Systemmanagement mit Intel AMT
Im Silizium nach Infos schürfen
Die agentenbasierte Verwaltung von Desktops und Servern stieß bislang an einigen entscheidenden Punkten an Grenzen: Voraussetzung für die Inventarisierung und Fernwartung der Rechner war ein funktionierendes Betriebssystem. Denn der Agent samt seinen Einstellungen und Einträgen lag auf der Anwendungsschicht. Intel hat mit AMT (Active Management Technology) eine Chip-basierte Architektur vorgestellt, mit der das Systemmanagement bereits eine Schicht tiefer ansetzt.
Intel hat mit AMT (Active Management Technology) eine Schnittstelle an einige Softwareanbieter
freigegeben. Über sie lassen sich ohne Agenten entscheidende Informationen über den Rechner auch
dann auslesen, wenn er abgeschaltet ist oder das Betriebssystem seinen Namen gerade nicht verdient.
Welche Auswirkungen dies auf das Systemmanagement hat, schildert dieser Beitrag.
Die Verwaltung umfassender IT-Umgebungen stellt die IT-Abteilung weiterhin vor eine Reihe von
Herausforderungen. Die Anbieter von Managementlösungen haben die Möglichkeiten für die Fernwartung
von Clients und Servern in den letzten Jahren ständig weiterentwickelt; die automatisierte
Inventarisierung der Rechner liefert verlässliche Informationen für das Lizenz-Monitoring und das
Asset-Management. Dadurch ist das "Turnschuhmanagement" zurückgegangen. Dennoch blieben wichtige
Fragen offen. So lässt sich nicht immer zweifelsfrei feststellen, welche Systeme gerade tatsächlich
im Netzwerk im Betrieb sind. Zum Beispiel lassen sich Rechner, deren Betriebssystem sich "
aufgehängt" hat, nicht ansteuern, weil der Managementagent auf einer Ebene über dem Betriebssystem
operiert.
Hier sind nach wie vor häufig mehrfache Besuche des Administrators vor Ort nötig: Einmal zur
Diagnose des Problems und dann zu dessen Lösung. Gelegentlich bereitet es auch Schwierigkeiten,
eine Maschine eindeutig zuzuordnen, nachdem sie ein Upgrade auf ein neues Betriebssystem erhalten
oder ein Re-Imaging sie wieder in einen funktionsfähigen Status überführt hat. Auch das schlichte
Herunterfahren der Clients bedeutet mitunter, dass die Maschinen außer Reichweite des
Systemmanagements liegen. Und schließlich gelingt es Benutzern – unabsichtlich oder sogar mit
Vorsatz – mitunter, den Managementagenten von der Maschine zu entfernen. Das bedeutet dann: Auf zum
PC-Standort mit CDs im Gepäck – und dann alles von vorn.
Kombination aus Hard- und Firmware
Die im vergangenen Herbst vorgestellte Intel AMT kommt nun erstmals auf der "Lakeport"
-Desktop-PC-Plattform zum Einsatz. AMT ist eine als "Building Block" verstandene Kombination aus
Hard- und Firmware-Lösungen in einer eigenen Laufzeitumgebung auf dem Chip. Sie ermöglicht es,
einen Rechner unabhängig von dessen Status im Netzwerk zu erkennen und zu managen. Auch wenn der
Rechner "Bare Metal" (also Hardware ohne Betriebssystem), heruntergefahren oder das Betriebssystem
abgestürzt ist – die Managementsoftware erkennt ihn im Netzwerk, kann Informationen von ihm
auslesen und Remote-Control-Sessions anstoßen, bereits bevor der eigentliche Managementagent
installiert wurde. Der Clou: Diese Out-of-band-(OOB-)Funktionalität lässt sich von Dritten nicht
abschalten. Denn sowohl die Informationen als auch die Ansteuerung sitzen direkt im Chip in einem
dauerhaften, vom Hauptspeicher und Speichermedien unabhängigen Speicherbereich. Daher kann vom
Betriebssystem aus auf diese Kommunikation kein Einfluss ausgehen. Einzige Voraussetzungen für das
Ansteuern eines so genannten "AMT-enabled"-Rechners: Er muss eine Verbindung zum Netzwerk aufweisen
und mit Strom versorgt sein.
Korrekte und konsistente Informationen
Bei Intel-AMT-Plattformen ist auf dem Chip ein Teil des Speichers dafür reserviert,
Grundinformationen unter anderem zu Prozessor- und Speichertyp sowie zu BIOS-Einstellungen
aufzunehmen. Diese Informationen lassen sich über eine ausschließlich interne Schnittstelle, das so
genannte Sensor-Effector Interface (SEI), abfragen und jederzeit von außen durch speziell dafür
geeignete Client-Managementsysteme auslesen. Darüber hinaus kann die Managementsoftware
individuelle Informationen an diesen Ort speichern. Der Kommunikation zwischen Rechner und
Systemmanagementlösung dient eine weitere definierte Schnittstelle, das External Operations
Interface (EOI). Auf diese Schnittstelle haben nur von Intel autorisierte Anwendungen Zugriff, aber
weder das Betriebssystem des Rechners selbst noch unautorisierte Systemmanagement- oder
Remote-Control-Software.
