Tags: Azure, Virtualisierung, Passwort
Wenn Sie für die Verwaltung vieler Azure-VMs verantwortlich sind, dann kann es passieren, dass die Anmeldedaten verloren gehen, sei es wegen mangelnder Dokumentation oder weil der verantwortliche Admin das Unternehmen verlassen hat. Azure bietet mehrere Möglichkeiten, wieder an eine VM heranzukommen.
Um ein vergessenes oder verlorenes Passwort zurücksetzen zu können, müssen Sie zunächst das Benutzerkonto kennen, das bei der Erstellung der VM angelegt wurde. Es gibt es verschiedene Wege, den verwendeten Anmeldenamen auszuforschen.
Sie können zum Beispiel im Azure Portal bei ausgewählter VM im Menüabschnitt Operations den Eintrag Run command aufrufen, um sozusagen von außen ein PowerShell-Kommando wie
Get-LocalUser
oder ein Script gegen die VM laufen zu lassen. Das kann allerdings etwas Zeit in Anspruch nehmen, weil die Kommunikation für das Ausführen von PowerShell-Befehlen gegen die VM über den Azure-VM-Agenten erfolgt.
In unserem Beispiel hieß das Konto azureuser. Diese Methode setzt jedoch offensichtlich voraus, dass der Azure-Agent auf der VM läuft.
ARM-Vorlage nutzen
Ein anderer (schnellerer) Weg zum Ermitteln des Benutzernamens führt nicht über den VM-Agenten, sondern macht sich die deklarative Vorlage einer Azure-Bereitstellung (Azure Resource Manager Template) zunutze.
Eine solche kann der Azure Resource Manger aus jeder existierenden Bereitstellung nachträglich erzeugen, sofern Sie die VM-Bereitstellung nicht ohnehin schon deklarativ vorgenommen haben.
Hierzu müssen Sie nur im Anschnitt Automation auf Export template klicken. Das verwendete Benutzerkonto finden Sie dann im Abschnitt osProfile.
Dass Sie auf diesem Weg nicht an das verwendete Passwort heran kommen, versteht sich von selbst, denn dies würde ein Sicherheitsrisiko darstellen.
Passwort-Reset
Was Sie aber tun können ist, das verwendete Passwort zurückzusetzen. Dazu navigieren Sie im Abschnitt Help zu Reset password und setzen ein neues Kennwort für den ermittelten Benutzernamen, indem Sie auf Update klicken
Allerdings läuft auch dieser Vorgang über den oben erwähnten VM-Agenten. Davon können Sie sich leicht überzeugen, wenn Sie das Passwort per PowerShell zurücksetzen:
$SubID = "<SUBSCRIPTION ID>"
$RgName = "<RESOURCE GROUP NAME>"
$VmName = "<VM NAME>"
$Location = "<LOCATION>"
Connect-AzAccount
Select-AzSubscription -SubscriptionId $SubID
Set-AzVMAccessExtension -ResourceGroupName $RgName `
-Location $Location -VMName $VmName -Credential (get-credential)`
-typeHandlerVersion "2.0" -Name VMAccessAgent
Offline-Reset
Dieser Weg funktioniert natürlich nicht für VMs, in denen ein Domain Controller läuft. In diesem Fall oder generell bei VMs ohne Agenten müssen Sie das Konto offline zurücksetzen. Hier gehen Sie wie folgt vor:
- Beenden Sie die betroffene VM
- Erstellen Sie einen Snapshot für den Betriebssystemdatenträger der VM
- Erzeugen Sie aus dem Snapshot eine Kopie des Betriebssystemdatenträgers
- Hängen Sie den kopierten Datenträger an eine andere Windows-VM an, deren Zugangsdaten Sie haben. Alternativ mounten Sie den kopierten Datenträger und erstellen dann einige Konfigurationsdateien auf ihm, die Ihnen helfen, das Passwort zurückzusetzen.
- Heben Sie die Bereitstellung auf und trennen Sie den kopierten OS-Datenträger von der Fehlerbehebungs-VM.
- Tauschen Sie den Datenträger für die VM aus, deren Passwort zurückgesetzt werden sollte.
Was dabei im Detail für Windows-VMs bzw. Linux-VMs zu tun ist, erläutert Microsoft ausführlich in der jeweiligen Dokumentation.
Neues Konto
Auch wenn der reine Passwort-Reset in der Regel ausreicht, möchten Sie bei dieser Gelegenheit vielleicht noch gleich ein neues Konto in der Azure-VM anlegen. Sie können im gleichen Dialog, der dem Reset des Passworts dient, auch ein neues Konto anlegen. Bestimmte Benutzernamen wie admin sind in Azure natürlich tabu.
Damit wird bei einer Windows-VM auch gleich die RDP-Konfiguration zurückgesetzt und Sie können sich mit den neuen Benutzerdaten via RDP mit der VM verbinden, sofern diese über eine öffentliche IP-Adresse verfügt.
Alternativ kann sie über einen Bastion-Host, eine Destination-NAT-Rule in einem Azure Load-Balancer oder über eine Destination-NAT-Rule in der Azure Firewall erreichbar sein.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.
Verwandte Beiträge
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Verfügbare Azure-VMs in einer Region mit PowerShell anzeigen
- Spot, Reservierungen, Sparpläne: Kosten für Azure-VMs reduzieren
- Verfügbarkeit von Azure-VMs: SLA abhängig von Disk-Typ und Availability Set
- Updates für VM-Hosts in Azure: Geplante und ungeplante Wartung
Weitere Links