Aus Azure-VM ausgesperrt: Username finden, Passwort zurücksetzen

Sie können zum Beispiel im Azure Portal bei ausgewählter VM im Menüabschnitt Operations den Eintrag Run command aufrufen, um sozusagen von außen ein PowerShell-Kommando wie

Get-LocalUser

oder ein Script gegen die VM laufen zu lassen. Das kann allerdings etwas Zeit in Anspruch nehmen, weil die Kommunikation für das Ausführen von PowerShell-Befehlen gegen die VM über den Azure-VM-Agenten erfolgt.

In unserem Beispiel hieß das Konto azureuser. Diese Methode setzt jedoch offensichtlich voraus, dass der Azure-Agent auf der VM läuft.

ARM-Vorlage nutzen

Ein anderer (schnellerer) Weg zum Ermitteln des Benutzernamens führt nicht über den VM-Agenten, sondern macht sich die deklarative Vorlage einer Azure-Bereitstellung (Azure Resource Manager Template) zunutze.

Eine solche kann der Azure Resource Manger aus jeder existierenden Bereitstellung nachträglich erzeugen, sofern Sie die VM-Bereitstellung nicht ohnehin schon deklarativ vorge­nommen haben.

Hierzu müssen Sie nur im Anschnitt Automation auf Export template klicken. Das verwendete Benutzer­konto finden Sie dann im Abschnitt osProfile.

Dass Sie auf diesem Weg nicht an das verwendete Passwort heran kommen, versteht sich von selbst, denn dies würde ein Sicherheitsrisiko darstellen.

Passwort-Reset

Was Sie aber tun können ist, das verwendete Passwort zurückzusetzen. Dazu navigieren Sie im Abschnitt Help zu Reset password und setzen ein neues Kennwort für den ermittelten Benutzer­namen, indem Sie auf Update klicken

Allerdings läuft auch dieser Vorgang über den oben erwähnten VM-Agenten. Davon können Sie sich leicht überzeugen, wenn Sie das Passwort per PowerShell zurücksetzen:

$SubID = "<SUBSCRIPTION ID>"
$RgName = "<RESOURCE GROUP NAME>"
$VmName = "<VM NAME>"
$Location = "<LOCATION>"

Connect-AzAccount
Select-AzSubscription -SubscriptionId $SubID
Set-AzVMAccessExtension -ResourceGroupName $RgName `
-Location $Location -VMName $VmName -Credential (get-credential)`
-typeHandlerVersion "2.0" -Name VMAccessAgent

Offline-Reset

Dieser Weg funktioniert natürlich nicht für VMs, in denen ein Domain Controller läuft. In diesem Fall oder generell bei VMs ohne Agenten müssen Sie das Konto offline zurücksetzen. Hier gehen Sie wie folgt vor:

1. Beenden Sie die betroffene VM
2. Erstellen Sie einen Snapshot für den Betriebs­system­daten­träger der VM
3. Erzeugen Sie aus dem Snapshot eine Kopie des Betriebs­system­daten­trägers
4. Hängen Sie den kopierten Datenträger an eine andere Windows-VM an, deren Zugangsdaten Sie haben. Alternativ mounten Sie den kopierten Datenträger und erstellen dann einige Konfigurations­dateien auf ihm, die Ihnen helfen, das Passwort zurückzusetzen.
5. Heben Sie die Bereitstellung auf und trennen Sie den kopierten OS-Datenträger von der Fehlerbehebungs-VM.
6. Tauschen Sie den Datenträger für die VM aus, deren Passwort zurückgesetzt werden sollte.

Was dabei im Detail für Windows-VMs bzw. Linux-VMs zu tun ist, erläutert Microsoft ausführlich in der jeweiligen Dokumentation.

Neues Konto

Auch wenn der reine Passwort-Reset in der Regel ausreicht, möchten Sie bei dieser Gelegenheit vielleicht noch gleich ein neues Konto in der Azure-VM anlegen. Sie können im gleichen Dialog, der dem Reset des Passworts dient, auch ein neues Konto anlegen. Bestimmte Benutzernamen wie admin sind in Azure natürlich tabu.

Damit wird bei einer Windows-VM auch gleich die RDP-Konfiguration zurückgesetzt und Sie können sich mit den neuen Benutzerdaten via RDP mit der VM verbinden, sofern diese über eine öffentliche IP-Adresse verfügt.

Alternativ kann sie über einen Bastion-Host, eine Destination-NAT-Rule in einem Azure Load-Balancer oder über eine Destination-NAT-Rule in der Azure Firewall erreichbar sein.