Für die Maschine-zu-Maschine-Kommunikation verwendet die Schnittstelle die Web Services
Description Language (WSDL). Generell stehen die Schnittstellen als Webservices zur Verfügung. Der
Zugriff auf sie erfolgt über SOAP/XML (Simple Object Access Protocol/Extensible Markup Language)
mittels unterstützter Protokolle wie HTTP.
Die autorisierten Systemmanagementlösungen können über die externe Schnittstelle zum Beispiel
den Globally Unique Identifier (GUID, weltweit einmalige Kenngröße) auf den definierten Speicher
schreiben. Der GUID ordnet eine Maschine zweifelsfrei einem Anwender zu. Im Normalfall würde der
Systemmanagementagent den GUID auf die Festplatte des Rechners schreiben. Ist diese defekt oder
wird sie formatiert, beispielsweise bei einem Re-Imaging nach einem System-Crash, geht der GUID
verloren und muss neu erzeugt werden. Zumindest für einen begrenzten Zeitraum bestehen dann für
einen Anwender zwei GUIDs, obwohl er nur einen Rechner hat: nämlich bis ein Inventory-Scan die
realen Zuordnungen mit den im Verzeichnis gespeicherten Informationen zum Anwender und Rechner
abgeglichen hat. Das bedeutet gleichzeitig, dass eine Systemmanagementlösung in diesem Zeitraum für
diesen Anwender zweifach Lizenzen ausweist. Bei AMT-fähigen Rechnern bleibt die einmal von der
Systemmanagementlösung vergebene GUID bestehen. Die Maschine ist also jederzeit eindeutig zu
identifizieren und einem Benutzer zuzuordnen.
Präziser Lizenz- und Wartungsabgleich
Insbesondere bei Software-Audits ist diese Tatsache von großem Vorteil. Bisher müssen
IT-Verantwortliche die Informationen mit hohem Aufwand einholen und mit den gespeicherten Daten
abgleichen. Schätzungen gehen dahin, dass im Durchschnitt zwischen 15 und 20 Prozent der Clients in
einem Netzwerk hinsichtlich ihrer Softwareausstattung nicht automatisch erfassbar sind – entweder
weil der Systemmanagementagent irrtümlich oder vorsätzlich entfernt wurde, weil das Betriebssystem
nicht richtig funktioniert oder weil die Geräte zum Zeitpunkt des Inventarisierungs-Scans
ausgeschaltet sind. In all diesen Fällen ist es dann nötig, die Informationen entweder vom Benutzer
einzufordern oder aber direkt vor Ort an der Maschine abzufragen. Dazu muss der Administrator dann
auch noch die richtigen Passwörter des Anwenders parat haben – für das Booten des Rechners und die
Anmeldung an die einzelnen Applikationen.
Der Out-of-band-Zugriff der Managementkonsole auf den mit Intel AMT ausgestatteten Chip und die
dort abgelegten Informationen sorgt hier schneller für Klarheit – und vor allem aus der Ferne. Eine
Client-Managementlösung liest dann Softwareinformationen automatisiert unmittelbar vom Rechner aus
und gleicht diese mit den Lizenzinformationen ab, die in der Asset-Datenbank hinterlegt sind.
Daraus resultieren präzise Informationen zu Unter- oder Überlizenzierungen und zu den
Wartungsverträgen. Darüber hinaus gestaltet sich so der Update-Prozess für die einzelnen
Applikationen oder die Betriebssysteme deutlich einfacher und effizienter.
Die Inventur der Rechner betrifft aber auch die Hardwarekomponenten. Auch hier sorgt der
Unsicherheitsfaktor von 15 bis 20 Prozent für ungenaue Planungsunterlagen hinsichtlich Wartungs-
und Garantiefällen, Abschreibungen und Einsatzänderungen. Bislang gab es keine Standard-Asset-ID
für jeden Rechner. Bei Maschinen, die mit Intel AMT ausgestattet sind, kann die
Systemmanagementlösung eine solche ID in den verfälschungssicheren Bereich des Chip-Speichers
schreiben und jederzeit auslesen, auch wenn der Rechner heruntergefahren ist oder das
Betriebssystem streikt. Bei jedem erfolgreichen Booten des Systems schreibt das BIOS die aktuellen
Hardwareinformationen über die interne Schnittstelle in die Firmware. Auch auf diese Informationen
hat jetzt der Administrator an der Managementkonsole über die externe Schnittstelle jederzeit
Zugriff. Auf diese Weise lassen sich Konfigurationsänderungen an Hardwarekomponenten genau
nachverfolgen. Außerdem gelingt so für alle Maschinen im Netzwerk eine stets aktuelle Aufstellung
darüber, wann welche Komponenten zu warten oder auszutauschen sind.
