Nach Intels Wunschvorstellungen soll es zukünftig keine Business-Desktop-PCs ohne vPro-Logo geben. Dieser Plattformstandard hat sich als Ziel gesetzt, die hohen Kosten für die Administration der Office-Rechner zu senken. Dabei spielt die Funktion IAMT eine zentrale Rolle. Diese ermöglicht unabhängig vom Betriebszustand des Rechners den Fernzugriff auf die entsprechenden Systemressourcen und ist in die Hardware und Firmware des Rechners integriert.
Die Fernsteuerung und Wartung einzelner Desktop-Rechner im Netzwerk erfolgt über die im Chipsatz enthaltenen vPro-Systemfunktionen. Mit Hilfe dieser Features kann der Administrator bei defekter Festplatte oder beschädigtem Betriebssystem via Netzwerk auf den IAMT-Client zugreifen und eine Diagnose beziehungsweise eine Reparatur durchführen. Darüber hinaus lassen sich weitere grundlegende System-Management-Funktionen unter bestimmten Voraussetzungen verrichten.
Für einen ersten Praxistest hat uns Fujitsu Siemens ein vPro-System mit entsprechender Management-Software zur Verfügung gestellt. Die Hardware besteht aus einem vPro-zertifizierten Esprimo-Desktop-PC E5916. Das Software-Paket beinhaltet für Demonstrationszwecke eine Administrator-Konsole unter dem Altiris Realtime System Manager und einen Leitfaden zur Nutzung der vPro-Funktionen auf einem entsprechenden System. Unser Artikel beschreibt detailliert, wie die vPro-Technologie in der Praxis angewendet wird und welche Vorteile sie für den Systemverwalter bietet.
Ausführliche Grundlageninformationen rund um das Thema vPro bietet Ihnen der Artikel Grundlagen: Intels vPro revolutioniert Business-PCs. Details zum Thema Intel-Active-Management-Technologie (IAMT) liefert der Beitrag Grundlagen: Intel Active Management Technology.
Das Testsystem
Als Testsystem hat uns Fujitsu Siemens den vPro-Rechner Esprimo E5916 zur Verfügung gestellt. Das Gerät ist mit dem Intel-Prozessor Core 2 Duo E6400 ausgestattet. Die vier Speicher-Slots sind je mit 512-MByte-DDR2-667-Modulen bestückt. Als Festplatte kommt die Seagate ST3808110AS Barracuda mit 7200 Umdrehungen pro Minute und 80 GByte Speicherkapazität zum Einsatz. Als optisches Laufwerk verwendet der Hersteller das Combo GCC-H10N CD-RW/DVD-ROM. Ein Floppy-Laufwerk fehlt.
Um vPro-konform zu sein, schreibt Intel für ein entsprechendes System einen bestimmten Chipsatz voraus. Das ist in unserem Fall der MCH Q965 mit einer integrierten GMA-3000-Grafik und der ICH8 als Digital-Office-Version „DO“ (HO). Diese Komponenten beinhalten alle notwendigen Funktionseinheiten für die Intel-Active-Management-Technologie (IAMT).
Bevor allerdings der Zugriff auf die Management-Engine des Rechners erfolgen kann, müssen im Firmware-Konfigurationsmenü die entsprechenden Parameter für den Netzwerkzugriff eingestellt werden. Ist dies erfolgt, kann jeder Administrator mit Hilfe der IP-Adresse und der Portnummer sich per Remote-Zugriff auf dem System einloggen und entsprechende Abfragen durchführen.
Setup und Konfiguration eines Clients
Bevor ein vPro-Client über einen Fernzugriff kontrolliert werden kann, müssen bestimmte Voreinstellungen im Konfigurationsmenü der Management-Engine (ME) des Rechners erfolgen. Diese entfallen, wenn der Hersteller wie bei unserem Testsystem die entsprechenden Parameter bereits eingestellt hat.
