0.はじめに
リモートからのコンピュータの管理というと、VPN接続やリモートデスクトップツールの遠隔操作ツール、SSHによる接続等の組み合わせで行うのが一般的だと思います。ですが大半の方法ではOSが正常に動いていることが前提になっています。OSを起動したら何が起きても絶対安定しているという環境ならば問題はありませんが、実際にはトラブルでハングしてしまうことも多々あります。
そんなときには現地に赴いてリセットしたりしないすればよいのですが、遠隔からBIOSをはじめOSより上層の管理を行えるというのがIntel AMTです。
1.Intel AMTとは
インテルの説明は下記の通りです。
インテル® アクティブ・マネジメント・テクノロジーは、内蔵のプラットフォーム機能とマネジメント / セキュリティー・アプリケーションを使用して、ネットワーク上のコンピューティング資産をアウトオブバンドでリモート管理します。
ネットワーク上のマシンをアウトオブバンドで管理する機能ということです。アウトオブバンドでの管理というのは、”コンピュータが電源オフ、スリープモード、休止モードのいずれかであるか、またはオペレーティングシステム経由での応答がない場合に、IT 管理者がコンピュータの管理コントローラに接続できる”状態のことだそうです(シマンテック ホームページより)。
電源オフ、スリープ、休止、またはOS経由の応答がない場合に管理できるというのは言い換えれば、物理的にネットワークにつながっていて、ハードウェアが故障しない限り管理できるということだと考えられます。
2. 具体的な機能
インテルのサイトに箇条書きでわかりやすくまとめられています。
そこによると、以下のような機能があるということです。
・電源オフ状態でもマシンの状態を取得できる。
・OSに障害があってもBIOSレベルに対するKVMによるリモートアクセスなど、復旧、修復作業が可能
・ウィルス感染などを遠隔からモニタリングして、適切にネットワークとの遮断などの対応を行う。
・Windows Powershellによる管理コマンドを含む直接の遠隔操作
3.まとめ
・インテルAMTはマシンの遠隔監視、操作を可能にするテクノロジーである。
・OSに障害があってもチップセット機能により管理を可能としている。そのため、マザーボード、CPUの対応が必要である。
AMTによる遠隔起動、操作
1.方針
解答編ではいくつもの機能があることがわかりましたが、自分の技量とのかねあいから、検証ではチームメンバーの調査結果を参考にリモートからのシステム起動と操作を行いたいと思います。
第一、第二の謎ではXenClientXTを使いましたが、今回はOSの種類はあまり関係なさそうなので、Windows Server2012を使います。 また、今回は遠隔操作用に別途マシンとソフトが必要なので、下記マシンとIntel System Defence Utility(ISDU)、RealVNC日本版を利用します。
手順としては以下の二つになります。
・vProマシンでのAMT設定
・操作用マシンからの遠隔操作
2. AMT設定
AMT設定は起動画面でCtrlとPの同時押しで入るインテル® マネジメント・エンジン BIOS 拡張(MEBx)の画面で行います。
パスワード設定、IPアドレス設定を行った後、ネットワークを有効にする(画像)とAMTは起動します。
IPアドレスはDHCPでも可能ですが、いろいろ面倒になるので固定IPとしました。設定は下記のとおりです。個人個人のルータ設定などの環境依存なので参考までに記載しています。
IPv4アドレス:192.168.2.18
サブネットマスク:255.255.255.0
デフォルトゲートウェイ:192.168.2.1
Preffered DNSサーバー:192.168.2.1
Alternative DNSサーバー:設定なし
設定後、マシンはシャットダウンしておきます。
3.操作用マシンからの遠隔操作
3.1 ISDUによる操作とシステム情報取得
Intel System Defence Utilityを利用します。ホームページでは対象チップセットが指定してありますが、対象でないW510でもインストールできました。
インストール後、起動するとネットワーク上でマシンの検索を始めますが、一生終わらない勢いなので2で設定したIPアドレスを打ち込みました。
マシンを指定すると以下の画面で接続できます。AMTのバージョンなどの情報は接続後しばらく待つと出てきました。
リモートコントロールタブから操作できるはずが、エラーが出てうまくいかなかったので、まずは上記画面の下方ウェブインターフェースと書かれたリンクから操作しました。
ウェブでも同様にログイン後、左のメニューから操作を選びます。まずはリモートコントロールでの電源オンを試しました。
コマンド送信すると下記のような待ち画面がでて、操作対象のPCが起動しました。
電源オフも同様に可能ですが電源長押しなどの強制終了にあたる操作みたいです。OS起動時は可能な限りOSからシャットダウンをしたほうが良さそうです。
また、システム情報も閲覧可能です。遠隔操作の証拠に操作側PCのタスクマネージャと一緒に映してみました。
画面は省略しますが、、ISDUからも同様のシステム情報は閲覧可能です。
上記操作をしているうちになぜかISDUからも操作できるようになりました。
ISDUだとリモートコントロールタブからになります。
噴飯ものの日本語ですが、言わんとすることは分かります。ターゲットイメージ設定から、手元のドライブからの起動もできるようです。
3.2 VNCによる操作
KVMという機能を利用してVNC接続ソフトにより画面を見て操作できます。従来のPCでもOS上でVNCサーバーを起動すれば遠隔操作できますが、これのすごいところは電源オフでもVNC接続できるところです。
今回はソフトウェアとしてRealVNC日本語版というものをVectorからダウンロードしてきました。ISDUはいくつかのクライアントソフトに連携しており、RealVNCに設定を反映して起動させられます。VNC設定はMEBxからもISDUからもできます(下図)。
よくわかりませんが、ポートは全部有効にしました。ローカルユーザーの同意設定をオンにするとローカル画面のパスワードを操作時に入力する必要が出てきます。
「[スタート]KVMのクライアント...」というボタンを押すと下記のとおりユーザ認証画面がでます。
ログインは上記のように電源オフでも可能です。
AMTの特徴として、BIOSの操作がありましたが、以下のようにUEFI画面が操作できました。
もちろんOSの操作も可能です。同時起動している様子を写真に撮ってみました。
4.まとめ
今回はAMTの設定とAMTを利用した遠隔操作、システム情報の取得を行いました。
起動していないPCにVNC接続できるというのは実際やってみると衝撃的でした。
また、よくあるWake on Lanだと起動、停止指令だけで、画面確認はOSにリモートデスクトップ機能やVNCサーバが必要でしたが、統合されたAMTは非常に使いやすいと思いました。レスポンスはリモートデスクトップのほうが優秀な感じもしたので、復旧、管理用としてVNCを使うイメージでしょうか。
一点要望があるとすれば、どのマザーボードにも標準で搭載してほしいです。業務用だけでなく、複数の自作PCの管理としても役立ちそうな、非常に魅力的な機能でした。
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。