25
Was tun, wenn IPMI funktioniert, jedoch ohne Bild-Übertragung?
Hallo zusammen,
ich habe einen Rechner an einem entfernten Standort stehen. Der Rechner gehört zu einem voll ausgestatteten Arbeitsplatz, d.h. er besitzt eine dezidierte Grafikkarte und ist mit mehreren Monitoren verbunden. Der System-Datenträger des Rechners ist verschlüsselt, d.h. man muß beim Hochfahren vor dem Starten des eigentlichen Systems eine Passphrase eingeben. Der Rechner muß nach getaner Arbeit heruntergefahren werden.
Obwohl der Rechner Bestandteil eines Arbeitsplatzes ist, soll er auch per VPN aus der Ferne bedienbar sein. Das Einschalten aus der Ferne ist kein Problem, da der Rechner auf einem Supermicro X10SRi-F basiert und somit per IPMI ein- und ausgeschaltet sowie (theoretisch) vollständig fernbedient werden kann.
Hier liegt das Problem: Die Übertragung eines Monitorbildes per IPMI gelingt nur, wenn ausschließlich die integrierte Grafikkarte des Boards verwendet wird; das ist von Supermicro auch so dokumentiert. Das ist in diesem Fall aber nicht möglich, weil über den BMC nur VGA ausgegeben wird und er nur einen Ausgang hat. Die Verwendung einer zusätzlichen Grafikkarte für den Arbeitsplatz mit mehreren Monitoren ist also zwingend erforderlich.
Was würde Euch zur Lösung des Problems einfallen, wenn das Budget zu knapp wäre für die Anschaffung eines vollwertigen KVM-over-IP-Geräts?
Viele Grüße,
Gnampf
ich habe einen Rechner an einem entfernten Standort stehen. Der Rechner gehört zu einem voll ausgestatteten Arbeitsplatz, d.h. er besitzt eine dezidierte Grafikkarte und ist mit mehreren Monitoren verbunden. Der System-Datenträger des Rechners ist verschlüsselt, d.h. man muß beim Hochfahren vor dem Starten des eigentlichen Systems eine Passphrase eingeben. Der Rechner muß nach getaner Arbeit heruntergefahren werden.
Obwohl der Rechner Bestandteil eines Arbeitsplatzes ist, soll er auch per VPN aus der Ferne bedienbar sein. Das Einschalten aus der Ferne ist kein Problem, da der Rechner auf einem Supermicro X10SRi-F basiert und somit per IPMI ein- und ausgeschaltet sowie (theoretisch) vollständig fernbedient werden kann.
Hier liegt das Problem: Die Übertragung eines Monitorbildes per IPMI gelingt nur, wenn ausschließlich die integrierte Grafikkarte des Boards verwendet wird; das ist von Supermicro auch so dokumentiert. Das ist in diesem Fall aber nicht möglich, weil über den BMC nur VGA ausgegeben wird und er nur einen Ausgang hat. Die Verwendung einer zusätzlichen Grafikkarte für den Arbeitsplatz mit mehreren Monitoren ist also zwingend erforderlich.
Was würde Euch zur Lösung des Problems einfallen, wenn das Budget zu knapp wäre für die Anschaffung eines vollwertigen KVM-over-IP-Geräts?
Viele Grüße,
Gnampf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4724581073
Url: https://administrator.de/contentid/4724581073
Printed on: May 4, 2024 at 12:05 o'clock
25 Comments
Latest comment
Hallo,
Windows oder Linux ?
https://hdwh.de/windows-10-remote-desktop-zwei-monitore/
Multi-Monitor via Remote nervt doch eh meist nur. Sollen die 1:1 Ansicht haben oder genügt auch Programmwechsel? Wieso nicht mit RDP? Dies unterstützt auch mehrere Monitore.
TeamViewer ginge auch - da kann man hin un her schalten. Gleiches giblt für UltraVNC.
https://uvnc.com/docs/documentation-1-3-0/134-virtual-displays.html
Wie viele Monitore hat denn der Heim-Arbeitsplatz?
mfg Crusher
Windows oder Linux ?
https://hdwh.de/windows-10-remote-desktop-zwei-monitore/
Multi-Monitor via Remote nervt doch eh meist nur. Sollen die 1:1 Ansicht haben oder genügt auch Programmwechsel? Wieso nicht mit RDP? Dies unterstützt auch mehrere Monitore.
TeamViewer ginge auch - da kann man hin un her schalten. Gleiches giblt für UltraVNC.
https://uvnc.com/docs/documentation-1-3-0/134-virtual-displays.html
Wie viele Monitore hat denn der Heim-Arbeitsplatz?
mfg Crusher
Hallo!
Erst einmal vielen Dank für Deine Hilfe.
Ich glaube, ich habe das Problem nicht klar genug ausgedrückt. Das Problem ist nicht mehr vorhanden, sobald der Remote-Rechner hochgefahren ist; dann funktioniert alles wie gewünscht.
Das Problem ist, daß ich VOR dem Start des Betriebssystems des entfernten Rechners das Entschlüsselungs-Paßwort für die Festplatte aus der Ferne eingeben muß. Das kann ich nur, wenn ich den entfernten Bildschirm sehe. Da zu diesem Zeitpunkt das Betriebssystem des entfernten Rechners noch nicht läuft, muß ich dafür so etwas wie IPMI bzw. den BMC des Mainboards nutzen. Genau das ist aber nicht möglich, weil der entfernte Rechner eine zusätzliche Grafikkarte hat (weil mehrere Monitore daran hängen, die auch genutzt werden, wenn jemand direkt am entfernten Rechner arbeitet) und deshalb die Bildausgabe über IPMI bzw. BMC nicht möglich ist.
Mit anderen Worten: Ich kann die Festplatte des entfernten Rechners nicht entsperren, obwohl dessen Mainboard einen BMC besitzt und IPMI bietet; Grund ist die zusätzliche Grafikkarte im entfernten PC, die sozusagen die Bildausgabe via IPMI lahmlegt. Die Grafikkarte im entfernten Rechner wird benötigt, wenn der entfernte PC als regulärer Arbeitsplatz genutzt wird.
