DQ67EPのIntel AMTでWindowsHomeServer2011をリモートする

DQ67EPのIntel AMTでWindowsHomeServer2011をリモートする

Q67チップセットを買った一番の目的、AMTがやっと動きました(;゚д゚)y-~~~。
謎のミスで足止めを食いましたが、やり方と調べたことなどなど書き連ねます。

こちらの環境

サーバPC

クライアントPC

前提としてWHSには
IntelR ME: Management Engine Driver for Intel 6 Series Chipset-Based Desktop Boards | MEI_allOS_7.1.10.1065.exeを実行しインストールしてあります。MEI_AMT_ALLOS_6.1.0.1042_PVは古いのでWHSでは使えません。

手っ取り早く使う

  1. F2を押してBIOSに入る
  2. “Intel(R) ME”メニューを選択
  3. “Enter Intel(R) Management Engine password”を押して初期パスワード”admin”を入力→Enter。成功しても画面遷移はしない
  4. もう一度選択すると今度は任意のパスワードを決めるよう言われるので2回入れる。条件は
    ・英小文字と英大文字を少なくとも1個以上使う事
    ・数字を1個以上使う事
    ・!, @, #, $, %, ^, &, *などの記号を1個以上使う事
  5. “Intel Active Management Technology Configuration”を選択し、”Remote”になってる項目を”Local”へ。RemoteのままではPingに応答しない
  6. ホスト名を設定
  7. IP4 TCP/IP SettingにてDHCPをDisableにし、IPアドレス等を設定。このIPアドレスは起動するOSとは別の物を使う
  8. 設定が終わったらF10を押すとSave&Resetされる。
  9. リブート後再度BIOSなどで止めておく
  10. クライアントPCのブラウザにて
    http://設定したAMTのIPアドレス:16992/
    を開く。IEでもFFでもOK。ログイン確認されたらID:admin/Pass:3.で決めたパスワードでログインできれば成功

全然手っ取り早くないって?そう思うよ。

より詳しい説明については英語ドキュメント

を参照。現在AMTについて詳しい日本語ドキュメントは公開されていない。

AMTについて調べてみた

Intelのビジネスプラットフォーム「vPro」に対応したIntel QシリーズM/Bのみが使用出来る遠隔保守ソリューション。”Active Management Technology”の略。ドスパラでは「Q67はビジネス向けですよ」と教えてもらったけど、Intelによると「エグゼクティブモデル」という位置づけらしい。エクゼクティブですってよ奥さん!

これについて書かれた記事はあまり多く無い様ですが、

などのサイトがvPro、AMTについて知識を深めるのに役立ちます。
ただし今回のIntel Qマザー+WSH2011は事例が無いのと、一部の記事のAMTBIOSが古くCtrl+Pで入ると記述されています。Q67に関してはAMTに入る方法はF2のBIOSメニューのみでした。

AMTはマザーボードの電源が落ちていても動作する独立モジュールがNICと結びついており、OSが起動していなくても設定したIPアドレスにアクセスできます。この仕組はマネジメントコントローラを搭載したサーバに多くある仕組みです(HPのInsight Lights-Out(iLO),富士通のiRMC,IBMのIntegrated Management Module(IMM)etc.).。
ただしNICは一つしか搭載しておらず、一つのNICでOSとAMT、二つのIPに応答するようになります。また、ちょっとレスポンスも遅め。非常用と考えればこんなものでしょうか。

2011/06/12 追記
どうやら、AMTアクセスをする際、NICの転送スピードが1Gbpsから100Mbpsに切り替わっている模様(終わるとまた戻る)。その間反応が無く、レスポンスが悪く見える模様。

なおAMTを使用する際にはCoreiのKシリーズは使用不可。これはIntel VT-dやIntel TXTなどのvPro機能に対応していない為。

設定が合っているはずなのに接続できない人へ

一度IntelMEのリセットを試してみる事。自分はこれをやるまで動かなくて大層悩みました。DQ67EPの場合、PCI Expressスロットの脇にある”Intel Management Engine BIOS Extention Reset”ジャンパの1-2をショートし30秒ほど放置すれば完了。その後再設定すると動き出しました。

AMTへのアクセス

先に書いた通り、Webブラウザで設定したIPにアクセスすれば、どの端末からでも基本操作ができます。といっても出来るのは主に「ステータスの表示」「起動中OSの情報」「電源ボタン操作」くらいなもの。遠くから電源Onできるだけでもこの機能の役目は満たしているとも言えるけど。

