Systemmanagement mit Intel AMT
Vpro revolutioniert den Desktop-Support
Vpro erlaubt den Zugriff auf zentrale Rechnerinformationen bei ausgeschaltetem Gerät. Damit hat Intel einen scheinbar kleinen, aber doch entscheidenden Schritt gemacht, der die Verwaltung verteilter Clients stark und nachhaltig verändern kann. Falls das Konzept auf breiter Front zur Anwendung kommt, stehen dem Administrator und dem Helpdesk ganz neue Möglichkeiten offen.
Zur Verwaltung eines verteilten Rechnerparks existieren derzeit zwei prinzipiell
unterschiedliche Verfahren: die Vor-Ort-Verwaltung durch den Administrator sowie der Fernzugriff.
Dieser wiederum kann über Fernsteuerungswerkzeuge (Remote Control Tools), WMI (Windows Management
Instrumentation), KVM-Hardware (Keyboard, Video, Mouse) oder spezielle Softwareagenten
erfolgen.
Die Unterschiede zwischen diesen Verfahren, die auch kombinierbar sind, bestehen darin, auf
welcher Kommunikationsinfrastruktur der Fernzugriff aufsetzt. Allen bisherigen Konzepten gemeinsam
ist, dass der zu kont-rollierende Rechner eingeschaltet sein muss. Für Clients verbietet sich dies
als alleiniges Verfahren in den meisten Unternehmen allein schon wegen der hohen Strompreise. Des
Weiteren stellt ein permanent eingeschalteter Rechner ein höheres Sicherheitsrisiko dar. Das
gezielte "Aufwecken" von Rechnern (Wake on LAN, WOL) wiederum umgeht zwar manche dieser Hürden,
konnte sich aber in der Breite bis dato noch nicht durchsetzen. Außerdem übernimmt es lediglich die
Aktivierung des Rechners, alle weiteren Aktionen sind dann über die Agenten der System-
management-Tools abzuwickeln.
Ausgeschaltete Client-Rechner ansteuern
Vpro setzt nun an dieser Stelle an. Es erlaubt den Zugriff auf grundlegende Rechnereinstellungen
und Konfigurationen, ohne dass das Gerät angeschaltet sein muss. Dieser Zugriff erfolgt über das
vorhandene Netzwerk; folglich muss das Gerät mit dem Datennetz verbunden sein. Da natürlich
jeglicher Netzwerkverkehr letztendlich immer über Stromimpulse abläuft, benötigt das ferngesteuerte
Gerät einen Anschluss an das Stromnetz, und die Netzwerkbaugruppen müssen die Pakete routen. Einige
wenige für Vpro benötigte Hardwarebaugruppen wie auch das Netzwerkmodul müssen somit unter geringem
Betriebsstrom stehen, nicht jedoch die Energie fressenden Rechnerkomponenten wie zum Beispiel
Festplatten, Speicher oder Grafikkarten. Dies sei hier deswegen explizit erwähnt, weil es mitunter
in den Unterlagen missverständlich kommuniziert wird.
Intel erneuert mit Vpro sein AMT-Konzept (Active Management Technology) und knüpft gleichzeitig
an die Erfolge an, die das Unternehmen mit der Centrino-Plattform für Notebooks erzielt hatte.
Diese Plattform steht hier für eine Kombination aus drei fest integrierten Hardwarekomponenten: der
CPU, dem Chipsatz mit Memory-I/O und der WLAN-Komponente (Wireless LAN). Entsprechend verhält es
sich nun mit Vpro beziehungsweise dem erweiterten AMT-Verfahren. Denn auch dieses besteht aus einer
Kombination mehrerer Baugruppen: einer Dual-Core-CPU, dem Q965-Express-Chipsatz, den
Netzwerkbaugruppen zur Kommunikation und schließlich nicht-flüchtigem (also Flash-) Speicher. Der
Flash dient der Ablage wichtiger Inhalte wie Statusmeldungen. Angepasst werden müssen aber auch
BIOS und Firmware-Komponenten des Mother- boards. Derzeit bieten Acer, Fujitsu-Siemens,
Hewlett-Packard, Lenovo und NEC Rechner mit Vpro-Support bereits an oder werden diese in Kürze
vorstellen.