Viele Grüße,
Gnampf
P.S. Der entfernte PC läuft unter Windows, aber mein Problem ist wie gesagt völlig unabhängig vom Betriebssystem.
Erst einmal vielen Dank für Deine Hilfe.
Ich glaube, ich habe das Problem nicht klar genug ausgedrückt. Das Problem ist nicht mehr vorhanden, sobald der Remote-Rechner hochgefahren ist; dann funktioniert alles wie gewünscht.
Das Problem ist, daß ich VOR dem Start des Betriebssystems des entfernten Rechners das Entschlüsselungs-Paßwort für die Festplatte aus der Ferne eingeben muß. Das kann ich nur, wenn ich den entfernten Bildschirm sehe. Da zu diesem Zeitpunkt das Betriebssystem des entfernten Rechners noch nicht läuft, muß ich dafür so etwas wie IPMI bzw. den BMC des Mainboards nutzen. Genau das ist aber nicht möglich, weil der entfernte Rechner eine zusätzliche Grafikkarte hat (weil mehrere Monitore daran hängen, die auch genutzt werden, wenn jemand direkt am entfernten Rechner arbeitet) und deshalb die Bildausgabe über IPMI bzw. BMC nicht möglich ist.
Mit anderen Worten: Ich kann die Festplatte des entfernten Rechners nicht entsperren, obwohl dessen Mainboard einen BMC besitzt und IPMI bietet; Grund ist die zusätzliche Grafikkarte im entfernten PC, die sozusagen die Bildausgabe via IPMI lahmlegt. Die Grafikkarte im entfernten Rechner wird benötigt, wenn der entfernte PC als regulärer Arbeitsplatz genutzt wird.
Viele Grüße,
Gnampf
P.S. Der entfernte PC läuft unter Windows, aber mein Problem ist wie gesagt völlig unabhängig vom Betriebssystem.
@Crusher79
Er muss während des Bootvorgangs Eingaben tätigen können, um die Bootdisk entschlüsseln zu können. Da holt kein TeamViewer, VNC, RDP, …
@Gnampf
Da wirst du scheinbar nicht um eine IPKvm herum kommen. Alternativ kann man auch nen RPi dazu bewegen - bei den aktuellen Preisen und den von dir bereitzustellenden Aufwand kommt es mit einer fertigen IPKVM aufs selbe hinaus…
Gruß
em-pie
Er muss während des Bootvorgangs Eingaben tätigen können, um die Bootdisk entschlüsseln zu können. Da holt kein TeamViewer, VNC, RDP, …
@Gnampf
Da wirst du scheinbar nicht um eine IPKvm herum kommen. Alternativ kann man auch nen RPi dazu bewegen - bei den aktuellen Preisen und den von dir bereitzustellenden Aufwand kommt es mit einer fertigen IPKVM aufs selbe hinaus…
Gruß
em-pie
2
Ah verdammt. Übersehen.
Es gibt doch auch Dongle, die HDMI Device o.ä. vorgaugeln. Gilt das auch für VGA?
Idee wäre die interne Karte zu verbinden und damit den Prozess für das Enschlüsseln abzubilden:
- Interne Grafikkarte mit Monitor oder Dongle der diesen vorgaugelt?
- Graffikkarte für die normalen Monitore
Ginge sowas vlt.? Dongle wäre nur schön, da man nicht extra kleinen Monitor neben den PC aufbauen müsste. Wobei das ggf. ja noch vertretbar wäre.
Ich würde mal so eine Kombination probieren. Unter den Betriebssystem kann man dann ggf. den überflüssigen abschalten/ deaktvieren. Damit nicht der Dummy Monitor mit übergeben wird.
Könnte sowas hinhauen?
Es gibt doch auch Dongle, die HDMI Device o.ä. vorgaugeln. Gilt das auch für VGA?
Idee wäre die interne Karte zu verbinden und damit den Prozess für das Enschlüsseln abzubilden:
- Interne Grafikkarte mit Monitor oder Dongle der diesen vorgaugelt?
- Graffikkarte für die normalen Monitore
Ginge sowas vlt.? Dongle wäre nur schön, da man nicht extra kleinen Monitor neben den PC aufbauen müsste. Wobei das ggf. ja noch vertretbar wäre.
Ich würde mal so eine Kombination probieren. Unter den Betriebssystem kann man dann ggf. den überflüssigen abschalten/ deaktvieren. Damit nicht der Dummy Monitor mit übergeben wird.
Könnte sowas hinhauen?
1
@em-pie
Vielen Dank für Deinen Beitrag!
Das fürchte ich auch. Ich habe heute schon nach entsprechenden Geräten gesucht, aber komischerweise fast nichts Gebrauchtes gefunden (sonst gibt es auf dem Gebrauchtmarkt fast alles), oder Gebrauchtes zu Neupreisen oder ohne Kabel (Günstig gebraucht + Spezialkabel = fast Neupreis).
Die Lösung mit dem Raspi habe ich zufällig heute auch gesehen. Sie hat aber einen großen Nachteil: Das Bild-Signal wird nicht durchgeschleift. Damit wäre zumindest ein zusätzlicher DVI-Splitter erforderlich ... Ich muß nochmals nachsehen, wie viel die spezielle Stromversorgung für diese Lösung kostet.
Vielleicht noch morgen abwarten, was für andere Ideen noch hier auftauchen
Viele Grüße,
Gnampf
Vielen Dank für Deinen Beitrag!
Das fürchte ich auch. Ich habe heute schon nach entsprechenden Geräten gesucht, aber komischerweise fast nichts Gebrauchtes gefunden (sonst gibt es auf dem Gebrauchtmarkt fast alles), oder Gebrauchtes zu Neupreisen oder ohne Kabel (Günstig gebraucht + Spezialkabel = fast Neupreis).
Die Lösung mit dem Raspi habe ich zufällig heute auch gesehen. Sie hat aber einen großen Nachteil: Das Bild-Signal wird nicht durchgeschleift. Damit wäre zumindest ein zusätzlicher DVI-Splitter erforderlich ... Ich muß nochmals nachsehen, wie viel die spezielle Stromversorgung für diese Lösung kostet.