さらに細かな操作を行いたい場合、インテルが配布している無料のツールが使えます。

1.Intel System Defence Utility

日本語化されており、「お、使えそう!」と思ったのもつかの間。この画面でコンソールを出そうとしても謎のエラーにて動かず。

System.Exception: IMRSDK.dll error
場所 ManageabilityStack.AmtRedirectorWrapper.StartSerialRedirect()

DLLファイルはあるけどなんだか分からない。簡単な操作、情報の確認には使えるでしょう。

2.Manageability Developer Tool Kit Binary

こちらは英語版ながら、多くの機能が使えました。サーバからディスプレイ、キーボードなどから切り離し、リモートメンテだけで使っていくにはやはりこれくらいの機能が欲しいもの。各種情報はもちろん、SOL(Serial Over LAN)を使ったBIOSのセットアップ表示なども可能。Fan Controlページを表示したらハングってしまいましたが、他の基本的な設定には問題無い様です。

ルータのポートを解放しておけば、iPhoneから自宅PCの電源をOFF/ONする事が可能。追加投資ナシでこの機能はかなり魅力的だと思いました。Q67の目的、残り50%はQVSを使ったiPhone用のMpeg4エンコード。まだまだ動かないけど楽しんでTryしていきます。

2011/07/05 追記
今現在のManagement Terminal Toolを使ってBIOSセットアップを起動する場合、RemoteCommandにある”Remote reboot to BIOS Setup”はサポート外と言われ使用できない。下にある”to Redirect CD”を選ぶと起動時の画面が出るのでそこでF2キーを連打するとBIOSに入れます。

また、Windowsを起動してからのリモートを行うKVMですが、KVM Stateを”Enabled – All Ports”に変更する事ができず、現在使えてません(“Enabled – Redirection Port Only”なら選べる)。これは現在最新のBIOS Ver.0053にしても変わらず。何か方法があるのか探しています。

2012/06/15 追記

多くの方々にコメントをいただき、自分も晴れてAMTからのOS VNCまでたどりつけました。ありがとうございます。

いただいた情報と元に手順をざっとまとめて見ます

ルータに穴を空けます

コントロールしたいマシンの繋がるルータをポート解放します。

  • Standard Port:5900
  • Redirection Port:16993~16995

自分は検証も兼ねて両方とも解放しています。

2013/02/04 追記
コメントをいただいていますが、VNC通信は非暗号化通信とのコトです。ポートの開放は一時的設定変更にしたり、VPNでのセキュリティ対策が必要になります。

ツールを替えて

今度はManageability Commander Toolを起動し接続。[Remote Control]タブを選択。自分はずっと「Remote KVM SettingsをAll ports Enabedにできない」=「KVM StateをEnable – Both Portsにできない」でハマっていました。が、ホストの登録をFQDNから直接IPアドレスにし、”Force IPv4 connection”で登録したら解決してしまいました。
FQDN登録でもある程度繋がってしまうのでまさかこれが原因とは分からず。DDNSを使えないのは少し不便ですが、手lookupで登録する事にします。それでもダメな人はルーターのポート解放を確認してください。

パスコードを設定。無効にするけど。

二つ目の問題だった「画面は出るけど6桁のパスコードが出てきて何を入れたらいいかわからない」については、[Remote KVM Settings]を開き、”Enable Opt In(User Consent)”のチェックを外せばパスできました(いがちょさんに感謝)。

ただし”Standard Port Passwordに、ピッタリ8文字かつ大文字小文字数字記号を最低1個づつ使用したパスワードを何でもいいから入れる必要がある模様。英語よく理解できてなかった(kzhnさんに感謝)。でもこのパスワード、何入れても入るし、これ以降何処でも使わないのよね。謎ですな・・・。

これで[KVM Viewer Standard Port]が押せる様になり、無事VNCを使用可能に。というか設定ちゃんと動く様になったら、システムディフェンスユーティリティでもVNCできますね。
これでOS上のリモートツールがハングしてもAMTが支えてくれる(ハズ)

皆様、情報ありがとうございます

2013/02/04 追記
多くのQチップセットユーザーがTest&Tryの結果をコメント欄に書き込んでくださっています。自分より詳しい方が多そう。記事本文もだけどコメント欄↓も是非チェックを。

11 thoughts on “0

  1. このAMTに関する記事、大変参考になりました。サーバー自体をAMTでコントロールとは思いつきもしませんでしたが。。。同じネットワーク内ではiPhoneでコントロールできる様になりました。