Schnellere Problemlösung
Weil sowohl der Status der Hardware wie der installierten Software des Rechner stets sichtbar
ist, lassen sich Fehlfunktionen des Systems jederzeit erkennen. Bootet zum Beispiel das
Betriebssystem nicht richtig, weil eine bestimmte DLL fehlt oder beschädigt ist, lässt sich genau
das aus der Ferne diagnostizieren. Ähnlich verhält es sich, wenn die Festplatte nicht mehr
funktioniert: Der Administrator an der Konsole beziehungsweise der Helpdesk-Mitarbeiter weiß
Bescheid. Anschließend kann er sich sofort remote auf die Maschine aufschalten, um das Problem zu
lösen – zum Beispiel um einen Konfigurationsmangel oder einen Fehler in einer Anwendung oder dem
Betriebssystem zu beheben. Im Falle eines Hardwaredefekts ist natürlich immer noch der Besuch des
Rechners notwendig – aber eben nur einer und bereits mit der richtigen Hardwarekomponente im
Koffer.
Ein weiterer Fall: Ein Rechner stürzt bei einer bestimmten Operation in einer Anwendung immer
wieder ab. In diesem Zustand ist er nicht zu reparieren, ohne dass ein Anwender ihn vor Ort neu
startet und die Settings prüft. Das Abstellen eines solchen Problems funktioniert nur, wenn der
Benutzer sehr präzise Angaben zum Fehlerhergang machen kann. Unter Umständen ist der Rechner dann
unter Mithilfe des Benutzers mehrfach neu zu booten, bis der Support-Mitarbeiter das Problem
eindeutig analysiert hat und schließlich zur Reparatur schreiten kann. In den meisten Fällen wird
dann ein Besuch vor Ort fällig. Mithilfe von Intel AMT und einer autorisierten
Systemmanagementlösung geht das jetzt remote, weil ein Reboot aus der Ferne möglich ist.
Anschließend lässt sich ebenfalls aus der Ferne bestimmen, wo Anwendungskonflikte oder beschädigte
Dateien vorliegen.
Mit modernen Systemmanagement-Tools ist es recht komfortabel möglich, Betriebssystemmigrationen
durchzuführen. Die betreffenden Rechner lassen sich über die Konsole auswählen. Anschließend sorgt
das Tool für die zentrale Zwischenspeicherung des Benutzerprofils, das es nach dem eigentlichen
Rollout des neuen Betriebssystems wieder auf den Rechner aufspielt. Dann steht die Workstation
wieder zur Verfügung – mit den schon erwähnten Einschränkungen hinsichtlich der GUID.
Was bisher nicht so ohne Weiteres ging, ist die Erstausstattung des Rechners mit einem
Betriebssystem : Die Maschinen zeigten sich erst dann in der Konsole, wenn sie über ein
funktionierendes Betriebssystem verfügten. AMT ändert dies nun: In der Konsole der Managementsuite
erscheinen auch die Systeme, die noch "nackt" sind. Mit Softwareverteilmechanismen spielt ein
Management-Tool das Betriebssystem aus der Ferne auf und bootet die Maschine zum ersten Mal. Dann
bringt der Administrator den Agenten der Systemmanagementlösung auf die Plattform. Von nun an
verhält sich der Rechner wie jeder andere gemanagte Client im Netzwerk, kann also auf die volle
Funktionalität einer Systemmanagementsuite als In-band-Lösung zugreifen.
Fazit
Der Out-of-band-Zugriff auf Informationen, die in einem klar definierten Bereich des Chips
gespeichert und weder vom Benutzer noch vom Betriebssystem überschreibbar sind, sorgt für mehr
Konsistenz bei der Inventarisierung. Administrationsaufgaben, die von korrekten Informationen über
den Zustand und die Ausstattung der Rechner leben – wie das Lizenz-Monitoring, die
Softwareverteilung und die Betriebssystem- oder Anwendungsreparatur – operieren mittels Intel AMT
von einer viel besser abgesicherten Basis aus als bisher. Auch viele Besuche vor Ort entfallen
dadurch. Voraussetzung dafür ist allerdings der Einsatz einer Systemmanagementlösung, die über die
externe Schnittstelle die Informationen im Chip ansprechen kann.
Lesen Sie mehr zum Thema
