Sie sind auf Seite 1von 63

featured by

TOP-THEMEN:
- vPro 2008: Komfortable Verwaltung von Business-PCs und -Notebooks - Test: Das leistet Intels vPro in der Praxis - Intel vPro mit Landesk-Management-Software - Centrino 2: Intels neue Notebook-Plattform - Spiceworks 3.0: Kostenlose Management-Software fr IT-Infrastrukturen - Server- und Client-berwachung mit Zabbix 1.4.2 - Server- und Client-berwachung mit Zabbix 1.4.2, Teil 2: Frontend

TecChannel

vPro 2008: Komfortable Verwaltung von Business-PCs und -Notebooks


Intels vPro-Plattform soll die Kosten fr das Verwalten und Administrieren von PCs signifikant reduzieren. Sie standardisiert Remote Management, Netzwerk-Virtualisierung und Inventarisierung. Wir informieren ber den aktuellen Status der vPro-Technolgie.
VON Bernhard Haluschak (19.07.2006, Update: 14.08.2008) Nach den schweren Geburtswehen der vPro-Technologie hat sich diese Plattform mittlerweile im Markt etabliert. Anfnglich war das Managen von Desktop-PCs und Notebooks lediglich nur in einem kabelgebundenen Netzwerk sicher mglich. Doch mit der aktuellen Vorstellung der neuen Centrino-2-Plattform (http://www.tecchannel.de/link.cfm?pk=1762610) ndert sich diese Einschrnkung. Das Ganze funktioniert bei Centrino Pro jetzt nicht nur kabelgebunden, sondern auch mittels WLAN und auch out-of-band. So lsst sich das Notebook unter bestimmten Voraussetzungen, wenn es ausgeschaltet oder im Hibernation-Modus ist, auch remote per WLAN ber eine VPN-Verbindung managen.

vPro-Netzwerk: In einem vPro-konformen Netzwerk lassen sich alle PCs in und auerhalb eines Netzwerks in einem Unternehmen verwalten. (Quelle: Intel)

Unter dem vPro-Logo vereint Intel die wichtigsten Aspekte von Business-PCs, dazu zhlen hohe Rechenleistung bei geringem Energieverbrauch, erweiterte Managementfunktionen, erweiterte und proaktive Sicherheitsfunktionen sowie langfristige Plattformstabilitt. Auch der Mitbewerber AMD entwickelte ein hnliches Konzept. Der Hersteller bezeichnet dieses Projekt als AMD Business Class. Es wurde erstmals im April 2008 vorgestellt. Unser Artikel erlutert detailliert, welche Features vPro-Desktop-PCs und -Notebooks gegenber herkmmlichen Rechnern aufweisen und wie sie angewendet werden.

Basis-Hardware fr vPro-Desktop-Plattform
Das Herzstck von aktuellen vPro-Desktop-Rechnern bilden die vPro-zertifizierten Prozessoren Core-2-Duo und die Core-2-Quad-Pendants mit Trusted Execution Technology (TXT).
vPro-Desktop-Plattformen im berblick vPro 2006 vPro 2007 vPro 2008

TecChannel

Die neue Intel Centrino 2 und vPro Technologie macht mit Hardware die Verwaltung per Funk mglich: ferngesteuertes Untersuchen und Instandsetzen von Notebooks, sogar bei heruntergefahrenem Gert oder ausgefallenem Betriebssystem.**

* Die angegebenen Ergebnisse stammen aus EDS-Praxisbeispielen mit Intel Centrino Pro; die Bewertung von IT-Umgebungen wurde von Intel in Auftrag gegeben, wobei Testumgebungen mit PCs mit Intel Centrino Pro verglichen wurden mit Umgebungen ohne Intel Centrino Pro. Die tatschlichen Ergebnisse knnen von Fall zu Fall unterschiedlich sein. Die Untersuchungen sind unter intel.com/vpro und eds.com verfgbar. **Fr die Fernverwaltung muss das Computersystem mit einem fr die Intel AMT vorgesehenen Chipsatz ausgestattet sein. Darber hinaus sind entsprechende Netzwerkhardware und Software sowie der Anschluss an eine Spannungsversorgung und eine Verbindung mit dem Firmennetzwerk erforderlich. Die Einrichtung dieser Funktionalitt erfordert u. U. eine besondere Konfiguration, bestimmte Einrichtungen oder die Integration in vorhandene Systeme. Abhngig vom Betriebszustand des Systems sind die Funktionen der Intel AMT eventuell eingeschrnkt oder nicht verfgbar. Informieren Sie sich unter intel.com/technology/platform-technology/intel-amt. 2008 Intel Corporation. Intel, das Intel-Logo, das Centrino-Logo, Centrino und vPro sind Marken der Intel Corporation in den USA und anderen Lndern.

Codename CPUs Chipsatz Netzwerk

Averill

Weybridge

McCreary

Core 2 Duo, E6000-Serie Core 2 Duo, Core 2 Quad Core 2 Q965 + ICH8DO Gigabit-Netwerk (82566DM) September 2006 IAMT 2.0 VTx, Virtual Appliance ready Q35 Express + ICH9DO Gigabit-Netwerk (82566DM) August 2007 IAMT 3.0 TXT, VT-d, Virtual Appliance ready Q43 Express + ICH10DO k. A.

Einfhrung Intel AMT Besonderheiten

Q3 2008 IAMT 5.0 Danbury-Technologie, DASH 1.0, Waterfall IAMT

Fr ein vPro-Logo bentigt ein Rechner neben der CPU auch einen entsprechenden Chipsatz. Intel hat aktuell den Q35 fr die nchste Business-Desktop-Plattform freigegeben. Dieser Chipsatz enthlt neben dem integrierten Grafikkern GMA 3100 auch den Support fr Intels Virtualization Technology (VT).

Basisausstattung: Fr das vPro-Logo ist eine bestimmte Grundkonfiguration bestehend aus CPU, Chipsatz und Netzwerk-Controller Pflicht. (Quelle: Intel)

Dem Q35-GMCH steht die neue ICH9DO-Southbridge zur Seite. Diese beinhaltet einen speziellen Gbit-Ethernet-MAC, der gemeinsam mit einem externen PHY-Baustein und entsprechender Firmware ber umfangreiche Remote-Management-Funktionen verfgt. So lassen sich abgeschaltete PCs, wie bereits bei Wake on LAN, ber das Netz booten. Zustzlich kann ein vPro-Remote-PC ber einen IDE-Redirect beispielsweise eine CD-ROM im Laufwerk des Netzwerkadministrators als Boot-Medium nutzen. Darber hinaus lassen sich selbst Rechner mit komplett zerstrtem Betriebssystem per Remote aus der Ferne administrieren und reparieren. Zustzlich erfolgt die TecChannel

Kommunikation verschlsselt, sodass eine Fernwartung von sensiblen IT-Systemen ohne Sicherheitsbedenken ber das Internet mglich ist. Dieses Konzept des Remote-Managements bezeichnet Intel als IAMT (http://www.tecchannel.de/pc_mobile/grundlagen/432854/) . Es wurde erstmals Mitte 2005 zusammen mit dem 945G-Chipsatz in Kombination mit dem Intel-82573E-Netzwerk-Controller (Tekoa) vorgestellt.

vPro-Technologie in Notebooks
Voraussetzung fr eine vPro-konforme Notebook-Plattform ist eine explizit definierte Hardware. So erfordert ein Centrino-2-vPro-System, Codename Montevina, einen Core-2-Duo-Prozessor mit Trusted Execution Technology (TXT). Zustzlich ist der Mobile-GS45-Express-Chipsatz mit ICH9M-Enhanced erforderlich, der Virtualization Technology und IAMT 4.0 untersttzt.
vPro-Notebook-Plattformen im berblick vPro 2007 Codename CPUs Chipsatz Santa Rosa Core 2 Duo GM965 + ICH8M vPro 2008 Montevina Core-2-Duo GS45 Express + ICH9M Enhanced vPro 2009 k. A. k. A. k. A.

Netzwerk

Gigabit-Network (82566MM), WiFi Link 4965AGN

Gigabit-Network (82567LM-DO), k. A. WiMAX/WiFi Link 5050, WiFi Link 5000 August 2008 IAMT 4.0 DASH 1.0, VTx, VT-d, TXT, WiMax 2H 2009 IAMT 6.0 Cross-Client Plattform

Einfhrung Intel AMT Besonderheiten

Mai 2007 IAMT 2.5 VT

Im Netzwerkbereich schreibt die Centriono-2-vPro-Plattform den Gigabit-Network-LAN-Baustein 82567LM-DO vor, inklusive den entsprechenden IAMT- und LAN-Treiber. Darber hinaus muss das System entweder mit dem WiMAX/WiFi Link 5050 series 3x3 / 1x2 oder dem WiFi Link 5000 series 3x3 1x2 AGN ausgestattet sein.

Mobiles vPro: Mit der aktuellen vPro-Technologie lassen sich Notebooks via Wireless-Verbindung per Fernzugriff und unabhngig von ihrem Betriebszustand ansprechen. (Quelle: Intel)

TecChannel

Auch die Firmware beziehungsweise das BIOS mssen die notwendigen vPro-Standards erfllen. Dazu zhlen eine IAMT-4.0-Firmware, Intel VT-x, VT-d, Intel TXT und optional TPM 1.2.

Intel Active Management Technology


Ein wichtiger Bestandteil von vPro ist die Intel Active Management Technology (IAMT). Diesen Standard hat der Hersteller als Version 4.0 in der neuen Notebook- und in der Version 3.0 in der vPro-Desktop-Plattform integrieren. Mit IAMT stellt Intel umfangreiche Managementfunktionen per Remote auf Business-PCs zur Verfgung.

IAMT: Das Diagramm veranschaulicht die Funktionsweise der Intel Active Management Technology. (Quelle: Intel)

Die Intel Active Management Technology ist eine Architektur aus Hard-, Firm- und Software-Lsungen. Sie macht es mglich, einen Rechner unabhngig von dessen Status im Netzwerk mit speziellen dazu autorisierten Client-Management-Systemen zu erkennen und zu managen. Die einzigen Voraussetzungen fr das Ansteuern eines sogenannten AMT-fhigen Rechners sind eine kabelgebundene oder kabellose Verbindung zum Netzwerk und eine aktive Stromversorgung sowie entsprechender Hardware-Support der Systemplattform. Ein Teil des nicht flchtigen Flash-Speichers im Chipsatz sammelt bei jedem Boot-Vorgang ber eine interne Schnittstelle, das sogenannte Sensor Effector Interface (SEI), Grundinformationen unter anderem zu Prozessortyp, Speichertyp und BIOS-Einstellungen. Das bedeutet, dass bei einer Abfrage der Systeminformationen durch eine Management-Software ber das Netzwerk immer der Status nach dem letzten erfolgreichen Booten des Systems zur Verfgung steht.

PC-Status: Mit IAMT lsst sich jederzeit die installierte Hard- und Software (Inventory) des PCs per Remote-Zugriff ermitteln, und dies sogar, wenn der Rechner abgeschaltet ist. (Quelle: Intel)

Mit IAMT-konformen Rechnern ist der Administrator in der Lage, den Status des Rechners abzufragen und die Hard- und Software des Systems zu identifizieren. Letzteres kann zur Inventarisierung der entsprechenden Systeme genutzt werden auch bei ausgeschaltetem Rechner. Darber hinaus ermglicht IAMT eine Reparatur der Rechner per Fernwartung bis hin zu einer Neuinstallation. Das erhht die Betriebssicherheit und spart Administrationskosten. Ein wichtiger Aspekt von IAMT ist die Virtualisierung der Netzwerkkarte. Deshalb hat Intel die

TecChannel

Medium-Access-Control-Schicht (MAC) des Gigabit-Ethernet-Controllers inklusive Netzwerkfilterfunktionen in die vPro-konformen ICH-Bausteinen integriert. Zudem kann das integrierte Netzwerk ber einen Controller-Link direkt den Systemspeicher nutzen. Weitere Details zur IAMT knnen Sie in dem Artikel Grundlagen: Intel Active Management Technology (http://www.tecchannel.de/link.cfm?type=article&pk=432854) nachlesen.

Virtualisierungstechnologie hlt Einzug in Desktop-PCs


Durch vPro fhrt Intel erstmals die serienmige Virtualisierung der Netzwerkkarte ein und liefert auf den zertifizierten PCs dafr eine eigene Virtualisierungsschicht mit. Diese kann den kompletten Netzwerkverkehr filtern und analysieren. Diagnostiziert die Virtualisierungsschicht ein ungewhnliches Verhalten des Netzwerkverkehrs, kann sie den Netzwerkzugriff fr Anwendungen und das Betriebssystem sperren und so den PC isolieren. Im sogenannten Out-of-Band-Modus hat der Administrator dennoch kompletten Fernzugriff auf den PC ber das Netzwerk und kann den Fehler von seiner Konsole aus beheben.

Achtung Gefahr: Bei sicherheitskritischen und nicht autorisierten Zugriffen auf das System wird der Rechner vom Netzwerk isoliert. Nur fr die Diagnose bleibt ein Konsolenzugriff erhalten. (Quelle: Intel)

Aber auch die Virtualisierung paralleler Arbeitsprozesse zur Administration des Systems beherrscht vPro. So kann der Broanwender auf seinem vPro-PC die Arbeit auf seiner Betriebssystempartition verrichten. Aber zeitgleich ist der Administrator in der Lage, auf einer parallelen virtuellen Maschine Serviceaufgaben durchzufhren, ohne dass es der Benutzer merkt. Darber hinaus kann der Administrator unabhngige und isolierte virtuelle Appliances generieren, die zum Beispiel den Rechner nach Schad-Software untersuchen oder auf etwaige Hardware-Risiken berprfen. Fr Business-Desktop-PCs ist in der aktuellen Version 3.0 von vPro eine erweiterte Virtualisierung fr die CPU und der I/O-Schnittstellen enthalten. Mit VT-d ist eine Hardware-Untersttzung fr die Zuweisung von I/O-Gerten an virtuelle Maschinen oder Partitionen mglich. Laut Intel ist die VT-d-Technologie in der Lage, die Performance und Zuverlssigkeit von Datenbewegungen in einer virtualisierten Umgebung zu verbessern. Auch erweiterte Sicherheits-Features hat Intel mit LaGrande (http://www.tecchannel.de/link.cfm?type=article&pk=435109) und einem Trusted Platform Module Version 1.2 in den aktuellen Spezifikation von vPro integriert.

Erweiterte Lfter- und Temperatursteuerung


Um berflssige Wrmeentwicklung und Lrm zu vermeiden, hat Intel die vPro-konformen-Chipstze mit einer verbesserten Temperaturberwachung und Lftersteuerung (Advanced Fan Speed Control, AFSC) ausgerstet. Die sogenannte Intel Quiet System Technology (IQST) soll eine bessere Fernberwachung kritischer Hotspots und einen leiseren PC-Betrieb ermglichen. Die fr vPro spezifizierten Intel-Prozessoren enthalten dazu mehrere digital auslesbare Sensoren, die aus temperaturempfindlichen Dioden oder sogenannten Digitalthermometern bestehen. Neu ist auch, dass nicht nur die CPU, sondern auch der entsprechende (G)MCH- und der ICH-Chip Temperatursensoren enthalten. TecChannel

Hotspots: Dank prziser Temperatursensoren und einer intelligenten Lftersteuerung will Intel der Wrme und dem Lrm in vPro-Systemen den Kampf ansagen. (Quelle: Intel)

Die Schnittstelle der neue Hardware-berwachungstechnik zum Prozessor nennt Intel Platform Environment Control Interface (PECI), es kommt auch ein neuer Eindrahtbus fr externe Temperatursensoren namens Simple Serial Transport (SST) zum Einsatz. Die zentrale berwachung der Temperatur und Steuerung der Lfter bernimmt der ICH8 / ICH9 des Chipsatzes. Im Chip laufen alle relevanten Daten zusammen, die mittels des von Intel entwickelten Quiet-System-Technology-Control-Algorithmus ausgewertet werden. Je nach Status des Systems knnen dann entsprechende Steuerungsmglichkeiten wie Erhhen der Lfterdrehzahl oder Reduzierung der CPU-Frequenz eingeleitet werden. Intel stellt fr diese erweiterten Kontroll- und Steuerfunktionen ein entsprechendes Software-Paket zur Verfgung, das aus Firmware, Treibern und Konfigurationstools besteht.

Intel Stable Image Platform Program


Das Intel Stable Image Platform Program (SIPP) ist fester Bestandteil der vPro-Architektur. Damit lsst sich eine vorgegebene Rechnerkonfiguration einmalig testen und dann auf alle entsprechenden Rechner bertragen. Es spielt dabei keine Rolle mehr, ob im Nachhinein der Chipsatz verndert wird. Intel garantiert mit SIPP die volle Kompatibilitt zwischen Hard- und Software ohne zustzliche Tests. Dieses Konzept soll Kosten sparen, da Evaluierung und Verwaltung der verschiedenen Plattformkonfigurationen bei einer nderung, zum Beispiel des Chipsatzes, entfallen. Fr die Desktop-PCs, die auf der vPro-Technologie 2007 basieren, umfasst der SIPP-Support zum Beispiel folgende Komponenten: Core-2-Duo-Prozessor E6x50 mit VT Q35-Express-Chipsatz mit ICH9DO Intel Graphics Media Accelerator 3100 (GMA 3100) Treiber fr Intel Graphics Media Accelerator 3100, Version 14.29 fr Windows XP, Version 15.4 Windows Vista Gigabit-Network-Controller 82566DM TecChannel

Treiber fr 82566DM-Netzwerk-Controller, Version 9.8.20.0 fr Windows, Version 7.5.5 fr Linux Stable Image Technology (SIT) fr das BIOS

SIPP: Das Intel Stable Image Platform Program garantiert den Kunden fr vPro-Rechner mit den entsprechenden Komponenten eine Plattformstabilitt von 15 Monaten. (Quelle: Intel)

Mit dem Stable Image Platform Program garantiert Intel die Verfgbarkeit und Unvernderlichkeit von Software-Stack und Treibern der entsprechenden Plattform ab der Produkteinfhrung fr eine feste Zeitspanne. So gibt Intel fr die 2007 vorgestellten Desktop-Plattformen eine SIPP-Zeitspanne von insgesamt 15 Monaten an. Darber hinaus beinhaltet SIPP eine aktive Untersttzung der IT-Verantwortlichen bei der Produktplanung durch Intel, indem Hardware-nderungen oder neue Systemplattformen frhzeitig bekannt gegeben werden. Entsprechende Vorgaben gelten auch fr SIPP-konforme Notebook-Plattformen.

