인텔 AMT란?
인텔 AMT는 기업의 권한 있는 관리자가 네트워크로 연결된 컴퓨터 시스템의 대역 외(OOB) 원격 지원 및 관리를 수행할 수 있게 해줍니다.
– Intel 공식 홈페이지 발췌
Intel AMT는 Intel Active Management Technology의 약어이며 한국어로는 인텔 액티브 관리 기술로 번역된다.
이 기술은 위에서 알 수 있듯이 네트워크 기반의 컴퓨터 제어를 할 수 있는 기술이다.
일반적으로 알고 있는 원격 제어와는 좀 다른데 Microsoft Remote Desktop과 같은것들은 Host OS에서 구동되는 SW방식이지만, Intel AMT는 기본적으로 SW가 아닌 HW에서 구동되는 기술이다.
이는 운영체제 뿐만 아니라, 컴퓨터의 전원부터 BIOS, OS까지 제어가 가능하다.
예를들어 다음 2가지 시나리오를 Intel AMT가 있다면 원격으로 수행 할 수 있다.
- OS에 문제가 생겨 재설치가 필요
- 꺼져 있는 컴퓨터의 전원을 기동하여 BIOS설정을 변경해야하는 경우
Intel AMT를 사용하기 위해서는 아래와 같은 조건을 만족 하여야 한다.
- 먼저 vPro 플렛폼이 적용된 Intel 프로세서가 필요하다.
vPro 플렛폼에 Intel AMT가 포함이 되어있기 때문에 vPro 프로세서가 아니라면 이 기술을 사용 할 수 없다. - 네트워크(노트북인 경우 무선 필수)에 연결되어 있어야 한다.
2-1. 무선 네트워크인 경우 반드시 DHCP를 지원해야한다. - Intel AMT에서 지원하는 NIC여야 한다.
- 노트북인 경우 외장 GPU가 존재 할 시, 반드시 Intel GPU와 외장 GPU가 함께 동작해야한다. 즉, muxed회로가 있는 제품일 경우 dGPU Only가 아닌 Hybrid같은 값으로 BIOS에서 설정되어야 한다.
이번 포스트에서는 vPro 플랫폼이 적용된 Intel i9-10885h 가 탑제되어있는 Lenovo ThinkPad X1 Extreme Gen 3 를 이용해 Intel AMT를 활성화 하고 기본적인 설정 후 WinPE를 구동하는 과정을 설명한다.
OS는 Windows 10을 사용한다.
Intel AMT를 사용하기 위해서는 우선 BIOS에서 이를 활성화 해 주어야 한다.
Lenovo ThinkPad X1 Extreme Gen 3 기준으로 다음과 같은 섹션에 위치 해 있다.
Config -> Intel® AMT
Intel AMT Control 설정 값을 Enable로 변경 하면 활성화 된다
Intel AMT Control 설정 값중 Permanently Disabled가 있는데, 이는 영구적으로 기능을 비활성화 하는 값이므로 의도가 없는경우 잘못 설정하지 않도록 주의한다.
활성화를 완료 하였다면 BIOS설정 값을 저장후 재기동한다.
재기동을 하면서 Intel Management Engine으로 진입 하여야 하는데, 제조사마다 차이가 있으나 보편적으로 CTRL + P 를 눌러 진입이 가능하다.
진입에 성공하였다면 위와 같은 화면을 볼 수 있다.
MEBx Login에 진입 하여 패스워드를 설정 해 주어야 한다.
기본 패스워드는 admin이며 새로운 패스워드는 반드시 영문 대소문자, 숫자, 특수문자가 포함되어야 한다.
로그인 후 패스워드 변경까지 완료하였다면 Intel AMT Configuration로 진입한다.
구성 메뉴에 진입 하였다면 위와같은 설정들을 볼 수 있는데 SOL/Storage Redirection/KVM 부터 시작하여 간략하게 설명 후 진행하겠다.
SOL은 Serial Over Lan의 약어이며, LAN을 이용하여 Serial 통신을 하게 해주는 기능이다.
Storage Redirection은 네트워크를 이용하여 플로피 디스켓이나 CD-ROM을 연결 해주는 기능이다.
세가지 옵션을 전부 활성화 한다.
User Consent는 기기의 사용자로 부터의 동의를 받을 것 인지 설정한다.
User Opt-in을 ALL로 설정 할 경우 원격 데스크톱 연결시 대상 컴퓨터에 표시되는 OTP를 입력해야 제어가 가능하다. 해당 시나리오에서는 none으로 설정하고 Opt-in Configurable from Remote IT는 Enabled로 설정한다.
Network Name Setting -> Intel ME Network name setting에서는 호스트 이름과 도메인 이름 등을 설정 할 수 있는데, 해당 시나리오 에서는 장비 검색 시 식별을 위해 Host Name만 설정해준다.
설정 완료 후 Activate Network Access를 활성화 해준다.
활성화 후 Esc키를 눌러 빠져나온다.
Windows 10으로 부팅하였다면 OS의 네트워크 정보 획득 및 OTP수신을 위해 Intel Management and Security Status 메트로 앱을 설치하여야 한다.
설치 완료 후 고급 -> 네트워크 정보 를 확인해보면 기본적으로 OS의 네트워크 정보를 사용하여 네트워크에 접속한다. 추후 설명할 프로파일 설정 후 에는 해당 정보로 접속하게된다.
관리 대상 장비에서의 설정은 끝났다.
