Pages

Monday, May 16, 2022

【匠の部屋】vProは「OSと別のIPアドレスを持てる」……でも、同じIPアドレスにしたほうがいい理由 - INTERNET Watch

berseterulah.blogspot.com
vProの匠こと、牧真一郎氏。同氏の「匠」っぷりは、連載のこれまでの回を参考にしてほしい

 テレワークの普及とともに、企業での利用が増えている「インテル vPro プラットフォーム」。vProの興味深いところは、「OSのIPアドレスとAMTのIPアドレスを別のものにすることもできるし、同じIPアドレスにすることもできること」だ。

 別のIPアドレスにすることで、OSの通信とvProの制御を確実に分離できる反面、IPアドレスやホスト名を余分に消費したり、管理が煩雑になるデメリットがある。

 今回は、読者の方から、そうした構成の挙動について質問をいただいたので、「インテル vPro プラットフォーム」のすべてを知り尽くした“匠”こと牧真一郎氏に詳しく教えてもらった。

 なお、本連載では「匠に聞いてみたい」質問を随時募集中。vProに関する疑問・質問などがあれば、記事末尾のフォームからぜひ投稿してほしい。また、既に投稿いただいた質問は、順次回答していくので、お待ちいただければ幸いだ。

今回の質問:「OSとAMTで、それぞれ異なるIPアドレス/ホスト名を設定するとどうなるの?」

――先日はvProの初期設定にあたって、「原則としてホスト名・ドメイン名・IP設定はOSと同じ設定にする」というアドバイスをいただきました。ここで、OSとは違うホスト名やIPアドレスをAMTの制御に利用したら、どういう挙動になるのでしょうか?

牧氏:ひと言でいうとvProを運用する上での「管理が複雑になります」。

 初期のAMTで固定IPを利用する場合には、必ずOSとは異なるホスト名やIPアドレスを設定するようになっており、MACアドレスも2つ見える状態になっていました。現在ではその必要はなく、クライアントPC1台で2つのIPアドレスを消費する必要はありません。固定IPに設定してもMACアドレスは1つのままです。

Web UIのIPアドレス設定画面(有線LAN)、この状態だとOSと同じIPアドレス/ホスト名になる

 MACアドレスが1つなので、DHCPで設定する場合は、OSとAMTを異なるIPアドレス/ホスト名に設定することはできませんが、固定IPで利用する場合はOSとAMTで異なるIPアドレス/ホスト名を設定し、普通に利用することができます。ただしその場合、以下の点に注意する必要があります。

  1. OSと異なるIPアドレスを設定する場合には、ホスト名もOSが使用しているものとは別にすること。ホスト名を同じにすると、名前解決などでトラブルが起こる恐れがある。
  2. AMTで固定IPを使用できるのは有線LANのみで、無線LANではDHCPしか使用できない。また、有線側を固定IP、無線側をDHCPと異なる設定をすることもできないので、AMTを無線LAN経由で使用したい場合は、DHCP環境での運用が必須である。
  3. 管理アプリケーションによっては、アドレスやホスト名がOSとAMTとで別々に指定できない場合もある。

――なるほど、これらに注意する必要があるので、OSとAMTで異なるIPアドレスやホスト名を設定すると、「管理が複雑になる」というわけですね。

牧氏:そうなんです、だからvProの初期設定では「ホスト名・ドメイン名・IP設定は、OSと同じ設定にする」方がトラブルが起きにくいわけですね。

 ちなみに、OSとAMTが同じIPアドレスで動作している場合ですと、外部からきた通信は、AMTが利用しているポートについてはAMTが処理し、それ以外はOSが処理する、という挙動になります。

――前回の記事では「pingにOSが応答した場合と、マネジメントエンジン(ME)が応答した場合では、TTLの値が異なる」という話がありましたが……。

牧氏:pingに対する応答は、AMTでは「255」というTTL値を返すのですが、OSが応答すると違う値を返したりします。例えば、Windowsは「128」を返すので、「pingを打って、どういう値が返ってきたか」で、PCのOS起動状況を簡易的に判別することができます。

 もちろん、TTLの値は経路上のL3スイッチなどで減少しますが、「おおよそこのぐらいの差が出る」と覚えておくとよいでしょう。

 なお、細かいことを言うと、pingに対しては、AMTの応答とOSの応答が並列で動作するので、「OSが動いている場合、OSとAMTの両方が応答する」というのが厳密な挙動です。ただし、一般的にはOSの方がAMTより早く応答しますし、後から届いた応答も普通は破棄されるので、結果として、先ほどのように「Windowsが動いていると128が返ってくる」という結果になるわけです。

 さらに補足すると、AMTがpingに応答するかどうかはWeb UIなどから設定可能です。

OSのシャットダウン中に、繰り返しpingコマンドを送った様子。途中からTTLの値が「255」に変化している

「1か月経つとvProが使えなくなる」というご質問をいただいた方、探しています!

 「vPro導入困りごとアンケート」にて、「1か月経つとログイン時にエラーメッセージが出て、vProに接続できなくなる」というご質問をいただいています。クリティカルなトラブルでお困りかと思いますが、非常にめずらいしトラブルということで、いただいた情報だけでは原因の判断ができておりません。

 可能性としては、プロビジョニング後に行った設定の問題が考えられますので、まずはプロビジョニングについて解説した関連記事などをご参考に設定を見直してみてください。それでも症状が改善しないようでしたら、より詳細な情報が必要となりますので、こちらから連絡可能なメールアドレスを含めてご連絡をいただければ幸いです。どうぞよろしくお願いいたします。

匠への質問、募集中!

 ……さて、今回は「IPアドレスをOSとAMTで分けない方がよい理由」を教えてもらったが、vProは非常に多機能かつ奥深い。これまでの記事や活用事例を見て、「これはどうやるんだろう?」あるいは「できると思うのに、何故かうまくいかない」と思うことも多いと思う。

当連載は、そうした疑問を随時、匠にお伺いし、みなさまの疑問解消に役立てていきたい。疑問点がもしあれば、是非、以下のフォームから質問を送ってみてほしい。

アンケート回答にあたっての注意事項・同意事項

・いただきました質問につきまして、質問者やその企業を特定できないよう編集の上、匠の回答とあわせて誌面掲載させていただく可能性がございます。

・いただきました質問に対する回答は、原則として今後展開する記事内にて行わせていただきます。また、すべての質問への回答を約束するものではございません。

・氏名やメールアドレスのご記入は任意となりますが、ご記入いただければ、追加で伺いたいことなどがある場合、編集部よりご連絡させていただき、より正確な回答ができるよう務めさせていただきます。

・回答いただきました個人情報(名前/メールアドレス)は、追加の質問など編集部からの連絡のみ使用します。そのほかの目的で使用することはなく、対象者以外の個人情報は、企画終了後、速やかに消去します。

個人情報の保護について
http://www.impress.co.jp/privacy_policy/

Adblock test (Why?)


からの記事と詳細 ( 【匠の部屋】vProは「OSと別のIPアドレスを持てる」……でも、同じIPアドレスにしたほうがいい理由 - INTERNET Watch )
https://ift.tt/QFZYUvo

No comments:

Post a Comment