■笠原一輝のユビキタス情報局■ Intel AMTを使って、リモートからのBIOS制御やOSリカバリに挑戦

　Home IT(家庭内IT)というのは聞き慣れない言葉かもしれないが、今後数年のうちにトレンドとなる言葉の1つではないかと筆者は思っている。というのも、現在多くの家庭で複数台のPCが所有されている状況になりつつある。それを後押ししているのは、ネットブックのような低価格PCの存在で、今では1人1台のPCを持つのは当たり前。それどころか、1人で複数のPCを所持するのも珍しくなくなってきている。

　そうなると大変なのがPCとそれにより構成される家庭内ネットワークの管理ではないだろうか。今回は、そうしたHome ITを効率よく管理するために役立つ技術として、Intelが企業向けPCブランド「vPro」向けの技術として提供しているAMT(Active Management Technology)を使ってみたい

●OSが動作しないと、どうにもならないリモートデスクトップ

　PCのライターなどという仕事をしているためか、筆者宅には人の数よりPCがある。具体的には、デスクトップPCが3台、ノートPCが2台、UMPCが1台と、現在のところ6台のPCが常時稼働している。これだけのPCがあると、その管理に頭が痛くなることがある。うちノートPCとUMPCに関しては、メインのクライアントとして使っているので、特に注意して面倒を見なくても良い。

　しかし、デスクトップPCに関しては言うまでもなく据え置きであるため、誰かが責任を持って管理する必要がある。つまり、Home ITマネージャの出番である。筆者宅では幸いなことに、家族全員がIT関連の仕事なので、家族のクライアントPCに関してはそれぞれが管理しているが、そうでない場合、家族のクライアントPCについてもある程度管理してあげる必要があるだろう。

　そう考えると、Home ITマネージャがやるべき仕事は結構多い。Windows Updateによるパッチ当て、ウィルスソフトの定義更新、データのバックアップなどが必要になるだろう。我が家では、このうちバックアップに関して、Windows Home Serverを導入し、自動でバックアップをとるように設定している。Windows Home Serverが便利なのは管理コンソールからバックアップの状態などを一括して管理することができる点だ。これにより、任意のPCの必要なデータをどのPCからでも管理できる。

　このように、できるだけ楽をして管理したいと思っているのだが、1つだけ問題があった。それが筆者が出張している時はどうするのか、ということだ。仕事柄、筆者は海外などに出張することが多く、その時にはリモートアクセスして管理するしかない。そのため、VPNの口としてSoftEtherのPacketix VPN 2.0を利用して、リモートから家庭内ネットワークに接続して操作できるようにしている。一度家庭内ネットワークに接続してしまえば、あとはWindows標準のリモートデスクトップなどを利用して操作することができるからだ。

　しかし、この間台湾に出張している時に体験したトラブルは、そうした仕組みではどうしようもないトラブルだった。具体的には、家庭内サーバーとなっているデスクトップPCに、どうやってもリモートから接続できなくなってしまったのだ。どうも、その直前にファイヤウォール関連の設定を変えるソフトウェアをインストールし、その後アンインストールしたのだが、外からアクセスできなくなってしまったのに気が付かずに、出国してしまったのだ。

　こうなるとはっきり言ってお手上げである。というのも、リモートデスクトップ接続を利用して、リモートのPCを操作するには、PCが起動していてかつ、ファイアウォールが正しく設定されている必要があるからだ。こうなると、デスクトップPCにローカルでログインして修正するしかない。むろん、台湾にいてはそんなことできる訳もない。このため、台湾に出張していた2週間、自宅のサーバーにアクセスすることができない状態が続き、いろいろ不便を体験し、かつ家族からもクレームメールがガンガンくるという羽目になってしまった。

●目標は電源のオン/オフ、BIOS設定、リカバリの3つ

　こういった状況を受け、自宅サーバーの構成を見直して、リモートからでもメンテナンスができる環境を整えることにした。実現したいことは3つだ。

1. リモートから電源を入れたり、切ったりできること
2. リモートからBIOSの設定をする
3. リモートからOSのリカバリをできるようにすること

　これらのことは、現時点ではリモートデスクトップではほとんど実現できない。正確にはリモートからPCの電源を切ることは不可能ではない。というのも、Windows XP/Vistaのリモートデスクトップではメニューに電源を切るメニューは表示されないが、コマンドプロンプトを呼び出して「shutdown」コマンドを利用することで電源をオフにできるからだ。ただし、電源をオフにしたあとは、オンにすることはできない。あるいは、PCがハングアップしている場合も、リモートデスクトップで接続することができないので、やはり電源をオフにできない。まずは、これをなんとかしたいと考えた。

