Laut Intel soll die vPro-Technologie die hohen Kosten für die Administration von Office-Rechnern senken. Einen zentralen Bestandteil nimmt dabei Intels Active-Management-Technologie (IAMT) ein. Diese ermöglicht mittels eines aktiven Netzwerk-Controllers und unabhängig vom Betriebszustand des Rechners den Fernzugriff auf die entsprechenden Systemressourcen. Vorausgesetzt, das System verfügt über die entsprechende Hardware- und Firmware-Ausstattung.
Dazu gehört neben einem vPro-zertifizierten Chipsatz wie Intel Q965 mit ICH8-DO oder Q35-Express-Chipsatz mit ICH9 DO auch der Gigabit-Ethernet-Controller 82566DM inklusive entsprechender Prozessoren aus der Core-2-Duo- (Conroe, Wolfdale) und Core-2-Quad-Familie (Yorkfield). Auch das System-BIOS des Client-Rechners muss vPro-tauglich sein. Mithilfe von vPro soll der Administrator in der Lage sein, eine defekte Festplatte oder ein beschädigtes Betriebssystem via Netzwerk zu diagnostizieren und gegebenenfalls eine Fernreparatur durchzuführen. Darüber hinaus lassen sich weitere grundlegende System-Management-Funktionen per Remote-Zugriff durchführen.
Für einen Praxistest hat uns Fujitsu Siemens ein vPro-System zur Verfügung gestellt. Die Hardware besteht aus einem vPro-zertifizierten Esprimo-Desktop-PC PE5925. Als Software-Paket benutzen wir die aktuelle Landesk-Management-Suite 8.7 SP3. Unser Artikel beschreibt praxisnah, wie ein vPro-System in die Landesk-Lösung integriert wird und welche Management-Möglichkeit diese Technologie dem Administrator bietet.
Ausführliche Grundlageninformationen rund um das Thema vPro bietet Ihnen der Artikel Grundlagen: Intels vPro revolutioniert Business-PCs. Details zum Thema Intel-Active-Management-Technologie (IAMT) liefert der Beitrag Grundlagen: Intel Active Management Technology.
Das vPro-Testsystem
Als Testsystem stellte uns Fujitsu Siemens den Mikro-Tower-Rechner Esprimo P5925 EPA mit aktueller vPro-Technologie zur Verfügung. Das Gerät ist mit einem hauseignen Mikro-BTX-Mainboard ausgestattet. Auf dem Board arbeitet ein Q35-Express-Chipsatz von Intel. Für die nötige Rechenleistung sorgt ein E6550-Intel-Prozessor. Die Dual-Core-CPU arbeitet mit einer Taktfrequenz von 2,33 GHz. Von den vier freien DIMM-Modulsteckplätzen bestückte der Hersteller zwei mit 512 MByte großen DDR2-667-Speicherriegeln. Als Storage-Laufwerk setzt der Hersteller die 3,5-Zoll-SATA-Festplatte WD1600AAJS von Western Digital ein. Die Platten des 160 GByte großen Storage-Systems rotieren mit einer Geschwindigkeit von 7200 Umdrehungen pro Minute. Als optisches Laufwerk kommt das AD-717OS SATA-DVD-ROM-Laufwerk von Sony NEC Optiarc Inc. zum Einsatz. Ein Floppy-Laufwerk fehlt.
Um vPro-konform zu sein, schreibt Intel für ein entsprechendes Desktop-System einen bestimmten Chipsatz und weitere Technologien wie TPM 1.2 Intel VT und TXT voraus. Das ist in unserem Fall der MCH Q35 mit einer integrierten GMA-3100-Grafik und der ICH9 als Digital-Office-Version „DO“. Diese Komponenten beinhalten alle notwendigen Funktionseinheiten für die aktuelle Intel-Active-Management-Technologie (IAMT). Alle vPro-zertifizierten PC-Systeme sind mit einem entsprechenden Logo versehen. Die Desktop-Rechner erhalten das „vPro“-Logo, und die Notebooks werden mit dem „Centrino Pro“-Logo gekennzeichnet.
Bevor allerdings der Zugriff auf die Management-Engine des Rechners erfolgen kann, müssen im Firmware-Konfigurationsmenü des vPro-Clients die entsprechenden Parameter für den Netzwerkzugriff eingestellt werden. Ist dies erfolgt, kann jeder Administrator mithilfe der IP-Adresse und der Portnummer sich per Remote-Zugriff auf dem System einloggen und entsprechende Abfragen durchführen.