Fazit und Ausblick


Mit der Conroe-CPU und dem Q965-Chipsatz, Codename Averill, fhrte Intel im September 2006 die erste Version von vPro mit IAMT 2.0 fr Business-Desktop-PCs ein. Im Jahr 2007 folgten dann Weybride mit IAMT 3.0 und erstmals im Notebook-Bereich die Santa Rosa-Plattform mit IAMT 2.5. Aktuell hat Intel fr vPro-Business-Notebooks die Montevina-Plattform mit IAMT 4.0 vorgestellt. Damit lassen sich die Systeme kabellos ber eine sichere VPN-Verbindung unabhngig von ihrem Betriebszustand steuern. Mit vPro gibt Intel der Business-Desktop- und Notebook-Plattform einen zustzlichen Mehrwert, da vor allem das Management bei entsprechendem System-Support wesentlich vereinfacht werden soll. Die Kombination aus IAMT, Virtualisierungstechnologie, erweiterten Hardware-Features zur Energieeinsparung und Khlung des Systems sowie das Intel Stable Image Platform Program hat Intel auf die Anforderungen an Business-PCs zugeschnitten. Allerdings nutzt der Hersteller dafr einen proprietren hauseigenen Standard.

vPro-Roadmap: Intel entwickelt die vPro-Plattformen fr Desktop- und Notebook-Rechner stndig weiter. (Quelle: Intel)

Auch AMD hat in puncto Remote-Management und Sicherheit nachgezogen und bietet mit der TecChannel

Business-Class-Technologie ein hnliches Plattformkonzept. Allerdings setzt AMD auf die offenen Standards wie ASF (Alert-Standards-Forum-Spezifikationen), DASH (Desktop and Mobile Architecture for System Hardware) und SMAH (Systems Management Architecture for Server Hardware) von Distributed Management Task Force (http://www.dmtf.org/home) (DMTF). Fr zuknftige vPro-PCs mchte Intel die Remote-Verwaltung nachmals deutlich verbessern. So sollen Client-Systeme unabhngig vom Betriebszustand in der Lage sein, ein Remote-Zugang zum Management-Server zu initiieren (CIRA, Client Initiated Remote Access). Darber hinaus soll die IAMT-Firmware mit dem Trusted Platform Module (TPM) enger verzahnt werden. Weitere erweiterte Sicherheitsfunktionen und ein vereinfachtes Remote-Management sollen in der nchsten Spezifikation von vPro folgen. (hal)

TecChannel

Test: Das leistet Intels vPro in der Praxis


Intels vPro-Business-Plattform verspricht den Managementaufwand zu reduzieren. Schon im Vorfeld erntete die neue Technologie viele Vorschusslorbeeren. Jetzt muss vPro in einem Praxistest beweisen, ob die Theorie das hlt, was sie zugesichert hat.
VON Bernhard Haluschak (07.11.2006) Nach Intels Wunschvorstellungen soll es zuknftig keine Business-Desktop-PCs ohne vPro-Logo geben. Dieser Plattformstandard hat sich als Ziel gesetzt, die hohen Kosten fr die Administration der Office-Rechner zu senken. Dabei spielt die Funktion IAMT eine zentrale Rolle. Diese ermglicht unabhngig vom Betriebszustand des Rechners den Fernzugriff auf die entsprechenden Systemressourcen und ist in die Hardware und Firmware des Rechners integriert. Die Fernsteuerung und Wartung einzelner Desktop-Rechner im Netzwerk erfolgt ber die im Chipsatz enthaltenen vPro-Systemfunktionen. Mit Hilfe dieser Features kann der Administrator bei defekter Festplatte oder beschdigtem Betriebssystem via Netzwerk auf den IAMT-Client zugreifen und eine Diagnose beziehungsweise eine Reparatur durchfhren. Darber hinaus lassen sich weitere grundlegende System-Management-Funktionen unter bestimmten Voraussetzungen verrichten. Fr einen ersten Praxistest hat uns Fujitsu Siemens ein vPro-System mit entsprechender Management-Software zur Verfgung gestellt. Die Hardware besteht aus einem vPro-zertifizierten Esprimo-Desktop-PC E5916. Das Software-Paket beinhaltet fr Demonstrationszwecke eine Administrator-Konsole unter dem Altiris Realtime System Manager und einen Leitfaden zur Nutzung der vPro-Funktionen auf einem entsprechenden System. Unser Artikel beschreibt detailliert, wie die vPro-Technologie in der Praxis angewendet wird und welche Vorteile sie fr den Systemverwalter bietet. Ausfhrliche Grundlageninformationen rund um das Thema vPro bietet Ihnen der Artikel Grundlagen: Intels vPro revolutioniert Business-PCs (http://www.tecchannel.de/link.cfm?type=article&pk=442760) . Details zum Thema Intel-Active-Management-Technologie (IAMT) liefert der Beitrag Grundlagen: Intel Active Management Technology (http://www.tecchannel.de/link.cfm?type=article&pk=432854) .

Das Testsystem
Als Testsystem hat uns Fujitsu Siemens den vPro-Rechner Esprimo E5916 zur Verfgung gestellt. Das Gert ist mit dem Intel-Prozessor Core 2 Duo E6400 ausgestattet. Die vier Speicher-Slots sind je mit 512-MByte-DDR2-667-Modulen bestckt. Als Festplatte kommt die Seagate ST3808110AS Barracuda mit 7200 Umdrehungen pro Minute und 80 GByte Speicherkapazitt zum Einsatz. Als optisches Laufwerk verwendet der Hersteller das Combo GCC-H10N CD-RW/DVD-ROM. Ein Floppy-Laufwerk fehlt.

vPro-System: Der Esprimo-E5916-Rechner von Fujitsu Siemens entspricht dem vPro-Standard und besitzt ein entsprechendes Zertifikat.

TecChannel

10

Um vPro-konform zu sein, schreibt Intel fr ein entsprechendes System einen bestimmten Chipsatz voraus. Das ist in unserem Fall der MCH Q965 mit einer integrierten GMA-3000-Grafik und der ICH8 als Digital-Office-Version DO (HO). Diese Komponenten beinhalten alle notwendigen Funktionseinheiten fr die Intel-Active-Management-Technologie (IAMT).

Details: Einen wichtigen Bestandteil der vPro-Technologie beherbergt der ICH8-Baustein in der Digital-Office-Version DO des Q965-Chipsatzes.

Bevor allerdings der Zugriff auf die Management-Engine des Rechners erfolgen kann, mssen im Firmware-Konfigurationsmen die entsprechenden Parameter fr den Netzwerkzugriff eingestellt werden. Ist dies erfolgt, kann jeder Administrator mit Hilfe der IP-Adresse und der Portnummer sich per Remote-Zugriff auf dem System einloggen und entsprechende Abfragen durchfhren.

Setup und Konfiguration eines Clients


Bevor ein vPro-Client ber einen Fernzugriff kontrolliert werden kann, mssen bestimmte Voreinstellungen im Konfigurationsmen der Management-Engine (ME) des Rechners erfolgen. Diese entfallen, wenn der Hersteller wie bei unserem Testsystem die entsprechenden Parameter bereits eingestellt hat. Whrend des Bootvorgangs gelangt der Anwender mit der Tastenkombination STRG + P in das Management-Engine-Men des Clients. Hier hat er die Mglichkeit, die entsprechenden ME- und IAMT-Parameter einzugeben. Die Management-Engine beinhaltet grundlegende Optionen fr die Fernverwaltung des Systems. Dazu zhlt der aktuelle Status der ME, das Zulassen lokaler Firmware-Updates, das Aktivieren des LAN-Controllers fr Management-Funktionen sowie das Festlegen des Status der ME in verschiedenen Betriebszustnden.

Aperitif: Die Management-Engine eines vPro-Rechners

TecChannel

11

muss fr den sicheren Einsatz in einem Netzwerk vor dem ersten Einsatz anwenderabhngig konfiguriert werden.

Das IAMT-Men fhrt den Anwender durch die Konfiguration des IAMT-Netzwerk-Controllers. Abgefragt werden Einstellungen fr eine statische oder dynamische TCP/IP-Adresse und die IAMT-Untersttzung fr die Bootsequenz sowie das Provision-Modell (Compatibility, Enterprise Mode, Small Business Mode) des Rechners. Alle Einstellungen speichert das System in einem nicht flchtigen Speicherbereich des Chipsatzes ab. Der Zugriff auf diese Parameter erfolgt ausschlielich ber die Eingabe eines korrekten Passworts.

Direkter Zugriff ber das Webinterface


Um auf ein vPro-System direkt ohne System-Management-Software zugreifen zu knnen, mssen IP-Adresse und Zugriffsport bekannt sein. Der Betriebszustand des Systems selbst spielt dabei keine Rolle. Es kann ausgeschaltet oder aber in Betrieb durch einen User sein. Die wichtigste Vorraussetzung: Der PC muss sich im Netzwerk befinden und mit Strom versorgt sein. Mittels eines Webbrowsers und der entsprechenden IP-Adresse inklusive zugeordnetem Port verbindet sich der Anwender direkt mit dem IAMT-Client. Doch bevor der Zugriff auf die Informationen mglich ist, muss sich der User per Login und Passwort identifizieren.

vPro-Login: Mittels eines Webbrowsers kann sich der Anwender bers Netzwerk auf den vPro-Rechner einloggen und beispielsweise Systemchecks durchfhren.

Der vPro-Client stellt dem User ber das integrierte IAMT-System einige grundlegende Funktionen zur Diagnose und Steuerung des Rechners zur Verfgung. Neben dem allgemeinen Systemstatus und den Hardware-Informationen zeigt das System auch die Event-Log-Eintrge des letzten Bootvorgangs an. ber den Webinterface-Zugriff auf das Desktop-System knnen vorerst nur rudimentre Remote-Control-Funktionen wie Power Off, Power On ausgefhrt werden, mit entsprechenden Bootoptionen wie Normal-Boot, Boot from local CD/DVD drive oder Boot from local hard drive. Unter dem Altiris Realtime System Manager bietet Fujitsu Siemens weitere Bootmglichkeiten wie etwa das Booten von lokalen Images an.

TecChannel

12

Fernschalter: Im Remote-Control-Ordner kann der Client per Fernzugriff ein- und ausgeschaltet werden. Zustzlich kann der Anwender verschiedene Bootoptionen whlen.

Neben den Netzwerk-Einstellungen direkt im Konfigurationsmen der Management Engine, lassen sich auch die Network Settings fr die IAMT-Steuerung ber den Webbrowser erstellen. Zustzlich kann der Administrator verschiedene User-Accounts auf dem Client anlegen und verwalten. Ein ntzliches Feature ist die Update-Firmware-Funktion. Mit dieser kann der Systemverwalter von seiner Host-Konsole aus ein Firmware-Update des verwalteten Clients durchfhren, ohne vor Ort am Rechner zu sein.

Weiterfhrende Funktionen in der Praxis


Neben den Optionen, die direkt ber den Webbrowser zugnglich sind, bietet vPro noch weiterfhrende Funktionen. Diese sind in unserem System von FSC vorerst nur mit einer Demo-Software mit Hilfe eines HyperTerminals und dem IAMT-Programmpaket von Intel zugnglich, bieten aber jetzt schon einen guten Einblick in die Leistungsfhigkeit der vPro-Technologie. Eine wichtige Funktion fr eine Strungsbeseitigung auf einem Client-Rechner ist der direkte Fernzugriff ber eine Host-Konsole auf das BIOS des defekten Systems. So lassen sich viele Ursachen fr eine Strung im Vorfeld beseitigen beziehungsweise diagnostizieren.

Menkarte: Auf unserem Demosystem ermglicht vorerst ein von Intel entwickeltes Programm, erweiterte IAMT-Funktionen auf einem vPro-Rechner zu nutzen.

Fr dieses Feature bietet Fujitsu Siemens ein von Intel entwickeltes Tool, das demonstriert, wie ber IAMT der Zugriff auf BIOS-Einstellungen erfolgt. Hierzu wird ber die Auswahltaste a des Programms eine AMT-Serial-over-Lan-Session geffnet. Mit der g-Option SOL boot to BIOS setup bootet das Client-System neu und geht automatisch ins BIOS-Setup des Rechners. Auf der Host-Konsole ffnet sich ein HyperTerminal-Fenster mit der Abbildung des BIOS-Fensters vom Client-System. Mittels der Konsolen-Tastatur lassen sich nun alle BIOS-Funktionen per Fernzugriff aufrufen und steuern.

TecChannel

13

BIOS-Setup: Mit Hilfe eines HyperTerminals lassen sich alle BIOS-Einstellungen von einer Host-Konsole auf dem Client-System vornehmen.

Zustzlich bietet das Programm eine Remote-Repair-Funktion fr den vPro-Client an. Dadurch ist der Administrator in der Lage, von seinen Laufwerken auf der Host-Konsole aus mittels IDE-Redirection eigene Serviceprogramme oder Images auf dem Client auszufhren. Diese Programme knnen weitere Diagnosefunktionen oder zum Beispiel Virenscanner zur berprfung des gestrten Systems enthalten. Auch lassen sich per IDE-Redirection komplette Programmneuinstallationen ferngesteuert durchfhren. Ist zum Beispiel ein vPro-Rechner mit Schad-Software infiziert und verursacht dieser erhhten Netzwerkverkehr, kann der Administrator per Remote-Zugriff den PC vom allgemeinen Netzwerk isolieren und so weitere Schden verhindern. Die Netzwerkunterbrechung erfolgt durch die bermittelung eines sogenannten Circuit-breaking-Kommandos von der Host-Konsole. Die Management-Funktionalitt des vPro-Systems bleibt aber weiter aktiv. Ein Manko unseres Demosystems von FSC ist, das zurzeit spezielle Filterfunktionen zur Qualifizierung des Netzwerkdatenverkehrs noch fehlen. Allerdings sollen sie in den nchsten Versionen der Management-Software enthalten sein.

Einbindung in System-Management-Umgebungen
Ein wichtiger Aspekt der vPro-Technologie ist die Einbindung der Client-Systeme in eine bestehende System-Management-Umgebung. Dafr bieten namhafte Hersteller entsprechende Management-Lsungen wie zum Beispiel HP Systems Inside Manager (SIM), IBM Director oder Desk View von Fujitsu Siemens an. Diese Management-Software lsst sich in heterogenen Umgebungen in bergreifende Enterprise Management-Systeme wie CA Unicenter, Microsoft SMS, IBM Tivoli Time 10 oder HP OpenView einbinden.

Altiris-Konsole: Der Administrator muss den neuen vPro-Client erst in das Altiris-Resource-Management-Umfeld einbinden, um die volle Remote-Funktionalitt nutzen zu knnen.

Anhand unseres Demosystems von FSC haben wir ber eine Altiris-Deployment-Lsung, die ein Bestandteil TecChannel

14

von Fujitsu Siemens DeskView-Management-Systems ist, ein vPro System in eine System-Management-Umgebung eingebunden. Die Integration eines vPro-Client kann im Gegensatz zu herkmmlichen Systemen out-of-band erfolgen. Diese Mglichkeit bedeutet, dass der Rechner ausgeschaltet ist, aber an der Stromversorgung hngt und mit dem Netzwerk verbunden ist. Allerdings bentigt der Client keinerlei zustzlich installierte Agenten. Auf der Altiris-Konsole unter dem Menpunkt Configuration/Network Discovery kann der Anwender die IP-Range der zu suchenden vPro-Systeme mit entsprechenden Optionen wie Login, Business- oder Enterprise-Mode eingeben. Nach dem Auffinden des vPro-Clients wird ein Hardware Asset Management Inventory des Rechners erstellt.

PC-Inventory: Der Altiris Resource Manager fordert alle zur Verfgung stehenden Daten des vPro-Clients an und bindet diese in das Management-System ein.

Diese Hardware-Informationen erhlt die Konsole direkt ber den IAMT-fhigen Rechner. Denn das vPro-System legt bei jedem Bootvorgang seine aktuellen Hardware-Daten in einen Flash-Speicher ab. Diese sind jederzeit in-band oder out-of-band per Netzwerkzugriff abrufbar.

Anwendungen in System-Management-Umgebungen
Zu den wichtigsten Aufgaben der vPro-Technologie zhlen die Verwaltung und die Fehlerdiagnose der Clients. Insbesondere in groen Unternehmen mit einer ausgeklgelten System-Management-Lsung kann die vPro-Technologie Kosten sparen. Aber auch in kleinen und mittleren Firmen bietet vPro durch das integrierte Remote-Management-Konzept Einsparpotenzial bei Service und Support. Mit Hilfe der Fujitsu-Siemens-Altiris-Konsole kann ein Administrator unabhngig vom Betriebszustand des Clients mit Hilfe von IAMT per Remote auf den vPro-Rechner zugreifen. Einen ersten Anhaltspunkt auf mgliche Ursachen fr Strungen oder Fehler in einem PC liefert in der Regel das IAMT Event Log, das whrend der Bootphase erstellt wird und jederzeit aus dem internen IAMT-Speicher des Chipsatzes ausgelesen werden kann.