Während des Bootvorgangs gelangt der Anwender mit der Tastenkombination STRG + P in das Management-Engine-Menü des Clients. Hier hat er die Möglichkeit, die entsprechenden ME- und IAMT-Parameter einzugeben. Die Management-Engine beinhaltet grundlegende Optionen für die Fernverwaltung des Systems. Dazu zählt der aktuelle Status der ME, das Zulassen lokaler Firmware-Updates, das Aktivieren des LAN-Controllers für Management-Funktionen sowie das Festlegen des Status der ME in verschiedenen Betriebszuständen.
Das IAMT-Menü führt den Anwender durch die Konfiguration des IAMT-Netzwerk-Controllers. Abgefragt werden Einstellungen für eine statische oder dynamische TCP/IP-Adresse und die IAMT-Unterstützung für die Bootsequenz sowie das Provision-Modell (Compatibility, Enterprise Mode, Small Business Mode) des Rechners.
Alle Einstellungen speichert das System in einem nicht flüchtigen Speicherbereich des Chipsatzes ab. Der Zugriff auf diese Parameter erfolgt ausschließlich über die Eingabe eines korrekten Passworts.
Direkter Zugriff über das Webinterface
Um auf ein vPro-System direkt ohne System-Management-Software zugreifen zu können, müssen IP-Adresse und Zugriffsport bekannt sein. Der Betriebszustand des Systems selbst spielt dabei keine Rolle. Es kann ausgeschaltet oder aber in Betrieb durch einen User sein. Die wichtigste Vorraussetzung: Der PC muss sich im Netzwerk befinden und mit Strom versorgt sein.
Mittels eines Webbrowsers und der entsprechenden IP-Adresse inklusive zugeordnetem Port verbindet sich der Anwender direkt mit dem IAMT-Client. Doch bevor der Zugriff auf die Informationen möglich ist, muss sich der User per Login und Passwort identifizieren.
Der vPro-Client stellt dem User über das integrierte IAMT-System einige grundlegende Funktionen zur Diagnose und Steuerung des Rechners zur Verfügung. Neben dem allgemeinen Systemstatus und den Hardware-Informationen zeigt das System auch die Event-Log-Einträge des letzten Bootvorgangs an.
Über den Webinterface-Zugriff auf das Desktop-System können vorerst nur rudimentäre Remote-Control-Funktionen wie Power Off, Power On ausgeführt werden, mit entsprechenden Bootoptionen wie Normal-Boot, Boot from local CD/DVD drive oder Boot from local hard drive. Unter dem Altiris Realtime System Manager bietet Fujitsu Siemens weitere Bootmöglichkeiten wie etwa das Booten von lokalen Images an.
Neben den Netzwerk-Einstellungen direkt im Konfigurationsmenü der Management Engine, lassen sich auch die Network Settings für die IAMT-Steuerung über den Webbrowser erstellen. Zusätzlich kann der Administrator verschiedene User-Accounts auf dem Client anlegen und verwalten.
Ein nützliches Feature ist die Update-Firmware-Funktion. Mit dieser kann der Systemverwalter von seiner Host-Konsole aus ein Firmware-Update des verwalteten Clients durchführen, ohne vor Ort am Rechner zu sein.
Weiterführende Funktionen in der Praxis
Neben den Optionen, die direkt über den Webbrowser zugänglich sind, bietet vPro noch weiterführende Funktionen. Diese sind in unserem System von FSC vorerst nur mit einer Demo-Software mit Hilfe eines HyperTerminals und dem IAMT-Programmpaket von Intel zugänglich, bieten aber jetzt schon einen guten Einblick in die Leistungsfähigkeit der vPro-Technologie.
Eine wichtige Funktion für eine Störungsbeseitigung auf einem Client-Rechner ist der direkte Fernzugriff über eine Host-Konsole auf das BIOS des defekten Systems. So lassen sich viele Ursachen für eine Störung im Vorfeld beseitigen beziehungsweise diagnostizieren.