Konfiguration der MEBx eines vPro-Clients
Bevor ein vPro-Client über einen Fernzugriff kontrolliert werden kann, müssen bestimmte Voreinstellungen im Konfigurationsmenü der Management Engine BIOS extension (MEBx) des Rechners erfolgen.
Während des Boot-Vorgangs gelangt der Anwender mit der Tastenkombination STRG + P in das Menü der MEBx des Clients. Mit dem Standardpasswort „admin“ aktiviert man die Auswahlmenüs. Hier hat der User die Möglichkeit, die entsprechenden ME- und AMT-Parameter einzugeben oder das Passwort zu wechseln.
Bei der erstmaligen Benutzung der MEBx zwingt das System, das Passwort zu wechseln. Es verlangt ein „starkes“ Passwort. So muss das neue Kennwort zwischen 8 und 32 Zeichen besitzen und Klein- und Großbuchstaben enthalten. Zusätzlich muss mindestens eine Zahl und ein nicht alphanumerisches ASCII-Zeichen wie „@“, „#“ oder „$“ im neuen Passwort vorhanden sein. Für unser Testsystem wählen wir die Zeichenfolge „P@ssw0rd“.
Das Management-Engine-Menü beinhaltet grundlegende Optionen für die Fernverwaltung des Systems. Dazu zählt der aktuelle Status der ME, das Zulassen lokaler Aktualisierungen der MEBx, das Aktivieren des LAN-Controllers für verschiedene Management-Funktionen sowie das Festlegen des Status der ME in verschiedenen Energiebetriebszuständen.
Das AMT-Menü führt den Anwender durch die Konfiguration des AMT-Netzwerk-Controllers. Abgefragt werden der Host-Name, die Einstellungen für eine statische oder dynamische TCP/IP-Adresse, die AMT-Unterstützung für die Boot-Sequenz und das Provision-Modell (Enterprise Mode oder Small Business Mode) sowie der AMT-Kompatibilitätsmodus des Rechners. Das Provisioning ermöglicht es, für unterschiedliche Erfordernisse im Unternehmen entsprechende Sicherheitseinstellungen für die Kommunikation zwischen Server und Client zu definieren. So ist es zum Beispiel möglich, im Enterprise-Mode das Transport-Layer-Security-Protokoll (TLS) zu verwenden.
Mit SOL können die Ein- und Ausgabedaten der Konsole eines durch IAMT verwalteten Client-Computers auf die Konsole des Verwaltungsservers umgeleitet werden. IDE-R ermöglicht das Starten des mit Intel AMT verwalteten Clients von Dateiabbildern auf der Verwaltungskonsole. Beide Funktionen inklusive Login-Abfrage haben wir für unseren Praxistest aktiviert.
Mit der Option Secure Firmware Update können sichere Firmware-Aktualisierungen durchgeführt werden. Diese Form der Firmwareaktualisierung erfordert zwingend einen Administrator-Benutzernamen und ein Kennwort.
Alle Einstellungen speichert das System in einem nicht flüchtigen Speicherbereich des Chipsatzes ab. Der Zugriff auf diese Parameter erfolgt ausschließlich über die Eingabe eines korrekten Passwortes.
Steuerung des vPro-Clients über das Webinterface
Um auf ein vPro-System direkt ohne die Landesk-System-Management-Software zugreifen zu können, müssen IP-Adresse und Zugriffsport bekannt sein. Der Betriebszustand des Systems selbst spielt dabei keine Rolle. Es kann ausgeschaltet oder aber im Betrieb durch einen User sein. Die wichtigste Voraussetzung: Der PC muss sich im Netzwerk befinden und mit Strom versorgt sein.
Mittels eines Webbrowsers und der entsprechenden URL „http://192.168.50.3:16992“ verbindet sich der Anwender direkt mit dem vPro-Client. Die Webadresse besteht aus der IP-Adresse inklusive zugeordnetem Port, die zuvor in der MEBx-Konfiguration hinterlegt wurden. Doch bevor der Zugriff auf die Informationen des Remote-Clients möglich ist, muss sich der User per Default-Login „admin“ und im MEBx festgelegten Passwort „P@ssw0rd“ identifizieren.
Der vPro-Client stellt dem Anwender über das integrierte IAMT-System einige grundlegende Funktionen zur Diagnose und Steuerung des Rechners zur Verfügung. Neben dem allgemeinen Systemstatus und den Hardware-Informationen zeigt das System auch die Event-Log-Einträge des letzten Boot-Vorgangs auf einer Remote-Webkonsole an.