Vielleicht noch morgen abwarten, was für andere Ideen noch hier auftauchen
Viele Grüße,
Gnampf
https://www.ebay.de/itm/175370690504?chn=ps&mkevt=1&mkcid=28
Anleitung aber mit Windows XP Bildchen. Ka ob das in 2022 noch so taugt. 160 Euro.
Ansonsten ergänzend zum Dummy: https://www.amazon.de/Headless-Display-Emulator-Headless-1920x1080-3Pack ...
Anleitung aber mit Windows XP Bildchen. Ka ob das in 2022 noch so taugt. 160 Euro.
Ansonsten ergänzend zum Dummy: https://www.amazon.de/Headless-Display-Emulator-Headless-1920x1080-3Pack ...
1
Hallo,
mal eine dusselige Idee.
Für die Arbeit wird ja die gesteckte Grafikkarte verwendet.
Die kann das IPMI nicht. OK.
Aber warum nutzen man nicht beiden?
Die interne ist die primäre Grafikkarte. Also kommt auch dort das IPMI-Bild.
Sobald Windows läuft funktionieren sowohl die interne als auch gesteckte Grafikkarte.
Stefan
mal eine dusselige Idee.
Für die Arbeit wird ja die gesteckte Grafikkarte verwendet.
Die kann das IPMI nicht. OK.
Aber warum nutzen man nicht beiden?
Die interne ist die primäre Grafikkarte. Also kommt auch dort das IPMI-Bild.
Sobald Windows läuft funktionieren sowohl die interne als auch gesteckte Grafikkarte.
Stefan
1Zitat von @Crusher79:
Idee wäre die interne Karte zu verbinden und damit den Prozess für das Enschlüsseln abzubilden:
- Interne Grafikkarte mit Monitor oder Dongle der diesen vorgaugelt?
- Graffikkarte für die normalen Monitore
Ginge sowas vlt.? Dongle wäre nur schön, da man nicht extra kleinen Monitor neben den PC aufbauen müsste. Wobei das ggf. ja noch vertretbar wäre.
Idee wäre die interne Karte zu verbinden und damit den Prozess für das Enschlüsseln abzubilden:
- Interne Grafikkarte mit Monitor oder Dongle der diesen vorgaugelt?
- Graffikkarte für die normalen Monitore
Ginge sowas vlt.? Dongle wäre nur schön, da man nicht extra kleinen Monitor neben den PC aufbauen müsste. Wobei das ggf. ja noch vertretbar wäre.
Das funktioniert leider nicht, wie ich nach vielen Tests mit Verwunderung feststellen mußte (und wie es auch von Supermicro dokumentiert wird). Der Rechner bleibt während des BIOS-Startup hängen, wenn er via IPMI bedient wird und eine zusätzliche Grafikkarte gesteckt ist.
Die Fehlermeldung (die via IPMI noch sichtbar ist) lautet sinngemäß: "iKVM doesn't support offboard VGA" (mit offboard VGA ist die zusätzliche Grafikkarte gemeint). Die natürliche Lösung wäre, dann eben in den BIOS-Einstellungen die interne (also BMC-) Grafik zu bevorzugen. Das allerdings legt die zusätzliche Grafikkarte komplett lahm - auch nach Booten des Betriebssystems.
Also wirklich blöd, aber bei anderen Herstellern als Supermicro ziemlich sicher ebenso. Weitere Infos gibt's beim Googeln nach "ikvm doesn't support add-on vga device", z.B. das hier:
https://www.supermicro.com/support/faqs/faq.cfm?faq=22034
https://www.supermicro.com/support/faqs/faq.cfm?faq=12410
https://www.thomas-krenn.com/de/wiki/IPMI_KVM_Konsole_bleibt_schwarz_ode ...
https://www.supermicro.com/support/faqs/faq.cfm?faq=25091
Viele Grüße,
Gnampf
1
@StefanKittel das wollte ich eig. mit meinen etwas diffusen Post oben sagen 
TeamViewer und Geräte ohne Graffikarte machen Probleme. Darum der hinweise auf die Display Emulatoren. Zwar wollen wir nicht TeamViewer nutzen, aber dass IPMI auf VGA anspringt. Scheint sich ja ähnlich zu verhalten. Ohne Monitor kein Bild. Darum die Idee mit den Dummy. Bzw. erstmal mit "normalen" Monitor testen. Einen mit VGA hat man noch rumstehen. Ggf. lässt sich dann IPMI zu etwas bewegen.
Kenne leider die Einstellungen zu wenig. HP ilo geht zum Glück auch ohne Monitor.
Bllöd wäre es, wenn IPMI nur mit VGA geht und bei 2. Graffikkarte gar nichts mehr gehen sollte. Das mag ich aber auch nicht so recht glauben. Ggf. gibt es ja Option wie primäre/ sekundäre Graffikkarte o.ä. im BIOS bzw. IPMI Settings.
Dass das Bild über die interne generiert wird ist schon verstanden. Die Frage ist nur ob wirklich nichts geht, wenn 2. Karte drin ist.
TeamViewer und Geräte ohne Graffikarte machen Probleme. Darum der hinweise auf die Display Emulatoren. Zwar wollen wir nicht TeamViewer nutzen, aber dass IPMI auf VGA anspringt. Scheint sich ja ähnlich zu verhalten. Ohne Monitor kein Bild. Darum die Idee mit den Dummy. Bzw. erstmal mit "normalen" Monitor testen. Einen mit VGA hat man noch rumstehen. Ggf. lässt sich dann IPMI zu etwas bewegen.
Kenne leider die Einstellungen zu wenig. HP ilo geht zum Glück auch ohne Monitor.
Bllöd wäre es, wenn IPMI nur mit VGA geht und bei 2. Graffikkarte gar nichts mehr gehen sollte. Das mag ich aber auch nicht so recht glauben. Ggf. gibt es ja Option wie primäre/ sekundäre Graffikkarte o.ä. im BIOS bzw. IPMI Settings.
Dass das Bild über die interne generiert wird ist schon verstanden. Die Frage ist nur ob wirklich nichts geht, wenn 2. Karte drin ist.
1Zitat von @StefanKittel:
Für die Arbeit wird ja die gesteckte Grafikkarte verwendet.
