Um diesen Ansprüchen gerecht zu werden, integriert Intel mit der Active-Management-Technologie „Intel AMT“ zentrale Überwachungs- und Steuerungsfunktionalitäten bereits in eine Hardware-Plattform. Dieses als „embedded IT“ bezeichnete Konzept erstreckt sich auch auf grundlegende Fähigkeiten der Hardware zur Erkennung und gegebenenfalls Reparatur von Systemen im Netzwerk per Remote-Zugriff.
Bei herkömmlichen Systemen spielt sich die Remote-Verwaltung rein auf der Applikationsebene ab. Voraussetzung für die Inventarisierung und Fernwartung eines solchen Rechners ist stets ein funktionierendes Betriebssystem, auf dem der Agent der Systemmanagement-Lösung als Anwendung installiert wurde.
Mit der Active Management Technology überspringt Intel zwei Ebenen, indem Systemmanagement-Fähigkeiten bereits auf dem Chip integriert sind. Über eine von Intel an einige dedizierte Software-Lösungen freigegebene Schnittstelle lassen sich ohne Agenten entscheidende Informationen über den Rechner auch dann auslesen, wenn er abgeschaltet ist oder das Betriebssystem nicht funktioniert.
Ausführliche Grundlageninformationen rund um das Thema IAMT und vPro bietet Ihnen der Artikel vPro 2008: Komfortable Verwaltung von Business-PCs und -Notebooks. Details zum praxisnahen Einsatz der vPro-Technologie liefert der Beitrag Intel vPro mit Landesk-Management-Software.
Grundlagen des Remote-Managements
Um das reibungslose Funktionieren der Systeme im Netzwerk zu gewährleisten, kommt es auf drei Schritte an: die Erkennung der vorhandenen Hard- und Software, die Wiederherstellung der Systeme im Falle eines Fehlers und den Schutz der Systeme vor Gefahren. Dieser Dreiklang aus Inventarisierung, Fernwartung und Security-Management muss jederzeit harmonisch sein – egal in welchem Zustand sich das einzelne System aktuell befindet.
Die meisten Remote-Tools für diese Aufgaben des IT-Managements leiden jedoch an einem entscheidenden Mangel: Damit die Management-Tasks ausgeführt werden können, muss auf den aus der Ferne zu administrierenden Systemen ein funktionstüchtiges Betriebssystem installiert sein und tatsächlich laufen, weil sonst der Agent nicht arbeiten konnte.
Schwierigkeiten unterhalb dieser Schranke lassen sich nur durch Besuche vor Ort und die komplette Festplattenformatierung und Neuinstallation beheben. Darüber hinaus lässt sich nicht immer zweifelsfrei feststellen, welche Systeme tatsächlich gerade im Netzwerk in Betrieb sind.
Hat man zum Beispiel ein System identifiziert, dessen Betriebssystem nicht funktioniert und es mittels Re-Imaging wieder zum Laufen gebracht, lässt es sich danach nicht ohne Weiteres im Netzwerk korrekt zuordnen, weil der für das System vorgesehene User offiziell noch mit der alten Maschine verknüpft ist.
Funktionsprinzip der Active Management Technology
Intel Active Management Technology ist ein „Building-Block“ aus Hard- und Firmware-Lösungen. Sie macht es möglich, einen Rechner unabhängig von dessen Status im Netzwerk mit bestimmten dazu autorisierten Client-Managementsystemen zu erkennen und zu managen.
Auch wenn der Rechner sich im „Bare-Metal-Zustand“ befindet, er heruntergefahren oder das Betriebssystem abgestürzt ist – die entsprechende Management-Software erkennt ihn per Intel AMT im Netzwerk. Sie kann darüber hinaus Informationen von dem „fehlerhaften“ System auslesen und Remote-Control-Sessions anstoßen, bereits bevor der eigentliche Management-Agent installiert wurde. Der Clou: Diese Out-of-Band-Funktionalität lässt sich von Dritten nicht abschalten, weil sowohl die Informationen als auch die Ansteuerung direkt im Chip in einem dauerhaften, vom Hauptspeicher und Speichermedien völlig unabhängigen Speicherbereich sitzen. Daher kann das Betriebssystem diese Kommunikation nicht beeinflussen. Einzige Voraussetzungen für das Ansteuern eines sogenannten AMT-enabled-Rechners sind eine Kabel- oder WLAN-Verbindung zum Netzwerk und eine aktive Stromversorgung.
