Erste Hilfe zu iLO bzw. Wake on LAN
Hallo Kollegen,
soweit ich Euch als Home Admin so bezeichnen darf ...
Es geht um einen verschlafenen Server, der auf WoL nicht reagiert.
Folgende Soft/Hardware-Umgebung:
SERVER: Win 2008 Foundation (tagesaktuell) läuft auf einem HP Proliant DL 120 G7
ADMIN-CLIENT: Win10pro (tagesaktuell) auf einem handelsüblichen Laptop
Folgende Einstellungen am Server:
BIOS: Wake on LAN = Enabled
NIC#1 / Energie:
aktiviert sind alle drei Optionen: Gerät kann Computer..., Computer kann Gerät..., nur Magic Packet kann ...
Die aktuelle Netzwerkanbindung läuft an einer FritzBox über ein AVM-Powerline-System. Das Problem bestand aber auch bei direktem Anschluss an den Router. Alle anderen notwendigen Netzwerkfunktionen funktionieren einwandfrei, ein PortScan liefert alle erwarteten Ports und Freigaben.
Problem 1:
Ich habe mehrere WoL-Tools probiert, um den Server mit den genannten Einstellungen zu wecken - es wollte mir nicht gelingen. Das Tool WOL2 habe ich behalten, weil der Server damit immerhin auf den ShutDown-Befehl reagiert (sonst habe ich ihn über den RDC heruntergefahren) und die richtige MAC-Adresse ausliest. In WoL2 habe ich alle vier WakeUp-Modi Standard, Broadcats, Netcast und Direktausprobiert.
Problem 2:
In der Hoffnung stattdessen das von HP so gepriesene iLO-Feature des Servers nutzen zu können, habe ich das iLO RESTful Interface Tool installiert, habe auch den Papp-Anhänger mit den iLO Default Network Settings zur Verfügung. Hier auch nur einen Einstieg in die Command Line Syntax zu bekommen, bin ich einfach zu bl..d
Meine Bitte:
Gibt es ein Server/Client-WoL-Tool, bei dem der Client den Eingang eine Magic Packets im Betrieb bestätigt / oder eine andere Möglichkeit den Erhalt dort zu monitoren? Was sind die ersten Schritte/ cmd-Lines um mit iLO RESTful Kontakt zu dem iLO--Server aufzunehmen?
Nachdem alle anderen Geräte im Netz per WLAN verbunden sind, kann ich den WoL auf keinem anderen Gerät probieren, was zu einer systematischen Fehlersuche ja eigentlich zwingend dazugehören würde - sorry!
Schönen Dank allerseits!
soweit ich Euch als Home Admin so bezeichnen darf ...
Es geht um einen verschlafenen Server, der auf WoL nicht reagiert.
Folgende Soft/Hardware-Umgebung:
SERVER: Win 2008 Foundation (tagesaktuell) läuft auf einem HP Proliant DL 120 G7
ADMIN-CLIENT: Win10pro (tagesaktuell) auf einem handelsüblichen Laptop
- WAKEONLAN2 / WOL2
- iLO RESTful Interface Tool
Folgende Einstellungen am Server:
BIOS: Wake on LAN = Enabled
NIC#1 / Energie:
aktiviert sind alle drei Optionen: Gerät kann Computer..., Computer kann Gerät..., nur Magic Packet kann ...
Die aktuelle Netzwerkanbindung läuft an einer FritzBox über ein AVM-Powerline-System. Das Problem bestand aber auch bei direktem Anschluss an den Router. Alle anderen notwendigen Netzwerkfunktionen funktionieren einwandfrei, ein PortScan liefert alle erwarteten Ports und Freigaben.
Problem 1:
Ich habe mehrere WoL-Tools probiert, um den Server mit den genannten Einstellungen zu wecken - es wollte mir nicht gelingen. Das Tool WOL2 habe ich behalten, weil der Server damit immerhin auf den ShutDown-Befehl reagiert (sonst habe ich ihn über den RDC heruntergefahren) und die richtige MAC-Adresse ausliest. In WoL2 habe ich alle vier WakeUp-Modi Standard, Broadcats, Netcast und Direktausprobiert.
Problem 2:
In der Hoffnung stattdessen das von HP so gepriesene iLO-Feature des Servers nutzen zu können, habe ich das iLO RESTful Interface Tool installiert, habe auch den Papp-Anhänger mit den iLO Default Network Settings zur Verfügung. Hier auch nur einen Einstieg in die Command Line Syntax zu bekommen, bin ich einfach zu bl..d
Meine Bitte:
Gibt es ein Server/Client-WoL-Tool, bei dem der Client den Eingang eine Magic Packets im Betrieb bestätigt / oder eine andere Möglichkeit den Erhalt dort zu monitoren? Was sind die ersten Schritte/ cmd-Lines um mit iLO RESTful Kontakt zu dem iLO--Server aufzunehmen?