　もう1つの課題はBIOSの設定をリモートからやりたいということだ。例えば、PCに複数の起動デバイスが接続されている場合、起動順位を変えて、別のHDDから起動したいとかのニーズがあるだろう。あるいは、デバイスを抜き差しした結果、起動順位が替わってしまって、起動できなくなってしまった、そういうこともできればリモートから解決できるようにしたい。そのためには、リモートからBIOSセットアップメニューにアクセスできる必要がある。

　そして、最終的には何らかの理由でOSが起動しなくなってしまった時に、バックアップソフトウェアで保存しておいたリカバリ用データから、OSの稼働環境を復元できるようにしたい。この3つができていれば、台湾で2週間困り続けることもなく、1日ですべて解決できていただろう。

●リモート管理専用プロセッサManagement Engineを利用するAMT

　今回こうした目標を実現するため「AMT」を利用することにした。AMTは簡単にいってしまえば、マザーボード上にCPUとは別の組み込みプロセッサ(ME: Management Engineと呼ばれる)を搭載し、BIOSなども拡張することで、CPUなどの電源が切れている環境であってもリモート操作や電源操作などが可能になるようにする技術だ。主に、IntelのQの型番がつくチップセット(Q45/Q43/Q35/Q33/Q965など)に搭載されている。

　AMTには実に多くの機能があるのだが、ほとんどは企業向けで、正直筆者のようなSOHOやコンシューマユーザーには関係ない。だが、前述の目標のうち2つはAMTにより解決できるのだ。それが電源制御とBIOS設定だ。

　MEはCPUとは独立して動作しており、CPUがオフの状態でも動作している(正確には設定でオフにもできるので、動作させることができるというのが正しい)。またMEは、メインメモリの一部を利用して独自の動作をしており、Ethernetを利用して外部からのアクセスを受け入れることも可能になっている。さらに、Serial Over LAN(SOL)という機能をサポートしており、これを利用すると他のPCにインストールした管理ツールを利用して、そのPCの電源制御やBIOS設定などが可能になるのだ。

　そこで筆者が選んだのが、Intel Q45を搭載したマザーボード「DQ45CB」だ。DQ45CBはmicroATXフォームファクタのLGA775マザーボードで、Core 2 Quad(ただしTDP 95Wまで)、Core 2 Duoに対応する。ちなみに、DQ45CBを選んだのは、秋葉原で入手できるQ45搭載マザーボードがこれと、Mini-ITXフォームファクタの「DQ45EK」という2つしか見あたらなかったからだ。

IntelのDQ45CB。microATXフォームファクタのLGA775マザーボード	DVI出力が2つ用意されているのが特徴的

　AMTを利用するには、以下のような手順で利用する必要がある。

1. マザーボードのファームウェアでAMTの基本設定を行なう
2. 管理に利用するPCに管理ソフトウェアをインストールする

　AMTの基本設定はDQ45CBを起動させ、POST画面でCtrl+Pを押すと表示されるAMTファームウェアのメニュー(Intel Management Engine BIOS Extention)から設定できる。具体的には、初期パスワードを入力して、自分のパスワードを設定し、あとはProvisionという項目をSmall Businessに設定するのと、IPアドレスを設定する程度でよく、ほかは特にいじる必要はないだろう。

　ただし、パスワードに関しては若干の注意が必要だ。まず初期パスワードだが、DQ45CBのマニュアルをどこを読んでも初期パスワードは書いてない。セキュリティに関わる問題なのでここで公開することは差し控えたいが、もしDQ45CBでAMTの設定をするのであれば、Intelに問い合わせるなどして初期パスワードを入手する必要がある。また、パスワードは、大文字と小文字の混在と、1つ以上の数字と記号が含まれるという条件を満たす必要がある。もともと企業向けで利用することを前提としているので、このあたりの厳しい条件は致し方ないだろう(逆に企業向けではそうでなくては困るだろう)。