Architektur
Intel AMT ist erstmals auf dem Chipset Intel 945G in Kombination mit der Netzwerkkarte Intel 82573E der „Lyndon“-Desktop-PC-Plattform implementiert worden. Aktuell läuft IAMT mit den Chipsätzen Q35 Express und ICH9DO mit der IAMT-Version 3.2 auf Desktop-PCs und GM965 Express und ICH8M mit der IAMT-Variante 2.6 auf Notebooks. Mit der Verfügbarkeit der Montevina-Plattform ist dann IAMT 4.0 mit dem Chipsatz GS45 Express und ICH9M möglich.
Ein Teil des nicht flüchtigen Flash-Speichers im Chipsatz sammelt bei jedem Boot-Vorgang über eine interne Schnittstelle, das sogenannte Sensor-Effector Interface (SEI), Grundinformationen unter anderem zu Prozessortyp, Speichertyp und BIOS-Einstellungen. Das bedeutet, dass bei einer Abfrage der Systeminformationen durch eine Management-Software über das Netzwerk immer der Status nach dem letzten erfolgreichen Booten des Systems zur Verfügung steht.
Der Kommunikation zwischen Rechner und Systemmanagement-Lösung dient eine definierte Schnittstelle auf der Netzwerkkarte, das External Operations Interface (EOI). Auf diese Schnittstelle haben nur von Intel autorisierte Anwendungen Zugriff, nicht aber das Betriebssystem des Rechners selbst und auch keine unautorisierte Systemmanagement- oder Remote-Control-Software. Die Schnittstelle verwendet die Web Services Description Language (WSDL) für die Maschine-zu-Maschine-Kommunikation. Generell stehen die Schnittstellen als Webservices zur Verfügung, auf die über Simple Object Access Protocol/Extensible Markup Language (SOAP/XML) mittels unterstützter Protokolle wie dem Hypertext Transfer Protocol (HTTP) zugegriffen werden kann.
Hardware identifizieren und Status abfragen
Die autorisierte Systemmanagement-Software kann über die externe Schnittstelle zum Beispiel den Globally Unique Identifier (GUID) auf den dafür definierten Speicherort schreiben. Der GUID ordnet eine Maschine zweifelsfrei einem User zu. Bei nicht Intel-AMT-fähigen Systemen schreibt der Systemmanagement-Agent die GUID auf die Festplatte des Rechners. Ist diese defekt oder wird formatiert, beispielsweise bei einem Re-Imaging nach einem System-Crash, geht die GUID verloren und muss neu erzeugt werden. Das heißt konkret, dass die alte Zuordnung real verloren gegangen ist, im Inventar aber noch abgebildet wird. Parallel dazu ist die neue Zuordnung aber schon aktiv. In diesem Zeitraum bestehen für einen User zwei GUIDs, also laut Verzeichnis zwei PCs, obwohl er nur einen physikalischen Rechner hat. Gleichzeitig bedeutet dies, dass in diesem Zeitraum auch zweifach Lizenzen für diesen User ausgewiesen werden. Dies gilt so lange, bis über einen neuen Inventory-Scan die Echtdaten auf dem System mit den im Verzeichnis gespeicherten Infos zu User und Rechner abgeglichen sind. Bei Intel-AMT-enabled-Rechnern bleibt die einmal von der Systemmanagement-Lösung vergebene GUID bestehen. Die Maschine ist also jederzeit eindeutig zu identifizieren und einem User zuzuordnen.
Dieses Verfahren ist von großem Vorteil insbesondere bei Software-Audits, die auch noch aus anderer Sicht eine Herausforderung darstellen. Bisher müssen die IT-Verantwortlichen die Systeminformationen mit hohem Aufwand einholen und mit den gespeicherten Daten abgleichen. Schätzungen einer US-Studie von Intel gehen dahin, dass im Durchschnitt zwischen 15 und 20 Prozent der Clients in einem Netzwerk hinsichtlich ihrer Software-Ausstattung nicht automatisiert erfasst werden können. Die Gründe dafür sind vielfältig: Entweder hat der User den Systemmanagement-Agenten irrtümlich oder vorsätzlich entfernt oder das Betriebssystem funktioniert nicht richtig.