Nachdem alle anderen Geräte im Netz per WLAN verbunden sind, kann ich den WoL auf keinem anderen Gerät probieren, was zu einer systematischen Fehlersuche ja eigentlich zwingend dazugehören würde - sorry!
Schönen Dank allerseits!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 620773
Url: https://administrator.de/contentid/620773
Ausgedruckt am: 25.11.2024 um 06:11 Uhr
8 Kommentare
Neuester Kommentar
Evtl. ist iLO deaktiviert. Wenn das Passwort unbekannt ist, gibt es einen DIP-Schalter auf dem Mainboard (welchen sieht man auf dem Deckelaufkleber), um die Sicherheitsfunktionen für den Moment zu deaktivieren.
Je nach Serverausstattung muss man dann entweder den 1. LAN-Port oder den gesonderten iLO-LAN-Port nutzen.
Je nach Serverausstattung muss man dann entweder den 1. LAN-Port oder den gesonderten iLO-LAN-Port nutzen.
Der gute alte Win2008-Server tut brav seinen Dienst
Schön für den, dann trenne aber bitte das Netzwerk, in dem der Server ist, physikalisch vollständig vom Internet. So eine alte Grütze ist eine Sicherheitsgefahr, nicht nur für dich sondern für das ganze Internet. Sowas wird sehr gerne als Jumphost oder Botzombie genutzt. Eine Abtrennung zum Internet reicht nicht, weil die meisten Angriffe nicht mehr direkt sondern indirekt laufen. Du bekommst über irgendeine Webseite oder Mail was untergeschoben, deinem PC tut es nichts, aber der Server hat ne Breitbandverseuchung.
Du kannst die IP Adresse dort einstellen/nachsehen, kenne jetzt den dl120 g7 nicht auswendig, könnte sein dass dieser einen shared lan port hat oder einen dedizierten. Dann gibst du einfach die IP Adresse in deinen Browser ein, that's it.
Never change a running system mag richtig sein aber die entdeckten Sicherheitslücken werden da halt auch nicht weniger
Never change a running system mag richtig sein aber die entdeckten Sicherheitslücken werden da halt auch nicht weniger
Du kannst auch mal nach dem HP Lights-Out Configuration Utility ausschau halten, wenn der Server BareMetal läuft sollte es damit auch klappen..
https://support.hpe.com/hpsc/swd/public/detail?swItemId=MTX_c2f8737292c7 ...
https://support.hpe.com/hpsc/swd/public/detail?swItemId=MTX_c2f8737292c7 ...
Zitat von @spinnifex:
Die Eingabe der fest vergebenen IP im Browser führt auf den Intranet-Server der Maschine.
Die Eingabe der fest vergebenen IP im Browser führt auf den Intranet-Server der Maschine.
Die iLO hat ihre eigene IP. Die hat auch bei den allermeisten Geräten ihren eigenen dedizierten Netzwerkport (gekennzeichnet mit so einem Schraubenschlüssel-Symbol). Da muss dann ein zweites Netzwerkkabel rein.
Was die Sicherheitslücken betrifft, habt Ihr natürlich recht. Allein durch meine ziemlich gemächliche Upload-Anbindung und die täglich wechselnde WAN IP dürfte der Server hinter Firewall und SPI einigermaßen unattraktiv für Bots und Kumpanen sein. In den vergangenen Jahren des Betriebs, habe ich bei gelegentlichen Security-Scans zumindst nichts Verdächtiges entdecken können.
Und was machst du, wenn eine neue Lücke á la Wannacry entdeckt wird, die aus dem internen Netz ausgenutzt wird um die komplette Büchse zu übernehmen?
Allein durch meine ziemlich gemächliche Upload-Anbindung und die täglich wechselnde WAN IP dürfte der Server hinter Firewall und SPI einigermaßen unattraktiv für Bots und Kumpanen sein.
Schlechte Internetverbindungen und dynamische IP-Adressen zählen nicht zu den anerkannten Sicherheitsmaßnahmen. Das Mirai-Botnetz hat Embedded-Geräte (Router, Kameras, ...) verwendet. Also keine/geringe Hardware-Leistung, die Netzwerkbeeinträchtigungen waren jedoch enorm.