2021/04/25

Intel vPro® アクティブ・マネジメント・テクノロジーで遠隔Windowsインストール

 Intel vPro® アクティブ・マネジメント・テクノロジー(AMT)とは

仮想化されている

薄い仮想化レイヤーの上でWindowsを走らせている感じと思われる。BIOS設定画面(ホストOS的な)にリモートで接続できる機能と考えれば良い。その上でゲストOSたるWindowsが動いているようなイメージ。つまり、Windowsが動いていなくてもPC(ホストOS)を管理できる。というか、Windowsのインストールからすべて遠隔でできる。

何に使えるのか?

遠隔拠点や屋外拠点にIoTゲートウェイ(エッジ用のサーバー)を置きたいが、専用機は高いのでIntel NUCで済ませたい。だが、Windowsはシステムごと落ちたりするので遠隔でハードウェアリセットなどしたい。という人向けです。Windowsの再インストールからできるならば、ハードウェアが壊れない限りは無敵。屋外でも5-8年くらいは使えるのでは。ということです。

 Intel vPro® アクティブ・マネジメント・テクノロジー(AMT)の知られざる特徴

アイデアやその理想は素晴らしいが実装がひどい。試作品的な出来映え。うまく機嫌を取りながら動かさないときちんと動かない。
仮想化といえばvProとブランド化して売っている割にはやる気が感じられない実装。

まずはBIOSの設定

ややこしいBIOS設定

Intel NUCのロゴが出る前後あたりでCTRL+Pを連打して、ME(Management Engine) BIOS Extension (MEBx)という設定画面に入る。エントリータイミングのタイムアウトが短いので3回/秒くらい連打が必要。

admin,adminでログインしてパスワードを強制変更
大文字、小文字、記号、8文字などを満たさないとエラーが出るのだが
英語キーボード前提なので入力した記号が化けるなどは他のページにも書いてあるのでひとまず省略。
まずはUser consentの設定で、リモートからログインを試みるときにvProの前に座っているユーザーの手動承認必要というのを無効にする必要あり。
https://support.nec-lavie.jp/e-manual/m/nx/vp/201110/pdf/pg/sw4/v1/mst/versapro_w7_manual/_manual/03_system/03-04/vb/VB71030404.htm#user_con_conf
User Opt-in=noneにする
固定IPアドレスを設定する(MEBxの使っているIPアドレスが分かるならば、初期設定のDHCPで使っても問題ないと思われる)
IPアドレスを変更したらその後に、プロビジョニングが必要

BIOS,UEFIのメニューをいくら探してもそれらしきものが出てこない

インテル® vPro™テクノロジー対応のCPUはもちろんチップセットも対応していないと使えない。vProに対応しているチップセットは普通のPCにはほとんどない。Intel® Q370 ChipsetなどQが付くチップセットは対応しているらしい。SuperMicroなどサーバー用では対応している。

きちんと設定しているはずなのに動かない

すべての設定を正しく完了してからprovisioningを押して完了させる。一度、provisioningしてからIPアドレスなどを変更してもうまく行かない様子。変更したい場合は、一度、Intel AMTをDisableにして再度、最初からすべてやり直す。一度で完璧な設定を作ってからのprovisioningで焼き込む。みたいな考え方のようです。

ポートフォワーディングの設定

使うポートは 16992,16993,16994,16995,5900の5つ。

Mesh Commanderでの操作

ブラウザ版は使わない

Remote DesktopはMesh Commanderからでないとできない。電源on/off程度まではブラウザ版でできる
ブラウザでのログインは
http://xxx.xxx.xxx.xxx:16992
https://xxx.xxx.xxx.xxx:16993
で入れるがhttpsで入ろうとすると証明書の期限切れなどでブラウザのセキュリティにひっかかるのであまり使わないでMesh Commanderだけ使っていたらよい

最初のログインは暗号化なしで接続。2回目以降はTLSで

Mesh CommanderからvProにログインするとき、最初の一回は暗号化無しでつながないとログインできない様子。2回目以降は自動的にTLS(暗号化)を推奨され切り替わる。

MeshCommander で failed to generate key pair 400というエラー

接続先の登録を消してもう一度やり直せばOK

vPro上で動いているWindowsからIntel MEが見えない

自分から自分が見ないのは仕様です。コンピューターが二台必要です。

Remote Desktopを開く

こんな感じでログインしたら、Remote Desktopを押す。SOL(Serial-over-LAN)は旧バージョンで使われていたものが残っているだけで機能的にポンコツなので使うべきではない。SOLではGUIはできないのでWindowsはインストールできない。なお、このRemote DesktopははWindows 3389のRDPとは関係ない。

Remote Desktopにconnectしても画面が真っ黒のまま

hdmi端子にモニターがつながっていないと真っ黒しか出ない。

ダミープラグ
https://www.amazon.co.jp/gp/product/B07BKQBKJS/ref=ppx_yo_dt_b_search_asin_title?ie=UTF8&psc=1
を付ける必要あり。

IDERで.isoをマウントする

IDE= IDE Remote ということと思われる。ローカルクライアント側の.isoをvPro側にマウントできる。

ここで.isoイメージを選択。.imgは選ばなくて良い。Startはよく分からないがGracefullyのままで問題なし。マウントされると、下記のように緑の帯が入るので、Reset to IDE-R CDROMを選べば.isoから起動するはず。いまいち挙動が不安定な気がするので、失敗ならば、他もいろいろ試してみるのもよい。

IDERの性能が悪いのか何なのか不明だが、ここまで出るのに5分、10分くらいかかる。

IDERを使うと速度が遅く、高速な社内LAN内での接続でも、Windowsのインストールは数時間かかった。

不安定問題

Mesh Commanderの質が悪い。遠隔リセットなどが効かなくなったら、いったんアプリをoffにして、タイムアウトするまで待ってもう一度つなぐなどしたらどうだろうと思う。

設定の参考

ネットワーク設定画面

遠隔からUEFI/BIOS画面も出せる

電源操作オプションでReset to BIOSを選べば良い