TecChannel

15

Bootoptionen: Im Realtime-Modus des Altiris Resource Managers lassen sich die Power-State-Modi auswhlen sowie die Redirection-Optionen definieren.

ber die Remote-Power-Mangement-Option der Altiris-Hardware-Management-Suite im Realtime-Ordner lsst sich der defekte Client ber eine Host-Konsole fernsteuern. So kann der schadhafte Rechner ausgeschaltet und wieder rebootet werden. Darber hinaus ist der Anwender in der Lage, verschiedene Bootquellen fr das Client-System auszuwhlen, um spezielle Diagnose- und Reparaturprogramme von der Verwaltungskonsole auszufhren. Auch der direkte Zugriff und die Konfiguration des Client-BIOS sind jederzeit mglich.

BIOS-Fenster: ber ein Remote Control Terminal des Altiris Resource Managers kann der Administrator von einer Host-Konsole direkt auf das BIOS zugreifen.

Fr die Kontrolle des Netzwerkverkehrs besitzt die Altiris-Lsung von FSC eine Netzwerk-Filtering-Option, die bei bermiger Netzwerkauslastung den vPro-Client vom Netzwerk trennt. Die Netzwerkverbindung fr den Fernzugriff bleibt aber weiterhin bestehen. ber diese kann der Administrator die Ursachen fr die Strung analysieren und entsprechende Gegenmanahmen einleiten, ohne den Client-Rechner vor Ort aufzusuchen. In unserer getesteten, aber noch nicht finalen Version des Altiris Resource Managers sind noch keine speziellen Netzwerk-Filterfunktionen implementiert, diese sollen aber in den nchsten Updates folgen.

Fazit
Die vPro-Technologie hat Intel in erster Linie fr das Business-Umfeld entwickelt, wo Desktop-Rechner zentral von einem Administrator verwaltet werden. Bisher musste der Systemverwalter bei einem defekten Rechner zeit- und kostenaufwendig selber vor Ort instand setzen. Mit einem vPro-fhigen System ndert sich das entscheidend. Das System kann per direkten Out-of-band-Zugriff bers Netzwerk mit Hilfe eines Webbrowsers erste Anhaltspunkte ber die Art eines Defekts liefern. Denn der Webbrowser informiert ber den Systemstatus, das Inventory und ermglicht die Abfrage der IAMT-Event-Log-Daten sowie ein Firmware-Update und beschrnkte Remote-Control-Fhigkeiten. Ein installierter Agent auf dem zu berwachenden System ist dabei nicht notwendig. Aber erst mit einer installierten Administrator-Konsole lassen sich alle Mglichkeiten der vPro-Technologie ausschpfen. Dazu zhlen ein automatisiertes Remote-Setup und Fernkonfiguration, Serial over LAN, IDE-Redirektion sowie Alerting- und System-Defence-Optionen. Allerdings werden nicht alle Funktionen kostenlos sein, wie uns ein Vertreter von Fujitsu Siemens mitteilte. Auch sind vom Hersteller noch nicht alle Mglichkeiten der vPro-Funktionalitten wie ein erweitertes Netzwerk-Filtering oder -Virtualisierung in der aktuellen Management-Software integriert. Auch wichtige Funktionen des System-Monitoring wie etwa die Lfter-, die Spannungs- oder die Temperaturberwachung fehlen noch. Nahezu alle namhaften PC-Hersteller wie Acer, Dell, Fujitsu Siemens, HP oder Lenovo wollen vPro-fhige Desktop-Business-PCs frher oder spter auf den Markt bringen. Dabei stellen die Hardware-Anforderungen TecChannel

16

an die entsprechenden Desktop-Systeme keine groen Herausforderungen an die Hersteller. Viel wichtiger ist die korrekte und umfangreiche Implementation der vPro-Fhigkeiten in die entsprechende System-Management-Software. (hal)

TecChannel

17

Intel vPro mit Landesk-Management-Software


vPro-Workshop: Fr Intels vPro-Business-Plattform mit IAMT 3.0 (Active Management Technology) bieten jetzt auch Altiris, Landesk oder Microsoft vPro-Untersttzung in ihrer System-Management-Software an. In einem Praxistest haben wir auf einem vPro-zertifizierten Esprimo-Desktop-PC PE5925 die Landesk-Management-Software auf ihre vPro-Funktionen untersucht.
VON Bernhard Haluschak (30.01.2008) Laut Intel soll die vPro-Technologie die hohen Kosten fr die Administration von Office-Rechnern senken. Einen zentralen Bestandteil nimmt dabei Intels Active-Management-Technologie (IAMT) ein. Diese ermglicht mittels eines aktiven Netzwerk-Controllers und unabhngig vom Betriebszustand des Rechners den Fernzugriff auf die entsprechenden Systemressourcen. Vorausgesetzt, das System verfgt ber die entsprechende Hardware- und Firmware-Ausstattung. Dazu gehrt neben einem vPro-zertifizierten Chipsatz wie Intel Q965 mit ICH8-DO oder Q35-Express-Chipsatz mit ICH9 DO auch der Gigabit-Ethernet-Controller 82566DM inklusive entsprechender Prozessoren aus der Core-2-Duo- (Conroe, Wolfdale) und Core-2-Quad-Familie (Yorkfield). Auch das System-BIOS des Client-Rechners muss vPro-tauglich sein. Mithilfe von vPro soll der Administrator in der Lage sein, eine defekte Festplatte oder ein beschdigtes Betriebssystem via Netzwerk zu diagnostizieren und gegebenenfalls eine Fernreparatur durchzufhren. Darber hinaus lassen sich weitere grundlegende System-Management-Funktionen per Remote-Zugriff durchfhren. Fr einen Praxistest hat uns Fujitsu Siemens ein vPro-System zur Verfgung gestellt. Die Hardware besteht aus einem vPro-zertifizierten Esprimo-Desktop-PC PE5925. Als Software-Paket benutzen wir die aktuelle Landesk-Management-Suite 8.7 SP3. Unser Artikel beschreibt praxisnah, wie ein vPro-System in die Landesk-Lsung integriert wird und welche Management-Mglichkeit diese Technologie dem Administrator bietet. Ausfhrliche Grundlageninformationen rund um das Thema vPro bietet Ihnen der Artikel Grundlagen: Intels vPro revolutioniert Business-PCs (http://www.tecchannel.de/link.cfm?type=article&pk=442760) . Details zum Thema Intel-Active-Management-Technologie (IAMT) liefert der Beitrag Grundlagen: Intel Active Management Technology (http://www.tecchannel.de/link.cfm?type=article&pk=432854) .

Das vPro-Testsystem
Als Testsystem stellte uns Fujitsu Siemens den Mikro-Tower-Rechner Esprimo P5925 EPA mit aktueller vPro-Technologie zur Verfgung. Das Gert ist mit einem hauseignen Mikro-BTX-Mainboard ausgestattet. Auf dem Board arbeitet ein Q35-Express-Chipsatz von Intel. Fr die ntige Rechenleistung sorgt ein E6550-Intel-Prozessor. Die Dual-Core-CPU arbeitet mit einer Taktfrequenz von 2,33 GHz. Von den vier freien DIMM-Modulsteckpltzen bestckte der Hersteller zwei mit 512 MByte groen DDR2-667-Speicherriegeln. Als Storage-Laufwerk setzt der Hersteller die 3,5-Zoll-SATA-Festplatte WD1600AAJS von Western Digital ein. Die Platten des 160 GByte groen Storage-Systems rotieren mit einer Geschwindigkeit von 7200 Umdrehungen pro Minute. Als optisches Laufwerk kommt das AD-717OS SATA-DVD-ROM-Laufwerk von Sony NEC Optiarc Inc. zum Einsatz. Ein Floppy-Laufwerk fehlt.

TecChannel

18

vPro-System: Der Esprimo P5925 im Mikro-Tower-Gehuse von Fujitsu Siemens entspricht dem aktuellen vPro-Standard mit IAMT-3.0-Funktionalitt und besitzt ein entsprechendes Zertifikat.

Um vPro-konform zu sein, schreibt Intel fr ein entsprechendes Desktop-System einen bestimmten Chipsatz und weitere Technologien wie TPM 1.2 Intel VT und TXT voraus. Das ist in unserem Fall der MCH Q35 mit einer integrierten GMA-3100-Grafik und der ICH9 als Digital-Office-Version DO. Diese Komponenten beinhalten alle notwendigen Funktionseinheiten fr die aktuelle Intel-Active-Management-Technologie (IAMT). Alle vPro-zertifizierten PC-Systeme sind mit einem entsprechenden Logo versehen. Die Desktop-Rechner erhalten das vPro-Logo, und die Notebooks werden mit dem Centrino Pro-Logo gekennzeichnet.

Details: Einen wichtigen Bestandteil der vPro-Technologie beherbergt der ICH9-Baustein in der

TecChannel

19

Digital-Office-Version DO des Q35-Chipsatzes.

Bevor allerdings der Zugriff auf die Management-Engine des Rechners erfolgen kann, mssen im Firmware-Konfigurationsmen des vPro-Clients die entsprechenden Parameter fr den Netzwerkzugriff eingestellt werden. Ist dies erfolgt, kann jeder Administrator mithilfe der IP-Adresse und der Portnummer sich per Remote-Zugriff auf dem System einloggen und entsprechende Abfragen durchfhren.

Konfiguration der MEBx eines vPro-Clients


Bevor ein vPro-Client ber einen Fernzugriff kontrolliert werden kann, mssen bestimmte Voreinstellungen im Konfigurationsmen der Management Engine BIOS extension (MEBx) des Rechners erfolgen. Whrend des Boot-Vorgangs gelangt der Anwender mit der Tastenkombination STRG + P in das Men der MEBx des Clients. Mit dem Standardpasswort admin aktiviert man die Auswahlmens. Hier hat der User die Mglichkeit, die entsprechenden ME- und AMT-Parameter einzugeben oder das Passwort zu wechseln. Bei der erstmaligen Benutzung der MEBx zwingt das System, das Passwort zu wechseln. Es verlangt ein starkes Passwort. So muss das neue Kennwort zwischen 8 und 32 Zeichen besitzen und Klein- und Grobuchstaben enthalten. Zustzlich muss mindestens eine Zahl und ein nicht alphanumerisches ASCII-Zeichen wie @, # oder $ im neuen Passwort vorhanden sein. Fr unser Testsystem whlen wir die Zeichenfolge P@ssw0rd. Das Management-Engine-Men beinhaltet grundlegende Optionen fr die Fernverwaltung des Systems. Dazu zhlt der aktuelle Status der ME, das Zulassen lokaler Aktualisierungen der MEBx, das Aktivieren des LAN-Controllers fr verschiedene Management-Funktionen sowie das Festlegen des Status der ME in verschiedenen Energiebetriebszustnden.

Vorarbeiten: Das Men der Management Engine BIOS eines vPro-Client-Rechners muss fr den ersten Einsatz in einem Netzwerk anwenderabhngig konfiguriert werden.

Das AMT-Men fhrt den Anwender durch die Konfiguration des AMT-Netzwerk-Controllers. Abgefragt werden der Host-Name, die Einstellungen fr eine statische oder dynamische TCP/IP-Adresse, die AMT-Untersttzung fr die Boot-Sequenz und das Provision-Modell (Enterprise Mode oder Small Business Mode) sowie der AMT-Kompatibilittsmodus des Rechners. Das Provisioning ermglicht es, fr unterschiedliche Erfordernisse im Unternehmen entsprechende Sicherheitseinstellungen fr die Kommunikation zwischen Server und Client zu definieren. So ist es zum Beispiel mglich, im Enterprise-Mode das Transport-Layer-Security-Protokoll (http://www.tecchannel.de/index.cfm?pid=189&pk=402126) (TLS) zu verwenden. Mit SOL knnen die Ein- und Ausgabedaten der Konsole eines durch IAMT verwalteten Client-Computers auf die Konsole des Verwaltungsservers umgeleitet werden. IDE-R ermglicht das Starten des mit Intel AMT verwalteten Clients von Dateiabbildern auf der Verwaltungskonsole. Beide Funktionen inklusive Login-Abfrage haben wir fr unseren Praxistest aktiviert.

TecChannel

20

Mit der Option Secure Firmware Update knnen sichere Firmware-Aktualisierungen durchgefhrt werden. Diese Form der Firmwareaktualisierung erfordert zwingend einen Administrator-Benutzernamen und ein Kennwort. Alle Einstellungen speichert das System in einem nicht flchtigen Speicherbereich des Chipsatzes ab. Der Zugriff auf diese Parameter erfolgt ausschlielich ber die Eingabe eines korrekten Passwortes.

Steuerung des vPro-Clients ber das Webinterface


Um auf ein vPro-System direkt ohne die Landesk-System-Management-Software zugreifen zu knnen, mssen IP-Adresse und Zugriffsport bekannt sein. Der Betriebszustand des Systems selbst spielt dabei keine Rolle. Es kann ausgeschaltet oder aber im Betrieb durch einen User sein. Die wichtigste Voraussetzung: Der PC muss sich im Netzwerk befinden und mit Strom versorgt sein. Mittels eines Webbrowsers und der entsprechenden URL http://192.168.50.3:16992 verbindet sich der Anwender direkt mit dem vPro-Client. Die Webadresse besteht aus der IP-Adresse inklusive zugeordnetem Port, die zuvor in der MEBx-Konfiguration hinterlegt wurden. Doch bevor der Zugriff auf die Informationen des Remote-Clients mglich ist, muss sich der User per Default-Login admin und im MEBx festgelegten Passwort P@ssw0rd identifizieren.

Remote-Login: Mittels eines Webbrowsers kann sich der Anwender bers Netzwerk auf den vPro-Rechner einloggen und entsprechende Systemanalysen beziehungsweise Betriebsoperationen durchfhren.

Der vPro-Client stellt dem Anwender ber das integrierte IAMT-System einige grundlegende Funktionen zur Diagnose und Steuerung des Rechners zur Verfgung. Neben dem allgemeinen Systemstatus und den Hardware-Informationen zeigt das System auch die Event-Log-Eintrge des letzten Boot-Vorgangs auf einer Remote-Webkonsole an. Der Webinterface-Zugriff auf das vPro-System ermglicht rudimentre Remote-Control-Funktionen wie Reset, Cycle Power Off / On und Power Off mit anschlieendem Power On und entsprechenden Boot-Optionen wie Normal-Boot, Boot from local CD/DVD drive oder Boot from local hard drive. Mittels der Landesk-Management-Suite bietet Fujitsu Siemens weitere Steuer- und Kontrollmglichkeiten des vPro-Clients an.

TecChannel

21

Fernkontrolle: Im Remote-Control-Ordner kann der Client per Fernzugriff ein- und ausgeschaltet sowie zurckgesetzt (Reset) werden. Zustzlich kann der Anwender verschiedene Bootoptionen whlen.

Neben den Netzwerkeinstellungen direkt im Konfigurationsmen der MEBx, lassen sich auch die Network Settings fr die IAMT-Steuerung ber den Webbrowser erstellen. Zustzlich kann der Administrator verschiedene User-Accounts auf dem Client anlegen und verwalten sowie die Energie-Policies fr den Zugriff auf den Rechner festlegen. Ein ntzliches Feature das wir bereits bei anderen Systemen gesehen haben wie das Updaten der Firmware per Fernzugriff fehlt allerdings. Mit dieser knnte der Systemverwalter von seiner Host-Konsole aus ein Firmware-Update des verwalteten Clients durchfhren, ohne vor Ort am Rechner zu sein.

vPro in die Landesk-Management-Suite einbinden


Ein wichtiger Aspekt der vPro-Technologie ist die Einbindung der Client-Systeme in eine bestehende System-Management-Umgebung. Dafr bieten namhafte Hersteller entsprechende Management-Lsungen wie Altiris den Manageability Toolkit, Landesk die Management Suite oder Microsoft den System Management Server (SMS 2003) an. Diese Management-Software lsst sich in heterogenen Umgebungen in bergreifende Enterprise-Management-Systeme wie CA Unicenter, Microsoft SMS, IBM Tivoli Time 10 oder HP OpenView einbinden.

TecChannel

22

Servicekonfiguration: Um die Remote-Funktionalitt des vPro-Client nutzen zu knnen, muss der Administrator den neuen Rechner in das Landesk-Management-Umfeld einbinden.

Anhand unseres Demosystems Esprimo P5925von FSC erlutern wir praxisnah, wie mit der Landesk-Management-Suite ein vPro-System in eine System-Management-Umgebung eingebunden werden kann. Die Integration eines vPro-Client kann im Gegensatz zu herkmmlichen Systemen out of band erfolgen. Diese Mglichkeit bedeutet, dass der Rechner ausgeschaltet ist, aber an der Stromversorgung hngt und mit dem Netzwerk verbunden ist. Darber hinaus bentigt der Client keinerlei zustzlich installierte Agenten. Um den vPro-Client unter der Landesk-Management-Suite zu verwalten, muss dieser zuerst in den Configure Landesk Software Services angemeldet werden. Im Ordner Intel AMT Configuration unter Current Intel AMT Credentials trgt der Administrator die Zugangsdaten fr den Arbeitsrechner ein. Diese entsprechen den Daten, die in der MEBx bereits hinterlegt sind.

Verknpfung: Nach dem Auffinden des vPro-Rechners bindet die Landesk-Software das System in die Managementumgebung ein.