Der Vpro-eigene Speicher wiederum ist in drei Bereiche unterteilt: einen Anteil, der für Vpro
beziehungsweise AMT selbst reserviert ist, einen zweiten Teil, der durch den Startprozess des
Rechners (Power on Self-Test, POST) mit Statusinformationen gefüllt wird, und einem dritten Teil,
der für spezifische Erweiterungen vorgesehen ist. Um die Sicherheit dieses Speichers zu
gewährleisten, ist der Zugriff darauf entweder per ACL (Access Control List) geschützt, oder die
Inhalte sind codiert.
Durch Parametrisierung lässt sich bestimmen, welche Informationen des Startprozesses im
reservierten Speicher zu hinterlegen und welche Aktionen beim Eintreffen der Ereignisse auszulösen
sind. Dies kann bedeuten, dass das Verfahren unwichtige Meldungen ignoriert, mittelschwere im
Speicher hinterlegt und bei gravierenden Dingen eine Benachrichtigung an den Administrator absetzt.
Durch die Vpro-Erweiterungen besteht also ein Kommunikationskanal, der auch dann aktiv bleibt, wenn
der entfernte Rechner ausgeschaltet ist, kein Betriebssystem läuft oder dieses beschädigt ist. Alle
Zugriffe über das integ-rierte Kommunikations-Interface laufen separat von den Prozessen des
Betriebssystems über einen eigenen Netzwerk-Stack. Dies ist allein schon deshalb notwendig, weil im
ausgeschalteten Zustand des Rechners keine Kommunikation mit Betriebssystemunterstützung erfolgen
kann.
Vpro stellt drei Funktionstypen bereit: erstens den rein lesenden Abruf von Werten aus dem
Rechner, wie etwa aus dem BIOS oder dem erwähnten Vpro-spezifischen Speicher mit den
Statusmeldungen, zweitens den schreibenden Zugriff, um die Konfigurationen des Zielrechners zu
ändern, und drittens das Ein- oder Ausschalten des Rechners (Power up/Power down).
Der Zugriff auf die Vpro-Daten und seine Funktionen erfolgt im einfachsten Fall via Browser. Des
Weiteren haben die Anbieter der Systemmanagement-Tools, zum Beispiel Altiris, Landesk und
Microsoft, nun ihrerseits ihre Desktop-Verwaltungskonsolen diesbezüglich erweitert, die Lösungen
kommunizieren mit den Vpro-Komponenten auf dem Motherboard. Im Kontext dieser Managementkonsolen
kann damit erstmals auch eine Verwaltung von ausgeschalteten Rechnersystemen erfolgen. Intel und
die PC-Hersteller stellen lediglich die notwendigen Schnittstellen auf der PC-Seite bereit.
Angenehm dabei ist, dass die Zugriffe auf die von Vpro gebotenen Informationen nahtlos in die
Verwaltungssuiten eingebunden sind. Umgekehrt lässt sich die Vpro-Firmware auch heranziehen, um
durch Heartbeats bis zu 16 Agenten auf ihre Funktionsfähigkeit hin zu überwachen.
Neben den bereits erwähnten Funktionen bietet Vpro auch Vorkehrungen zur Umlenkung des Boot
Devices (Remote Boot durch eine integrierte Geräteumlenkung via IDE-R) und der Ein-/Ausgabegeräte
durch ein als "Serial on LAN" (SOL) bezeichnetes Verfahren. Zum Umfang von Vpro gehören ferner
Virtualisierungsfunktionen, die dieser Bericht jedoch nicht näher betrachtet.
