BlogServer-Fernsteuerung per IPMI

Server-Fernsteuerung per IPMI

Ich habe in mehreren meiner Artikel zur Bare-Metal-Installation von Betriebssystemen – meist bei VMware ESXi  – auf das Intelligent Platform Management Interface (IPMI) verwiesen im Zusammenhang mit dem Booten von einem virtuellen ISO. Remote-Server-Management kann aber deutlich mehr, wie dieser Artikel demonstriert.

Du benötigst mehr Know-how rund um MS Azure? Dann empfehlen wir dir unsere Microsoft Azure Schulungen!

Wie der IPMI-Standard entstanden ist, wie IPMI im Groben funktioniert und aus welchen Komponenten IPMI besteht, habe ich im Blog-Beitrag “Was ist das Intelligent Platform Management Interface (IPMI)?” beschrieben. IPMI ist ein herstellerunabhängiger, offener Standard für die hardwarebasierten Remote-Überwachung und Fernadministration von Servern auf dem auch die Remote-Management-Standards der führenden Hardware-Hersteller wie HPE (HP Integrated Lights-Out – ILO), Dell (DRAC), IBM (IBM Remote Supervisor Adapter) und Cisco (Integrated Management Controller – IMC) basieren.

Der Hauptanwendungsbereich von IPMI ist dabei das „Lights out Management“ (LoM) von Servern, was auf dem Mainboard eine Baseboard Management Controller (BMC) voraussetzt, der mit einem nach außen geführten Netzwerk-Adapter verbunden ist, über den du dich über das Netzwerk mit dem zu administrieren Server verbinden kannst. Das klappt zunächst völlig unabhängig vom Betriebszustand des Server, sofern der mit einer Spannungsquelle verbunden ist, obgleich der Umfang der verwaltbaren Funktionen natürlich größer bei einem eingeschalteten Server ist. Wie das im Detail in der Praxis aussieht zeigt dieser Beitrag am Beispiel eines Supermicro-Mainboards.

Netzwerkkonfiguration mit IPMI

So kannst du einen ausgeschalteten Server bequem über das Netzwerk einschalten, sofern du dessen Management-Interface mit der für dein Netzwerk passenden IP-Konfiguration versehen hast. Bei Supermicro findest du die entsprechenden Einstellungen unter „Configuration / Network“:

Die LAN-Adapter-Konfiguration des Management-Interfaces.

Zudem kannst du hier nicht nur das „Management“-Netzwerk konfigurieren, sondern auch verschiedene Verzeichnisse anbinden (ADDS; LDAP, RADIUS), die SNMP-Schnittstelle für dein externes Monitoring einrichten, SSL-Zertifikate hochladen oder den FAN-Mode konfigurieren. Auch die Nutzerverwaltung findet sich hier. Das ist insbesondere unter Sicherheitsaspekten wichtig, denn gelingt es einem Angreifer, Zugriff auf den eines Baseboard Management Controller (BMC) zu erlangen, kann dieser theoretisch alle auf Betriebssystemebene konfigurierten Sicherheitsmaßnahmen des Servers umgehen, da IPMI betriebssystemunabhängig arbeitet.

Daher solltest du den HTTP-Zugriff auf HTTPS beschränken und von den gebotenen Möglichkeiten des Benutzermanagements Gebrauch machen.

So kannst du z. B. im Menü „Configuration / Active Directory“ mit einem Klick auf den Link “To enable or configure the Active Directory server, please click here“ die Active Directory Authentication aktivieren.

Das Einbinden eines Active Directory.

Ferner kannst du unter „Configuration / User“ lokale Nutzer mit entsprechenden Netzwerkprivilegien (Rollen) anlegen.

Mache im lokalen User-Management vom Rollen-Konzept (Network Privileges) nach den Least Priviliged Princip Gebrauch, z. B. durch die Rolle „User“.

Weitere Einstellungen, die du unter „Configuration“ vornehmen kannst, ist unter anderem auch der Fan-Mode.

Das Einstellen des Lüfter-Modus.

Am wichtigsten ist aber zweifelsohne die für dein Netzwerk passende IP-Konfiguration, damit du mit der eigentlichen Fernwartung starten kannst.

Passt die IP-Konfiguration, lässt sich der Server über eine entsprechende Workstation kontaktieren und wie z. B.  im Menü „Remote Control / Power Control“ mit „Power On Server“ und einem Klick auf „Perform Action“ einschalten.

