Aus Azure-VM ausgesperrt: Username finden, Passwort zurücksetzen

    , 10.10.2022
    Tags: , ,

    Azure-VMWenn Sie für die Verwaltung vieler Azure-VMs verantwortlich sind, dann kann es passieren, dass die Anmelde­daten verloren gehen, sei es wegen mangelnder Doku­men­tation oder weil der verant­wort­liche Admin das Unter­nehmen verlassen hat. Azure bietet mehrere Möglichkeiten, wieder an eine VM heran­zukommen.

    Um ein vergessenes oder verlorenes Passwort zurücksetzen zu können, müssen Sie zunächst das Benutzerkonto kennen, das bei der Erstellung der VM angelegt wurde. Es gibt es verschiedene Wege, den verwendeten Anmelde­namen auszuforschen.

    Sie können zum Beispiel im Azure Portal bei ausgewählter VM im Menüabschnitt Operations den Eintrag Run command aufrufen, um sozusagen von außen ein PowerShell-Kommando wie

    Get-LocalUser

    oder ein Script gegen die VM laufen zu lassen. Das kann allerdings etwas Zeit in Anspruch nehmen, weil die Kommunikation für das Ausführen von PowerShell-Befehlen gegen die VM über den Azure-VM-Agenten erfolgt.

    Die bestehenden lokalen Benutzer von außen per PowerShell abfragen

    In unserem Beispiel hieß das Konto azureuser. Diese Methode setzt jedoch offensichtlich voraus, dass der Azure-Agent auf der VM läuft.

    ARM-Vorlage nutzen

    Ein anderer (schnellerer) Weg zum Ermitteln des Benutzernamens führt nicht über den VM-Agenten, sondern macht sich die deklarative Vorlage einer Azure-Bereitstellung (Azure Resource Manager Template) zunutze.

    Eine solche kann der Azure Resource Manger aus jeder existierenden Bereitstellung nachträglich erzeugen, sofern Sie die VM-Bereitstellung nicht ohnehin schon deklarativ vorge­nommen haben.

    Hierzu müssen Sie nur im Anschnitt Automation auf Export template klicken. Das verwendete Benutzer­konto finden Sie dann im Abschnitt osProfile.

    Das ARM-Template (auch wenn nachträglich erzeugt) enthält den Namen des Admin-User-Accounts.

    Dass Sie auf diesem Weg nicht an das verwendete Passwort heran kommen, versteht sich von selbst, denn dies würde ein Sicherheitsrisiko darstellen.

    Passwort-Reset

    Was Sie aber tun können ist, das verwendete Passwort zurückzusetzen. Dazu navigieren Sie im Abschnitt Help zu Reset password und setzen ein neues Kennwort für den ermittelten Benutzer­namen, indem Sie auf Update klicken

    Passworts für den Admin-User-Account auf einer Azure-VM zurücksetzen

    Allerdings läuft auch dieser Vorgang über den oben erwähnten VM-Agenten. Davon können Sie sich leicht überzeugen, wenn Sie das Passwort per PowerShell zurücksetzen:

    $SubID = "<SUBSCRIPTION ID>"
    $RgName = "<RESOURCE GROUP NAME>"
    $VmName = "<VM NAME>"
    $Location = "<LOCATION>"

    Connect-AzAccount
    Select-AzSubscription -SubscriptionId $SubID
    Set-AzVMAccessExtension -ResourceGroupName $RgName `
    -Location $Location -VMName $VmName -Credential (get-credential)`
    -typeHandlerVersion "2.0" -Name VMAccessAgent

    Offline-Reset

    Dieser Weg funktioniert natürlich nicht für VMs, in denen ein Domain Controller läuft. In diesem Fall oder generell bei VMs ohne Agenten müssen Sie das Konto offline zurücksetzen. Hier gehen Sie wie folgt vor:

    1. Beenden Sie die betroffene VM
    2. Erstellen Sie einen Snapshot für den Betriebs­system­daten­träger der VM
    3. Erzeugen Sie aus dem Snapshot eine Kopie des Betriebs­system­daten­trägers
    4. Hängen Sie den kopierten Datenträger an eine andere Windows-VM an, deren Zugangsdaten Sie haben. Alternativ mounten Sie den kopierten Datenträger und erstellen dann einige Konfigurations­dateien auf ihm, die Ihnen helfen, das Passwort zurückzusetzen.
    5. Heben Sie die Bereitstellung auf und trennen Sie den kopierten OS-Datenträger von der Fehlerbehebungs-VM.
    6. Tauschen Sie den Datenträger für die VM aus, deren Passwort zurückgesetzt werden sollte.

    Was dabei im Detail für Windows-VMs bzw. Linux-VMs zu tun ist, erläutert Microsoft ausführlich in der jeweiligen Dokumentation.

    Neues Konto

    Auch wenn der reine Passwort-Reset in der Regel ausreicht, möchten Sie bei dieser Gelegenheit vielleicht noch gleich ein neues Konto in der Azure-VM anlegen. Sie können im gleichen Dialog, der dem Reset des Passworts dient, auch ein neues Konto anlegen. Bestimmte Benutzernamen wie admin sind in Azure natürlich tabu.

    Einen neuen Admin-Account anlegen

    Damit wird bei einer Windows-VM auch gleich die RDP-Konfiguration zurückgesetzt und Sie können sich mit den neuen Benutzerdaten via RDP mit der VM verbinden, sofern diese über eine öffentliche IP-Adresse verfügt.

    Erfolgreich via RDP angemeldet mit neuem Benutzernamen

    Alternativ kann sie über einen Bastion-Host, eine Destination-NAT-Rule in einem Azure Load-Balancer oder über eine Destination-NAT-Rule in der Azure Firewall erreichbar sein.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling
    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant. Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Ähnliche Beiträge

    Weitere Links