spinnifex
Goto Top

Erste Hilfe zu iLO bzw. Wake on LAN

Hallo Kollegen,

soweit ich Euch als Home Admin so bezeichnen darf ... face-wink

Es geht um einen verschlafenen Server, der auf WoL nicht reagiert.

Folgende Soft/Hardware-Umgebung:
SERVER: Win 2008 Foundation (tagesaktuell) läuft auf einem HP Proliant DL 120 G7
ADMIN-CLIENT: Win10pro (tagesaktuell) auf einem handelsüblichen Laptop
  • WAKEONLAN2 / WOL2
  • iLO RESTful Interface Tool

Folgende Einstellungen am Server:
BIOS: Wake on LAN = Enabled
NIC#1 / Energie:
aktiviert sind alle drei Optionen: Gerät kann Computer..., Computer kann Gerät..., nur Magic Packet kann ...

Die aktuelle Netzwerkanbindung läuft an einer FritzBox über ein AVM-Powerline-System. Das Problem bestand aber auch bei direktem Anschluss an den Router. Alle anderen notwendigen Netzwerkfunktionen funktionieren einwandfrei, ein PortScan liefert alle erwarteten Ports und Freigaben.

Problem 1:
Ich habe mehrere WoL-Tools probiert, um den Server mit den genannten Einstellungen zu wecken - es wollte mir nicht gelingen. Das Tool WOL2 habe ich behalten, weil der Server damit immerhin auf den ShutDown-Befehl reagiert (sonst habe ich ihn über den RDC heruntergefahren) und die richtige MAC-Adresse ausliest. In WoL2 habe ich alle vier WakeUp-Modi Standard, Broadcats, Netcast und Direktausprobiert.

Problem 2:
In der Hoffnung stattdessen das von HP so gepriesene iLO-Feature des Servers nutzen zu können, habe ich das iLO RESTful Interface Tool installiert, habe auch den Papp-Anhänger mit den iLO Default Network Settings zur Verfügung. Hier auch nur einen Einstieg in die Command Line Syntax zu bekommen, bin ich einfach zu bl..d

Meine Bitte:
Gibt es ein Server/Client-WoL-Tool, bei dem der Client den Eingang eine Magic Packets im Betrieb bestätigt / oder eine andere Möglichkeit den Erhalt dort zu monitoren? Was sind die ersten Schritte/ cmd-Lines um mit iLO RESTful Kontakt zu dem iLO--Server aufzunehmen?

Nachdem alle anderen Geräte im Netz per WLAN verbunden sind, kann ich den WoL auf keinem anderen Gerät probieren, was zu einer systematischen Fehlersuche ja eigentlich zwingend dazugehören würde - sorry!

Schönen Dank allerseits!

Content-Key: 620773

Url: https://administrator.de/contentid/620773

Printed on: February 27, 2024 at 22:02 o'clock

Member: gilligan
gilligan Nov 09, 2020 at 17:00:41 (UTC)
Goto Top
Server 2008 sollte man evtl. eh entsorgen aber als Tipp in die richtige Richtung: iLO wird per webinterface bedient, die IP Settings und User/PW werden beim Bootvorgang eingestellt (F8)..
Member: spinnifex
spinnifex Nov 09, 2020 updated at 17:14:55 (UTC)
Goto Top
Hallo gilligan,

iLO per Webinterface wäre schön, weil dann vielleicht dann sogar ich dahintersteigen könnte. Kann ich bei einem Hersteller-Reset (2nd Hand Hardware) davon ausgehen, dass dieses Interface erreichbar ist? Zur Verüfung habe ich als iLO Defaults: Seriennr., Username. DNS Name und Passwort. Auf den DNS-Namen reagiert der Server weder per PortScan noch per Port 80. Würde da ein manueller Eintrag im DNS-Server helfen?

Der gute alte Win2008-Server tut brav seinen Dienst und die Installation ließ sich auf früherer Hardware auch ganz lieb wecken. Wie war das noch? Never change a running System?

Danke!
Member: tikayevent
tikayevent Nov 09, 2020 updated at 17:25:33 (UTC)
Goto Top
Evtl. ist iLO deaktiviert. Wenn das Passwort unbekannt ist, gibt es einen DIP-Schalter auf dem Mainboard (welchen sieht man auf dem Deckelaufkleber), um die Sicherheitsfunktionen für den Moment zu deaktivieren.

Je nach Serverausstattung muss man dann entweder den 1. LAN-Port oder den gesonderten iLO-LAN-Port nutzen.