Soft- und Hardware-Inventarisierung
Ist zum Zeitpunkt des Inventory-Scans der Rechner heruntergefahren, müssen in diesem Fall die Informationen entweder vom Benutzer eingefordert oder aber direkt vor Ort an der Maschine abgefragt werden. Dazu muss der IT-Administrator über die richtigen Passwörter für dieses System verfügen – für das Booten des Rechners und die Anmeldung an die einzelnen Applikationen. Jedes AMT-enabled-System lässt sich dagegen aus der Ferne booten. Dieser Out-of-Band-Zugriff der Managementkonsole auf den mit Intel AMT ausgestatteten Chip und die dort in der Firmware abgelegten Informationen sorgen daher schnell und vor allem aus der Ferne für Klarheit. Die vom Rechner ausgelesenen Software-Informationen können automatisiert unmittelbar mit den in einer Asset-Datenbank hinterlegten Lizenzinformationen abgeglichen werden. Daraus resultieren präzise Informationen über Unter- oder Überlizenzierungen und die Wartungsverträge. Darüber hinaus gestaltet sich so der Update-Prozess für die einzelnen Applikationen oder die Betriebssysteme deutlich einfacher und effizienter.
Die Komponenten-Inventur der Rechner betrifft hauptsächlich die Hardware des Systems. Auch hier sorgt der Unsicherheitsfaktor von 15 bis 20 Prozent für ungenaue Planungsunterlagen hinsichtlich der Wartungs- und Garantiefälle, Abschreibungen und Einsatzänderungen. Bislang gab es keine Standard-Asset-ID für jeden Rechner. Bei mit Intel AMT ausgestatteten Maschinen kann die Systemmanagement-Lösung eine solche ID und damit die aktuellen Hardware-Infos bei jedem erfolgreichen Booten des Systems in den nicht flüchtigen Bereich des Speichers auf dem Chip schreiben und wiederum über die interne Schnittstelle in die Firmware. Auch auf diese Informationen hat der IT-Administrator jetzt an der Managementkonsole jederzeit Zugriff. Auf diese Weise lassen sich Konfigurationsänderungen an Hardware-Komponenten nachverfolgen. Außerdem gelingt so für alle Maschinen im Netzwerk eine stets aktuelle Aufstellung darüber, wann welche Komponenten gewartet oder ausgetauscht werden müssen.
Reparatur per Fernwartung
Weil sowohl der Status der Hardware als auch der installierten Software des Rechners per AMT stets sichtbar ist, lassen sich Fehlfunktionen des Systems jederzeit erkennen. Bootet zum Beispiel das Betriebssystem nicht richtig, weil eine bestimmte DLL fehlt oder korrupt ist, lässt sich genau das aus der Ferne diagnostizieren. Ähnlich verhält es sich, wenn die Festplatte nicht mehr funktioniert: Der Administrator an der Konsole beziehungsweise der Help Desk Agent kennt jederzeit den Status des Rechnersystems. Anschließend kann er sich sofort remote auf die Maschine aufschalten, um das Problem zu lösen – etwa um einen Konfigurationsmangel oder einen Fehler in einer Software beziehungsweise dem Betriebssystem zu beheben. Im Falle eines Hardware-Defekts ist natürlich immer noch der Besuch des Rechners notwendig – aber bereits mit der richtigen Hardware-Komponente im Koffer.
