Intel-Chipsatz Q45 bringt erweiterte Fernwartung für Bürocomputer

Der aktuelle PC-Marktchampion HP war mit der Ankündigung der Büro-PC-Baureihe Compaq dc7900 schon vorgeprescht, nun folgt Intel mit der offiziellen Einführung des vPro-Chipsatzes Q45: Der Nachfolger des seit etwa einem Jahr lieferbaren Q35 bringt außer der Active Management Technology (AMT) in der Version 5.0 etwa auch ein integriertes Trusted Platform Module (TPM 1.2) mit. Außer HP werden neue Bürorechner mit Q45-Mainboards auch von allen anderen großen PC-Herstellern wie Acer (Veriton 670), Dell (OptiPlex), Fujitsu Siemens Computers (Esprimo E/P7935) und Lenovo (ThinkCentre M58) erwartet, sowie von kleineren Firmen, die Boards von Intel (DQ45EK, DQ45CB), ECS (Q45T-AM) und anderen Herstellern verbauen. Eine kleine Veränderung gab es beim vPro-Logo: Hier stellt Intel nun die CPU-Bezeichnung Core 2 voran (Core 2 vPro), ebenso wie bei der Mobilversion Centrino 2 vPro. Zur vollständigen vPro-Plattform gehört nach Intel-Vorgaben außer Q45-Northbridge, ICH10-DO-Southbridge und dem unten erwähnten Netzwerkchip auch ein VT-x-tauglicher Prozessor, also ein Core 2 Duo der Baureihe E8000 oder Core 2 Quad Q9000 – Celeron, Pentium Dual-Core und billigere Core 2 Duos/Quads kennen VT-x nicht. Die Fernwartungsfunktionen der vPro-Mainboards funktionieren damit aber trotzdem.

Der Q45 gehört zum Stable Image Platform Program (SIPP), also den länger lieferbaren Intel-Produkten, von denen Intel einige später auch ins Embedded-Lieferprogramm übernimmt, wo sie bis zu sieben Jahre lang erhältlich sind.

Viele Verbesserungen liegen im Vergleich zum Q35 eher im Detail. So unterstützt der Q45 etwa – genau wie die anderen Serie-4-Chipsätze P45 und G45 – nun bis zu 16 GByte DDR2-SDRAM oder 8 GByte DDR3. Der DirectX-10-Grafikkern GMA X4500 entspricht bis auf die HD-Video-Beschleunigung dem GMA X4500 HD im G45/GM45 und kann ebenfalls direkt zwei digitale Displays via DVI, HDMI oder DisplayPort anbinden.

Überarbeitet wurden aber auch die VT-d-Virtualisierungsfunktionen: Einige davon waren zwar auch schon in älteren Chipsätzen vorhanden, doch erst im Q45 und im Mobilchipsatz GM45 tauchen Register auf, mit denen sich vier sogenannte DMA-Remapping-(DMAr-)Engines steuern lassen. Das Kürzel VT-d steht für Virtualization for Directed I/O; DMA Remapping erlaubt es etwa, einzelne PCI-Express-Geräte bestimmten Virtuellen Maschinen (VMs) zuzuordnen. So sollen sich diese Geräte sicher von anderen VMs abschotten lassen, und außerdem ist es möglich, diese Devices über native Treiber anzusprechen. Theoretisch könnte also nun ein Windows Vista als Gast-System in einer VM laufen und trotzdem exklusiven Zugriff auf den im Chipsatz integrierten Grafikkern oder eine Grafikkarte im PCIe-x16-Slot bekommen und diese mit DirectX-Treibern ansprechen. Im Datenblatt (PDF-Datei) des Chipsatzes GM45 beschreibt Intel vier DMAr-Engines: Je eine für die integrierte Management Engine (ME), den integrierten Grafikkern, die isochrone HD-Audio-Schnittstelle (Protected Audio Video Path) sowie eine, die zwei PCIe Virtual Channels bedienen kann, nämlich einen für den PCIe-x16-Port und einen für die DMI-Schnittstelle zur Southbridge und dort angeschlossene PCIe-Geräte. Ob die VT-d-Funktionen mit der I/O-Virtualisierungsspezifikation der PCI SIG konform sind, ist noch unklar.

Die integrierte Management Engine kooperiert ausschließlich mit dem in der Southbridge ICH10-DO integrierten Gigabit-LAN-Controller (MAC), der über den auf dem Mainboard aufgelöteten PHY-Transceiver 82567LM (Codename Boazman) mit dem Netzwerk kommuniziert. Die ME verwendet – wie übrigens auch das integrierte, aber abschaltbare TPM – einen abgeschotteten Teil des eingesteckten Hauptspeichers und kann auch in den ACPI-Schlafmodi S3, S4 und S5 Fernwartungsfunktionen bereitstellen. Um PC-Herstellern die Erfüllung der Energy-Star-4.0-Anforderungen von maximal 2,7 Watt Leistungsaufnahme im ACPI-S5-Schlafmodus mit aktivem Netzwerkchip zu erleichtern, hat Intel die Leistungsaufnahme des LAN-Adapters gedrosselt. Die ME lässt sich auch für erweiterte Aufweck-Funktionen nutzen, etwa Wake-on-VoIP. Zudem sollen PC-Hersteller nun auch einen "Notruf-Knopf" einbauen können, mit dem PC-Benutzer auch bei nicht mehr bootendem Betriebssystem Hilfe von ihrem Administrator oder einem externen Dienstleister anfordern können. PC-Hersteller bieten zunehmend Fernwartung als Option an.

Damit nicht nur größere Firmen, die einen speziellen Remote-Management-Server (wie den von Symantec/Altiris oder den Microsoft Systems Management Server) im Netz betreiben, die AMT-Funktionen nutzen können, stellt Intel nun mit dem IT Director auch eine schlankere Software bereit. Die Webseite vPro Expert Center soll mehr Informationen dazu liefern.

Für die Nutzung der umfangreichen vPro-Virtualisierungsfunktionen ist zusätzliche Software nötig, etwa ein angepasster Virtual Machine Manager (VMM). Intel kooperiert dabei mit Firmen wie Red Hat, Parallels, Phoenix, Symantec und VMware. Noch sind aber nur sehr wenige vPro-spezifische Applikationen lieferbar. Intel hatte bereits vor zwei Jahren angekündigt, dass in Zukunft virtuelle Maschinen als Virtual Appliances parallel zum Betriebssystem laufen könnten, um etwa den Netzwerkverkehr nach Viren zu durchsuchen. Um diese Appliances gegen Angriffe zu schützen, sollen sie dank Trusted Execution Technology (TXT) in einer vom TPM abgesicherten (Measured Launch) VM in einem abgeschotteten Speicherbereich (SVM) laufen.

Die bereits im Herbst 2007 angekündigte Danbury Technology alias Data Defense Technology ist offenbar nicht rechtzeitig zum Q45-Launch fertig geworden; Intel will sie im ersten Quartal 2009 nachliefern. (ciw)