TecChannel

23

Nach dem Aufruf der Landesk-Management-Suite und unter dem Menpunkt Toolbox / Configuration / Unmanaged Device Discovery kann der Anwender nach dem Desktop-Rechner suchen lassen. Es ffnet sich ein Scanner-Configuration-Fenster, in dem der User die IP-Bereich des zu suchenden vPro-Systems (zum Beispiel 192.168.50.3 bis 192.168.50.200, Subnet Mask: 255.255.255.0) mit entsprechenden Optionen wie Network Scan und Additional devices to discover / Intel AMT 1.0 eingibt. Nach dem Auffinden des vPro-Clients in unserem Fall die IP: 192.168.50.3 ist das System in dem Ordner Intel AMT zu finden. Von dort aus knnen die Daten in das Inventory-Management der Landesk-Software verschoben werden.

IAMT-Summary: Der Landesk-Manager zeigt alle verfgbaren Informationen des vPro-Clients an.

Diese Hardware-Informationen erhlt die Management-Software direkt ber den IAMT-fhigen Rechner. Denn das vPro-System legt bei jedem Boot-Vorgang seine aktuellen Hardware-Daten in einem Flash-Speicher ab. Diese sind jederzeit in band oder out of band per Netzwerkzugriff abrufbar.

Praktisches Client-Management mit der Landesk-Management-Suite


Zu den wichtigsten Aufgaben der vPro-Technologie zhlen die Verwaltung und die Fehlerdiagnose der entsprechenden Clients. Das Konzept soll insbesondere durch die integrierte System-Management-Lsung Kosten sparen. Unter Zuhilfenahme der Landesk-Management-Suite kann ein Administrator unabhngig vom Betriebszustand des Clients per IAMT-Remote auf den vPro-Rechner zugreifen. Einen ersten Anhaltspunkt auf mgliche Ursachen fr Strungen oder Fehler in einem PC liefert das IAMT Event Log, das whrend der Boot-Phase erstellt wird und jederzeit aus dem internen IAMT-Speicher des entsprechenden Chipsatzes ausgelesen werden kann. Die Event-Log-Ausgabe findet sich in der Optionsauswahlbersicht, indem man mit der rechten Maustaste auf dem vPro-Rechner im detaillierten Network View klickt.

TecChannel

24

Optionen: Im vPro-Client-Optionsmen der Landesk-Software kann der Anwender verschiedene System-Analyse- und -Diagnose-Funktionen durchfhren.

Mittels der Remote-Management-Optionen der Landesk-Management-Suite lsst sich ein defekter Client ber eine Host-Konsole sogar fernsteuern. So kann der fehlerhafte Rechner ausgeschaltet und wieder rebootet werden. Darber hinaus ist der Anwender in der Lage, verschiedene Boot-Quellen fr das Client-System auszuwhlen, um spezielle Diagnose- und Reparaturprogramme von der Verwaltungskonsole auszufhren.

Boot-Optionen: ber den IAMT-Boot-Manager lassen sich verschiedene Bootoptionen fr die Fehleranalyse eines vPro-Systems auswhlen.

So kann zum Beispiel der Administrator mittels der IDE Redirection Options von seinen Laufwerken auf der Host-Konsole aus eigene Serviceprogramme oder Images auf dem vPro-Client ausfhren. Diese Programme knnen weitere Diagnosefunktionen oder zum Beispiel Virenscanner zur berprfung des gestrten Systems enthalten. Auch lassen sich per IDE-Redirection komplette Programmneuinstallationen ferngesteuert durchfhren.

Direkter Zugriff auf BIOS-Funktionen


Eine wichtige Funktion fr eine Strungsbeseitigung ist der direkte Fernzugriff ber eine Host-Konsole auf das BIOS des defekten vPro-Client-Systems. So lassen sich viele Ursachen fr eine Strung im Vorfeld beseitigen beziehungsweise diagnostizieren.

TecChannel

25

Remote BIOS-Setup: Mithilfe der in Landesk integrierten Konsole-Redirection-Funktion lassen sich alle BIOS-Einstellungen eines vPro-Clients von einer Host-Konsole aus vornehmen.

Fr diese Mglichkeit bietet die Landesk-Management-Suite die beiden Optionen Enter BIOS setup on power on und Enable console re-direction on power on im IAMT-Boot-Manager. Hierzu wird beim nchsten Boot-Vorgang des Systems eine IAMT-Serial-over-LAN-Session initiiert. Dabei wird auf der Host-Konsole ein HyperTerminal-Fenster mit der Abbildung des BIOS-Fensters vom Client-System geffnet. Mittels der Konsolentastatur lassen sich nun alle BIOS-Funktionen per Fernzugriff aufrufen und steuern.

Fazit und Ausblick


Die vPro-Technologie bietet in Verbindung mit einer professionellen Software-Management-Lsung wie etwa der Landesk-Management-Suite umfangreiche Remote-Management-Funktionen, die die Arbeit eines Administrators sprbar erleichtern. Die grundlegende Integration von vPro-Clients in eine solche Umgebung kann ohne hohen Aufwand durchgefhrt werden, wie wir anhand der Landesk-Management-Suite gezeigt haben. Die Verwaltung und Steuerung von vPro-Rechnern kann dank In-band- und Out-of-band-Zugriff zentral von einem Administrator durchfhrt werden. Bisher musste der Systemverwalter bei einem defekten Rechner zeit- und kostenaufwendig selbst vor Ort instandsetzen. So ist das v-Pro-System in der Lage, auch im ausgeschalteten Zustand bers Netzwerk mithilfe eines Webbrowsers erste Anhaltspunkte ber die Art eines Defekts zu liefern. Aber erst mit einer angepassten Software-Management-Lsung lassen sich viele erweiterte Mglichkeiten der vPro-Technologie ausschpfen. Dazu zhlen ein automatisiertes Remote-Setup und Fernkonfiguration, Serial over LAN, IDE-Redirektion sowie Alerting- Optionen. Ein wichtiger Bestandteil der vPro-Technologie in Verbindung mit einer Management-Software ist die Netzwerksicherheit der verwalteten Systeme, die wir in unserem Beitrag noch nicht behandelt haben. Dabei kann der Administrator das Provisioning-Modell wie SMB oder Enterprise mit dem entsprechenden Transport-Layer-Security-Protokoll (TLS) whlen. Dazu zhlt auch die Vergabe von Zertifikaten zur sicheren Datenkommunikation. Nahezu alle namhaften PC-Hersteller haben vPro-fhige Gerte in ihr Produktportfolio aufgenommen. Dabei stellt die vPro-konforme Hardware in Desktops oder Notebooks keine groe Herausforderung an die Systemhersteller dar. Die volle Funktionalitt von vPro knnen somit nur die Entwickler von entsprechender System-Management-Software wie zum Beispiel Landesk dem Anwender erschlieen. Bereits fr 2008 hat Intel fr vPro IAMT 4.0 mit erweiterten Virtualisierungsfunktionen angekndigt. (hal)

TecChannel

26

Centrino 2: Intels neue Notebook-Plattform


Intels neue Notebook-Plattform heit Centrino 2 und kommt mit neuen Chipstzen, Prozessoren und Funktionen. Dabei steht insbesondere die Sicherheit im Vordergrund. Eine weitere Verbesserung der Mixtur aus Laufzeit und Leistung soll ebenfalls erfolgen.
VON Malte Jeschke (15.07.2008) Inzwischen erneuert Intel seine erfolgreiche Notebook-Plattform Centrino mehr oder minder im Jahresrhythmus. Seit 2003 firmiert die mobile Plattform unter dieser Bezeichnung und mittlerweile sind einige Generationen ins Land gezogen. Die aktuelle Produkteinfhrung ist der achte Technologielaunch unter Centrino-Flagge. Im Volksmund bekam schon einmal die eine oder andere Zwischengeneration den Zusatz 2 angehngt, aber erst die neue Plattformgeneration heit offiziell Centrino 2. Die technologischen Neuerungen bei den Prozessoren halten sich in Grenzen, denn die Penryn-CPUs hat Intel ja prinzipiell bereits bei der bis jetzt aktuellen Centrino-Generation eingefhrt (http://www.tecchannel.de/link.cfm?pk=1742484) . Die jetzt neu hinzugekommenen CPUs unterscheiden sich davon durch einen hheren FSB sowie teilweise andere Taktfrequenzen, zudem fhrt Intel einige Modelle mit niedrigeren TDP-Werten ein. Andere Bestandteile der mobilen Plattform wie Chipsatz oder Netzwerkanbindung bekommen hingegen neue Stromsparfunktionen. Abseits von Leistungswerten wurden die fr den professionellen Einsatz wichtigen Faktoren wie Administrierbarkeit und Sicherheit nochmals berarbeitet. Zudem bringt Centrino 2 einige Verbesserungen fr die Konstruktion von kompakten Notebooks mit sich. Wie bislang auch, kann man bei Centrino 2 die darunterliegende Plattform am entsprechenden Logo erkennen. Mit der neuen Generation bleibt es bei drei Logos: dem Centrino-2-Logo, der vPro-Variante sowie der Core-2-Extreme-Kennung. Fr die Erlangung des vPro-Logos haben sich die Vorbedingungen ein wenig gendert. Inzwischen muss TPM integriert sein und Intels neuester LAN-Controller Verwendung finden.

Erkennungsmerkmale: Business-Notebooks mit allen

TecChannel

27

Sicherheitsfunktionen sind nach wie vor am Zusatz vPro im Logo zu erkennen. Die mit Extreme gekennzeichneten Gerte sind meist bei anderer Klientel anzutreffen. (Quelle: Intel)

Da sich wie blich stets mehr als eine Centrino-Plattform im Handel befinden wird, nachfolgend noch einmal eine bersicht der aktuell verfgbaren Notebook-Generationen von Intel.
Aktuelle Centrino-Versionen im berblick Markteinfhrung Codename Prozessor Q2/2007 Santa Rosa Intel Core 2 Duo (Merom), FSB 800 MHz 965GM/PM Q1/2008 Santa Rosa Refresh Intel Core 2 Duo (Penryn), FSB 800 MHz 965GM/PM Q2/2008 Montevina Intel Core 2 Duo (Penryn), FSB 1066 MHz Mobile Intel 4 Series Express Chipset Intel Wireless WiFi/WiMAX Link 5050 / Wireless WiFi Link 5000 Intel 82567LM

Chipsatz

WLAN

4965AGN, 802.11a/b/g/n

4965AGN, 802.11a/b/g/n

LAN

Intel 82566MM/C

Intel 82566MM/C

Ausfhrliche Informationen zur Einfhrung der Penryn-Prozessoren in Notebooks liefert Ihnen der Beitrag Centrino 2008: Neue Prozessoren fr Notebooks (http://www.tecchannel.de/link.cfm?pk=1742484) . Was sich mit Intels vPro-Technologie bewerkstelligen lsst, verrt Ihnen der Artikel Test: Das leistet Intels vPro in der Praxis (http://www.tecchannel.de/link.cfm?pk=453387) .

Prozessoren und Preise


Insgesamt sechs neue mobile Prozessoren stellt Intel mit der Einfhrung der Centrino-2-Plattform vor. Allesamt basieren auf dem bereits Anfang 2008 eingefhrten Penryn-Kern. Anders als ihre Vorgnger in der Santa-Rosa-Plattform arbeiten die neuen Prozessoren nun mit einem FSB von 1066 MHz statt wie bisher mit 800 MHz. Zwei der neuen Prozessoren fgen sich relativ nahtlos in das bestehende Line-up ein: Der T9600 und T9400 arbeiten mit 2,8 beziehungsweise 2,53 GHz und weisen einen TDP-Wert von 35 Watt auf. Mit der Centrino-2-Plattform hlt eine weitere Neuerung in Sachen CPU-Nomenklatur Einzug, das Prfix P statt T. Drei neue Prozessoren kommen mit dem frischen Krzel vorweg, das laut Intel fr Power Optimized Performance steht. Diese Prozessoren entsprechen prinzipiell ihren T-Pendants, weisen jedoch einen um 10 Watt geringeren TDP-Wert auf und eignen sich damit fr etwas knappere Notebook-Designs. Dafr sind die P-Prozessoren etwas teurer als ihre leistungsmig entsprechenden T-Varianten.
Neue mobile Core-2-Duo-Prozessoren im berblick Modell Taktfrequenz / FSB [MHz] 3,06 GHz / 1066 2,8 GHz / 1066 2,53 GHz / 1066 2,53 GHz / 1066 Cache TDP-Wert Listenpreis [US-Dollar]

Core 2 Extreme X9100 Core 2 Duo T9600 Core 2 Duo T9400 Core 2 Duo P9500

6 MByte 6 MByte 6 MByte 6 MByte

44 Watt 35 Watt 35 Watt 25 Watt

851 530 316 348

TecChannel

28

Core 2 Duo P8600 Core 2 Duo P8400

2,4 GHz / 1066 2,26 GHz / 1066

3 MByte 3 MByte

25 Watt 25 Watt

241 209

Ansonsten ist in der Bezeichnungswahl alles beim Alten geblieben, die 9000er-Prozessoren kommt mit 6 MByte L2-Cache, die 8000er mssen mit 3 MByte auskommen. Das obere Ende der Leistungsskala markiert ab sofort der Core 2 Extreme X9100. Dieser taktet mit maximal 3,06 GHz und kostet wie seinerzeit sein Vorgnger 851 US-Dollar. Ebenso unverndert ist der TDP-Wert von 44 Watt fr die schnellste mobile Intel-CPU. Die Einfhrung der neuen Prozessoren macht das mobile Core-2-Duo-Line-up nicht unbedingt bersichtlicher, auch wenn nicht alle Varianten noch am Markt gehandelt werden. Nachfolgend finden Sie eine bersicht der mobilen Intel-Prozessoren, beschrnkt auf die gngigen T-Modelle und die neuen P-Modelle der Baureihe, ohne ULV- oder LV-Versionen und Extreme-Ausfhrungen.
Mobile Intel Core-2-Duo-Prozessoren im berblick Modell T9600 T9500 T7800 T9400 P9500 T9300 T7700 P8600 T8300 T7600 P8400 T7500 T7400 T8100 T7300 T7200 T7250 T2450 Taktfrequenz 2,8 GHz 2,6 GHz 2,6 GHz 2,53 GHz 2,53 GHz 2,5 GHz 2,4 GHz 2,4 GHz 2,4 GHz 2,33 GHz 2,26 GHz 2,2 GHz 2,16 GHz 2,1 GHz 2 GHz 2 GHz 2 GHz 2 GHz FSB 1066 MHz 800 MHz 800 MHz 1066 MHz 1066 MHz 800 MHz 800 MHz 1066 MHz 800 MHz 667 MHz 1066 MHz 800 MHz 667 MHz 800 MHz 800 MHz 667 MHz 800 MHz 533 MHz L2-Cache 6 MByte 6 MByte 4 MByte 6 MByte 6 MByte 6 MByte 4 MByte 3 MByte 3 MByte 4 MByte 6 MByte 4 MByte 4 MByte 3 MByte 4 MByte 4 MByte 2 MByte 2 MByte Strukturbreite 45 nm 45 nm 65 nm 45 nm 45 nm 45 nm 65 nm 45 nm 45 nm 65 nm 45 nm 65 nm 65 nm 45 nm 65 nm 65 nm 65 nm 65 nm

TecChannel

29

T2350 T5600 T5550 T7100 T5300 T2250 T5500 T5200 T2050

1,86 GHz 1,83 GHz 1,83 GHz 1,8 GHz 1,73 GHz 1,73 GHz 1,66 GHz 1,6 GHz 1,6 GHz

533 MHz 667 MHz 667 MHz 800 MHz 533 MHz 533 MHz 667 MHz 533 MHz 533 MHz

2 MByte 2 MByte 2 MByte 2 MByte 2 MByte 2 MByte 2 MByte 2 MByte 2 MByte

65 nm 65 nm 65 nm 65 nm 65 nm 65 nm 65 nm 65 nm 65 nm

Und als sei die bestehende Liste nicht schon umfangreich und unbersichtlich genug, existieren darber hinaus noch mobile Prozessoren, die nicht offiziell gelistet werden. Als Beispiel sei der SL7100 aus dem Lenovo ThinkPad X300 (http://www.tecchannel.de/link.cfm?pk=1758762) genannt.

Neue Chipstze
In Sachen Chipsatz findet mit Montevina ein wirklicher Plattformwechsel statt. Jetzt kommen die bislang unter dem Codenamen Cantiga gefhrten Lsungen PM45 und GM45 zum Einsatz. Die Chipstze untersttzen nun DDR2- und DDR3-Speicher. Der OEM muss sich beim Design des Notebooks fr einen Speichertyp entscheiden. Bei den eher professionellen Notebooks knnte der Schwenk auf DDR3 sehr frh erfolgen, da dadurch eine lngere Plattformstabilitt mglich sei. Bei der Verwendung von DDR3 sei laut Intel eine sprbar geringere Leistungsaufnahme zu verzeichnen. So sei der TDP-Wert um 20 Prozent geringer als bei bisherigem DDR2-Speicher. Preislich wrden sich die beiden Speichertypen wohl erst 2009 treffen, sodass sptestens dann der Umstieg auf DDR3 erfolgen wird. Der FSB zum Prozessor arbeitet jetzt mit 1066 MHz statt wie bisher mit 800 MHz. Fr die Schnittstellen ist der neue ICH9M zustndig. Festplatten und optische Laufwerke lassen sich ausnahmslos nur noch via SATA anbinden, PATA ist jetzt endgltig dem Rotstift zum Opfer gefallen. Dies soll insbesondere der Leistungsaufnahme frderlich sein, da keine Rcksicht mehr auf PATA genommen werden msse. Fr externe Anbindung von Massenspeichern untersttzen die Chipstze eSATA (http://www.tecchannel.de/link.cfm?pk=457179) .