이 후 부터는 원격을 하는 컴퓨터에서 진행한다.
정석대로라면 AMT 관리용 서버 및 SDK를 이용하여 직접 도구를 개발해야하고 일이 상당히 커지는 관계로 간편한 사용을 위해 OpenSouce 도구를 사용한다.
관리를 위해 2가지 SW가 필요하다.
Mesh Commander와 Open MDTK며, 다음 링크에서 받을 수 있다.
meshcommander.com
모두 설치하였다면 필요한 도구는 설치된 것들 중 역시 두가지만 사용 할건데 MeshCommander와, Manageability Commander Tool이다.
먼저 장비검색을 위해 Manageability Commander Tool을 실행한다.
실행하였다면 위와같은 화면이 나오는데, 장비를 검색할 IP범위를 지정 후 스캔한다. IP를 알고있다면 이 과정을 생략하고 아래에서 MeshCommander 실행 부분부터 이어간다.
장비가 검색되었다면 목록에 장비의 IP주소 및 AMT버전이 출력된다.
이 IP 주소를 메모후 도구를 종료한다.
MeshCommander를 실행하여 Add Computer를 클릭
장비의 IP주소 및 계정정보를 입력해준다.
기본 계정은 admin이며 패스워드는 아까전 지정해주었던 패스워드를 입력하면 된다.
접속이 되었다면 무선 AP 프로파일 설정을 해주어야한다.
Network Settings에서 New Profile을 눌러 창을 열고, 접속 할 수 있는 AP의 정보를 기입하여준다. 대상이 되는 AP는 반드시 접속 암호화가 되어있어야 하며, 기입된 정보중 AP의 설정과 다를 경우 OS가 구동되지 않는다면 통제가 불가능하기 때문에 반드시 정확하게 입력 해야한다.
여기까지 완료하였다면 기본적인 관리를 위한 설정은 끝이 났다.
정상적으로 설정되었는지 연결 테스트를 위해 Remote Desktop 메뉴를 클릭후, Connect를 눌러 Remote Desktop에 접속한다.
정상적으로 접속이되었다면 관리대상의 화면이 뜰 것이다.
상단에서 사용자 동의 기능이 켜져있다면 6자리 핀번호 입력 화면이 나올텐데, 대상 컴퓨터에 출력되는 6자리 핀번호를 입력하면 접속이 가능하다.
KVM 품질이 상당히 나쁘고 화면 업데이트가 느린데, 원인을 아직 분석중이다.
우선 접속연결이 확인되었다면 본 포스트의 최종목적인 WinPE부팅을 위해 IDE Redirection을 사용하겠다.
Serial-over-LAN메뉴를 클릭 후 Connect를 눌러 연결한다.
그 후 IDER를 클릭해, 마운트할 ISO파일 또는 IDE장치를 지정 후 start는 Immediately로 변경 후 OK클릭.
IDE Redirection이 성공적으로 이루어 졌다면 OS에서도 인식하는것을 볼 수 있다.
다시 Remote Desktop으로 돌아와, Power Actions을 클릭 후 Reset to IDE-R CDROM으로 지정후 OK를 클릭한다.
IDE-R은 기본적으로 상당히 비효율적인 기술이라는 것을 여기서 알 수있는데 약 2GB가량의 WinPE를 기동하는데 상당히 오랜시간이 걸린다. 대략 15~30분 정도의 시간이 소요되었다.
그렇게 디스크의 내용물이 전부 전송되자 WinPE가 정상적으로 기동된 것을 확인 할 수 있다.
이번 포스팅에서는 Intel AMT의 간략한 소개와 이를 이용하여 WinPE를 부팅하는 과정까지 적어보았다.
Intel AMT를 사용하기 위해서는 전제 조건이 생각보다 까다로우며, 전문지식이 없다면 사용하기 상당히 머리아픈 물건이다.
이를 다 거치고 그래서 이 기술이 메리트가 있냐고 하면 일정규모(예 : 10층 건물을 전부 사용하고있으며 클라이언트가 500명정도 있음)에서는 관리측면에서 메리트가 약간 있을 것 같다. 그게 아니라면 직접 물리적으로 접근하여 처리하는것이 훨신 나아보인다.
위와 같은 결론은 내리게 된 이유는 먼저 반응속도이다.
전원 제어같은 간단한 명령은 즉각즉각 반응하나, Remote Desktop의 품질과 반응속도는 상당히 좋지 않았으며 IDE-R은 끔찍한 통신속도를 보여준다.
그리고 노트북인 경우, 반드시 덮개가 열려 있어야한다.
정확히는 영상이 출력되고 있어야하는데, KVM특성상 영상 출력 신호를 스트리밍 해주는 방식이기 때문에 대상 PC에서 영상 출력 신호가 없을 경우 화면을 전혀 볼 수 없다.
Intel AMT는 컴퓨터가 기동되는 순간부터 제어 할 수 있다는 부분에서 상당히 흥미로웠으나, 기대보다는 실망이 컸다.
인텔이 구상한 시나리오와는 차이도 있을것이고 분명 이 보다 더욱 잘 설계되어 활용중인 기업도 있을 것이다.
하지만 아직 그 사례를 보지 못했고, 있다고 하더라도 그 시나리오와 실제 활용 과정을 직접 눈으로 보기 전까지는 Intel AMT를 위해 vPro를 선택 할 일은 없을 것 같다.