Die kann das IPMI nicht. OK.
Aber warum nutzen man nicht beiden?
Die interne ist die primäre Grafikkarte. Also kommt auch dort das IPMI-Bild.
Sobald Windows läuft funktionieren sowohl die interne als auch gesteckte Grafikkarte.
Für die Arbeit wird ja die gesteckte Grafikkarte verwendet.
Die kann das IPMI nicht. OK.
Aber warum nutzen man nicht beiden?
Die interne ist die primäre Grafikkarte. Also kommt auch dort das IPMI-Bild.
Sobald Windows läuft funktionieren sowohl die interne als auch gesteckte Grafikkarte.
Erst einmal vielen Dank!
Das Problem entsteht nicht daraus, welche Monitore man anschließt, sondern wohl aus einem elektronischen Problem. Es ist nicht die Grafikkarte, die IPMI bereitstellt, sondern ein BMC; das ist vereinfacht ausgedrückt ein Rechner im Rechner, der mit einem eigenen Betriebssystem unabhängig davon läuft, ob das normale OS gestartet ist.
Nun verhält es sich so: Sobald eine zusätzliche Grafikkarte gesteckt und aktiv geschaltet ist (also sich überhaupt innerhalb des Gehäuses im Rechner befindet und im BIOS aktiviert ist), ist die Bildausgabe über IPMI nicht mehr möglich (über den VGA-Port des BMC kommt zwar durchaus ein Bild, aber das kann eben nicht via IPMI ausgegeben werden).
Sobald man aber im BIOS die interne Grafikkarte bevorzugt, ist die zusätzliche Grafikkarte komplett lahmgelegt.
Für weitere Infos: Links in meinem vorigen Beitrag ...
Viele Grüße,
Gnampf
Zitat von @Crusher79:
@Gnampf oh man wie ätzend.
Ist das ein PC oder Power Workstation? Klingt für mich danach, dass man "Server" umfunktioniert hat und Supermicro nur diese eine Art der Verwendung zu lässt.
@Gnampf oh man wie ätzend.
Ist das ein PC oder Power Workstation? Klingt für mich danach, dass man "Server" umfunktioniert hat und Supermicro nur diese eine Art der Verwendung zu lässt.
Das X10SRi-F würde ich als Workstation-Board einordnen. Das ist nichts umfunktioniert
Ich denke, daß das Problem auf elektronischer Ebene liegt und daß das bei anderen Herstellern genauso ist.Man darf nicht übersehen, daß ein BMC auch ohne die Bildausgabe sehr schöne Vorteile bietet, z.B. das nicht ganz unwichtige Einschalten des Rechners aus der Ferne. Darüber hinaus Zugriff auf ALLE Low-Level-Parameter (Spannungen, Temperaturen, Asset-Tags etc.); der Rechner kann aus sein, aber das BMC bietet dann trotzdem einen Zugriff auf all dies über eine fixe Web-Oberfläche, SSH oder SNMP (und vermutlich habe ich noch etwas vergessen).
Alle Funktionen sind in jeder Betriebssituation vorhanden, mit der einen Ausnahme der Bildausgabe via IPMI / iKVM bei gesteckter / aktivierter zusätzlicher Grafikkarte.
Ja, beides wahr
Viele Grüße,
Gnampf
Ohne Verschlüsselung geht es nicht oder?
Hatte mal einen Kunden der hatte Angst vor Viren. Kein MA sollte PC anlangen. Das ist nun kein Scherz: Er hat imer Kelleer draunter die PCs an die Decke geschraubt. Ausreichend lange VGA, Tastatur und Mauskabel - Verlängerung - genutzt und durch den Boden geführt.
Frage jetzt einfach mal: Was genau wird verschlüsselt? Die HD? Wenn jemand das Ding klaut ist ja auch alles verloren. Darum die Frage ob eine Abschottung der Hardware in einen abschließbaren Container nicht ausreichend wäre.
Ansonsten bleibt vermutlich nur KVM Switch. Oder eine Management-Karte die alles kann. Da hab ich aber außer die "Fernbedienung" nichts gefunden.....
Wäre verzicht auf Kennwort denkbar?
Hatte mal einen Kunden der hatte Angst vor Viren. Kein MA sollte PC anlangen. Das ist nun kein Scherz: Er hat imer Kelleer draunter die PCs an die Decke geschraubt. Ausreichend lange VGA, Tastatur und Mauskabel - Verlängerung - genutzt und durch den Boden geführt.
Frage jetzt einfach mal: Was genau wird verschlüsselt? Die HD? Wenn jemand das Ding klaut ist ja auch alles verloren. Darum die Frage ob eine Abschottung der Hardware in einen abschließbaren Container nicht ausreichend wäre.
Ansonsten bleibt vermutlich nur KVM Switch. Oder eine Management-Karte die alles kann. Da hab ich aber außer die "Fernbedienung" nichts gefunden.....
Wäre verzicht auf Kennwort denkbar?
1
@Crusher79
Leider ist hier ein Verzicht auf Passphrase und Verschlüsselung nicht denkbar. Es wird die komplette HDD verschlüsselt. Wenn jemand den Rechner klaut, ist zwar die Hardware weg, aber der Dieb kommt trotzdem nicht an die Daten. Letztere sind sensibel, deshalb muß der Rechner nach der Arbeit zwingend heruntergefahren werden, egal ob der User physisch vor dem Rechner sitzt oder remote arbeitet.
Die sensiblen Daten können auch nicht von dem Rechner entfernt werden. Ich möchte die genauen Gründe nicht zu breit treten, deshalb nur so viel: Es ist unsere Hardware, die in einer Umgebung steht, die wir nicht komplett unter Kontrolle haben. Wir haben zwar fast jederzeit Zutritt zu diesem Rechner, es ist aber niemand von uns die ganze Zeit vor Ort. Die sensiblen Daten müssen sich auf dem Rechner befinden, weil sie benötigt werden, wenn dieser als regulärer Arbeitsplatz fungiert.