Neue Chipstze: Der neue Mobile Intel 45 Express Chipsatz untersttzt DDR3-Speicher. (Quelle: Intel)

In Sachen Display-Anschlssen untersttzten die Chipstze nun auch HDMI und DisplayPort, Letzteren sieht Intel als kommende Grafikschnittstelle bei Notebooks. In puncto Displays untersttzen die Chipstze Energiesparfunktionen wie Intels Display Power Saving Technology sowie Smart 2D Display Technology.

TecChannel

30

Bei Ersterer wird die Hintergrundbeleuchtung beeinflusst, beim zweiten Verfahren geht es um die sich ndernden Inhalte bei der Bildschirmdarstellung. Darber hinaus besteht die Mglichkeit, die Bildwiederholfrequenz zum Stromsparen zu reduzieren. Je nach Ausfhrung sind hierfr bestimmte Display-Funktionalitten erforderlich, sodass es am OEM liegt, welche Funktionen untersttzt werden. Das Gleiche gilt fr die Stromsparfunktionen des Chipsatzes selbst beziehungsweise fr die Extended Battery Life Technology. Mit dieser existiert fr den Chipsatz eine Art SpeedStep-Modus. Die Chipstze untersttzen nun die Funktionalitt, sowohl die integrierte als auch eine diskrete Grafik zu nutzen und zwischen beiden umzuschalten. Die Umschaltung kann per Powerschema erfolgen oder ber anwenderspezifische Einstellung beziehungsweise ganz einfach manuell. Das Ganze funktioniert ausschlielich unter Vista, die Einfhrung dieser Technologie erfolgt wohl primr aufgrund von Kundenwnschen. Nicht wirklich dem Chipsatz zugehrig und doch irgendwie damit verbunden ist der neue Gigabit-Ethernet-Controller 82567LM. Bei Notebooks, die sich mit dem vPro-Logo schmcken wollen, gehrt dieser zur Pflichtausstattung. Auch diesen hat Intel mit neuen Stromsparfunktionen versehen, der Chip kann im Akkubetrieb eine Art Sleep-State einnehmen. Die Leistungsaufnahme lge dann rund auf einem Drittel des Niveaus, das der bisherige Ethernet-Controller fr sich beansprucht habe.

Neue WLAN-Module und WiMAX-Untersttzung


Mit der Montevina-Generation hlt nun auch WiMAX auf Intel-Modulen Einzug. Hierzulande ist dies mangels vorhandener Infrastruktur zunchst nur von begrenztem Interesse, in den USA erfolgen aber gerade massive Investitionen in WiMAX (http://www.tecchannel.de/link.cfm?pk=1757585) unter anderem mit Beteiligung von Intel. Mobiles Breitband heit hierzulande in erster Linie UMTS/HSDPA, da hat sich inzwischen eine installierte Basis etabliert. Die frheren Plne einer eigenen HSDPA-Integration mit Partner Nokia hat Intel bereits 2007 auf Eis gelegt. Hier wird es bei der aktuellen Lsung mit entsprechenden Modems von Drittanbietern bleiben. Die neuen WLAN-Module sind mit und ohne integriertes WiMAX verfgbar. Zudem fhrt Intel mit dieser Generation einen neuen Formfaktor ein. Neben den bereits bekannten Mini-Cards kommen jetzt auch Module, die nur noch halb so gro sind. Das drfte insbesondere dem Design von Subnotebooks zugute kommen. Die reinen WLAN-Module hren jetzt auf die Kennung WiFi Link 5x00, die Varianten mit WiMAX tragen den Namen WiFi/WiMAX Link 5x50. In den Codenamen wurden die kommunikativen Karten bisher unter der Bezeichnung Shirley Peak gefhrt. Die Modelle 5300 und 5350 sollen die theoretischen 450 Mbps des 802.11n-Standards mit entsprechenden Gegenstellen erreichen knnen.

Schrumpfkur: Designer von Subnotebooks werden dankbar sein, die WLAN-Module sind jetzt auch in halber Kartengre erhltlich. (Quelle: Intel)

Und wenn es schon um Mini-Card-Steckpltze geht, sei der Vollstndigkeit halber auch noch Turbo Memory

TecChannel

31

erwhnt, das Intel dereinst mit Santa Rosa eingefhrt hat. Die Flash-basierte Technologie soll fr schnellere Ladezeiten und eine geringere Leistungsaufnahme sorgen. Die schnelleren Boot-Zeiten sowie die geringere Akkubelastung will Intel durch die Verwendung von nonvolatilem Cache-Speicher in Form von NAND erreichen. So richtig lie sich das in der Praxis nie nachvollziehen, zudem hapert es wohl noch nach wie vor an der Untersttzung durch Windows Vista. Mit der Fixierung auf dieses Betriebssystem war es fr Businessanwender bislang ohnehin nicht von besonderem Interesse. Kurzum, Turbo Memory existiert noch, und Intel offeriert 2-GByte-Module fr denjenigen, der es in die Systeme implementieren will.

Sicherheit mit TXT und Anti-Theft


Mit Montevina hlt auch Intels Trusted Execution Technologie TXT bei Notebooks Einzug. So soll es durch TXT keinem auch noch so hoch privilegierten Programm mehr erlaubt sein, auf Daten oder Code einer anderen Anwendung zuzugreifen. Unter dem Codenamen LaGrande Technologie (LT) definierte Intel bereits vor Jahren Kernelemente fr den Aufbau einer vertrauenswrdigen Computerumgebung. Heute firmiert diese Technologie unter dem Begriff Trusted Execution Techologie TXT. Intels TXT ist eine Hardwareerweiterung des Prozessors sowie des Chipsatzes.

Centrino 2 vPro: Die gezeigten Bestandteile gehren zu einem Notebook, das Intels vPro-Technologie untersttzt. (Quelle: Intel)

Intels TXT arbeitet eng mit der CPU-Virtualisierungstechnologie VT-x Vanderpool zusammen. Fr die Virtualisierung des Prozessors sind die Security-Features allerdings nicht notwendig. Mit TXT wird aber das Starten von Trusted Software in einer virtuellen Maschine mglich. TXT reinitialisiert die CPU zum Bereitstellen einer gesicherten Arbeitsumgebung. Diese Umgebung ist gegen Zugriffe von auen geschtzt. Nachtrgliches Debugging, Reverse Engineering oder das Patchen zur Laufzeit durch Malware sind somit ausgeschlossen. Selbst die Kommunikation mit Eingabegerten wie der Tastatur und der Maus erfolgt bei TXT-Umgebungen ber kryptografisch abgesicherte Pfade. Im Hinblick auf die Datensicherheit bergen Notebooks im Unternehmenseinsatz ein erhebliches Gefahrenpotenzial. Dem will Intel mit der Anti-Theft-Technologie begegnen. Die Grundideen sind nicht ganz neu, die Einzellsungen stammen jedoch zumeist von OEM-Herstellern und nicht dem Plattformlieferanten. Zum Anti-Theft-Konzept gehrt unter anderem eine Festplattenverschlsselung. Darber hinaus untersttzt der Ansatz unterschiedliche Szenarien, bei denen sich der Zugriff auf Daten oder das ganze Notebook remote unterbinden lsst. Dies gilt insbesondere fr Verlust oder Diebstahl des Notebooks. Entsprechende Lsungen sollen ab dem vierten Quartal 2008 verfgbar sein.

IAMT 4.0 und Centrino 2 vPro


Entscheidender Bestandteil der neuen Centrino-vPro-Plattform ist Intels Active Management Technology. Mit IAMT stellt Intel umfangreiche Managementfunktionen per Remote auch auf Notebooks zur Verfgung. Die Intel Active Management Technology ist eine Architektur aus Hard-, Firm- und Softwarelsungen. Sie macht es mglich, einen Rechner unabhngig von dessen Status im Netzwerk mit speziellen dazu autorisierten Client-Management-Systemen zu erkennen und zu managen. Die Technologie hat Intel erstmals bei der Santa-Rosa-Plattform (http://www.tecchannel.de/link.cfm?pk=469349) auch die mobilen Systeme erreicht. Mit Montevina implementiert Intel die Version 4.0 in die Notebook-Plattform. Das mag von der Nummerierung etwas verwirren, denn mit Santa Rosa wurde 2.5 eingefhrt und beim Penryn-Update (http://www.tecchannel.de/link.cfm?pk=1742484) der Plattform im Januar 2008 auf 2.6 gehievt. Die nderungen TecChannel

32

betrafen damals insbesondere die Remote-Konfiguration per drahtloser Anbindung. Beim Sprung direkt auf 4.0 sollen diese Funktionen nochmals verbessert worden sein. Die Fernsteuerung und Wartung einzelner Notebooks im Netzwerk erfolgen ber die im Chipsatz enthaltenen Funktionen wie die Manageability Engine. Mithilfe dieser Features kann der Administrator bei defekter Festplatte oder beschdigtem Betriebssystem via Netzwerk auf den IAMT-Client zugreifen und eine Diagnose beziehungsweise eine Reparatur durchfhren. Darber hinaus lassen sich weitere grundlegende System-Management-Funktionen unter bestimmten Voraussetzungen verrichten. Das Ganze funktioniert bei Centrino Pro nicht nur kabelgebunden, sondern auch per WLAN. Unter bestimmten Voraussetzungen lsst sich das Notebook auch remote per WLAN managen, wenn es ausgeschaltet oder im Hibernation-Modus ist.

Centrino-2-Nachfolger Calpella
Rund ein Jahr nach der Einfhrung von Montevina soll bereits die nchste Notebook-Generation folgen. Im Frhjahr 2008 hat Intel auf dem IDF in Schanghai erste Informationen bekanntgegeben. Dadi Perlmutter, Executive Vice President und General Manager von Intels Mobility Group bei Intel, gab whrend seiner Keynote erste Details zur mit Codenamen Calpella versehenen Centrino-Plattform bekannt. Mit Calpella nimmt Intel auch in Notebooks Abschied vom klassischen Prozessor-/Chipsatzkonzept. Bei den CPUs setzt Calpella auf Nehalem mit seinem integrierten DDR3-Speicher-Controller und dem neuen seriellen QuickPath-Interface.

Centrino 2009: Nach der Centrino-2-Plattform Montevina im Juni 2008 folgt ein Jahr spter die neue Notebook-Technologie Calpella.

Calpella soll laut Perlmutter auerdem mit einem revolutionren Powermanagement ausgestattet sein. Die grafischen Darstellungsfhigkeiten sowie die Managementfhigkeit des Notebooks und die Security-Features seien ebenfalls deutlich verbessert, fgt Perlmutter hinzu. Weitere Details zu Calpella folgen voraussichtlich auf dem Herbst-IDF in San Francisco.

Fazit
Nun kann man der bisherigen Centrino-Plattform Santa Rosa nicht vorwerfen, den dringenden Wunsch nach einem Nachfolger provoziert zu haben. Die bereits im Januar 2008 eingefhrten 45-nm-Prozessoren sind TecChannel

33

unter anderem bei professionellen Notebooks erst nach und nach im Laufe des Frhjahrs im Markt angekommen. Intel hat bei Centrino 2 noch einmal an einigen Schrauben gedreht, um die Leistungsaufnahme eines mobilen Systems zu reduzieren. Bei einem Durchschnittswert von 0,8 Watt ist der Prozessor schon lang nicht mehr das Sorgenkind. Die vielen kleinen Neuerungen drften noch einmal fr eine verbesserte Leistungsaufnahme der Gesamtplattform sorgen. Zudem untersttzt die neue Plattform den Trend zu kleineren Formfaktoren bei Notebooks. So lassen sich relativ leistungsstarke, kompakte Subnotebooks auf der Montevina-Plattform vorstellen. Diese drften eine sehr attraktive Mischung aus Laufzeit und Leistung erreichen knnen. Vorausgesetzt, die Notebook-Hersteller schpfen die neuen technischen Mglichkeiten aus sowie die Bereitschaft der Kunden, eben dies zu bezahlen. (mje)

TecChannel

34

Spiceworks 3.0: Kostenlose Management-Software fr IT-Infrastrukturen


Spiceworks offeriert eine kostenlose IT-Management-Software fr kleine Unternehmen. Das Netzwerk-Tool fr Administratoren liegt aktuell in der Version 3.0 vor und stellt Verwaltungs-, Analyse- und Hilfsfunktionen fr die installierte Hard- und Software der unternehmenseigenen IT-Infrastruktur zur Verfgung.
VON Bernhard Haluschak (16.01.2008, Update: 14.07.2008) Die webbasierte Softwarelsung ist speziell fr mittelstndische Unternehmen mit bis zu 250 Systemen konzipiert. Durch die einfache und intuitive Bedienung mit umfangreichen Hilfen eignet sich das Tool auch fr User mit weniger detailliertem IT-Know-how. Aufgrund der integrierten Werbung kann der Anwender Spiceworks kostenlos nutzen. So sparen sich IT-Verantwortliche die sonst fr vergleichbare Software dieser Art anfallende Lizenzgebhr. Zum zentralen Bestandteil der englischsprachigen Management-Software gehren die Inventarisierung der im gesamten Netzwerk befindlichen Systeme und die darauf installierte Software. So knnen bei einem Server oder einer Workstation zum Beispiel die Hardwarekonfiguration, installierte Software, generelle Informationen oder Alerts und Events abgefragt werden. In der Softwarerubrik findet der Anwender Daten, welche Softwareversionen wie oft, wo und wann installiert wurden. Mit diesen Informationen soll der IT-Administrator in der Lage sein, seine IT-Umgebung einfach zu verwalten und entsprechende Manahmen wie Aktualisierung von Soft- oder Hardware vorzunehmen. Die Architektur von Spiceworks basiert auf einem zentralen Management-Server, der die gesammelten Informationen der verwalteten Komponenten in einer lokalen Datenbank sicher ablegt. Fr die Nutzung von Spiceworks muss der Anwender erst eine entsprechende Software auf einem Client mit Administratorrechten fr die gesamte IT-Infrastruktur installieren. Aktuell steht Spicework in der Version 3.0 zur Verfgung, die dem Anwender gegenber der Vorgngerversion 2.1 neue Funktionen bietet und zudem ein verndertes Aussehen sowie umfangreiches Bugfixing aufweist. Ab sofort stellt TecChannel in Kooperation mit Spiceworks die IT-Management-Software in der Version 3.0 kostenlos zum Download (http://www.tecchannel.de/index.cfm?pid=1018) zur Verfgung.

Programmstart
Nach dem Download der 8 MByte groen Datei erfolgt die Installation durch Starten des Programms. Nach Besttigen des zu benutzenden Ports und der Eingabe der Basisdaten wie Name, Firma, E-Mail-Adresse und eines selbst festgelegten Passworts gelangt der Anwender zur Begrungsseite. Hier hat man die Auswahl, mit welchem Programmpunkt die Software fortgefhrt werden soll. Zur Auswahl stehen die folgenden Mglichkeiten:

TecChannel

35

Welcome: Das Startfenster leitet den Anwender auf bestimmte Programminhalte weiter.

Starten mit Inventory Unter diesem Menpunkt startet das Programm einen Scan der gesamten IT-Umgebung und ermittelt die gesamte Hardware- und Softwareausstattung im erreichbaren Netzwerk. Danach kann der Anwender alle im Netzwerk erkannten Komponenten zentral und webbasiert verwalten, Reports seiner IT-Umgebung erstellen sowie Fehleranalysen durchfhren.

Inventory: Nach einem Scan des Netzwerks kann der Anwender auf entsprechende Informationen ber Hardware und Software der Systeme zugreifen.

Starten mit Helpdesk Mit diesem Programmpunkt ist der Administrator in der Lage, die Anfragen der Anwender zu sammeln und zu beantworten. Zustzlich steht ein vollwertiger Helpdesk zur Verfgung. Darber hinaus kann der Anwender das integrierte E-Mail- und Web-Interface nutzen, das zusammen mit dem Netzwerk-Inventory den Administrator bei der Arbeit untersttzen soll. Starten mit Community Im Community-Bereich findet der Administrator viele wichtige Informationen rund um seine Arbeit. Das Schulungs-Center, der IT-News-Bereich und das Forum werden von ber 200.000 Experten versorgt und sollen somit individuelle Hilfen fr nahezu jedes Problem bieten.

My Spiceworks
TecChannel

36

Auf der My-Spiceworks-Hauptseite erhlt der Anwender standardmig eine Zusammenfassung seiner gefundenen IT-Komponenten. Darber hinaus informiert das Programm ber aktuelle Warnmeldungen und neu installierte Hard- und Software. Die rechte Browser-Spalte versorgt den User aus unterschiedlichen Content-Quellen mit aktuellen News und Artikeln aus dem IT-Bereich. Ein Verweis auf den hauseigenen Online-Shop inklusive Produktbewertungen runden das Informationsangebot ab.

My Spiceworks: Die bersichtsseite informiert nicht nur ber das IT-Inventory, sondern versorgt den Anwender mit News und interessanten Beitrgen aus dem IT-Umfeld.

Ein Vorteil der My-Spiceworks-bersichtsseite ist die Mglichkeit, diese individuell aufzuteilen. So kann der User je nach Wunsch die Funktionsblcke nach eigenen Bedrfnissen anpassen beziehungsweise verschieben. Allerdings gibt es nur eine beschrnkte Auswahl von aktuell 15 Funktionseinheiten, die Spiceworks unter der Funktion Add Content zur Verfgung stellt.

Inventory
Die Inventory-Seite bildet die zentrale Informationsschnittstelle zwischen der installierten IT im Netzwerk und dem Anwender. Spiceworks teilt dabei das Inventar in acht Gruppen ein. Das sind im Einzelnen Workstations, Server, Printer, Netzwerkgerte, benutzerdefinierte Gerte, Software und unbekannte sowie andere Gerte. Zu jeder einzelnen Kategorie kann der Anwender weitere detaillierte Informationen abrufen.

