Intel社の技術であるvProにあるAMTを試したくて PCを自作してみた。
ただし、最新のAMTを利用したDQ77MK編のページもあるので、そちらも見て頂ければ幸いだ。 DQ77MK編 ただ、「AMTってなに?」という人はこのままこのページを読んで頂ければ良いと思う。
まずvProについて簡単に説明してみる。
vProというのはようわからんが、Intelの技術で、ようするに企業のSEちゃんが従業員の大量のPCを、リモートからメンテナンスやいじれるようにした技術の集合体というようなもの。 深夜に目的のPCの前にまで行かずに、リモートからそのPCの電源をON/OFFしてパッチをあてたり、OSがフリーズしていたらリモートからリセットしたりOSのリカバリーをしたり、またBIOSの設定も可能。 その他にいろいろとできるみたいだけど私にはわからない。
このvProの技術の集合体にAMTというものがある。これはリモートからBIOSを設定したり電源のON/OFFおよびリセットをかけたり、IDE-Rと言ってネットワーク上にあるブートイメージからPCをブーとしたり等が可能だ。 BIOS等の制御の方法はSERIAL OVER LAN(これからは略してSOLと書く)で行う。簡単に言うとこれはサーバ管理などではおなじみのシリアルコンソールの出力や入力を、LAN経由で行うものである。なのでデータはいわゆるテキストで送られる。 だとすれば、リモートのPCにスクリーンリーダ(以下SRと書く)があれば、このテキスト情報は読めるはずである。つまり、リモートのPCにSRが入っていれば、目的のターゲットPCのBIOSの操作ができるのではということである。
OSが立ち上がってからSRがやっと喋り始める全盲PCユーザの環境では、BIOSの設定は一般的には不可能である。
だが、vPro対応であるPCであればAMTを利用して、間接的ではあるけれどもリモート操作で他のPCから全盲PCユーザでもBIOSがいじれるのだ。
結論から書くとばっちりできた! ただし、JAWSで試した結果である。他のSRでできるかはこれからの課題である。
ではこのAMTを利用するには、早い話SOLでBIOSをいじるためにはどんなPCにすればということになる。 もともとvPro等の技術は企業向けなのだが、現在は一般の人でもこのPCは買うことができる。NECとか、DELLとか富士通など各社いろいろと出している。 中古でもそれなりに出回っている。レノ簿からもvPro対応のノートが出ている。 なのでこれらを買えばSOLが利用可能でBIOSの操作も可能である。
vPro対応のPCには「vPro対応」を明記したシールが本体に貼られている。なので通販なのでは「vPro対応のPCがほしい」といえばわかってくれるはずだ。 ちと調べるとエプソンの通販にwin7が入ったvProのPCが7万円ぐらいであった。 またパッセルと言う中古ショップにもNECのメイトの中古で2万円ぐらいでvProがあった。機種名はMY21A/E-3というものだったと思う。 その他ヤフオクでも数点出品されていたのも発見した。
と言うことでまあできあいのものを買えば良いとは思ったが、いざ実際にSRでこのSOLがちゃんと喋ってくれるか、またSRでBIOSの操作が全盲でもできるかが不安であったので買うのはやめた。
ということで、中古のマザーボード(これからはM/Bと書く)とCPUとメモリをかき集めて、自分で組んでみようということになった。これならば万が一SOLがSRで使えなくてもそれほどの金の無駄遣いにはならないし精神的ショックも少ない。
何回かIntelのサポートの方に、SOLはテキストが転送されるんですよねみたいな馬鹿なことを聞いた。そりゃそうだ、シリアルなんだからテキストが送られるのだろうし、SOLは一般的にCUIのサーバOSを操作するのに日常的に使われている技術である。でもなんとなく不安になり聞いてしまうのだ。
ということで、まずはどんなM/Bが良いかということになる。そもそもこのvProと言うか、AMTを使うためにはM/Bに乗っているチップセットがIntelのQで始まるものでなければだめらしい。 例えばQ965、Q35、Q45、Q65等々。 ということで、私はDQ45CBというM/Bをドスパラで5000円で買ってきた。
なぜこれにしたかということなのだが、ネット上のAMTの記事にこれがよく使われていたということである。もちろんたくさんのvProに対応したM/Bがあるのだが、やはり最初なのでできれば同じ物がほしかった。ヤフオクとかいろいろとネット上を見たり、中古ショップに電話をかけたのだが見つからなかった。 近所のドスパラに1枚だけあったのを発見。絶対に明日取りに行くからというこ とで、無理を言って取り置きして貰った。本来ならばたぶんWeb注文が優先されると思う。