Was mich an den KVM-over-IP-Switches stört und das Problem besonders ärgerlich macht: Es könnte jemand einen USB-Logger zwischen KVM-Gerät und Rechner anschließen, um das Verschlüsselungs-Paßwort abzugreifen. Das wäre nicht möglich, wenn wir den Rechner komplett per BMC / IPMI bedienen könnten.
Viele Grüße,
Gnampf
Leider ist hier ein Verzicht auf Passphrase und Verschlüsselung nicht denkbar. Es wird die komplette HDD verschlüsselt. Wenn jemand den Rechner klaut, ist zwar die Hardware weg, aber der Dieb kommt trotzdem nicht an die Daten. Letztere sind sensibel, deshalb muß der Rechner nach der Arbeit zwingend heruntergefahren werden, egal ob der User physisch vor dem Rechner sitzt oder remote arbeitet.
Die sensiblen Daten können auch nicht von dem Rechner entfernt werden. Ich möchte die genauen Gründe nicht zu breit treten, deshalb nur so viel: Es ist unsere Hardware, die in einer Umgebung steht, die wir nicht komplett unter Kontrolle haben. Wir haben zwar fast jederzeit Zutritt zu diesem Rechner, es ist aber niemand von uns die ganze Zeit vor Ort. Die sensiblen Daten müssen sich auf dem Rechner befinden, weil sie benötigt werden, wenn dieser als regulärer Arbeitsplatz fungiert.
Was mich an den KVM-over-IP-Switches stört und das Problem besonders ärgerlich macht: Es könnte jemand einen USB-Logger zwischen KVM-Gerät und Rechner anschließen, um das Verschlüsselungs-Paßwort abzugreifen. Das wäre nicht möglich, wenn wir den Rechner komplett per BMC / IPMI bedienen könnten.
Viele Grüße,
Gnampf
Ja Schutz vor Manipulation ohne komplette Kontrolle über das Rechner Umfeld ist schwer. Lehrt uns ja die Geschichte.: U-Boote und Unterseekabel. DDR die Tunnel gegraben und Kabel angezapft hat. Wenn Zugang da ist gibt es diverse Methoden.
Wo liegen die Daten ? Auf C: oder anderer Partition? Betriebssystem hat zwar immer Fragmente die man forensisch unter suchen kann, wenn aber die Daten nicht auf der OS Partition liegen könnte man den PC auch ggf. so starten und dann später mit TrueCrypt o.ä. die Daten Partition unter den OS entschlüsseln.
Quickstart sollte nur zwingend deaktiviert sein, da es sonst sein kann das TrueCrypt den Mount bei behält. TC hätte nur den Vorteil das Container als Laufwerk gemapped werden und man immer den gleichen Buchstaben unter Windows hat. Selbst wenn Links oder Verläufe noch Daten enthalten, gehen die ohne gemaptes Laufwerk ins Nirvana.
Wirklich schwierig da ein gesundes Maß zu finden. Neben HD kann man auch einzelne Partitionen verschlüsseln oder mit Containern arbeiten. Ggf. genügt so etwas ja noch den Anforderungen. Dann wären wir hinten raus flexibler!
Wo liegen die Daten ? Auf C: oder anderer Partition? Betriebssystem hat zwar immer Fragmente die man forensisch unter suchen kann, wenn aber die Daten nicht auf der OS Partition liegen könnte man den PC auch ggf. so starten und dann später mit TrueCrypt o.ä. die Daten Partition unter den OS entschlüsseln.
Quickstart sollte nur zwingend deaktiviert sein, da es sonst sein kann das TrueCrypt den Mount bei behält. TC hätte nur den Vorteil das Container als Laufwerk gemapped werden und man immer den gleichen Buchstaben unter Windows hat. Selbst wenn Links oder Verläufe noch Daten enthalten, gehen die ohne gemaptes Laufwerk ins Nirvana.
Wirklich schwierig da ein gesundes Maß zu finden. Neben HD kann man auch einzelne Partitionen verschlüsseln oder mit Containern arbeiten. Ggf. genügt so etwas ja noch den Anforderungen. Dann wären wir hinten raus flexibler!
Hi,
braucht man denn die dedizierte Grafik für die Remoteverbindung wenn der Rechner läuft?
Wäre es möglich über BMC/IPMI aus der Ferne die dedizierte Grafikkarte im BIOS zu dektivieren um dann ohne dieselbige zu Booten und remote zu arbeiten?
Wenn dann wieder der Kollege vor Ort arbeitet, müsste man im BIOS wieder die dedizierte Grafikkarte aktivieren und könnte wie gewohnt arbeiten.
Ist zwar auch nervig, aber eventuell eine Möglichkeit.
Gruß
Xolger
braucht man denn die dedizierte Grafik für die Remoteverbindung wenn der Rechner läuft?
Wäre es möglich über BMC/IPMI aus der Ferne die dedizierte Grafikkarte im BIOS zu dektivieren um dann ohne dieselbige zu Booten und remote zu arbeiten?
Wenn dann wieder der Kollege vor Ort arbeitet, müsste man im BIOS wieder die dedizierte Grafikkarte aktivieren und könnte wie gewohnt arbeiten.
Ist zwar auch nervig, aber eventuell eine Möglichkeit.
Gruß
Xolger
1
Hallo,
andere nicht zu Ende gedachte Idee.
Statt Bare-Metal einen Hypervisor zu in installieren.
Quasi das iKVM in groß.
z.B. Proxmox.
PC an
Proxmox bootet und ist per IP (VPN) verfügbar
VM wird von Hand gestartet
Kennwort abfrage von Hand
VM läuft in Proxmox mit der gesteckten Grafikkarte.
Mit ESXi und Hyper-V ist das mit der Nutzung "schwieriger". Ggf. 2 PC.
Oder statt Kennwort eine Smart-Card?
Stefan
andere nicht zu Ende gedachte Idee.
Statt Bare-Metal einen Hypervisor zu in installieren.
Quasi das iKVM in groß.
z.B. Proxmox.
PC an
Proxmox bootet und ist per IP (VPN) verfügbar
VM wird von Hand gestartet
Kennwort abfrage von Hand
VM läuft in Proxmox mit der gesteckten Grafikkarte.
Mit ESXi und Hyper-V ist das mit der Nutzung "schwieriger". Ggf. 2 PC.