Der gute alte Win2008-Server tut brav seinen Dienst
Schön für den, dann trenne aber bitte das Netzwerk, in dem der Server ist, physikalisch vollständig vom Internet. So eine alte Grütze ist eine Sicherheitsgefahr, nicht nur für dich sondern für das ganze Internet. Sowas wird sehr gerne als Jumphost oder Botzombie genutzt. Eine Abtrennung zum Internet reicht nicht, weil die meisten Angriffe nicht mehr direkt sondern indirekt laufen. Du bekommst über irgendeine Webseite oder Mail was untergeschoben, deinem PC tut es nichts, aber der Server hat ne Breitbandverseuchung.
Member: gilligan
gilligan Nov 09, 2020 at 17:24:02 (UTC)
Goto Top
Du kannst die IP Adresse dort einstellen/nachsehen, kenne jetzt den dl120 g7 nicht auswendig, könnte sein dass dieser einen shared lan port hat oder einen dedizierten. Dann gibst du einfach die IP Adresse in deinen Browser ein, that's it.
Never change a running system mag richtig sein aber die entdeckten Sicherheitslücken werden da halt auch nicht weniger face-smile
Member: spinnifex
spinnifex Nov 09, 2020 updated at 17:37:29 (UTC)
Goto Top
Die Eingabe der fest vergebenen IP im Browser führt auf den Intranet-Server der Maschine. Im PortScan tauchen keine Adressen auf, die sich nicht anderweitig zuordnen lassen. Also muss ich wohl doch direkt an den Kasten und mal mit F8 nachschauen. Mach ich dann mal, sobald ich wieder in seine Nähe komme.

Was die Sicherheitslücken betrifft, habt Ihr natürlich recht. Allein durch meine ziemlich gemächliche Upload-Anbindung und die täglich wechselnde WAN IP dürfte der Server hinter Firewall und SPI einigermaßen unattraktiv für Bots und Kumpanen sein. In den vergangenen Jahren des Betriebs, habe ich bei gelegentlichen Security-Scans zumindst nichts Verdächtiges entdecken können.

Gibt es Ideen zu besseren WakeOnLAN oder iLO-Tools, als die ich bisher genannt habe?

Vielen Dank!
Member: gilligan
gilligan Nov 09, 2020 at 17:42:03 (UTC)
Goto Top
Du kannst auch mal nach dem HP Lights-Out Configuration Utility ausschau halten, wenn der Server BareMetal läuft sollte es damit auch klappen..
https://support.hpe.com/hpsc/swd/public/detail?swItemId=MTX_c2f8737292c7 ...
Member: LordGurke
LordGurke Nov 09, 2020 at 18:54:55 (UTC)
Goto Top
Zitat von @spinnifex:

Die Eingabe der fest vergebenen IP im Browser führt auf den Intranet-Server der Maschine.

Die iLO hat ihre eigene IP. Die hat auch bei den allermeisten Geräten ihren eigenen dedizierten Netzwerkport (gekennzeichnet mit so einem Schraubenschlüssel-Symbol). Da muss dann ein zweites Netzwerkkabel rein.


Was die Sicherheitslücken betrifft, habt Ihr natürlich recht. Allein durch meine ziemlich gemächliche Upload-Anbindung und die täglich wechselnde WAN IP dürfte der Server hinter Firewall und SPI einigermaßen unattraktiv für Bots und Kumpanen sein. In den vergangenen Jahren des Betriebs, habe ich bei gelegentlichen Security-Scans zumindst nichts Verdächtiges entdecken können.

Und was machst du, wenn eine neue Lücke á la Wannacry entdeckt wird, die aus dem internen Netz ausgenutzt wird um die komplette Büchse zu übernehmen?
Member: tikayevent
tikayevent Nov 09, 2020 at 19:00:11 (UTC)
Goto Top
Allein durch meine ziemlich gemächliche Upload-Anbindung und die täglich wechselnde WAN IP dürfte der Server hinter Firewall und SPI einigermaßen unattraktiv für Bots und Kumpanen sein.

Schlechte Internetverbindungen und dynamische IP-Adressen zählen nicht zu den anerkannten Sicherheitsmaßnahmen. Das Mirai-Botnetz hat Embedded-Geräte (Router, Kameras, ...) verwendet. Also keine/geringe Hardware-Leistung, die Netzwerkbeeinträchtigungen waren jedoch enorm.