最初はIntelのM/Bでないとだめなのかとも思っていたのだが、AsusとかGIgabite、Aopen等からもvPro対応のM/Bが出ている。
CPUはCORE2 duo E6300にした。もちろんCPUはM/BのDQ45CBのベースクロック(FSB)が1066なのでこれにあったものがよいのだが、なんかいろいろと見ていると6000番系でないとAMTはだめとかいろいろと見たような気がしたから。 CPUは3000円、あとめもりはとりあえず実験をするだけなので1gbでいいやということで700円で購入。 ケースだけは新品でANTECのNSK2480、これはAMAZONで9000円ということでこれが一番高かったw。
細かいPCの組立については ここを見てほしい。 とりあえず無事に動いたし、SATAのDVDドライブと抱き合わせで買ってきたWin7のOEMも何のトラブルもなくイッパツで無人インストールができた。
MSのものはもうXPだけで良いと思っていて7は買わないと決めていたのだが、なんかふあふらと7のPROを衝動買いしてしまった。またMSなんぞに金を払ってしまったw。
DQ45CBにはSATA端子しかなく、手元にはIDE接続のDVDドライブしかなかったので、だったら、ドライブと抱き合わせのOEMのWin7もいっしょに買っておこうとふと思ってしまったのだ。HDDも1000円ぐらいの中古があったのでゲット。もしかしてSATAをIDEに変換できるものってないよね。 またこのM/BにはPS/2の端子がないのでUSBキーボードを接続する。 あとこのM/BにはDVI端子しかないので、VGAが使いたいのでPCI x16に挿すためのグラボも1000円ぐらいでゲットした。VGAが使えないとBIOSの画面をキャプチャーするためのVGA2USBがつかえんのよ。 こんな感じで安く部品を集めることに一生懸命になってしまった。
とりあえずちゃんとSOLが使えるかつかえんか試すだけなのと、最新のPCにはもともと興味はないし、安く作り上げることに興味を感じるのだ。
さて、そのAMTを利用してリモートからターゲットPCの電源制御やBIOSの設定をするためには、そのターゲットPCのBIOSを直接出していじらないといけない。これはどうしても見て貰わないとできないかもしれない。
このM/Bの他のBIOSの設定項目の画面のイメージファイルは、読みとり革命の12のお試し版ではほぼ完璧にスキ ャンしてくれたのに、なぜかAMTの設定の部分のみはNG。
一般的にBIOSの画面は英語なのでほぼ確実に実用レベルのスキャンをしてくれる。 読みとり革命は14がでているようなので、もういいかげんお試し版を利用するためにXPを何度も無人インストールするのも面倒なので買ってきたのだがまだ試してない。
ちなみに読みとり革命の英語モードはかなり良い制度だと思う。日本語もかなり良い。少なくとも視覚障害者向けに販売されているOCRよりはかなり良い。視覚障害者向けのOCRでBIOSの画像をスキャンするとほぼ文字化けのようになり解読不可能。 もしかして英語だけで良いのであればもっと良いOCRソフトがあるかもしれないのでおしえてほしい。
BIOSの画像ファイルをOCRする方法は ここをみてもらうことにして、 話を進める。
まずターゲットPCを起動して、F2を押す。するとBIOS設定画面が出てくる。
もちろんF2でないこともあるかもしれないが、INTELのボードはF2である。ちなみに、DELキーでも同じ画面がでると聞いたことがあるが試してない。 まあたいていはDELだったりF2だったりESC等のキーでBIOS設定画面は出てくる。
ちょっとした注意なのだが、「AMTの設定をするためにはターゲットPCの電源入れた後CTRL+Pを入力してAMTの設定画面を出す」とネット上の説明では書かれているのがほとんどだ。
これは間違いではないのだが、初期のAMTの設定画面はBIOS設定画面とは別になっていたようなのだが、そのごBIOS等がバージョンアップされて、INTELのボードではF2に統一されている。
そんなことは知らなかったので、中古で売られているM/Bを買ってきたのでBIOSがそれなりにアップされていて、どうしてもCTRL+Pでは出なくてなぜだろうかということでこれで1日振り回されてしまった。
なので中古でvProのPCを買ってきたとかIntel以外のM/BでvProに対応しているM/Bを買ってきたという場合はCTRL+Pで出てくれる場合もあるのかも思れないが、これは注意したいところだ。
さて、IntelとかAMIのBIOSでは左右矢印キーでBIOSの大項目を変更する。この大項目をタブというらしい。つまり左右矢印キーで タブを切り替える。するとMAIN、ADVANCE、SECURITY、...、INTeL Me、EXIT等のBIOSで同じ皆大項目の画面に変わる。 そこで上下矢印キーで小項目を選んでエンターをするか、プラス、マイナスキーでDISABLEかENABLE等を変更させる。