Oder statt Kennwort eine Smart-Card?
Stefan
1
Moin,
Kannst Du im BIOS die primäre Grafikkarte wählen? Wenn ja, dann stell die interne als primär ein und schau, ob es klappt.
lks
Kannst Du im BIOS die primäre Grafikkarte wählen? Wenn ja, dann stell die interne als primär ein und schau, ob es klappt.
lks
Zitat von @Xolger:
Wäre es möglich über BMC/IPMI aus der Ferne die dedizierte Grafikkarte im BIOS zu dektivieren um dann ohne dieselbige zu Booten und remote zu arbeiten?
Wenn dann wieder der Kollege vor Ort arbeitet, müsste man im BIOS wieder die dedizierte Grafikkarte aktivieren und könnte wie gewohnt arbeiten.
Wäre es möglich über BMC/IPMI aus der Ferne die dedizierte Grafikkarte im BIOS zu dektivieren um dann ohne dieselbige zu Booten und remote zu arbeiten?
Wenn dann wieder der Kollege vor Ort arbeitet, müsste man im BIOS wieder die dedizierte Grafikkarte aktivieren und könnte wie gewohnt arbeiten.
Daran habe ich auch schon gedacht. Aber es ist halt schon arg nervig
Mal sehen ...Zitat von @Crusher79:
Wo liegen die Daten ? Auf C: oder anderer Partition? Betriebssystem hat zwar immer Fragmente die man forensisch unter suchen kann, wenn aber die Daten nicht auf der OS Partition liegen könnte man den PC auch ggf. so starten und dann später mit TrueCrypt o.ä. die Daten Partition unter den OS entschlüsseln.
Wo liegen die Daten ? Auf C: oder anderer Partition? Betriebssystem hat zwar immer Fragmente die man forensisch unter suchen kann, wenn aber die Daten nicht auf der OS Partition liegen könnte man den PC auch ggf. so starten und dann später mit TrueCrypt o.ä. die Daten Partition unter den OS entschlüsseln.
Zitat von @StefanKittel:
andere nicht zu Ende gedachte Idee.
Statt Bare-Metal einen Hypervisor zu in installieren.
Quasi das iKVM in groß.
Oder statt Kennwort eine Smart-Card?
andere nicht zu Ende gedachte Idee.
Statt Bare-Metal einen Hypervisor zu in installieren.
Quasi das iKVM in groß.
Oder statt Kennwort eine Smart-Card?
Ja, beides im Kern dieselbe gute Idee. Auf dem PC müssen (nach dem Start von Windows) ohnehin weitere VMs gestartet werden (bislang wird dazu VirtualBox genutzt). Statt Proxmox würde ich aber vielleicht lieber Linux mit Qemu / KVM direkt verwenden, weil ich damit schon Einiges auf die Beine gestellt habe.
Mir ist mittlerweile noch eine andere Idee gekommen (der SmartCard-Idee ähnlich):
Wir verwenden wie hier bereits vermutet VeraCrypt für die HDD-Verschlüsselung. VC-Volumes können nicht nur durch Eingabe von Paßwörtern entsperrt werden, sondern auch mithilfe eines USB-Sticks mit einem Keyfile. Der Gag wäre nun, via IPMI den USB-Stick oder ein ISO-File, das das Keyfile enthält, auf dem entfernten PC zu mounten. So müßte der Start des PC von dem verschlüsselten Volume ohne Paßwort-Eingabe gelingen. Wenn jemand dann vor Ort arbeitet, muß er den Rechner eben auf dieselbe Weise entsperren. Fragt sich nur, welches Risiko ein möglicher Verlust des Sticks darstellt.
Ich lasse das Ganze jetzt einmal sacken und überlege mir in den nächsten Tagen, welchen Weg wir gehen.
Viele Grüße und vielen Dank,
Gnampf
Dachte bis dato wäre Hardware-Verschlüsselung und nicht VeraCrypt
Wenn VMs gestartet werden, muss dann der Host an sich auch verschlüsselt sein?
Proxmos ist aber doch Hypervisor. Wie ESXi oder Hyper-V. Bei den ist doch normal auch das OS nicht verschlüsselt. Die VMs an sich aus einen Container o.ä. starten ist nicht schön. Vor allem da man jedesmal die Speicher neu einlesen müssten, weil sonst dier Hypervisor Fehler wirft. Oder man müsste es immer aus den Inventar schmeissen.
VeryCrypt dürfte hier flexibler sein.
Was ist wenn du es anders rum machst? PC OS ist nicht verschlüsselt. Aber die VMs an sich mit VeraCrypt?
Läuft denn auf den Host was wichtigs, oder startet der nur die VMs?
Wenn VMs gestartet werden, muss dann der Host an sich auch verschlüsselt sein?
Proxmos ist aber doch Hypervisor. Wie ESXi oder Hyper-V. Bei den ist doch normal auch das OS nicht verschlüsselt. Die VMs an sich aus einen Container o.ä. starten ist nicht schön. Vor allem da man jedesmal die Speicher neu einlesen müssten, weil sonst dier Hypervisor Fehler wirft. Oder man müsste es immer aus den Inventar schmeissen.
VeryCrypt dürfte hier flexibler sein.
Was ist wenn du es anders rum machst? PC OS ist nicht verschlüsselt. Aber die VMs an sich mit VeraCrypt?
Läuft denn auf den Host was wichtigs, oder startet der nur die VMs?
1
Moin,
Würde alles mal ordentlich virtualisieren. Also die Hardware mit einem reinen Hypervisor bestücken und dort dann VMs anlegen.
Wenn du Proxmox einsetzt, kannst du die Datastores, in denen die VM- Files liegen, verschlüsseln: https://www.reddit.com/r/Proxmox/comments/la8cvi/encryption_options/
Geht auch mit VMware, bedarf aber eine bestimmte vSphere Lizenz…
Zugriff auf die VMs erfolgt dann aber nicht mehr vom Host aus… und dann brauchst du deine ext. GraKa auch nicht mehr -.-
Würde alles mal ordentlich virtualisieren. Also die Hardware mit einem reinen Hypervisor bestücken und dort dann VMs anlegen.