Die Möglichkeiten zur Fernsteuerung eines momentan ausgeschalteten Servers.

Alternativ kannst du unter „Remote Control / iKVM/HTML5“ mit einem Klick auf „iKVM/HTML5“ komfortabel eine HTML5-basierte Console in einem Browser-Fenster öffnen und dort im Menü „Power Control“ den Eintrag „Set Power On“ wählen:

Netzwerkbasiertes KVM zum Einschalten eines Servers.

Du kannst dann dem Server beim Booten zusehen, auch ohne physisches Terminal. Zudem erkennst du anhand der Menüeinträge, dass du ein virtuelles Keyboard erhalten kannst, den momentanen Bildschirminhalt oder den kompletten Bootprozess mitschneiden und verschiedenen anderen Funktionen nutzen kannst.

Der Boot-Prozess eines Servers als Remote-Stream „vor“ dem Starten des Betriebssystems.
Das Booten eines ESXi-Servers per Fernsteuerung mit virtuellem Keyboard.

Bei einem einschalteten Server kannst du unter „Server Health / Sensor Readings“ entsprechende Hardware-Parameter abrufen und dabei passende Filter definieren, wie „Temperature Sensors“, „Fan Sensors oder „Voltage Sensors“.

Die Remote-Abfrage von Hardware-Sensoren.

Entsprechende FRU-Informationen kannst du unter „System / FRU Readings“ abrufen sowie Hardware-Informationen im gleichnamigen Menü unter „System“.

Das Abrufen von Hardwareinformationen.

Virtuelle Boot-Medien hingegen lassen sich im Menü „Virtual Media“ einlegen. Trage hier z. B. die IP-Adresse deines NAS-Systems oder eines Fileservers und den Pfad zur Freigabe mit dem gewünschten Image ein und klicke dann auf „Mount“.

Das Mounten eines virtuellen CD-ROMs mit eingelegtem ISO.

Über das Menü Maintenance hast du Zugang zum BIOS (BIOS Update), zum Firmware Update, zur IPMI-Konfiguration oder zum Maintenance Event Log.

Auch hardwarenahe Verwaltungsvorgänge lassen sich über IPMI steuern.

Server-Fernsteuerung per IPMI: Mein Fazit

 Das „Intelligent Platform Management Interface“ (IPMI)  erleichtert die Fernverwaltung und Fernüberwachung lokaler Server enorm. Du musst allerdings von den Möglichkeiten Gebrauch machen, eine möglichst sichere Konfiguration vorzunehmen. Dazu gehören das Absichern der Verbindung mittels SSL/HTTPS, Nutzer-Konten aus dem ADDS und ein Layer-2-Netzwerk-Design mit einem separaten VLAN oder isolierten Segment.

Kontakt

Dein INCAS Team
Akkordion öffnen
telephone-icon-contact-coaching-box
0800 4772466
email-icon-contact-coaching-box
info@incas-training.de

*“ zeigt erforderliche Felder an

Hidden
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Schulungen die dich interessieren könnten

Bewertungen

Kundenstimme männlich
Torsten B.
Westdeutscher Rundfunk WDR
star-participantstar-participantstar-participantstar-participantstar-participant
Das Seminar hat nicht nur Spaß gemacht, sondern auch wirklich 'ne Menge gebracht :-)
Kundenstimme männlich
Wolfgang N.
ThyssenKrupp Nirosta
star-participantstar-participantstar-participantstar-participantstar-participant
Eine gute Adresse für das Erlernen scheinbar schwieriger und trockener Themen, die hier gut aufbereitet werden.
Kundenstimme männlich
Dimitri B.
HSBC Trinkaus
star-participantstar-participantstar-participantstar-participantstar-participant
Sehr informativ und in der Praxis wiederverwendbar.
Kundenstimme männlich
Nina P.
GEUTEBRÜCK GmbH
star-participantstar-participantstar-participantstar-participantstar-participant
Das Seminar hat meine Erwartungen voll erfüllt. Man hat gemerkt, dass der Trainer Spaß an der Sache und sehr viel Ahnung vom Thema hat. Das Gefühl hat man nicht in allen Schulungen (auf Schulungen im Allgemeinen bezogen).