Intels Active Management steckt im Netzwerk-Chip

Mit den vorige Woche vorgestellten Chipsätzen i945G und i945P hat Intel auch die zuvor als eine der vielen "*T"-Techniken angekündigte Active Management Technology (IAMT) herausgebracht. Dieses Funktionspaket soll die PC-Betriebskosten (Total Cost of Ownership, TCO) in Großfirmen senken und ist Bestandteil der Intel-Plattform für dieses Marktsegment (Digital Office, "Lyndon").

Sowohl die AMT-tauglichen Mainboards aus Intel-Produktion (LAD945GNTLKR, D945GCZLKR, D945GTPLKR) als auch etwa das Fujitsu-Siemens D1268, das im Esprimo E5901 zum Einsatz kommt, nutzen Intels Gigabit-Ethernet-Adapter 82573E, der nicht nur einer der ersten PCI-Express-LAN-Chips von Intel ist, sondern offenbar überhaupt das Schlüsselelement der AMT. Der 82573V, den Intel auf dem D955XBK bereits ausliefert und der auch auf i955X-Mainboards anderer Hersteller zu finden ist, unterstützt AMT anscheinend nicht. Leider hat es Intel noch nicht geschaftt, ein Datenblatt dieser PCIe-Adapter-Familie zu veröffentlichen -- bisher sind auf der Intel-Website nur die PCI-, PCI-X- und CSA-Varianten zu finden.

Gewisse grundlegende Fernwartungs-Funktionen bringen viele LAN-on-Motherboard- (LOM-)Adapter schon seit Jahren mit; viele Spezifikationen hat die Distributed Management Task Force (DMTF) erarbeitet (Desktop Management Interface/DMI, System Management BIOS/SMBIOS, Alert Standard Format/ASF), aufbauend auf der mittlerweile veralteten Wired-for-Management- (WfM-)Inititative, deren Spezifikation 1.0 Intel und Microsoft schon in der PC98-Richtlinie zur Umsetzung empfohlen haben. Dazu kommen weitere Standards wie IPMI/OPMA oder SNMP. Diese Funktionen setzen allerdings bei simpler Implementierung meistens voraus, dass der von Ferne über das Netz angesprochene PC läuft und einen zum jeweiligen Betriebssystem passenden Treiber geladen hat. Erst komplexere Ferndiagnose-Hardware in Form einer Zusatzkarte oder eines Onboard-Chips (Baseboard Management Controller, BMC) ermöglicht weitergehende Funktionen, etwa den Zugriff auf Systeme, die abgestürzt oder abgeschaltet sind oder deren Haupt-Komponenten ausgefallen sind. Diese Zugriffsmöglichkeit nennt sich Out-of-Band (OOB) und wird bisher meistens nur bei teuren Servern realisiert.

Nun soll Intels AMT eben auch bei Desktop-Rechnern den OOB-Zugriff ermöglichen, unabhängig von Betriebssystem-Treibern arbeiten und gewisse Systemdaten in einem nichtflüchtigen Flash-Speicher auch beispielsweise über die Neuinstallation des Betriebssystems hinweg retten. Außerdem soll das System nicht nur per PXE (Preboot Execution Environment, in gewissem Sinne ein Nachfolger von BootP und ebenfalls mit PC98 empfohlen) per Netzwerk booten können, sondern auch per "IDE Redirection" von einem optischen Laufwerk, das ein Administrator über das LAN zugänglich macht. Auch Tastatureingaben nimmt das System dann aus dem Netz an, die Bildschirm-Anzeige lässt sich zu Diagnosezwecken in umgekehrter Richtung umleiten (Console Redirection). Im Zusammenspiel mit der Virtualisierungstechnik Vanderpool Technology (VT) könnte der Fernzugriff zwecks Systemwartung sogar unbemerkt im laufenden Betrieb erfolgen -- beim Einsatz eines Doppelkern-Prozessors würde ein Anwender möglicherweise nicht einmal einen Leistungseinbruch bemerken.

Diese weit reichenden Fernzugriffsmöglichkeiten werfen Sicherheitsbedenken auf -- vor allem, weil sich die schon seit Jahren bekannten Sicherheitsrisiken von SNMP immer wieder als Schwachstelle erweisen. Intel betont deshalb wohl auch, dass AMT besonders auf Sicherheit ausgelegt sei, erklärt das bisher allerdings nicht genau. Auffallend ist, dass alle Intel-Boards mit AMT auch mit einem TPM ausgestattet sind. AMT lässt sich -- zumindest bestimmungsgemäß -- außerdem nur mit dem passenden Software-Paket nutzen; einige davon (etwa von LANDesk, BMC Software, CA oder Novell) erwähnt Intel auf der IAMT-Website.

Technisch hat Intel die Anbindung des Flash-Speichers an den AMT-LAN-Chip interessant gelöst: Zwecks Kostenersparnis ist es möglich, sowohl den Mainboard-Chipsatz (über den I/O Controller Hub ICH7) als auch den Netzwerk-Controller mit demselben seriellen Flash-Baustein zu koppeln -- dieser speichert dann den Boot-Code und die AMT-Firmware. Der Hersteller SST bietet passende 4- und 8-MBit-Flash-Chips mit Serial Peripheral Interface (SPI) an. Auf einigen Mainboards sucht man deshalb den bisher üblichen Firmware Hub (FWH) beziehungsweise das Flash-EEPROM im rechteckigen PLCC-Gehäuse mit 32 Pins vergeblich, der seit 1999 meistens über die Low-Pin-Count- (LPC-)Schnittstelle mit der Southbridge verbunden war. (ciw)