  2. On/Offとリモートソフトまではできましたが・・。
    Biosまでコントロールの記事見て設定中ですが、
    > KVM Stateを”Enabled – All Ports”に変更する事ができず、現在使えてません(“Enabled – Redirection Port Only”なら選べる 
    同じ状態です。
    しかも、password設定ではまってますorz
    KVMの設定ができません?Standard Port Password がエラー
    8文字以上の数字、英文小文字、大文字、特殊文字入れてもエラー
    何ゆえ?
    エラーの指示通りにやっているはずですが。。

  3. > KVM Stateを”Enabled – All Ports”にできました。
    KVM State:”Enabled – Both Ports”を選択すると
    ”Enabled – All Ports”に切り替わります。
    自分は、Redirection Port を ”Disable”にしておいて、
    KVM State を設定しました。
    以上、ご報告まで。
    RealVNC やっと使える!

  4. ▽AMTトライ中
    自分は未だに”Enabled – Both Ports”を選択すると、
    “If trying to enable the Standard Port ensure that
    the Standard Port Password has been initilized”
    って言われて進めない状態です。

    まずここには何かパスワードを入れるものなのか。
    そこから理解できてません。Password欄には何か入れましたか?

  5. 私もVNCには苦労してます。passwordはIntel System Defence Utilityを使って設定すると設定できます。そのあとでManageability Commander Toolを使って同じpasswordを設定します。このパスワードの文字の組み合わせはかなり特殊なものにしないと設定できません。

    VNCでアドレスとこのpasswordを入力するとつながるのですが、セキュリティーパスワードの入力画面がでて、サーバー画面に出てくる6桁の数字を入力しないと操作できません。このセキュリティーパスワードを入れないで操作する方法が分からず困っています。
    もっともVNC+を使えばこんな苦労をせずともすぐにコントロールできるのですが…

  6. 追伸
    user consent を無効とすることでセキュリィーパスワードを回避できました。

  7. AMTを設定するにあたり大変参考になりました。自分もboth portにできず嵌りましたが解決しました。

    どうやらStandard portに使うパスワードは、8文字ぴったりじゃないとダメ見たいです。exactly 8 characters long の英語を見落としてました。

  8. みなさんのおかげで無事AMTでWindows画面を拝むことができました。
    あわせて記事も追記させていただきました。有益な情報ありがとうございます。

  9. 先日DQ67SWを購入しこの記事を見ながらAMTの検証を行ったのでご報告を

    Standard Portですが、こちらはVNCが標準で利用するポートになります。
    また、Standard Port PasswordはVNCへの接続時に使用するパスワードです。
    VNCがパスワードの暗号化にDESを利用している為8文字までのパスワードしか利用できない事から文字数上限&大文字小文字数字記号の全てを使わせる事である程度の強度を確保している様です。
    使う機会が無いというのは恐らくManageability Commander ToolからVNCクライアントを起動すると自動的に入力されるためでは無いでしょうか。
    直接クライアントを実行して接続した場合等に使う事になるかと思います。

    RedirectionPortは暗号化されないStandard Portとは違いTLSを使用して接続を行う様です。
    こちらは標準ではコンソールでの接続時にのみ利用されます。
    VNC接続時にも利用可能ですが、vProに対応したビューアが必要になるようです。
    ざっと見たところRealVNC Viewer Plus(有償100$)あたりしか見当たりませんでしたが……

    5900番ポートはIANAにVNC用として登録されたポートであり、攻撃を受ける頻度が高い事、VNCがそもそも平文で通信を行う事などからなるべくポートを開放せずLAN内での利用に留めた方が良いかと思われます。
    外部公開する際はSSHのポートフォワード機能やVPNの利用が推奨されているようです。

    緊急時でも安全にリモートから操作できる環境を構築するにはRealVNCViewerPlusの購入やVPN対応ルータの導入などまだ少しハードルが高そうですね。

    以上、長文失礼致しました。

  10. ▽とわさん
    自分より詳しい解説と検証ありがとうございます。
    情報不足感のあるAMTについて有益な情報が多いので、
    記事本文からも誘導しておきますね。

    自分は今度はAMT8.0を積んだDQ77MKをテスト・・・
    したいところですがリモート環境が無くて停滞してます^^;

コメントを残す

Previous post 神楽坂の絶品クリームパン
Next post OS標準ツールだけでなんとかLayer7監視をする