Inventory: Auf der bersichtsseite erhlt der Anwender einen berblick ber die gesamten installierten Komponenten.

So erhlt der Administrator zum Beispiel unter Workstations detaillierte Angaben ber die Konfiguration, die Software, die Ereignis- und Alarmmeldungen inklusiver grafischer bersicht beziehungsweise das Log Monitoring. Zustzlich bietet das Tool die Mglichkeit, in der Detailbersicht unter der Auswahlleiste TecChannel

37

Troubleshoot mit der Compare-Funktion mehrere Systeme miteinander zu vergleichen. Das erleichtert die Fehlerdiagnose bei Gerten, die im Netzwerk nicht korrekt arbeiten. Spiceworks hat ferner eine Remote-Desktop-Funktionalitt in das Management-Programm integriert. Damit lassen sich die entsprechenden Gerte per RDP-Session von einer Konsole aus fernsteuern.

Zusatzinformationen: Die einzelnen Rubriken ermglichen eine detaillierte Analyse und Verwaltung der installierten Systeme und Komponenten.

Besonders wichtig fr Administratoren ist das Softwaremanagement. Hier bietet Spiceworks ebenfalls einen eigenen Rubrikpunkt mit zahlreichen Analyse- und Managementmglichkeiten. So informiert das Tool unter anderem, wie oft und wo eine Applikation installiert ist und wann sie aufgespielt wurde inklusive Versionsbersicht und Produkt-ID oder -Key. Auch Lizenzinformationen bercksichtigt das Programm.

Neues Design: Spiceworks 3.0 offeriert dem Anwender ein zeitgemes Aussehen.

Die Entwickler von Spiceworks 3.0 haben dem Inventory-Design in der Seitenansicht ein zeitgemes Aussehen spendiert. So lsst sich die 2D-Darstellung der Gerte in eine 3D-Glide-Darstellung umwandeln. Per Mauszeiger kann der User durch die optisch hervorgehobenen Gerte gleiten.

Helpdesk- und Reporting-Funktionen


Zur Ausstattung von Spiceworks 3.0 gehrt ebenfalls eine umfangreiche Helpdesk-Funktion. Diese sammelt alle anfallenden Requests des Anwenders und kann diese gegebenenfalls per E-Mail an das kostenlose Helpdesk senden. Auch spezifische Fragen oder Probleme sollten auf diese Weise schnell gelst werden.

TecChannel

38

Helpdesk: Eine integrierte Helpdesk-Funktion soll bei Problemen und Fragen fr schnelle Hilfe sorgen.

Zustzlich untersttzt ein detailliertes Reporting den Administrator bei der Arbeit. Dafr bietet Spiceworks eine Vielzahl von unterschiedlichen Reporting-Listen, die der Anwender entsprechend seinen Bedrfnissen einsehen und exportieren kann. So kann der Nutzer zum Beispiel alle Rechner mit einer Antivirus-Software mit den entsprechenden Details wie Version und Installationsdatum auflisten lassen oder die Festplattenauslastung aller Systeme berprfen. Die vordefinierten Berichte knnen in die Dateiformaten PDF, CSV und XLS exportiert werden, oder der Anwender druckt sie direkt aus.

Reports: Eine umfangreiche Reporting-Funktion untersttzt den Administrator bei der Analyse seiner IT-Infrastruktur.

Darber hinaus gehrt ein integrierter Online-Shop zum Gesamtkonzept der Spiceworks-Lsung. Dort kann der Anwender gleich die entsprechende Hard- und Software fr seine Unternehmens-IT bei ausgewhlten Anbietern ordern. Die von Spiceworks eingebundenen Shops verweisen aktuell zwar noch auf die amerikanischen Online-Shops, allerdings soll eine Implementierung der deutschen Pendants bald folgen.

Tickets und Hilfefunktionen


Auch im Help-Desk-Bereich wurde Spiceworks seit der Version 2.0 berarbeitet. Wenn der Anwender etwa an einem Fehler-Ticket arbeitet, kann er direkt ber das Troubleshooting-Icon in der Kopfleiste entsprechende Fehleranalysen oder Diagnosen durchfhren. Dabei stehen ihm die Funktionen Remote Control, Ping, Trace Route und WOL zur Verfgung. Allerdings muss das Remote-System diese Optionen untersttzen (BIOS-Einstellungen, installierter Remote-Client).

TecChannel

39

Troubleshooting-Ticket: Der Anwender kann bestimmte Events definieren, bei denen er per E-Mail benachrichtigt werden soll.

Auch das Fehler-Ticket selbst kann der Anwender individuell fr die Community aufbereiten. So lsst sich jetzt dediziert angeben, wer das Ticket erstellt hat und um was es sich bei dem Ticket handelt. Ein weiteres Novum ist die Funktion Requires Purchase beim Ticket-Handling. Bei Aktivierung dieser Funktion signalisiert der Ticket-Ersteller, dass er fr seinen Dienst Geld vom Hilfesuchenden verlangt und die Problemlsung entsprechend arbeitsaufwendig ist.

Hilfreiches Community-Konzept
Fr Nutzer hilfreich ist das integrierte Community-Konzept von Spiceworks 3.0. Die Community-Seite bildet die zentrale Anlaufstelle, um Hilfen und Informationen rund um IT-Fragen und zu Spiceworks zu bekommen. Auf die Community-Seite gelangt der Anwender ber den Community-Reiter. Das Programm baut dann eine Verbindung zu der Website community.spiceworks.com (http://community.spiceworks.com/) auf.

Community: Spezielle Hilfen oder komplexe Fragen beziehungsweise Sachverhalte knnen auf der Community-Seite errtert werden.

Hier finden sich Diskussionsrunden unter Experten, ein Frage- und Antwortbereich und Links zu weiteren Support-Stellen. Zustzlich werden von den Nutzern in einem Blog Fragen zu neuen Projekten sowie Themen rund um Spiceworks behandelt. Zustzlich kann der User im sogenannten Education Center umfangreiche Informationen aus dem IT-Bereich abrufen. Inwiefern dort der Anwender aber Antworten auf seine spezifischen Fragen bekommt und vor allem wie schnell, ist nicht definiert.

Remote-Steuerung und Fehleranalyse


Ein besonders ntzliches Feature ist das Fernsteuern von Computern. Gerade im Serviceumfeld reicht es oft aus, einen defekten Rechner per Remote-Funktion aus- beziehungsweise einzuschalten. Um dieses zu realisieren, hat Spiceworks 3.0 eine Wake-On-LAN-Option im Feature-Set integriert.

TecChannel

40

Wake On LAN: Mit diesem Feature lassen sich Computer per Remote-Zugriff ein- beziehungsweise ausschalten.

Um WOL zu nutzen, muss der zu steuernde Rechner die Funktion explizit untersttzen. Das setzt einen entsprechenden Netzwerk-Controller inklusive der zugehrigen und aktivierten BIOS-Option voraus. Unter Spiceworks 3.0 ist WOL im Gerte-Viewer unter Troubleshooting zu finden. Ist zum Beispiel ein Problemrechner ausgeschaltet, kann der Anwender von seiner Konsole aus das System per WOL-Funktion hochfahren und die notwendige Fehleranalyse durchfhren. Dabei kann man zustzlich die Remote-Control-Option nutzen, um direkt auf dem Desktop-Bereich des Host-Systems die notwendigen Manahmen durchfhren zu knnen.

Erweiterte Windows-Event- und Alert-Funktionen


Um die Benutzerfreundlichkeit zu erhhen, implementiert Spiceworks seit der Version 2.1 einen Event-Viewer in der Environment Summary. Damit ist der Anwender in der Lage, alle vergangenen und aktuellen Ereignisse in einem Balkendiagramm zeitlich zu verfolgen.

Events: Seit der Spiceworks-2.1-Version ist der direkte Zugriff auf den Event-Viewer in der Navigationsleiste des Environment Summary.

Das Diagramm unterscheidet drei Arten von Ereignissen. Das sind zum einen applikationsabhngige Events und zum anderen systembedingte Ereignisse. Dazu zhlen etwa die Anzahl der Ein- und Ausschaltvorgnge oder Hardwarefehler. Auch Security-relevante Vorgnge wie Login, Logoff und Rechtevergaben werden von Spiceworks mitprotokolliert und vom Event-Viewer angezeigt.

TecChannel

41

Bestens informiert: Der Anwender kann bestimmte Events definieren, bei denen der User per E-Mail benachrichtigt werden soll.

Fr ein besseres Informationsmanagement des Anwenders ber den Zustand der verschiedenen Systeme bietet Spiceworks seit der Version 2.1 eine erweiterte Alerting-Funktion. So knnen zum Beispiel Ereignisse wie das Unterschreiten einer bestimmten Festplattenkapazitt oder andere potenzielle Fehlerquellen definiert werden, bei denen das System dem User eine E-Mail zusendet. Mit dieser Information kann der Anwender dann prventive Manahmen einleiten.

Organisieren von Assets und IT Tools


Fr mehr Benutzerkomfort stellt Spiceworks 3.0 in der linken Navigationsleiste mit My Tools einen neuen Menpunkt zur Verfgung. Damit ist der User in der Lage, alle fr ihn relevanten Websites zu verwalten. Alle Seiten sind per One-Click-Access abrufbar.

Tool-Sammlung: Alle notwendigen Tools beziehungsweise Webseiten kann der User individuell in der Seitennavigation vorgeben.

Damit der Administrator das Inventar einer bestimmten Personengruppe oder Abteilung optimal verwalten beziehungsweise berwachen kann, untersttzt Spiceworks 3.0 jetzt die Bildung sogenannter Custom Groups.

TecChannel

42

Custom Groups: Spiceworks 3.0 ist in der Lage, verschiedene Gruppen mit ihrer entsprechenden Ausstattung zu definieren.

Um eine neue Gruppe anzulegen, muss der Anwender die Funktion Create a new Group aktivieren. Per Drag & Drop knnen dann die Gerte der neuen Gruppe zugeordnet werden. Falls der Anwender eine Active Directory Computer Group angelegt hat, kann Spiceworks 3.0 diese per Preload abrufen. Diese Gruppe wird automatisch in der Hauptansicht des Iventory-Fensters angezeigt.

IT Services
Die neue Version von Spiceworks bietet mit der Funktion IT Services einen Dienst an, der dem Anwender ber alle seine festgelegten Aktivitten oder angeforderten Dienstleistungen informiert. Im Einzelnen knnen das Kontaktinformationen, Ticketerstellung oder bestimmte angeforderte oder zu berwachende Serviceleistungen sein.

Track IT Services: Mithilfe dieser Funktion kann der Anwender seine Ttigkeiten berwachen.

Die IT Services werden chronologisch dargestellt und sind in unterschiedliche Funktionsgruppen unterteilt. Somit hat der Anwender stets eine zeitnahe bersicht (Tracking) ber seine einzelnen Aktivitten oder die Aufgaben.

Compare IT Services: Fr eine bessere Beurteilung der Dienstleistungen steht dem User eine Bewertungs- und

TecChannel

43

Vergleichsmglichkeit zur Verfgung.

Ein wichtiges Instrument der getrackten IT Services ist das Kommentieren und das Bewerten. So erfhrt der Anwender in einer bersicht, wie hilfreich oder informativ der jeweilige genutzte Service war. Darber hinaus wird schnell ersichtlich, welcher IT-Spezialist beziehungsweise IT Service die besten Bewertungen erhlt und somit ein gutes Indiz fr seine fachliche Kompetenz ist.

Automatisches Backup
Mit Spiceworks 3.0 ist es erstmals mglichk, ein automatisches Backup der lokalen Spiceworks-Daten durchzufhren. Damit kann der Anwender das Programm nutzen, um besonders kritische Daten zu sichern. Darber hinaus ist es sinnvoll, vor jeder neuen Installation eines Software-Updates die Daten zu speichern.

Backup-Kontrolle: Spiceworks 3.0 stellt dem Anwender eine automatische Backup-Funktion zur Verfgung.

Die Backup-Funktion ist unter dem Menpunkt Settings / Backup Configuration zu finden. In diesem Fenster muss der Anwender als Erstes den Backup-Ort festlegen. Unter dem Menpunkt Backup Schedule kann ein automatisches Backup aktiviert werden. Diese Option legt fest, dass vor jedem neuen Software-Update ein automatisches Backup durchgefhrt wird. Unter dem Funktionspunkt Backup Status kann der Anwender jederzeit ein manuelles Backup durchfhren. Zustzlich informiert diese Funktion darber, wann das letzte Backup durchgefhrt wurde.

Weitere Spiceworks-Details
Unter dem Auswahlreiter Settings auf der Spiceworks-Seite findet der Anwender verschiedene Optionen, um das Programm individuell an seine Bedrfnisse anzupassen. So kann der Administrator mehrere User Accounts fr verschiedene zugangsberechtigte Personen definieren oder die Einstellungen des Netzwerk-Scans entsprechend der IT-Infrastruktur vornehmen. Fr eine bessere Auenwirkung mit der Community ist es mglich, ein persnliches Profil festzulegen.

Settings: In diesem Bereich kann der Anwender individuell seine Vorgaben fr Spiceworks konfigurieren beziehungsweise festlegen.

Eine wichtige und hilfreiche Funktion ist die Monitoring- und Alerting-Option. Diese ermglicht es, vorgegebene Alerting-Zustnde bestimmten Komponenten zuzuordnen. Diese Komponente wird dann TecChannel

44

stndig berwacht (Monitoring). Erreicht sie die definierte Schaltschwelle, wird eine Warnung beziehungsweise eine Benachrichtigungs-E-Mail verschickt.

Monitors und Alerts: Der Anwender legt mit dieser Funktion unterschiedliche berwachungsparameter fr verschiedene Komponenten beziehungsweise Funktionen fest.

Eine grafisch ansprechende Funktion fr den Anwender, aber ohne ernste Aussagefhigkeit, ist das sogenannte Spicemeter. Das Tool ermittelt ein persnliches Rating des Users in Verbindung mit der Nutzung von Spiceworks. Anhand einer Checkliste zeigt das Spicemeter an, welche Funktionen und Manahmen der Anwender mit dem Managementprogramm durchgefhrt hat und ermittelt daraus einen Bewertungsindex.

Spicemeter: Das Tool ermittelt ein Bewertungsindex fr den Nutzungsgrad von Spiceworks.

In diesem Beitrag haben wir nur die wichtigsten Funktionen von Spiceworks 3.0 beschrieben. Das Programm bietet aber noch viele weitere interessante Features.

Systemvoraussetzungen
Das etwa 8 MByte groe Programm Spiceworks IT Desktop kann auf einen beliebigen PC in einem Netzwerk installiert werden. Allerdings muss dieser mit dem Betriebssystem Windows XP Pro SP2, Windows Vista oder Windows 2003 Server mit den aktuellen Service Packs arbeiten.

TecChannel

45

Settings: Je nach Anforderungen lsst sich Spiceworks individuell an die Bedrfnisse des Administrators anpassen.

Als minimale Hardwarekonfiguration ist ein 700-MHz-Pentium-Prozessor mit 512 MByte Speicher vorgeschrieben und als Browser Firefox 1.5 2.0 und Internet Explorer 6.0 7.0 empfohlen. Laut Hersteller kann die Software alle Rechner mit den Betriebssystemen Windows, OS X, Linux und Unix erkennen und verwalten.

Fazit und Ausblick


Mit der Spiceworks-Lsung arbeiten weltweit bereits mehr als 160.000 IT-Anwender in 185 Lndern. Sie bietet kostenlos umfangreiche IT-Management-Funktionen und Hilfen wenn einen die Werbung nicht strt. Die Installation von Spiceworks ist auch fr User, die keine IT-Spezialisten sind, leicht zu bewerkstelligen. In punkto Bedienung ist das Programm aufgrund der webbasierten Oberflche und intuitiver Menfhrung recht einfach. Spiceworks will nicht mit professionellen IT-Management-Lsungen wie HP OpenView oder IBM Tivoli konkurrieren. Allerdings bietet es gerade kleinen Unternehmen mit geringen EDV-Anforderungen eine Flle an Funktionen, die ausreicht, um die IT-Komponenten in einem Netzwerk zu verwalten. Spiceworks wird stndig aktualisiert und verbessert. Aktuell steht Spiceworks in der Version 3.0 zur Verfgung. Ab sofort stellt TecChannel in Kooperation mit Spiceworks die IT-Management-Software in der Version 3.0 kostenlos zum Download (http://www.tecchannel.de/index.cfm?pid=1018) zur Verfgung. (hal)

TecChannel

46

Server- und Client-berwachung mit Zabbix 1.4.2


Server Monitoring: Die zu berwachenden Dienste und Anwendungen auf Servern von Unternehmen steigen stetig. Mit professionelle berwachungs- und Monitoring-Tools behalten Administratoren den berblick ber ihre Server. TecChannel stellt Ihnen Zabbix 1.4.2, das beliebig erweiterbare Monitoring-Programm unter Open-Source-Lizenz, vor.
VON Jrgen Donauer (07.11.2007) Professionelle berwachungs-Tools kosten oft viel Geld. Eine Garantie, dass wirklich alle wichtigen Dienste berwacht sind, gibt es nicht. Das Problem mit Closed-Source-Prgrammen ist oft, dass diese nicht unbedingt erweiterbar sind. Somit gestaltet es sich schwierig, eigene Produkte in die berwachung einzubinden. Mit Zabbix steht ein beliebig erweiterbares Monitoring-Programm unter der Open-Source-Lizenz zur Verfgung. Es untersttzt serverseitig eine Vielzahl von Betriebssystemen wie Linux, Solaris, HP-UX, AIX, FreeBSD oder OpenBSD. Der Entwickler weist darauf hin, dass es auf anderen Unix-Like-Plattformen ebenfalls funktionieren kann. Dies ist jedoch nicht getestet. Windows ist als Zabbix-Server ausgeschlossen. Dafr gibt es aber zumindest einen berwachungs-Agenten. Die Software untersttzt NT 4.0, Windows 2000/XP/2003 und Windows Vista. Letzteres in der 32- und 64-Bit-Variante. Als Datenbank-Backend knnen Sie in Version 1.4.2 MySQL, PostgreSQL, Oracle oder SQLite einsetzen. Zabbix ist sehr komplex. TecChannel mchte Ihnen die Installation, Konfiguration und grundstzliche Arbeitsweise von Zabbix 1.4.x vorstellen. In einem zweiten Teil gehen wir detailliert auf das Frontend von Zabbix ein. Dieser Artikel erscheint am 16.11. Hier geht es zum Beitrag ber die Version 1.0 (http://www.tecchannel.de/index.cfm?webcode=430811) .