今は、左右矢印キーでINTEL MEというタブページが最後にあるので、それを開く。
ちなみにこのIntel MEとはなんぞということだが、MEとはマネージメントエンジンの略で、これはターゲットPCの電源が落ちていても、たえずLANコントロールを監視してるマイコン本体で、リモートからのコントロールをひたすら待っている。 なぜメインの電源が落ちていてもリモートから電源コントロールができるかと言うと、CPU以外に小さな組み込み系のコンピュータがM/Bに乗っていて、これは電源を切ってもたえず動いているのだ。これがMEである。 なので見て貰えば分かるが電源を落としても、M/Bには赤いLEDがちゃかちゃかしているらしい。
なので本体の電源ケーブルを抜いてしまえばAMTは起動しない。
さて、Intel MEのタブでAMTの設定をおこなうのだが、新しいPASSWORDを設定しないとAMTの設定ができない。
工場出荷時のPASSWORDは小文字でadminになっている。ユーザー名もadminである。 このIntel MEのたぶでエンターを1度押すとパスワードを入れる画面になる。
ここで初期PASSWORDのadminを入れる。次に2度新しいpasswordを入れろと出るので、決めたpasswordを入れる。
passwordには8文字以上、大文字小文字が少なくても1文字含むこと、数字も1文字含めること、特殊文字(例えば$とか@とか!)が少なくても1文字含めなければならないという決まりがある。 なのでわたくしは Abcd1234@にしておいた。最初のAだけ大文字。こんなところでpassword書いてどないすんねんといいうことだがまああいきょうあいきょうw。
もう一つ注意がある。それはキーボードの特殊文字のレイアウトだ。 BIOS画面では当たり前だがOSが立ち上がる前の状態なので簡単に言うと英語キーボードのレイアウトになっている。@(アットマーク)は英語キーボード、つまりBIOS画面ではSHIFt+2である。 他にもいろいろと特殊文字は違ってくる。これを知らないと、BIOS画面で直接AMTの設定画面に入るときと、リモートPCのWindows上のAMTのコントロールソフトからLOGINするときとでは、特殊文字のレイアウトが違っていることをしらないとパスワードが異なるので、絶対にAMTにはLOGINできない。 特殊文字のレイアウトの違いはGOOGLE先生にお伺いしてくれ。
無事にAMTの設定画面に入ったら、2番目の項目のIntel AMT CONFIGURATIONにエンターで入る。 すると、host nameとか、IPアドレスの設定、プロ美女人具の設定などが出てくる。host nameは適当にやって、IPアドレスはこのターゲットPCのAMTのIPアドレスを入れる。 デフォではDHCPがenableになっているから、まあこれでもよいのかもしれんが、とりあえずdisableにして自分で決めたIPを最初は入れた方が良い。 ipを適当に入れて、gatewayとかdnsもちゃちゃと適当に入れる。 そして、プロビジョニングというわけわかめな項目だが、これはスモールビジネスにする。上に書いたように、プラスマイナスキーか上下矢印キーでスモールビジネスを選ぶ。 設定はこれだけ。
つまり新しいPASSWORDとIPと、スモールビジネスの3点の設定だけである。
保存してターゲットPCを起動する。これでAMTが使えるようになり、リモートからコントロールソフトを使って電源制御やBIOSの設定が可能になる。
ちなみに、端末PCにAMTのコントロールソフトをインストールしなくても、pingやWebぶらうざからもAMTが動いているかは確認できる。
ターゲットPCの上で設定したIPアドレスが192.168.1.100だとする。まあこれは私が設定したIPだが
ping 192.168.1.100
でもターゲットPCの電源が落ちていてもpingが帰ってくる。
またお好きなブラウザで
http://192.168.1.100:16992/
と入力すればAMTのLOGIN画面が出てくる。
ここで先ほど設定したPASSWORDでLOGINができる。ちなみにユーザー名はadminのままでよい。
このブラウザからはBIOS等の設定はできないが、電源をON/OFFしたり、リセットしたりが可能だ。 またM/Bのシリアル番号やBIOSのバージョン番号、どんなCPUやメモリを積んでいるか等のシステム情報などが読むことができる。これだけでもすごいと思う。 なので、上の設定が終わったら「ちゃんと動いているかな」と確認するためにはpingやブラウザからloginしてみるとよいだろう。