Der Webinterface-Zugriff auf das vPro-System ermöglicht rudimentäre Remote-Control-Funktionen wie Reset, Cycle Power Off / On und Power Off mit anschließendem Power On und entsprechenden Boot-Optionen wie Normal-Boot, Boot from local CD/DVD drive oder Boot from local hard drive. Mittels der Landesk-Management-Suite bietet Fujitsu Siemens weitere Steuer- und Kontrollmöglichkeiten des vPro-Clients an.
Neben den Netzwerkeinstellungen direkt im Konfigurationsmenü der MEBx, lassen sich auch die Network Settings für die IAMT-Steuerung über den Webbrowser erstellen. Zusätzlich kann der Administrator verschiedene User-Accounts auf dem Client anlegen und verwalten sowie die Energie-Policies für den Zugriff auf den Rechner festlegen.
Ein nützliches Feature – das wir bereits bei anderen Systemen gesehen haben – wie das Updaten der Firmware per Fernzugriff fehlt allerdings. Mit dieser könnte der Systemverwalter von seiner Host-Konsole aus ein Firmware-Update des verwalteten Clients durchführen, ohne vor Ort am Rechner zu sein.
vPro in die Landesk-Management-Suite einbinden
Ein wichtiger Aspekt der vPro-Technologie ist die Einbindung der Client-Systeme in eine bestehende System-Management-Umgebung. Dafür bieten namhafte Hersteller entsprechende Management-Lösungen wie Altiris den Manageability Toolkit, Landesk die Management Suite oder Microsoft den System Management Server (SMS 2003) an. Diese Management-Software lässt sich in heterogenen Umgebungen in übergreifende Enterprise-Management-Systeme wie CA Unicenter, Microsoft SMS, IBM Tivoli Time 10 oder HP OpenView einbinden.
Anhand unseres Demosystems Esprimo P5925von FSC erläutern wir praxisnah, wie mit der Landesk-Management-Suite ein vPro-System in eine System-Management-Umgebung eingebunden werden kann.
Die Integration eines vPro-Client kann im Gegensatz zu herkömmlichen Systemen „out of band“ erfolgen. Diese Möglichkeit bedeutet, dass der Rechner ausgeschaltet ist, aber an der Stromversorgung hängt und mit dem Netzwerk verbunden ist. Darüber hinaus benötigt der Client keinerlei zusätzlich installierte Agenten.
Um den vPro-Client unter der Landesk-Management-Suite zu verwalten, muss dieser zuerst in den Configure Landesk Software Services angemeldet werden. Im Ordner Intel AMT Configuration unter Current Intel AMT Credentials trägt der Administrator die Zugangsdaten für den Arbeitsrechner ein. Diese entsprechen den Daten, die in der MEBx bereits hinterlegt sind.
Nach dem Aufruf der Landesk-Management-Suite und unter dem Menüpunkt Toolbox / Configuration / Unmanaged Device Discovery kann der Anwender nach dem Desktop-Rechner suchen lassen. Es öffnet sich ein Scanner-Configuration-Fenster, in dem der User die IP-Bereich des zu suchenden vPro-Systems (zum Beispiel 192.168.50.3 bis 192.168.50.200, Subnet Mask: 255.255.255.0) mit entsprechenden Optionen wie Network Scan und Additional devices to discover / Intel AMT 1.0 eingibt. Nach dem Auffinden des vPro-Clients – in unserem Fall die IP: 192.168.50.3 – ist das System in dem Ordner Intel AMT zu finden. Von dort aus können die Daten in das Inventory-Management der Landesk-Software verschoben werden.
Diese Hardware-Informationen erhält die Management-Software direkt über den IAMT-fähigen Rechner. Denn das vPro-System legt bei jedem Boot-Vorgang seine aktuellen Hardware-Daten in einem Flash-Speicher ab. Diese sind jederzeit „in band“ oder „out of band“ per Netzwerkzugriff abrufbar.
Praktisches Client-Management mit der Landesk-Management-Suite
Zu den wichtigsten Aufgaben der vPro-Technologie zählen die Verwaltung und die Fehlerdiagnose der entsprechenden Clients. Das Konzept soll insbesondere durch die integrierte System-Management-Lösung Kosten sparen.