Ein weiterer Fall: Ein Rechner stürzt bei einer bestimmten Operation in einer Anwendung immer wieder ab. In diesem Zustand ist er nicht zu reparieren, ohne dass er vor Ort neu gestartet wird und die Settings angeschaut werden. Das Abstellen eines solchen Problems funktioniert nur, wenn der Benutzer sehr präzise Angaben zum Fehlerhergang machen kann. Unter Umständen muss der Rechner dann mehrfach neu gebootet werden, bis man das Problem eindeutig analysiert hat und schließlich zur Reparatur schreiten kann. In den meisten Fällen ist ein Besuch vor Ort nicht zu vermeiden. Mithilfe von Intel AMT und einer Systemmanagement-Lösung lässt sich dieser kostspielige Support per Remote-Zugriff durchführen, weil ein Reboot aus der Ferne möglich ist. Anschließend kann man ebenfalls per Fernzugriff bestimmen, wo es Anwendungskonflikte oder korrupte Dateien gibt.
Neuinstallation von Rechnern
Mit modernen Systemmanagement-Tools ist es recht komfortabel möglich, Betriebssystemmigrationen durchzuführen. Die betreffenden Rechner können über die Konsole ausgewählt werden. Anschließend lassen sich die Benutzerprofile zentral zwischenspeichern und nach dem eigentlichen Rollout des neuen OS wieder auf den Rechner aufspielen. Dann steht die Arbeitsstation funktionsfähig zur Verfügung.
Was Agenten-basierenden Systemen nicht möglich ist, ist die Erstausstattung des Rechners mit einem OS, weil die Maschinen erst dann in der Konsole angezeigt wurden, wenn sie über ein funktionierendes Betriebssystem verfügten. Mit Intel AMT erscheinen in der Konsole der Management-Suite auch die Systeme, die noch „nackt“ sind. Über die Software-Verteilmechanismen der Systemmanagement-Lösung können diese aus der Ferne mit dem Betriebssystem ausgestattet und zum ersten Mal gebootet werden. Anschließend kann der Administrator wie bisher den Agenten der Systemmanagement-Lösung auf die Plattform bringen. Von nun an verhält sich der Rechner wie jeder andere gemanagte Client im Netzwerk, kann also auf die volle Funktionalität der Systemmanagement-Suite als Inbound-Lösung zugreifen. Gleichzeitig taucht er in der Konsole als AMT-fähiges Gerät auf.
Sicherheit
Gut konfigurierte Systeme sind eine wesentliche Voraussetzung für Sicherheit im Netzwerk. Indem Intel AMT den Zugriff auf aktuelle Systeminformationen beschleunigt und die Möglichkeiten zur Fernwartung erweitert, leistet es einen wichtigen Sicherheitsbeitrag. Sicherheitsrichtlinien lassen sich so schneller und effektiver durchsetzen.
Konkret legt Intel AMT zum Beispiel im Falle einer DoS-Attacke das System, von dem der Angriff ausgeht, schnell „lahm“ und hilft bei der anschließenden Reparatur. Ist nämlich der Übeltäter identifiziert, kann der Administrator unter Umgehung des Betriebssystems den PC vom Netz nehmen und einen sofortigen Reboot veranlassen, bei dem die Soll-Konfiguration wiederhergestellt wird. Anschließend lässt sich der Rechner wieder mit dem Netzwerk verbinden, und der Benutzer ist rasch in der Lage, seinen PC wieder zu nutzen.
Fazit und Ausblick
Viele Tasks, die in der Vergangenheit zwingend einen oder gar mehrere Besuche vor Ort erforderten, lassen sich durch Intel AMT von der Konsole aus erledigen. Das bedeutet einen erheblichen Effizienzgewinn. Voraussetzung dafür ist allerdings der Einsatz einer Systemmanagement-Lösung, die über die externe Schnittstelle die Informationen im Chip auswerten kann.
Mittels Intel AMT sind in einem klar definierten Bereich des Chips Systeminformationen gespeichert, die weder vom Benutzer noch vom Betriebssystem überschrieben werden können. Somit sorgt der Out-of-Band-Zugriff auf Informationen für mehr Konsistenz beim Inventarisieren. Aufgaben, bei denen der Administrator auf die korrekten Informationen über den Zustand und die Ausstattung der Rechner angewiesen ist – wie Lizenz-Monitoring, Software-Verteilung und Betriebssystem- oder Anwendungsreparatur – sollen mittels Intel AMT leichter von der Hand gehen, weil eine viel sicherere Basis vorliegt. (hal)