さて、りもーとの端末PCはXPを利用した。あたりまえだが、端末PCは全くvPro対応である必要はない。そのへんに転がっているPCでよいのだ。SRはJAWS7を利用した。JAWSバージョンアップしとらんのよ。高い品w。それに私JAWSを使わなければならないほどばりばり優秀な会社員ではなくただの自宅警備員だしねw。
さて、リモートからAMTをりようするには、操作するPCにコントロールソフトをインストールしなければならない。 いろいろと高額なソフトもあるようだが、無償で使える物もある。 私は Manegeability Commander Toolというものを使った。もう一つ Intel System Defense Utilityというものもあるのだが、どうもエラーが出て、SOLがどうしても繋がらない。これでも1日以上も振り回された。
これを適当にインストールする。
立ち上げて、ターゲットPCのIPを手動で入れて登録する。なんかJAWSではよくわからなかったがなんとかこれはできた。 ユーザー名はADMINのまま、そしてpasswordは先ほどBIOSで直接入力したPASSWORDを入力する。 そして、connectボタンでスペースキーで実行だ。無事に繋がればconnectだったボタンがdisconnectにすぐに変わるので繋がったことはすぐに分かる。つまり今は無事に繋がったから、DISCONNECTに変わり、切りたければこのボタンを押してねっっていうことだ。
さて、このツールはタブを切り替えることで利用する。CTRL+TABキーで、リモートを選ぶ。 そして、TABキーを4かいほど押すと、take controlと聞こえるところがある。 そこでスペースキーを押す。すると、リモートターミナルが立ち上がる。
ALTメニューを出して、右矢印キーを2かい押すとリモートコマンドというものがある。そこをみてもらうとわかるが、電源を切るとか、電源を入れる、リセットしてBIOS画面を出すというようなものがある。
そこで、まだターゲットPCに電源が入って無くても、リセットしてBIOSを出すを押す。みごと電源が入って、BIOS画面を出してくれる。
あとはJAWSのJAWSカーソルまたはレビューカーソルで画面を見て欲しい。 ほとんどの全盲の人はBIOSを見たことも操作したこともないはずである。大げさでなく感動すると思う。 PC-Weasel を利用して、10念前グライに私も初めてBIOSを見たときもすごく感動した。
これで通常のBIOS操作をすれば良い。変更を繁栄したいとか、変更を破棄してれリセットしたいときはEXITタブを左右矢印キーで選んでお好みの項目を選んでほしい。
その他にIDE-Rと言う機能がある。これはコントロールする端末から、リモートのターゲットマシンに対して、好きなOSで立ち上げることができると言う機能だ。
例えば、端末マシンのHDDないにWindows PE(以下PEと書く)等のisoイメージがあったとする。その場合、このIDE-Rと言う機能を利用すれば、リモートのターゲットPCに対してこのPEのISOから立ち上げることができる。
つまりリモートのターゲットPCの前に行かずにリモートからPEを立ち上げることができるということである。
同じく、LinuxでリモートPCを立ち上げたい場合は、手元の端末のHDD内のLinuxのISOから立ち上げることができるということだ。
似た機能として、Wakeup On Lan(WOL)と言う方法も昔からある。これも同じようにネットワーク経由で OSを立ち上げるのだが、IDE-Rとの違いは、WOLはルータ越えができないこと、自由にOSが選べないなどと制約がある。
IDE-Rがかなり有用であるような書き方をしたが、いまのところそうでもない。と言うのは、例えば予めIDE-Rを通じて好きなOSを立ち上げるには、そのOSをIDE-R用に予めカスタマイズしないとだめなようだ。
FreeBSD7.4のインストール用のDVDディスクを端末のPCからIDE-Rを利用してターゲットPCを立ち上げてみた。
ところが、ほんの最初の画面が出てそこでストップしてしまう。端末からのキーボードも受け付けない状態になってしまう。
これはFreeBSDのインストールディスクをFreeBSDのFTPサイトから落としてきたものそのままを利用したためであると考えられる。
なのでやはり予めAMTのSOLようのカスタマイズが必要なようだ。 ちなみに、停まった画面上から、Welcomeメッセージやメニュー項目などのテキスト情報はJAWSから読めたのでカスタマイズができれば、IDE-Rを通じてFreeBSDはインストールできるかもしれない。
実際 IDEリダイレクト用のLinux起動イメージを作成する - パート 1 まだためしてないのだがこのようなIntelのページもある。