Für dieses Feature bietet Fujitsu Siemens ein von Intel entwickeltes Tool, das demonstriert, wie über IAMT der Zugriff auf BIOS-Einstellungen erfolgt. Hierzu wird über die Auswahltaste „a“ des Programms eine AMT-Serial-over-Lan-Session geöffnet. Mit der „g“-Option SOL boot to BIOS setup bootet das Client-System neu und geht automatisch ins BIOS-Setup des Rechners. Auf der Host-Konsole öffnet sich ein HyperTerminal-Fenster mit der Abbildung des BIOS-Fensters vom Client-System. Mittels der Konsolen-Tastatur lassen sich nun alle BIOS-Funktionen per Fernzugriff aufrufen und steuern.
Zusätzlich bietet das Programm eine Remote-Repair-Funktion für den vPro-Client an. Dadurch ist der Administrator in der Lage, von seinen Laufwerken auf der Host-Konsole aus mittels IDE-Redirection eigene Serviceprogramme oder Images auf dem Client auszuführen. Diese Programme können weitere Diagnosefunktionen oder zum Beispiel Virenscanner zur Überprüfung des gestörten Systems enthalten. Auch lassen sich per IDE-Redirection komplette Programmneuinstallationen ferngesteuert durchführen.
Ist zum Beispiel ein vPro-Rechner mit Schad-Software infiziert und verursacht dieser erhöhten Netzwerkverkehr, kann der Administrator per Remote-Zugriff den PC vom allgemeinen Netzwerk isolieren und so weitere Schäden verhindern. Die Netzwerkunterbrechung erfolgt durch die Übermittelung eines sogenannten Circuit-breaking-Kommandos von der Host-Konsole. Die Management-Funktionalität des vPro-Systems bleibt aber weiter aktiv. Ein Manko unseres Demosystems von FSC ist, das zurzeit spezielle Filterfunktionen zur Qualifizierung des Netzwerkdatenverkehrs noch fehlen. Allerdings sollen sie in den nächsten Versionen der Management-Software enthalten sein.
Einbindung in System-Management-Umgebungen
Ein wichtiger Aspekt der vPro-Technologie ist die Einbindung der Client-Systeme in eine bestehende System-Management-Umgebung. Dafür bieten namhafte Hersteller entsprechende Management-Lösungen wie zum Beispiel HP Systems Inside Manager (SIM), IBM Director oder Desk View von Fujitsu Siemens an. Diese Management-Software lässt sich in heterogenen Umgebungen in übergreifende Enterprise Management-Systeme wie CA Unicenter, Microsoft SMS, IBM Tivoli Time 10 oder HP OpenView einbinden.
Anhand unseres Demosystems von FSC haben wir über eine Altiris-Deployment-Lösung, die ein Bestandteil von Fujitsu Siemens DeskView-Management-Systems ist, ein vPro System in eine System-Management-Umgebung eingebunden.
Die Integration eines vPro-Client kann im Gegensatz zu herkömmlichen Systemen „out-of-band“ erfolgen. Diese Möglichkeit bedeutet, dass der Rechner ausgeschaltet ist, aber an der Stromversorgung hängt und mit dem Netzwerk verbunden ist. Allerdings benötigt der Client keinerlei zusätzlich installierte Agenten.
Auf der Altiris-Konsole unter dem Menüpunkt Configuration/Network Discovery kann der Anwender die IP-Range der zu suchenden vPro-Systeme mit entsprechenden Optionen wie Login, Business- oder Enterprise-Mode eingeben. Nach dem Auffinden des vPro-Clients wird ein Hardware Asset Management Inventory des Rechners erstellt.
Diese Hardware-Informationen erhält die Konsole direkt über den IAMT-fähigen Rechner. Denn das vPro-System legt bei jedem Bootvorgang seine aktuellen Hardware-Daten in einen Flash-Speicher ab. Diese sind jederzeit „in-band“ oder „out-of-band“ per Netzwerkzugriff abrufbar.
Anwendungen in System-Management-Umgebungen
Zu den wichtigsten Aufgaben der vPro-Technologie zählen die Verwaltung und die Fehlerdiagnose der Clients. Insbesondere in großen Unternehmen mit einer ausgeklügelten System-Management-Lösung kann die vPro-Technologie Kosten sparen. Aber auch in kleinen und mittleren Firmen bietet vPro durch das integrierte Remote-Management-Konzept Einsparpotenzial bei Service und Support.