Aufbau von Zabbix


Zabbix besteht prinzipiell aus drei Komponenten: Agenten, Server und Frontend. Die Agenten sammeln Daten und speichern diese in einer Datenebank auf dem Zabbix-Server. Via Webfrontend knnen berechtigte Anwender die Daten jederzeit abrufen und grafisch darstellen.

Verteilte Last: Es muss nicht alles auf einem Server laufen.

Die Entwickler raten zu gewissen Mindestanforderungen. Hardwareseitig sollten Sie 128 MByte RAM und TecChannel

47

256 MByte freien Festplattenplatz haben. Je mehr Arbeitsspeicher Sie haben, desto schneller arbeitet die Datenbank sprich Zabbix. In der Dokumentation (http://www.zabbix.com/downloads/ZABBIX%20Manual%20v1.4.pdf) stellt der Entwickler Beispiele fr Hardware-Setups zur Verfgung. Fr bis zu 20 berwachte Rechner reicht demnach ein Pentium2 350 MHz mit 256 MByte RAM. Um Zabbix benutzen zu knnen, bentigen Sie zustzlich mindestens Apache 1.3.12, PHP 4.3 und das PHP 4.3 GD-Modul. Je nach gewnschter Datenbank kommen dann MySQL 3.22, PostgreSQL 7.0.2, Oracle 9.2.0.4 oder SQLite 3.3.5 sowie das entsprechende PHP-Modul dazu. Weitere sinnvolle Komponenten sind OpenSSL und NET-SNMP oder UCD-SNMP. Diese sind jedoch optional. Bei den meisten Distributionen finden Sie alle fr Zabbix bentigten Programme normalerweise auf den Installations-Medien. Sollte dies nicht der Fall sein, lassen sich die Pakete in der Regel online nachinstallieren. Dieser Beitrag beschftigt sich zunchst mit der Installation von Zabbix. Der zweite Teil wird zeigen, wie Sie die Monitoring-Software im tglichen Einsatz nutzen knnen.

Installation
Die Monitoring-Software hat es mittlerweile in die Standard-Repositories einiger namhafter Distributionen geschafft. Dazu gehren Debian, Fedora Core, Gentoo, Ubuntu, FreeBSD und das Network Security Toolkit. Hier finden Sie in der Regel jedoch nicht die neueste Version. Fr Ubuntu 6.10 existieren (http://www.zabbix.com/download.php) vorgefertigte Pakete von Zabbix 1.4.1. Wollen Sie allerdings die neueste Version einsetzen, mssen Sie selbst Hand anlegen.

Nicht die neueste Version: Aus dem Kanotix-Repository knnten Sie Zabbix 1.1.4 installieren.

Als Testplattform dient MySQL auf dem Debian-Ableger Kanotix 2007 RC6. Sie bentigen fr eine Kompilation die Entwickler-Pakete fr MySQL, OpenSSL und NET-SNMP. Die Namen knnen je nach Distribution unterschiedlich sein. Normalerweise weisen eventuelle Fehlermeldungen auf die noch bentigten Pakete hin. Nach dem Entpacken der Sourcen (http://www.zabbix.com/download.php) , erfolgt das Kompilieren mit dem blichen Dreisprung configure , make und make install . Voraussetzung ist natrlich, dass alle Abhngigkeiten erfllt sind. Fr eine Verwendung mit MySQL und NET-SNMP sieht der Kompilierbefehl zum Beispiel so aus: ./configure --with-mysql --with-net-snmp --enable-server --enable-agent

Statisches Binary
Wenn Sie unterschiedliche Distributionen oder Versionen von Linux einsetzen, mssten Sie die Agenten theoretisch fr jede Plattform neu kompilieren. Nur so verhindern Sie Konflikte mit den unterschiedlichen Bibliotheken. Allerdings gibt Ihnen Zabbix die Mglichkeit einer statischen Kompilation. Somit packt der Compiler alle benutzten Bibliotheken in die erzeugte Binr-Datei. Somit mssen Sie den Agent nur einmal bersetzen. Danach knnen Sie das Binary auf den zu berwachenden Systemen in der Regel problemfrei einsetzen. Dies realisieren Sie mit der Option --enable-static . TecChannel

48

./configure -with-mysql -with-net-snmp --enable-static --enable-server --enable-agent So bereiten Sie sowohl die Daemons, als auch die berwachungs-Agenten vor. Sie knnen auch nur den Agent kompilieren. Das realisieren Sie mit dem Befehl ./configure --enable-agent Wie schon erwhnt knnen Sie mit --enable-static ein statisches Binary erzeugen. So knnten Sie den Agenten auf mehreren Systemen einsetzen. Alle Optionen gibt der Befehl --help aus. So finden Sie zum Beispiel raus, dass in Version 1.4.2 auch Jabber fr Messaging untersttzt wird. ./configure --help

Kompilierbereit: Nach der Konfiguration kann der bersetzungs-Prozess beginnen.

Sind alle Abhngigkeiten erfllt, fordert Sie die Software auf, den Befehl make install zu starten. Danach finden Sie die bersetzten Binaries im Verzeichnis /usr/local/sbin/ wieder.

Fertig: Nach der Installation finden Sie die Binr-Dateien im Verzeichnis /usr/local/sbin/.

Apache-Webserver
TecChannel

49

Wollen Sie das Zabbix-Frontend nutzen, muss Apache laufen. Des Weiteren bentigt dieser ein aktiviertes PHP-Modul. Ob letzteres der Fall ist, knnen Sie normalerweise im Konfigurations-Verzeichnis des Webservers nachsehen. Bei den meisten Distributionen befindet sich dies unter /etc/apache oder /etc/apache2 . In der Test-Konfiguration starten Sie den Webserver als Benutzer root mit /etc/init.d/apache2 start .

MySQL-Datenbank-Server
Der nchste Schritt ist das Erstellen der Datenbank. Dazu ist der MySQL-Daemon zu starten: /etc/init.d/mysql start Danach bentigen Sie eine Datenbank namens zabbix. Loggen Sie sich in die Datenbank ein und erstellen diese. In der Beispiel-Umgebung erfolgt das so: mysql uroot create database zabbix; quit; Ist auf dem Datenbank-Server ein Passwort gesetzt (sehr zu empfehlen), loggen Sie sich wie folgt ein: mysql -uroot p(Passwort) Die Tabellen und Initialdaten der Datenbank sind einfach zu erstellen. Die Entwickler haben das meiste wie vorbereitet und Sie mssen Struktur und Daten lediglich in die Datenbank einspielen. In den entpackten Sourcen finden Sie das Verzeichnis create. Mit dem Befehl cat sind diese schnell in die zabbix-Datenbank eingespielt: cat ./create/schema/mysql.sql | mysql -uroot Dzabbix cat ./create/data/data.sql | mysql uroot Dzabbix cat ./create/data/images_mysql.sql | mysql uroot Dzabbix

Zabbix-Frontend
Auch das Zabbix-Frontend befindet sich in den heruntergeladenen Sourcen. Wechseln Sie mit cd ./frontends dort hin und kopieren oder verschieben Sie das Verzeichnis php an eine fr den Webserver erreichbare Stelle. Vorteilhaft ist, wenn Sie diesem Verzeichnis danach einen sprechenden Namen geben, beispielsweise zabbix. Ist das geschafft, knnen Sie den Rest via Browser konfigurieren. Rufen Sie hierzu http://<Name oder IP-Adresse des Zabbix-Servers>/zabbix auf.

Browser-basiert: Die Konfiguration von Zabbix knnen Sie bequem via Browser vornehmen.

Bei der berprfung der Pre-Requisites moniert das Frontend einen Fehler hinsichtlich der PHP max execution time, denn das Skript bentigt lnger als die per Default erlaubten 30 Sekunden fr ein Skript.

TecChannel

50

Zabbix ist nicht zufrieden mit einer PHP max execution time von nur 30 Sekunden.

Mehr Zeit fr Zabbix


Die zustndige Variable heit max_execution_time und befindet sich in der Datei php.ini. Damit Zabbix zufrieden ist, mssen Sie diesen Wert auf mindestens 300 setzen.

Klappt doch: Nach Editieren der Datei php.ini ist die Software zufrieden.

Im nchsten Schritt geben Sie die Datenbank-Informationen ein. Wie Sie sehen muss der Datenbank-Server nicht unbedingt auf dem gleichen Rechner laufen. Es ist durchaus denkbar die Daten von einem anderen Computer im Netzwerk auszulesen. Nun knnen Sie die Installation via Frontend beenden. Danach knnen Sie sich auch schon in das Zabbix-Frontend mit Benutzer Admin und einem leeren Passwort einloggen. Das Passwort sollten Sie allerdings sofort ndern. Wenn Sie sich ohnehin schon in dieser Maske befinden, knnten Sie auf Wunsch auch gleich die Sprache auf Deutsch umstellen.

Der Sicherheit zuliebe: Nach dem ersten Einloggen sollten Sie gleich das Admin-Passwort ndern.

TecChannel

51

Vorbereitende Schritte zum Starten der Zabbix-Daemons


Standardmig holt sich Zabbix die Konfigurations-Informationen aus dem Verzeichnis /etc/zabbix. Dieses existiert allerdings noch nicht und Sie sollten es erstellen. Des Weiteren brauchen Sie in dem Verzeichnis die entsprechenden Konfigurations-Dateien. Beispiel-Dateien finden Sie in den Zabbix-Sourcen unter ./misc/conf. Hier sollten vier Dateien liegen. Am einfachsten ist es, diese nach /etc/zabbix zu kopieren und entsprechend anzupassen. cp <zabbix-sourcen>/misc/conf/* /etc/zabbix Die Binr-Datei zabbix_server bentigen Sie logischerweise auf dem Zabbix-Server. Auf den Clients starten Sie den Daemon mit der Datei zabbix_agentd. Dem Handbuch ist zu entnehmen, dass ein Einsatz des Daemons zabbix_agentd der Datei zabbix_agent vorzuziehen ist. Letztere knnten Sie einsetzen, falls Sie den Agenten nicht als Dienst starten mchten. Es ist nicht ganz sinnfrei auch den Zabbix-Server selbst zu berwachen. Es schadet nie, das SSH-Binary, die Datei /etc/passwd oder den Festplattenplatz zu berwachen.

zabbix_server.conf
Die meisten Optionen in der Datei /etc/zabbix_server.conf verfgen ber einen Standard-Wert. Diesen verwendet der Zabbix-Server-Daemon, wenn die Konfigurationsdatei nicht explizit einen anderen Wert vorschreibt. Alle Parameter finden Sie unter Punkt 4 der Dokumentation. Die wichtigsten Parameter kurz erklrt:
Konfiguration des Server-Daemon Parameter StartPollers=5 Bedeutung Gibt an, wie viele Server-Daemons Zabbix starten soll. Der Wert muss zwischen 0 und 255 liegen. Gibt an, nach wie vielen Stunden Zabbix Aufrumarbeiten bei unntigen oder veralteten Daten ttigt. Der Wert muss zwischen 1 und 24 liegen. Stellt den Wert in Sekunden dar, wie lange der Server-Daemon maximal auf eine Antwort des Agenten wartet. Der Wert muss zwischen 1 und 255 liegen. Pfad und Dateiname, wohin die Log-Datei geschrieben werden soll. Name der Datenbank Datenbank-Benutzer Datenbank-Passwort Port auf dem der Trapper horcht

HousekeepingFrequency=1

Timeout=5

LogFile=/var/log/zabbix_server.log DBName=zabbix DBUser=root DBPassword= ListenPort=10051

zabbix_sender und zabbix_get


Den zabbix_sender brauchen Sie nur in speziellen Situationen. Zum Beispiel knnten die von Zabbix benutzten Ports durch eine Firewall-Restriktion nur in der Richtung Client zu Server offen sein. Somit knnte der Zabbix-Server keine Informationen von den zu berwachenden Rechnern abholen. Mit zabbix_sender knnten Sie Informationen vom Client an den Server schicken. Die genaue Einrichtung des Trappers finden Sie ausfhrlich in der Dokumentation. Dieses Tool setzen Sie normalerweise in selbst geschriebenen Scripten ein. Welche Parameter Sie in Zusammenhang mit dem Tool benutzen knnen

TecChannel

52

finden Sie in der Dokumentation oder mit dem Aufruf von ./zabbix_sender h . quivalent hierzu arbeitet zabbix_get, nur in die andere Richtung. Damit knnen Sie einen Agenten ansprechen und somit Informationen von einem Client beziehen. Das Tool wird in der Regel fr Fehlersuche bei einem Zabbix-Agent genommen.

zabbix_agentd.conf
Diese Datei ist quivalent zu zabbix_server.conf fr die Agenten-Seite der Monitoring-Software zustndig. Auch hier die wichtigen Parameter in einer Kurzbersicht.
Konfiguration des Trapper-Daemon Parameter Server=127.0.0.1 Bedeutung Hier geben Sie die IP-Adresse des Zabbix-Servers an. Luft der Agent auf dem Server selbst, geben Sie die Localhost-Adresse ein. Denn nur von der hier eingetragenen IP-Adresse darf auf die vom Zabbix-Agenten geffneten Ports zugegriffen werden. Der Port, auf den der Agent nach den Anfragen des Servers horchen soll. Mit diesem Parameter knnen Sie eigene Zabbix-Parameter definieren. Dies bedarf einer umfangreicheren Erklrung und ist deshalb an spterer Stelle genau erlutert. Vielleicht bentigen Sie diese gar nicht, da die Hausmittel von Zabbix sehr umfangreich sind.

ListenPort=10050

UserParameter=

Den Agent mssen Sie nicht zwingend als Daemon starten. Fr diesen Fall ist die Datei zabbix_agent.conf zustndig. Sollten Sie diese Variante nutzen, gibt ein Blick in die Dokumentation weiteren Aufschluss.

Letzte vorbereitende Schritte


Der Entwickler empfiehlt auf den zu berwachenden Rechnern die Datei /etc/services zu modifizieren. Sie sollte die Zeilen zabbix_agent 10050/tcp und zabbix_trap 10051/tcp hinzufgen. Haben Sie in den entsprechenden Konfigurations-Dateien von Zabbix andere Ports angegeben, so sind diese hier entsprechend zu verwenden.

Lokale Dienste: Die Eintrge in die Datei /etc/services sind nicht zwingend notwendig, allerdings eine Empfehlung.

TecChannel

53

Ebenso mssen Sie einen Benutzer zabbix anlegen. Nur diesem ist es erlaubt, die Zabbix-Daemons zu starten. Dies geschieht mit useradd m zabbix .

Starten der Zabbix-Daemons


Sind alle Vorbereitungen geschafft, knnen Sie die Zabbix-Daemons als Benutzer zabbix ( su zabbix ) starten. Die ausfhrbaren Dateien knnen Sie entweder mittels start/stop-Script steuern oder die Binr-Datei direkt aufrufen. Beispiel fr start/stop-Scripte haben die Entwickler im Sourcen-Verzeichnis von Zabbix unter ./misc/init.d hinterlegt. Es gibt Beispiel-Scripte fr Debian, Fedora, FreeBSD, Gentoo, Red Hat, SUSE und Tru64. Eventuell mssen Sie die Dateien noch Ihren Bedrfnissen anpassen. Sie brauchen diese zum Beispiel, wenn Sie bei einem Neustart die Zabbix-Daemons automatisch starten wollen. Vorerst sollte ein direkter Aufruf gengen. /user/local/sbin/zabbix_server /user/local/sbin/zabbix_agentd Nun sollten diverse Zabbix-Daemons laufen. Sie knnen das zum Beispiel so berprfen: ps -aef | grep zabbix Wahlweise knnen Sie die Logdateien konsultieren. Wo Sie diese finden, ist in der jeweiligen Konfigurations-Datei unter /etc/zabbix/ hinterlegt.

Erfolg! Laut Logdatei sind diverse Zabbix-Server-Daemons gestartet.

Dieser Beitrag hat sich zunchst auf die Installation von Zabbix beschrnkt. Der zweite Teil wird Ihnen zeigen, wie Zabbix im tglichen Gebrauch von Nutzen sein kann.

Zabbix-Agent unter Windows einrichten


Die Installation des Windows-Agenten ist laut Dokumentation relativ einfach und erfordert im Prinzip nur drei Schritte. Zunchst einmal mssen Sie eine Konfigurations-Datei einrichten. Zum Beispiel kann dies c:\zabbix_agentd.conf sein. Die Syntax ist dieselbe, wie unter Linux/Unix. Deswegen knnen Sie eine solche auch einfach an die gewnschte Stelle kopieren und anpassen. Danach erfolgt die Installation des Zabbix-Agenten als selbst startender Dienst. Hierzu ist die Eingabe von zabbix_agentd.exe --install notwendig. Sie finden die Datei im Verzeichnis ./bin der Sourcen. Haben Sie die Konfigurations-Datei nicht in c:\ abgelegt, geben Sie den Pfad via --config an. Zum Beispiel zabbix_agentd.exe --config <ihre Konfigurationsdatei> install . Nun knnen Sie den Zabbix-Agenten starten: zabbix_agentd.exe --start . Wahlweise auch ber die Dienste-GUI ihres Systems.