Wenn du Proxmox einsetzt, kannst du die Datastores, in denen die VM- Files liegen, verschlüsseln: https://www.reddit.com/r/Proxmox/comments/la8cvi/encryption_options/
Geht auch mit VMware, bedarf aber eine bestimmte vSphere Lizenz…
Zugriff auf die VMs erfolgt dann aber nicht mehr vom Host aus… und dann brauchst du deine ext. GraKa auch nicht mehr -.-
2
Hypervisor als Stichwort bieten noch andere Möglichkeiten!
https://docs.vmware.com/de/VMware-vSphere/7.0/com.vmware.vsphere.securit ...
Die Hardware müsste nur geprüft werden, ob ausreichend. vSphere Essential mit vCenter 180 - 600 Euro. Keine Ahnung ob das nicht over the top ist. VMware ist verbreitet und allg Standard.
Daneben gebe es ggf. dei Möglichkeit Storage einzusetzen, was Verschlüsselung unterstützt. Nur das wäre wirklich eine Materialschlacht!
ESXi ist schön, da er von Haus aus in der kostenlosen schon viel kann. Für mehr wird man aber um eine Lizenz nicht rumkommen. Es sei denn man setzt auf den Storage. Dann wäre aber auch der Hypervisor Host an sicht NICHT verschlüsselt. Nur die VMs. Bzw. deren Speicherort....
NetApp, Fujitsu - bei den großen müsste es was geben.
Nur das wäre dann kein Arbeitsplatz mehr! Mehr eine Kombination aus beiden. Ein separater Platz der via RDP oder SSH die VMs anspricht müsste her.
VMware Workstation oder andere wäre so wie es jetzt ist.
Die Frage ist doch: Musser der Host verschlüsselt sein oder reicht der Gast ???
PS: @em-pie war schneller beim Tippen
https://docs.vmware.com/de/VMware-vSphere/7.0/com.vmware.vsphere.securit ...
Die Hardware müsste nur geprüft werden, ob ausreichend. vSphere Essential mit vCenter 180 - 600 Euro. Keine Ahnung ob das nicht over the top ist. VMware ist verbreitet und allg Standard.
Daneben gebe es ggf. dei Möglichkeit Storage einzusetzen, was Verschlüsselung unterstützt. Nur das wäre wirklich eine Materialschlacht!
ESXi ist schön, da er von Haus aus in der kostenlosen schon viel kann. Für mehr wird man aber um eine Lizenz nicht rumkommen. Es sei denn man setzt auf den Storage. Dann wäre aber auch der Hypervisor Host an sicht NICHT verschlüsselt. Nur die VMs. Bzw. deren Speicherort....
NetApp, Fujitsu - bei den großen müsste es was geben.
Nur das wäre dann kein Arbeitsplatz mehr! Mehr eine Kombination aus beiden. Ein separater Platz der via RDP oder SSH die VMs anspricht müsste her.
VMware Workstation oder andere wäre so wie es jetzt ist.
Die Frage ist doch: Musser der Host verschlüsselt sein oder reicht der Gast ???
PS: @em-pie war schneller beim Tippen
1
Update:
Die Idee mit dem remote-gemounteten Keyfile ist wahrscheinlich nicht so toll. Ich habe gerade festgestellt, daß das Protokoll zum Mounten von Medien via IPMI vermutlich nicht verschlüsselt ist ...
Viele Grüße,
Gnampf
Die Idee mit dem remote-gemounteten Keyfile ist wahrscheinlich nicht so toll. Ich habe gerade festgestellt, daß das Protokoll zum Mounten von Medien via IPMI vermutlich nicht verschlüsselt ist ...
Viele Grüße,
Gnampf
Einen hab ich noch. Dreh mal etwas frei: Rechenzentrum "AllInfraBox"
Wenn der Kunde es mitmacht könnte man über abgesetztes RZ, bzw. Tresor nachdenken. Dann wäre Eure Hardware auch physisch beim Kunden geschützt.gieps
Durch ein RZ mit Router wären die Netzte getrennt. Frage wäre hier, ob man dann überhaupt noch Verschlüsselung braucht. Über die Hypervisor Konsoel kann man auch alles überwachen.
Start der VMs ist auch kein Problem. WOL oder über IPMI muss es dann nicht mehr sein. Wobei ich das bei einer Management Karte nach unten setzen würde! Warum? Wake Up bei Link State können auch sehr viele. Wenn man am Switch via API o.ä. Port UP bringt, geht der Rechner an.
Bei so einen Szenario mit abgesetzten RZ beim Kunden ist dies nur ggf. wegen Energiesparen etc. etwas fraglich.
Finanizell ein Brett! ABER sowas wie Kabelmanipulation. Keylogger etc. hat es hier schwer. Da aus den Tresor nur die Anbindung nach "Extern" tritt.
Ich drehe gerade etwas frei. Aber das würde natürlich so einige Probleme lösen. Haus-im-Haus. Euer kleiner US Flugzeugträger im Meer des Kunden.
Neben der Abschottung hätten wir noch: Brandschutz, Überwachung des gesamten Server "Raumes", USV, etc.
Die Vorteile wären nicht von der Hand zu weisen. Mit 1 m² in der kleinsten Ausführung auch ggf. nicht unrealistisch was den Platz angeht!
Nur wie erklärt man Kosten und Raumfaktor den Kunden
Wenn der Kunde es mitmacht könnte man über abgesetztes RZ, bzw. Tresor nachdenken. Dann wäre Eure Hardware auch physisch beim Kunden geschützt.gieps
Durch ein RZ mit Router wären die Netzte getrennt. Frage wäre hier, ob man dann überhaupt noch Verschlüsselung braucht. Über die Hypervisor Konsoel kann man auch alles überwachen.
Start der VMs ist auch kein Problem. WOL oder über IPMI muss es dann nicht mehr sein. Wobei ich das bei einer Management Karte nach unten setzen würde! Warum? Wake Up bei Link State können auch sehr viele. Wenn man am Switch via API o.ä. Port UP bringt, geht der Rechner an.
Bei so einen Szenario mit abgesetzten RZ beim Kunden ist dies nur ggf. wegen Energiesparen etc. etwas fraglich.