Unter Zuhilfenahme der Landesk-Management-Suite kann ein Administrator unabhängig vom Betriebszustand des Clients per IAMT-Remote auf den vPro-Rechner zugreifen. Einen ersten Anhaltspunkt auf mögliche Ursachen für Störungen oder Fehler in einem PC liefert das IAMT Event Log, das während der Boot-Phase erstellt wird und jederzeit aus dem internen „IAMT-Speicher“ des entsprechenden Chipsatzes ausgelesen werden kann. Die Event-Log-Ausgabe findet sich in der Optionsauswahlübersicht, indem man mit der rechten Maustaste auf dem vPro-Rechner im detaillierten Network View klickt.
Mittels der Remote-Management-Optionen der Landesk-Management-Suite lässt sich ein defekter Client über eine Host-Konsole sogar fernsteuern. So kann der fehlerhafte Rechner ausgeschaltet und wieder rebootet werden. Darüber hinaus ist der Anwender in der Lage, verschiedene Boot-Quellen für das Client-System auszuwählen, um spezielle Diagnose- und Reparaturprogramme von der Verwaltungskonsole auszuführen.
So kann zum Beispiel der Administrator mittels der IDE Redirection Options von seinen Laufwerken auf der Host-Konsole aus eigene Serviceprogramme oder Images auf dem vPro-Client ausführen. Diese Programme können weitere Diagnosefunktionen oder zum Beispiel Virenscanner zur Überprüfung des gestörten Systems enthalten. Auch lassen sich per IDE-Redirection komplette Programmneuinstallationen ferngesteuert durchführen.
Direkter Zugriff auf BIOS-Funktionen
Eine wichtige Funktion für eine Störungsbeseitigung ist der direkte Fernzugriff über eine Host-Konsole auf das BIOS des defekten vPro-Client-Systems. So lassen sich viele Ursachen für eine Störung im Vorfeld beseitigen beziehungsweise diagnostizieren.
Für diese Möglichkeit bietet die Landesk-Management-Suite die beiden Optionen Enter BIOS setup on power on und Enable console re-direction on power on im IAMT-Boot-Manager. Hierzu wird beim nächsten Boot-Vorgang des Systems eine IAMT-Serial-over-LAN-Session initiiert. Dabei wird auf der Host-Konsole ein HyperTerminal-Fenster mit der Abbildung des BIOS-Fensters vom Client-System geöffnet. Mittels der Konsolentastatur lassen sich nun alle BIOS-Funktionen per Fernzugriff aufrufen und steuern.
Fazit und Ausblick
Die vPro-Technologie bietet in Verbindung mit einer professionellen Software-Management-Lösung wie etwa der Landesk-Management-Suite umfangreiche Remote-Management-Funktionen, die die Arbeit eines Administrators spürbar erleichtern. Die grundlegende Integration von vPro-Clients in eine solche Umgebung kann ohne hohen Aufwand durchgeführt werden, wie wir anhand der Landesk-Management-Suite gezeigt haben. Die Verwaltung und Steuerung von vPro-Rechnern kann dank In-band- und Out-of-band-Zugriff zentral von einem Administrator durchführt werden. Bisher musste der Systemverwalter bei einem defekten Rechner zeit- und kostenaufwendig selbst vor Ort instandsetzen.
So ist das v-Pro-System in der Lage, auch im ausgeschalteten Zustand übers Netzwerk mithilfe eines Webbrowsers erste Anhaltspunkte über die Art eines Defekts zu liefern. Aber erst mit einer angepassten Software-Management-Lösung lassen sich viele erweiterte Möglichkeiten der vPro-Technologie ausschöpfen. Dazu zählen ein automatisiertes Remote-Setup und Fernkonfiguration, Serial over LAN, IDE-Redirektion sowie Alerting- Optionen.
Ein wichtiger Bestandteil der vPro-Technologie in Verbindung mit einer Management-Software ist die Netzwerksicherheit der verwalteten Systeme, die wir in unserem Beitrag noch nicht behandelt haben. Dabei kann der Administrator das Provisioning-Modell wie „SMB“ oder „Enterprise“ mit dem entsprechenden Transport-Layer-Security-Protokoll (TLS) wählen. Dazu zählt auch die Vergabe von Zertifikaten zur sicheren Datenkommunikation.
Nahezu alle namhaften PC-Hersteller haben vPro-fähige Geräte in ihr Produktportfolio aufgenommen. Dabei stellt die vPro-konforme Hardware in Desktops oder Notebooks keine große Herausforderung an die Systemhersteller dar. Die volle Funktionalität von vPro können somit nur die Entwickler von entsprechender System-Management-Software wie zum Beispiel Landesk dem Anwender erschließen. Bereits für 2008 hat Intel für vPro IAMT 4.0 mit erweiterten Virtualisierungsfunktionen angekündigt. (hal)