一般的にも、例えばPEを使うときも同じで、PEのブートのみははIDE-Rを通じて、ブート後の操作はPEに予めしこんで置いたVNCを利用するという解説ページが多く見受けられる。 これが現実的な解決策なのだろう。とはいっても、私たちはVNCはたぶんグラフィカルなものなので、これは利用できない。
となると、PEにtelnetdを予めしこんで置いた者を利用すると言うのがテキスト情報しかやりとりできない私たちの方法だと思う。
PEにtelnetdを入れる方法は
ここに書かせて頂いている。
しかし一般的に、視力がある管理者は、KVMを利用してIDE-Rを通じて立ち上がったOSを操作するというのが普通である。
最近のAMTにはKVMもサポートされている。もちろんKVMがサポートされているM/BとCPUを使わなければならない。これを利用すれば、予めOSにVNCやtelnetdを組み込むとか、OSをSOL用にカスタマイズしなければということも必要ないのだと思う。
とはいっても、視力がない管理者にはグラフィック情報がやり取りされるだけのKVMは利用できないので、テキスト情報がやり取りされるSOLを利用する手段しかない。
視力がない管理者にとってのIDE-Rのことを簡単にまとめると上のようなことになるのだろう。 できればいちようKVMも試してみたいとは思っている。 ところが今回利用したDQ45CBではKVMはサポートされてない。 まずは安くSOLが試せるかどうかを検証したかっただけなのでこれは承知で購入したのだが。
これは余談だが視覚障害者に対してPCの販売やサポートをしている会社は何社あるのだが、この中でリモートサポートをしているところがある。 どのような手段でリモート操作をされているのかは分からないのだが、これからはAMTが利用できるPCをユーザーに販売または組んで販売すると言うのもリモートから操作するための良い手段になるはずである。
ざっと見積もると、AMTのKVMが利用できるようなものを組んで、OSまで入れて5万ぐらいでかなりなPCが組めるはずだ。
上にも書いたとおり、視力がある人が操作する場合にはKVMが利用できるので、現場のPCのMSのOSが立ち上がらないとか、どんな画面になっているかわからないというような情報は社内のPCから一目でわかる。 もちろんKVMがりようできるので、まったく現場に行った場合と同じようにキーボードやマウス操作ができる。もちろんIDE-Rをうまく利用すればリカバリも可能で、バックアップを取ってからのクリーンインストールも可能である。 もちろん上にも何度も書いたが電源のON/OFF、リセット、BIOS操作もリモートから可能だ。
ユーザーにお願いしなければならないことは、対照のPCの電源ケーブルをコンセントに入れて置いてもらっておくことと、PCの後ろにある電源スイッチをONにしておいてもらっておくだけだ。
IntelとしてはこのvProやAMTと言う記述はビジネス向けと言うか、社内のPCを管理しやすくするための技術として打ち出している。 が、このような技術は、一般のパソボラや、遠隔地に住んでいる家族などのPCをサポートしなければならない者にとってもかなり有効な手段だ。 と言うことで、ローコストで一般的にもかなり有用な手段であるということをもっとアピールしても良いと思う。
AMTのコントロールはLinux等のPC-Unixでは、AMTTERMというものがあって、これでできるのだが、なぜか肝心なBIOS操作ができてない。電源制御などはできているのだが。それから、IPMITOOLというIPMIをコントロールするソフトもUNIX上では有名だが、これでAMTが操作できるかはまだわからない。 AMTはどうも一般的に広く使われているIPMIとは違うようだ。早い話一般的なものではなさそうだ。ここにIntelの策略が見え隠れしているような気がするのはわたくしだけかな。
視力がない者から書かせて頂くとできればデフォルトの状態でAMTがONになってるようなものがあるのが有り難い。 そうすれば、なにも他人の最初の手助けもなく、すぐにAMTが利用できる。 100%よくありがちなセキュリティがどうのという話になるのだろうが・・・。
今年に入って、ばたばたと部品をかき集めて、なんとかBIOS制御までやっとこぎ着けて慌ててこのページを書いた。 のでまだまだわからんことばかりだ。だけど全盲がBIOSをいじれるPCが組めたし、Win7も無人インストールできたので100点を自分にあげたい。 オネーサンモほめてくれないから自分で「えらいぞ」と言っておくw。
AMTやvProの説明はいろいろとWebにもある。だが、 笠原一輝のユビキタス情報局 というのが一番分かりやすい。
その他気が付いたことは順次書く予定。
なにか感想を頂けるとうれしい。
c8h6o4@watakatsu.com