POST画面でCtrl+Pを押すと、Intel Management Engine BIOS Extentionの画面が呼び出され、設定することができるようになる。パスワードを入力する際には、日本語キーボードでも英語配列相当で入力しなければならないことに注意	TCP/IPなどの設定を行なう、他にはProvisionをSmall Businessに設定する程度でよい

●Intelのツールを利用すると、電源やBIOSのリモートコントロールが可能に

　AMTの基本設定が終わったところで、リモート管理ソフトウェアを利用して電源のオン/オフ、リモートBIOS設定に挑戦してみた。IntelのvProのWebサイトにいくと、多数の管理ソフトがリストアップされているが、大企業での管理向けということもあり、いずれも有料で、高価なものもあり、正直言って手を出すのがためらわれる。

　だが、サイトをよく見てみると、無償で提供されている管理ツールもいくつかある。企業向けのものと違って基本的なものばかりだが、筆者が欲しいのは、電源のオン/オフ、BIOSのリモート設定だけなのだから、下記の2つで充分だ。

・Intel System Defense Utility 1.8
・Manegeability Commander Tool (AMT Developer Tool Kitに含まれる)

　いずれも無償でダウンロードできるが、サポート対象外のソフトウェアとなるので、利用される場合は自己責任ということでお願いしたい。

Intel System Defense Utility 1.8を利用すると、リモートからAMTが動作しているPCの電源オン、オフ、BIOS設定などが可能になる

　Intel System Defense UtilityはDQ45CBの付属CD-ROMにも収録されている公式ツールで、電源やBIOSのリモートコントロールのほか、Pingやインターネットアクセスの禁止といった設定などをリモートから行なうことができるようになっている。

　AMT Developer Tool Kit(DTK)に含まれるManegeability Commander Toolは、リモート制御のみに機能をしぼったツールでより細かなリモートコントロールが可能になる。例えば、System Defense Utilityにはない、「リモート制御できるようにして再起動」などのメニューが用意されており、より便利に使うことができる。今回のように電源とBIOSのリモート制御が目的の場合には、最適のツールということができるだろう。

　まずネットワーク上にあるAMTマシンを検索し、ツールに登録する。そのあと、接続のタブから接続ボタンを押し、さらにリモートコントロールタブにあるコントロールボタンを押すと、リモートコントロールのコンソールが表示され、リモート制御ができる状態になる。あとはリモートコマンドというメニューから「BIOSセットアップにリモート再起動」というメニューを選ぶと、AMTが動作しているPCがリセットされ、しばらくすると、BIOSセットアップメニューをコンソールに表示してくれるので、あとは通常のBIOSセットアップと同様に操作すればよい。電源の設定を変えたい場合には、やはりリモートコマンドというメニューから電源オン、電源オフというメニューを使って選べばよい。

Manegeability Commander Toolでも同じようにAMTが動作しているマシンをリモート制御できる、しかも嬉しいことに日本語化されている	BIOSの設定をこのようにリモートから行なうことができる。画面の左はノートPCの画面を液晶ディスプレイに出力しているところで、このPCから左にある液晶ディスプレイに接続されているデスクトップのBIOS画面を制御している	電源のオン/オフもメニューから制御できる

●Norton Ghost 14とpcAnywhere 12.1の組み合わせでリモートからのOSリカバリ

　これで、電源とBIOSの制御はできるようになったが、リカバリに関しては課題がある。1つには、Windows Vistaになって、リカバリソフトウェアの多くがWindows PE 2.0ベースになり、キャラクタベースからグラフィックスベースのものに移行しているため、AMTがサポートするSerial Over Lan(SOL)では、OSの制御に移ったあとのグラフィックスがリモート表示できないのだ。SOLで表示できるのは、あくまで文字だけで表示されているモードだけで、WindowsのようにグラフィックスベースのUIになったあとは表示できない。

　つまり、何らかの手を利用してWindows PE 2.0でもリモート制御できるようにする必要がある。ちなみに、MicrosoftはWindows AIKという形でWindows PE 2.0を再配布している。そこにVNCのようなリモート制御の仕組みを組み込んで、自分だけの環境を作ることは可能だが、今回は既製品を試すことにした。具体的にはシマンテックかのNorton Ghost 14を使った。Ghost 14にはLightsOut Restoreという機能が用意されており、これを利用すると、別売のリモートコントロールソフトpcAnywhere 12.1と組み合わせて制御することで、リモートからOSリカバリが可能になるのだ。