TecChannel

54

Vista-tauglich: Zabbix untersttzt auch Windows Vista.

In unserem Test funktionierte dies mit Windows Vista allerdings nicht. Der Dienst lie sich zwar installieren, aber nicht starten. Abhilfe schaffte hier das Installations-Paket von http://www.suiviperf.com/zabbix/ (http://www.suiviperf.com/zabbix/) . Hiermit knnen Sie in gewohnter Windows-Manier, ohne Kommandozeile, den Agenten installieren, die Server-IP-Adresse hinterlegen und der Dienst startet sich automatisch. Vergessen Sie nicht, die entsprechenden Ports in der Windows-Firewall freizugeben. Sonst kann der Server nicht mit dem Agenten kommunizieren. (jdo)

TecChannel

55

Server- und Client-berwachung mit Zabbix 1.4.2, Teil 2: Frontend


Sobald die Daemons auf Server und Client erst einmal laufen, knnen Sie Zabbix zum grten Teil bequem via Web-Frontend bedienen und verwalten. Dies ist der zweite Teil unserer Zabbix-Reihe.
VON Jrgen Donauer (16.11.2007) Der erste Teil des Zabbix-Workshops (http://www.tecchannel.de/link.cfm?pk=1737808) behandelte die Installation von Zabbix auf Server und Client. Wir gehen in diesem Artikel davon aus, dass Sie die verschiedenen Zabbix-Module bereits auf den zu berwachenden Gerten und dem zentralen Server installiert haben. Verlassen Sie die Kommandozeile vorerst und rufen das Frontend im Browser mit http://<zabbix-server>/zabbix/ auf. Loggen Sie sich als Benutzer admin ein. Sollten Sie das Passwort noch nicht gendert haben, bleibt es fr das erste Mal einloggen leer. Dies sollten Sie selbstredend sptestens jetzt ndern. In der Administrationsmaske knnen Sie auch gleich die Sprache auf Deutsch umstellen, falls gewnscht. Die Sprache knnen Sie fr jeden Anwender individuell umstellen.

Mehrsprachig: Zabbix untersttzt mittlerweile mehrere Sprachen. Dazu gehrt auch Deutsch.

Die Schaltflchen berwachung, Inventarisierung, Reports und Anmeldung sind fr eigentlich jedermann erreichbar. Allerdings nicht mit allen Mglichkeiten, die sich unter diesen Links verbergen. Sobald Sie sich mit einem bestimmten Benutzer angemeldet haben, erweitern sich dessen Mglichkeiten der Administration und Konfiguration.

Konfigurations-Maske
Die Benutzerverwaltung liegt hinter Administration verborgen. Hier knnen Sie nun nach Lust und Laune neue Anwender hinzufgen. Zabbix unterscheidet drei Arten von Anwendern: Zabbix Benutzer, Zabbix Admin und Zabbix Super Admin. Je nach User-Typ haben die Anwender verschiedene Rechte. Auerdem knnen Sie hinterlegen, auf welche Weise der Anwender von eventuellen Ereignissen erfahren soll. Ebenso knnen Sie einstellen, welche Gewichtungen von Nachrichten der Anwender erhalten soll. Dies kann via E-Mail, SMS und/oder Jabber geschehen.

TecChannel

56

Umfangreich: Die Administrationsmaske der Benutzer ist komplex, dennoch bersichtlich.

Unter Konfiguration knnen Sie zunchst festlegen, wie lange das Monitoring-Tool Informationen in der Datenbank speichern soll. Standardmig liegen die Werte hier bei einem Jahr. Des Weiteren ist der Kartei-Reiter Elemente einen Blick wert. Hier haben die Entwickler bereits mehr als 20 sinnvolle Templates hinterlegt. Diese sind hilfreich und knnen bei der Einrichtung von zu berwachenden Systemen viel Zeit sparen. Ebenso haben die Programmierer mittlerweile eine Import-/Export-Funktion eingebaut.

Hinzufgen von Clients


Unter Systeme knnen Sie nun mit dem Hinzufgen von zu berwachenden Systemen beginnen. Auf diesen sollten am besten bereits ein Zabbix-Agent installiert und aktiv sein. Sie knnen die Clients entweder mit dem DNS-Namen oder der IP-Adresse ansprechen. Ebenso knnten Sie den Port ndern, falls Sie das auf dem Client umgestellt haben. Um Zeit zu sparen, haben Sie die Mglichkeit, den Client mit einer Vorlage zu verlinken. Meist ist in den Vorlagen wesentlich mehr enthalten, als Sie brauchen. Aber mit einem einfachen Klick knnen Sie die unbenutzten Anfragen deaktivieren.

Neuzugang: Mittlerweile knnen Sie genaue Details der Clients angeben.

Es ist durchaus auch sinnvoll, die Rechner gewissen Gruppen zuzuordnen. Gerade in greren Umgebungen behlt der Administrator so leichter den berblick. Es kann ebenfalls nicht schaden, weitere System-Details anzugeben. Zum Beispiel knnen Sie hier das Betriebssystem, laufende Software und die MAC-Adresse hinterlegen.

TecChannel

57

Informativ: zabbix untersttzt mittlerweile auch Windows Vista.

Zu berwachende Elemente konfigurieren


Benutzen Sie die Templates, drften Sie fr die berwachung von Standard-Servern eher Elemente deaktivieren mssen, statt neue hinzuzufgen. Das Linux-Template enthlt zum Beispiel die berwachung der Verzeichnisse /, /home, /opt, /tmp, /usr und /var. Um diese Verzeichnisse also zu berwachen, mssen Sie nicht weiter Hand anlegen. Liegen einige dieser Verzeichnisse nicht auf eigenen Partitionen, knnten Sie diese wieder deaktivieren. Ebenfalls wird die Prozessorlast, laufender SMTP-Server, freier Speicher und Swap, FTP-Server, Apache, Netzwerk-Verkehr und so weiter berwacht. Des Weiteren berprft das System die Checksummen der Dateien /etc/passwd, /etc/services, /usr/bin/ssh und /usr/bin/sshd. Sollte sich an diesen Dateien etwas verndern, knnen Sie Zabbix Alarm schlagen lassen. Das Windows-Template berwacht per Standard unter anderem die Laufwerke c: und d:, CPU-Auslastung, Speicher, Apache und Dateizugriffs-Geschwindigkeiten. Sollten Sie andere Dienste berwachen wollen, knnen Sie neue hinzufgen. In unserem Beispiel mchten wir die Verfgbarkeit des Samba-Dienstes berwachen lassen. Dazu muss man wissen, dass der Prozess hier smbd heit. Dies kann von System zu System variieren. Aus der Dokumentation knnen wir entnehmen, dass man Prozesse mit dem Schlssel proc.num zhlt. Der zu berwachende Dienst wird in eckige Klammern geschrieben: proc.num[smbd] als Schlssel zhlt also, sofern aktiviert, ab sofort alle Samba-Prozesse auf dem Beispiel-Server. Es ist sinnvoll, die selbst definierten Elemente gewissen Applikationen zuzuweisen. Damit wird das Monitoring bersichtlicher.

berwache Samba mit mir: So berwachen Sie auf einfache Weise, ob der Datei-Server luft.

Konfiguration der Auslser und der Aktionen


Ein Auslser tritt dann in Kraft, wenn ein bestimmtes Ereignis eintritt. Er lst eine gewisse Aktion aus. Zum Beispiel realisiert der Zabbix-Server, dass die Samba-Prozesse auf null springen. Dies bedeutet, dass kein TecChannel

58

Prozess des Datei- und Druck-Servers mehr luft. Er ist somit nicht mehr erreichbar und wahrscheinlich down. Zabbix kann auf dieses Ereignis reagieren und lst eine vorkonfigurierte Aktion aus. Wie schon erwhnt kann dies via E-Mail, SMS und/oder Jabber erfolgen. Sollte die Zahl der Prozesse wieder eins oder hher sein, knnen Sie sich wiederum benachrichtigen lassen. Auch Auslser knnen Sie in die Stati aktiv oder inaktiv setzen. Der Ausdruck an sich steht in geschweiften Klammern. Hierin steht zuerst der zu berwachende Rechner, danach der Schlssel und dann was berwacht werden soll. Fr unser Beispiel she der Ausdruck eines neu erstellten Auslsers so aus: {IBM-Samba-Server:proc.num[smbd].last(0)}<1 Sie knnen den verschiedenen Auslsern unterschiedliche Prioritten zuweisen. Im Falle eines Datei- und Druck-Server wre es sicher ein Desaster, wenn die Samba-Prozesse nicht mehr laufen.

Was fr ein Desaster: So richten Sie einen Auslser fr ein bestimmtes Ereignis ein.

Mit den Aktionen knnen Sie nun definieren, wie Zabbix mit einem ausgelsten Ereignis umgehen soll. Fr unser Beispiel soll als Auslserquelle Auslser dienen. Weiterhin sollen als Voraussetzungen gelten, dass der Auslser Samba down aktiviert wird und der Auslserwert WAHR ist. Dies alles soll die Software an den Benutzer Admin schicken.

Benachrichtige mich! Wird Samba down mit dem Wert Wahr ausgelst, erhlt der Admin eine E-Mail.

Im Nachrichtenfeld bietet es sich an, sprechende Texte zu verwenden. Es ist durchaus von Vorteil, wenn der Empfnger einer solchen Mail direkt wei, was Sache ist.

Plne, Graphen und bersichtstafeln


Diese Schaltflchen erklren sich eigentlich von selbst. Diese Funktionen dienen der Visualisierung ihrer Netzwerk-Landschaft, Server-Dienste und so weiter. Graphen und Diagramme sagen oftmals mehr aus als weie Buchstaben und Zahlen auf schwarzen Hintergrnden.

TecChannel

59

Alles im berblick: Mit Plnen lassen sich Probleme visualisieren.

Mit den bersichtstafeln lassen sich wiederum genauere Analysen darstellen. Hier knnen Sie sich anzeigen lassen, was ihnen fr die einzelnen Systeme wichtig erscheint. Das kann CPU-Auslastung sein, Netzwerk-Verkehr, benutzter Festplattenplatz und so weiter.

Wer es genau wissen will: Mit den bersichtstafeln visualisiert der Zabbix-Server Trends.

Spielen Sie einfach ein bisschen mit diesen Funktionen herum. Was am Anfang etwas chaotisch erscheinen mag ergibt sehr schnell Sinn. Einmal begriffen ist die Konfiguration der Visualisierungs-Funktionen ein Kinderspiel.

Import- und Export-Funktion


Die Import- und Export-Funktion ist sinnvoll, wenn Sie zum Beispiel den Zabbix-Server ohne Datenverlust umziehen wollen. Sie knnten die konfigurierten Elemente Auslser und Graphen natrlich auch manuell aus der Datenbank via Kommandozeile exportieren und auf einem anderen System einfgen. Das muss aber nicht sein. Mit wenigen Klicks haben Sie das komfortabel im Browser erledigt. Sie whlen bei einem Export lediglich die gewnschten Elemente aus und klicken auf Exportieren.

TecChannel

60

Datensicherung: Die Export-Funktion ist ganz brauchbar fr ein Backup der manuellen Konfigurationen.

Der Export ist danach in Form einer XML-Datei verfgbar. Der Import erfolgt quivalent auf dem neuen System. Schade ist, dass man nicht die komplette Datenbank exportieren beziehungsweise importieren kann. Wollen Sie auch die Datenbank umziehen und die gesammelten Werte beibehalten, mssen Sie das anders bewerkstelligen. Sie knnen die Datei natrlich auch als eine Art Datensicherung verwenden.

Eigene Elemente erstellen


Wie erwhnt knnen Sie den Zabbix-Agenten um eigene Elemente beliebig erweitern. Dies ist fr Flle gedacht, wenn Sie etwas berwachen wollen, das in Zabbix nicht enthalten ist. Prinzipiell gibt es zwei Regeln, die Sie einhalten mssen. Der Befehl muss auf der Kommandozeile ausfhrbar sein und einen einzelnen Wert zurckgeben. Ansonsten knnen Sie Ihrer Fantasie freien Lauf lassen. Der Eintrag fr den Zabbix-Agenten-Dienst erfolgt in der Datei /etc/zabbix/zabbix_agentd.conf.

Einzelner Wert: Zabbix will einen eindeutigen Wert zur Verarbeitung haben.

In der Beispiel-Datei der Sourcen finden sich bereits einige auskommentierte Eintrge. Diese zeigen, dass ein eigener Schlssel immer mit UserParameter= beginnt. Danach vergeben Sie den Namen des Auslsers gefolgt von einem Komma. Dahinter befindet sich der Kommandozeilenbefehl. Das Ganze erklrt sich an einem Beispiel leichter. UserParameter=internet.alive,ping -c1 -W3 www.tecchannel.de | grep packet | awk '{print $4}' Der Name des Schlssels ist internet.alive . Der Befehl nach dem Komma macht nichts anderes als einen einzelnen Ping zu www.tecchannel.de auszufhren. Danach gibt er entweder den Wert 1 oder 0 zurck. Diesen Schlssel knnen Sie nun in den Elementen verwenden.

Eigenbau: So integrieren Sie den Schlssel internet.alive in Ihre Elemente.

Neuerungen in Zabbix 1.4.x


Zabbix bringt in Version 1.4.x einige Neuerungen mit sich. Dazu gehrt zum Beispiel Auto-Discovery. Dies soll das Einrichten von Zabbix-Clienten erleichtern. Die Funktion untersttzt IP-Ranges, berprfung auf laufende Dienste, Agenten und SNMP. Mit dem WEB Monitoring knnen Sie die Verfgbarkeit und Performance von Webseiten und webbasierten Applikationen berwachen. Es untersttzt das Weitergeben von GET- und POST-Variablen. Des Weiteren knnen Sie verschiedene Browser-Varianten simulieren. TecChannel

61

Welcher Browser? Zabbix stellt die gngigsten Browser-Varianten zur Verfgung.

Verwenden Sie die Monitoring-Software mit MySQL, passt ein Wachhund auf die Verfgbarkeit dieser auf. Fr groe Installationen ist das Distributed Monitoring sicher von Interesse: Zabbix untersttzt eine unlimitierte Anzahl von so genannten Nodes. Diese knnen Sie alle bequem von einer zentralen Stelle konfigurieren. Mehr zu den neuen Funktionen finden Sie in der Dokumentation in Kapitel 2.

Dokumentation
Die Dokumentation von Zabbix ist vorbildlich. Sie ist bersichtlich, komplett und informativ. Der kleine Faux-Pas mit der Installation des Agenten unter Windows Vista ist zwar rgerlich, schadet aber dem Gesamtbild des Pakets kaum. Wenn Sie die Komplexitt von Zabbix voll berblicken mchten, werden Sie frher oder spter einen Blick in die Dokumentation (http://www.zabbix.com/documentation.php) werfen und sich schnell zurechtfinden. Ein weiterer Pluspunkt sind die zahlreichen darin enthaltenen Beispiele. Wer mit der Trial and Error-Methode nicht mehr weiter kommt, hat mit der Dokumentation einen guten Berater an seiner Seite. Einen Blick sind ebenfalls die Kapitel 6 und 8 Wert. Dort finden Sie einen Quick Start Guide und Tutorials. Leider gibt es diese derzeit nur in Englisch.

Fazit
Zabbix ist nach wie vor ein Vorzeige-Progamm der Open-Source-Szene. Es kann in allen Bereichen mit kommerziellen Produkten mithalten. Es hat sich seit Version 1.0 stndig deutlich verbessert und viele neue Funktionen mit sich gebracht. Die Komplexitt nahm eindeutig zu. Der bersichtlichkeit und guten Bedienbarkeit hat das allerdings wenig geschadet. Zabbix ist schon lange den Kinderschuhen entsprungen und bietet mittlerweile auch professionelle Untersttzung gegen Bezahlung an. Dies mag fr die eine oder andere Firma wichtig sein. Mehr Informationen zu diesem Thema finden Sie hier (http://www.zabbix.com/support.php) . Administratoren, die viele Systeme und Dienste zu berwachen haben sind mit Zabbix sehr gut beraten. Die Konfiguration von zu berwachenden Systemen ist dank zahlreicher Templates noch einfacher geworden. Hier knnen Sie Zeit sparen. Haben Sie dennoch Spezial-Anwendungen oder Wnsche, knnen Sie das mittels eigen kreierter Schlsselwerten realisieren. Zabbix ist nach wie vor eine uneingeschrnkte Empfehlung, wenn es um Monitoring-Software geht. Version 1.4 bietet noch mehr Visualisierungs-Graphen, mit denen sich Trend leichter ausmachen lassen. Darber hinaus ist es kostenlos und funktioniert. Auerdem ist die Untersttzung zahlreicher Plattformen ein weiterer dicker Pluspunkt. (jdo)

IDG Business Media GmbH Alle Rechte vorbehalten. Jegliche Vervielfltigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Business Media GmbH. DPA-Texte und Bilder sind urheberrechtlich geschtzt und drfen weder reproduziert noch wiederverwendet oder fr gewerbliche Zwecke verwendet werden. Fr den Fall, dass in TecChannel unzutreffende Informationen verffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlssigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion bernimmt keine Haftung fr unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Fr Inhalte externer Seiten, auf die von TecChannel aus gelinkt wird, bernimmt die IDG Business Media GmbH keine Verantwortung.

TecChannel

62