Die Funktionen und Möglichkeiten von Vpro sind prinzipiell nicht neu, meist findet man sie in
ähnlicher Ausprägung bei heutigen Systemen. Neu und wohl auch ein wenig revolutionär sind aber die
Kopplung der Features und die sich daraus ergebenden Möglichkeiten: Diese erlauben eine nahezu
vollständige Fernwartung – vorausgesetzt, es liegt kein Hardwaredefekt vor.
Vpro vereinfacht und erweitert die Möglichkeiten für Software-Rollouts und den zentralen
Helpdesk. Die Ausführung von Aktionen auf dem Client ist ohne Zutun eines Benutzers oder Agenten
auf dem Zielsystem möglich. So kann beispielsweise beim Vorliegen eines Startproblems der
beschädigte Client mittels Remote Boot durch IDE-R von einem zentralen Rechner starten. Dies geht
über die Möglichkeiten von WOL und PXE-Boot (Pre-Execution Environment) hinaus.
Gleichzeitig sorgt die Umlenkung der Ein-/Ausgabegeräte durch Serial on LAN dafür, dass der
zentrale Helpdesk den Startvorgang verfolgen und notfalls eingreifen kann. Dabei werden alle
POST-Informationen wie auch der Zugriff auf das Rechner-BIOS umgelenkt, wie dies derzeit bei den
IP-basierten KVM-Switches ähnlich zum Einsatz kommt. Vpro benötigt aber keine KVM-Switches, sondern
bringt die Technik bereits in der Firmware mit. Im letzten Schritt lässt sich nun der beschädigte
Rechner beispielsweise durch ein Imaging-Tool neu bespielen.
Die Integration der Kommunikationsschnittstellen in die Vpro-Firmware erlaubt aber auch eine vom
Betriebssystem unabhängige Überwachung des Netzwerkverkehrs durch eine isolierte Security Engine.
Diese übernimmt dabei auch eine rudimentäre Firewall-Funktion und überwacht den Netzwerkverkehr
nach auffälligem Verhalten. Fünf Kommunikationsparameter werden geprüft: Quell- und
Ziel-IP-Adresse, Port, Protokolltyp und Paketrate.
Ferner erlaubt das Konzept die Trennung des Rechners vom Netz, wenn dieser zum Beispiel aufgrund
einer Virenverseuchung über die Agenten der Systemmanagement-Tools oder Funktionen des
Betriebssystems nicht mehr erreichbar ist. Ein Administrator kann einen infizierten Rechner, der
andere Geräte im Netzwerk infizieren würde, per Vpro-Fernzugriff vom Netzwerkverkehr ausschließen.
Das betroffene System bleibt aber weiterhin über SOL/IDE-R erreichbar, um eventuell neu von einem
intakten Image booten zu können.
Fazit
Vpro stößt die Tür dazu auf, die Systemverwaltung wesentlich zu vereinfachen. Intel schätzt das
Einsparpotenzial bei den Support-Kosten auf rund 40 Prozent. Dabei bezieht der Anbieter sich auf
Zahlen, wonach ein Technikerbesuch vor Ort siebenmal teurer ist als ein Fernzugriff. Als Grundlage
dazu hat Intel 44.000 Trouble-Tickets ausgewertet und festgestellt, dass zirka 40 Prozent der
Tickets auch durch Fernwartung lösbar wären. Gleichzeitig muss man aber anmerken, dass der Nutzen
von Vpro nur dann richtig zu Tage treten kann, wenn die Verbreitung groß genug ist. Vpro-Rechner
werden in der Anschaffung teurer sein: Bei HP zum Beispiel schlägt dies mit ungefähr 30 Euro zu
Buche. Ferner ist durch die Übernahme von ATI durch AMD zu erwarten, dass AMD ein eigenes Konzept
bringen wird. Und schließlich gilt: Gegen Hardwareausfälle oder Benutzerfehler kann auch Vpro
nichts ausrichten.
Lesen Sie mehr zum Thema