　ただ、理由はわからないのだが、Norton Ghost 14はICH10と相性が悪いのか、ICH10に接続したHDDにバックアップをとった場合、バックアップが一見成功しているように見えるのだが、リカバリ時にエラーが発生してリカバリできないという問題が発生した。仕方がないので、USBのHDDにバックアップをとるようにしたところ、今度は問題なくリカバリできるようになった。

　今回はNorton Ghost 14+pcAnywhere 12.1という環境を利用したが、別のバックアップソフト(例えばTure Image 11など)を利用している場合には、自分でWindows PE 2.0をカスタマイズしてVNCなどを組み込んでおき、それからブートできるようにしておけば、同じようなことは可能だろう。

LightsOut Restoreを有効にすると、Windows Vistaの起動時にリカバリ環境のWindows PEを起動するか、Windows Vistaを起動するかのメニューが表示される。この画面まではManegeability Commander Toolで制御する	pcAnywhere 12.1のリモートクライアントで、Norton Ghostのリカバリメニューに接続し、Windows Vistaのリカバリをネットワーク越しに行なっているところ

●家庭内のPCだけでなく、遠隔地にあるPCを管理する場合にも便利

　このように、リモートからの電源とBIOSの制御、OSリカバリまでできるようになれば、たいていのトラブルであれば、解決することができるようになるだろう。もっとも、HDDやマザーボードなどハードウェアが物理的に壊れてしまった場合にはどうしようもないが、ソフトウェア的に解決できる問題である場合、わざわざPCの前に行かなくても解決できるようになる。

　筆者の場合、これを自宅のサーバーPCに利用しているが、別の使い方としては遠隔地にあるPCのリモートメンテナンスにも利用できるだろう。例えば、筆者の場合、自分の親と妻の親の家にあるPCも管理している。おそらく本誌の読者にもそういう境遇の人は少なくないのではないだろうか。

　筆者はOSのSKUをリモートデスクトップ接続ができるものにして、できるだけリモートで管理できるようにしているが、それでもOSが起動しなくなったと言われると、ほぼお手上げだ。そうした時に、BIOSの設定やOSリカバリをやってもらうというのはかなり無理に近い。というか、それができないからこそ管理を委託(押しつけられているともいう)されているのだから。実際、BIOSでの起動順序がなにかの拍子に変わってしまったようなトラブルがあったのだが、わざわざ出向いてBIOS設定だけを変えてみたら、すぐ直ったなんてことがあった。そういうトラブルも、AMTがあれば助かったのに、と今では思う。

　今回AMTの導入にかかったコストは、交換に利用したマザーボードだけだ(CPUやメモリは前に利用していたものをそのまま流用したため)。価格はドスパラ秋葉原店で13,800円と、そんなに高いものではなかったことを考えると、満足度はかなり高い買い物だったと言ってよい。また、今後リモート管理しなければならないPCを組み立てる時には、AMTをサポートしたマザーボードにして、少しでも楽して管理できるようにしたいと考えている。

　ただ、問題はAMTの設定は普通のユーザーには無理だと思う。もちろん本誌読者はPCを熟知しているだろうが、導入の大変さは覚悟しておいた方がよい。今のところAMTはシステムインテグレータなどだけが対象だから致し方ない面はあると思うが、ぜひともこの点は今後は改善して欲しいものだ。

　最後になるが、本当にHome ITマネージャほど報われない仕事はない。報酬はゼロなのに、要求だけはあれもこれもとつきないのだが、それでもやらなければならない時もあるだろう。それだけに、筆者と同じような悩みを抱えているユーザーであれば、AMTはチェックしておいて損のない技術だと思う。

□関連記事
【2007年8月28日】Intel、企業向けプラットフォーム「vPro」をアップデート
http://pc.watch.impress.co.jp/docs/2007/0828/intel.htm
【2007年3月19日】インテル、クアッドコアとvProで牽引するエンタープライズ戦略
http://pc.watch.impress.co.jp/docs/2007/0319/intel.htm

□バックナンバー

(2008年12月4日)

[Reported by 笠原一輝]