Mit Hilfe der Fujitsu-Siemens-Altiris-Konsole kann ein Administrator unabhängig vom Betriebszustand des Clients mit Hilfe von IAMT per Remote auf den vPro-Rechner zugreifen. Einen ersten Anhaltspunkt auf mögliche Ursachen für Störungen oder Fehler in einem PC liefert in der Regel das IAMT Event Log, das während der Bootphase erstellt wird und jederzeit aus dem internen „IAMT-Speicher“ des Chipsatzes ausgelesen werden kann.
Über die Remote-Power-Mangement-Option der Altiris-Hardware-Management-Suite im Realtime-Ordner lässt sich der defekte Client über eine Host-Konsole fernsteuern. So kann der schadhafte Rechner ausgeschaltet und wieder rebootet werden. Darüber hinaus ist der Anwender in der Lage, verschiedene Bootquellen für das Client-System auszuwählen, um spezielle Diagnose- und Reparaturprogramme von der Verwaltungskonsole auszuführen. Auch der direkte Zugriff und die Konfiguration des Client-BIOS sind jederzeit möglich.
Für die Kontrolle des Netzwerkverkehrs besitzt die Altiris-Lösung von FSC eine Netzwerk-Filtering-Option, die bei übermäßiger Netzwerkauslastung den vPro-Client vom Netzwerk trennt. Die Netzwerkverbindung für den Fernzugriff bleibt aber weiterhin bestehen. Über diese kann der Administrator die Ursachen für die Störung analysieren und entsprechende Gegenmaßnahmen einleiten, ohne den Client-Rechner vor Ort aufzusuchen. In unserer getesteten, aber noch nicht finalen Version des Altiris Resource Managers sind noch keine speziellen Netzwerk-Filterfunktionen implementiert, diese sollen aber in den nächsten Updates folgen.
Fazit
Die vPro-Technologie hat Intel in erster Linie für das Business-Umfeld entwickelt, wo Desktop-Rechner zentral von einem Administrator verwaltet werden. Bisher musste der Systemverwalter bei einem defekten Rechner zeit- und kostenaufwendig selber vor Ort instand setzen. Mit einem vPro-fähigen System ändert sich das entscheidend.
Das System kann per direkten Out-of-band-Zugriff übers Netzwerk mit Hilfe eines Webbrowsers erste Anhaltspunkte über die Art eines Defekts liefern. Denn der Webbrowser informiert über den Systemstatus, das Inventory und ermöglicht die Abfrage der IAMT-Event-Log-Daten sowie ein Firmware-Update und beschränkte Remote-Control-Fähigkeiten. Ein installierter Agent auf dem zu überwachenden System ist dabei nicht notwendig.
Aber erst mit einer installierten Administrator-Konsole lassen sich alle Möglichkeiten der vPro-Technologie ausschöpfen. Dazu zählen ein automatisiertes Remote-Setup und Fernkonfiguration, Serial over LAN, IDE-Redirektion sowie Alerting- und System-Defence-Optionen. Allerdings werden nicht alle Funktionen kostenlos sein, wie uns ein Vertreter von Fujitsu Siemens mitteilte. Auch sind vom Hersteller noch nicht alle Möglichkeiten der vPro-Funktionalitäten wie ein erweitertes Netzwerk-Filtering oder -Virtualisierung in der aktuellen Management-Software integriert. Auch wichtige Funktionen des System-Monitoring wie etwa die Lüfter-, die Spannungs- oder die Temperaturüberwachung fehlen noch.
Nahezu alle namhaften PC-Hersteller wie Acer, Dell, Fujitsu Siemens, HP oder Lenovo wollen vPro-fähige Desktop-Business-PCs früher oder später auf den Markt bringen. Dabei stellen die Hardware-Anforderungen an die entsprechenden Desktop-Systeme keine großen Herausforderungen an die Hersteller. Viel wichtiger ist die korrekte und umfangreiche Implementation der vPro-Fähigkeiten in die entsprechende System-Management-Software. (hal)