Finanizell ein Brett! ABER sowas wie Kabelmanipulation. Keylogger etc. hat es hier schwer. Da aus den Tresor nur die Anbindung nach "Extern" tritt.
Ich drehe gerade etwas frei. Aber das würde natürlich so einige Probleme lösen. Haus-im-Haus. Euer kleiner US Flugzeugträger im Meer des Kunden.
Neben der Abschottung hätten wir noch: Brandschutz, Überwachung des gesamten Server "Raumes", USV, etc.
Die Vorteile wären nicht von der Hand zu weisen. Mit 1 m² in der kleinsten Ausführung auch ggf. nicht unrealistisch was den Platz angeht!
Nur wie erklärt man Kosten und Raumfaktor den Kunden
1
Ich hatte vor einigen Tagen das Folgende schon einmal gepostet, aber der Post ist nicht erschienen - keine Ahnung, warum nicht.
Also: Wie angekündigt haben wir das Ganze einige Tage sacken lassen. Zusammenfassend sieht es nun so aus:
- Das Board deaktiviert die dezidierte Grafikkarte komplett, sobald man die interne Grafikkarte aktiviert. Dann kann der PC nicht mehr regulär genutzt werden. Das ist keine Option.
- Das Board kann via IPMI oder via iKVM kein Bild übertragen, sobald die interne Grafikkarte deaktiviert wird.
- Eine Virtualisierung des PC kommt nicht wirklich in Frage, da er dann nicht mehr regulär genutzt werden kann. Außerdem ist uns der Aufwand für eine Virtualisierung zu hoch, und wir befürchten, vorab dabei doch etwas nicht zu bedenken, das sich nachher als Showstopper erweist.
- IPMI weist katastrophale Sicherheitslücken auf, und zwar bereits in der Spezifikation. Daher kann es auch bei fehlerfreier Implementierung kein sicheres IPMI geben. In der Realität treten zusätzlich Implementierungsfehler auf.
- Vermutlich ist auch iKVM bei den meisten BMCs unsicher - spätestens dann, wenn der Hersteller nach zwei, drei Jahren keine Patches für die Firmware mehr liefert. Dann darf das teure Board in den Müll.
Deshalb werden wir nun so vorgehen:
Das BMC samt iKVM / IPMI wird komplett deaktiviert.
Wir bauen stattdessen einen Raspberry PI in den PC ein. Der Raspberry wird mit einem USB-Header des Mainboards verbunden sowie mit den Reset- und Power-On-Pins, und er wird aus der Standby-Power versorgt. Dann wird das Gehäuse des PCs versiegelt. Auf dem Raspberry läuft ein Debian-Derivat oder vielleicht Debian selbst, und der Raspberry bietet ausschließlich SSH nach außen an.
Wenn wir den PC per Fernzugriff nutzen wollen, loggen wir uns per SSH auf den Raspberry, schalten den PC via Raspberry an, warten ein, zwei Minuten und geben dann die Passphrase für die Festplatte via Raspberry ein.
Der Nachteil dieser Lösung ist, daß wir keine Bildübertragung haben. Die brauchen wir aber nicht unbedingt. Wir müssen nicht wirklich aus der Ferne das BIOS umstellen etc. Lediglich die Eingabe der Passphrase für die Festplatte ist absolut erforderlich, kann jedoch auch blind erfolgen. Und falls doch einmal die Bildübertragung nötig wird, kann man sie nachrüsten.
Viele Grüße, vielen Dank an alle und ein schönes Wochenende,
Gnampf
Also: Wie angekündigt haben wir das Ganze einige Tage sacken lassen. Zusammenfassend sieht es nun so aus:
- Das Board deaktiviert die dezidierte Grafikkarte komplett, sobald man die interne Grafikkarte aktiviert. Dann kann der PC nicht mehr regulär genutzt werden. Das ist keine Option.
- Das Board kann via IPMI oder via iKVM kein Bild übertragen, sobald die interne Grafikkarte deaktiviert wird.
- Eine Virtualisierung des PC kommt nicht wirklich in Frage, da er dann nicht mehr regulär genutzt werden kann. Außerdem ist uns der Aufwand für eine Virtualisierung zu hoch, und wir befürchten, vorab dabei doch etwas nicht zu bedenken, das sich nachher als Showstopper erweist.
- IPMI weist katastrophale Sicherheitslücken auf, und zwar bereits in der Spezifikation. Daher kann es auch bei fehlerfreier Implementierung kein sicheres IPMI geben. In der Realität treten zusätzlich Implementierungsfehler auf.
- Vermutlich ist auch iKVM bei den meisten BMCs unsicher - spätestens dann, wenn der Hersteller nach zwei, drei Jahren keine Patches für die Firmware mehr liefert. Dann darf das teure Board in den Müll.
Deshalb werden wir nun so vorgehen:
Das BMC samt iKVM / IPMI wird komplett deaktiviert.
Wir bauen stattdessen einen Raspberry PI in den PC ein. Der Raspberry wird mit einem USB-Header des Mainboards verbunden sowie mit den Reset- und Power-On-Pins, und er wird aus der Standby-Power versorgt. Dann wird das Gehäuse des PCs versiegelt. Auf dem Raspberry läuft ein Debian-Derivat oder vielleicht Debian selbst, und der Raspberry bietet ausschließlich SSH nach außen an.
Wenn wir den PC per Fernzugriff nutzen wollen, loggen wir uns per SSH auf den Raspberry, schalten den PC via Raspberry an, warten ein, zwei Minuten und geben dann die Passphrase für die Festplatte via Raspberry ein.
Der Nachteil dieser Lösung ist, daß wir keine Bildübertragung haben. Die brauchen wir aber nicht unbedingt. Wir müssen nicht wirklich aus der Ferne das BIOS umstellen etc. Lediglich die Eingabe der Passphrase für die Festplatte ist absolut erforderlich, kann jedoch auch blind erfolgen. Und falls doch einmal die Bildübertragung nötig wird, kann man sie nachrüsten.
Viele Grüße, vielen Dank an alle und ein schönes Wochenende,
Gnampf
1
