思っていたのですが、今回利用したバージョン7.0.12102.2は主要ツールである「Manageability Commander Tool」がエラーで起動すらしませんでした、仕方なく、途中からWindows 7環境でのテストとなっています。

まずはIntel Manageability Development Kitをインストールして、Manageability Commander Toolを起動します。

Manageability Commander Toolの画面

AMT対応環境はIPアドレスの範囲を指定して検索することが出来ます。今回はDHCPを使っていない環境ですので、最初からIPアドレスは判明していますが、念のため検索してみたのが上の画面の状態です。

接続先が検出されたら、そのコンピューターに接続してみましょう。ユーザー名は「admin」、パスワードはPIT-Configurator for AMTで設定したものを、それぞれ入力します。

ユーザー名とパスワードを設定

接続が完了すると、ツール内にブラウザでアクセスするためのURLが表示されますので、そのURLを開きます。

ブラウザーで開くとログインを促される

ここで再びユーザー名とパスワードを要求されますので、Manageability Commander Toolで入力したものと同じように入力しましょう。認証が通ると、システム情報の表示や、電源コントロールなどが可能になります。

システム情報の表示

電源コントロールで再起動動作を選択している

とりあえず、ここで遠隔操作ができていることはわかりました。しかし、これだけでは出来る動作はシャットダウンか再起動だけであり、それほど大きな意味はありません。そこで、リモートKVM機能を使って、PCの一般的な操作に挑戦してみましょう。


3.リモートKVMの利用

実はリモートKVM機能は、Manageability Commander Toolにも内蔵されています。こちらはRealVNCという汎用のVNCソフトウェアのビューアー部分を活用して実現しているのですが、実際に接続すると以下のように表示されます。

接続出来るが、ロゴが邪魔であまり便利とはいえない

旧バージョンのManageability Commander Toolでは、外部のVNCビューアーを選択指定することが出来たのですが、このバージョンでは内蔵のRealVNC以外は使えなくなってしまったようです。

ここで、RealVNCを使っているということがわかっているのであれば、単品のRealVNCを持ってくれば良いのではないかと思いつき、RealVNC 日本語版をインストールしてみました。これは英語版のRealVNCを有志が日本語対応化したもので、Vector等の配布サイトから入手可能です。

・RealVNC 日本語版　（http://www.vector.co.jp/soft/win95/net/se324464.html）

ダウンロードした圧縮ファイルを解凍すると、Windowsインストーラー形式のファイルが表れますので、これを実行し画面の指示に従えば簡単にセットアップが完了します。

RealVNC 日本語版のインストーラー

RealVNCの機能の中で実際に利用するのは、VNCビューワという部分になります。単にAMTの機能を利用するだけであれば、この部分をインストールするだけでOKです。

今までの手順でMEへの接続手順は明らかになっていますが、RealVNCで接続する場合には少し注意点があります。例えば、今回の例である「192.168.0.111」のMEへ接続する場合には、以下のように設定を入力する必要があります。

IPアドレスの後ろに要注意

IPアドレスの後ろには「:0」と入力しています。通常はIPアドレスの後ろにダブルコロンがある場合、ポート番号を表しているというのが一般的ですが、RealVNCビューワでは、「:0」で標準ポート番号である「5900」を表しています。

RealVNCを使って接続した場合には、以下のイメージのように障害物が表れることもなく、リモートKVMを自由に使うことが出来ます。もちろんBIOS（UEFI）の操作やGUIが起動する前の操作も問題なくできます。

単体版RealVNCを利用して接続した状態

デュアルブート時の起動OS切り替えも問題なし

この間、AMTで利用されている側のPCのキーボードやマウスには一切触れないまま、OSの再起動やUEFIの設定変更を含むあらゆる操作が可能でした。LANの内部でサポートが必要な場合など、非常に便利な環境が構築出来ます。

ただ、ここで我々個人ユーザーがこの機能を活用する意味があるのかという点について考えてみました。家の中であれば、そもそも直接PCを操作しても手間は変わりません。

私が思いついたのは、自宅に常時稼働サーバーがある環境であれば、サーバーを遠隔操作出来れば、サーバー障害などいざというときにも対応出来るのではないかということです。

もっとも、AMTはあくまで内部ネットワークを前提とした機能であり、インターネット経由で同じことがそのまま出来てしまったらセキュリティ面でのリスクがあまりにも高すぎます。そこで、AMT環境とVPNを組み合わせたらどうなるかという点について検証してみました。


4.VPN経由の利用

生憎ルーター同士で組んだようなハードウェアVPN環境は用意出来ませんし、外出先がその環境下でなければ意味もありません。そこで、今回はオープンソースのソフトウェアVPNである、UT-VPNを利用して実験してみました。UT-VPNは基本的に商用のPacketix VPNと同じ機能を持ちます。なお、現在はSoftEther VPNへと移行しておりますが、もともとUT-VPN環境が自宅内で構築されていましたのでそのまま利用しています。製品詳細は以下でご確認下さい。

・SoftEther VPN　（http://www.softether.org/）
・UT-VPN　（http://utvpn.tsukuba.ac.jp/ja/）

UT-VPNの環境構築については省略します。興味のある方は商用のPacketiX VPNなども含めて資料は豊富に出回っていますので、そちらでご確認下さい。

外出先の環境を擬似的に再現するため、デスクトップPCの内蔵NICを無効化し、モバイルルーターでインターネットへと接続しました。こちらを利用しています。

VPNで接続して、IPConfigで状態を確認してみました。

それぞれのアダプターへの割り当てが確認出来る

VPNが利用する仮想アダプターが、MEと同じセグメントの「192.168.0.x」に、実際にインターネット接続に利用しているモバイルルーターが別セグメントの「192.168.3.x」にそれぞれ割り当てられていることが確認出来ます。この状態でRealVNCを利用してみましょう。

設定はLAN内部からと全く同じ

実際にはインターネット経由であっても、VPNによりLAN内部にいる扱いになりますので、設定などは先ほどと全く変わりません。

リモートKVMが有効であることを確認出来る

256色なのでグラデーションの表現は厳しい

無事に接続は出来ました。ただ、物理的にLANの内部にいればGigabit Ethernetで接続しているため、フルカラー表示でも問題は無かったのですが、モバイルルーターでは256色表示でもレスポンスは悪く、辛うじて操作出来るという程度の感覚でした。

それでも何かの緊急時に外出先からサーバーの操作ができるというのは非常に大きなメリットです。今までは停電などがあった場合には自宅に戻るまで手出しは一切出来なかったのですが、AMT環境に対応していればインターネットに接続出来る環境と、VPNクライアントさえあれば復旧作業に至るまで大抵のことは出来るようになったわけです。UEFI（BIOS）関連の操作や、WindowsがGUI環境に遷移する前の操作ができるというメリットは絶大といえます。

Intel AMTは、基本的には大規模環境下で、PC管理の効率化を進めるための機能と考えて間違いないと思いますが、そこに少し付け足すことで個人用途であっても十分に活用する余地があるということを検証出来たのが最大の収穫ではないでしょうか。

私自身サーバーPC環境の刷新を考えていますので、AMTの利用は前向きに検討中です。