Aus Azure-VM ausgesperrt: Username finden, Passwort zurücksetzen


    Tags: , ,

    Azure-VMWenn Sie für die Verwaltung vieler Azure-VMs verantwortlich sind, dann kann es passieren, dass die Anmelde­daten verloren gehen, sei es wegen mangelnder Doku­men­tation oder weil der verant­wort­liche Admin das Unter­nehmen verlassen hat. Azure bietet mehrere Möglichkeiten, wieder an eine VM heran­zukommen.

    Um ein vergessenes oder verlorenes Passwort zurücksetzen zu können, müssen Sie zunächst das Benutzerkonto kennen, das bei der Erstellung der VM angelegt wurde. Es gibt es verschiedene Wege, den verwendeten Anmelde­namen auszuforschen.

    Sie können zum Beispiel im Azure Portal bei ausgewählter VM im Menüabschnitt Operations den Eintrag Run command aufrufen, um sozusagen von außen ein PowerShell-Kommando wie

    Get-LocalUser

    oder ein Script gegen die VM laufen zu lassen. Das kann allerdings etwas Zeit in Anspruch nehmen, weil die Kommunikation für das Ausführen von PowerShell-Befehlen gegen die VM über den Azure-VM-Agenten erfolgt.

    Die bestehenden lokalen Benutzer von außen per PowerShell abfragen

    In unserem Beispiel hieß das Konto azureuser. Diese Methode setzt jedoch offensichtlich voraus, dass der Azure-Agent auf der VM läuft.

    ARM-Vorlage nutzen

    Ein anderer (schnellerer) Weg zum Ermitteln des Benutzernamens führt nicht über den VM-Agenten, sondern macht sich die deklarative Vorlage einer Azure-Bereitstellung (Azure Resource Manager Template) zunutze.

    Eine solche kann der Azure Resource Manger aus jeder existierenden Bereitstellung nachträglich erzeugen, sofern Sie die VM-Bereitstellung nicht ohnehin schon deklarativ vorge­nommen haben.

    Hierzu müssen Sie nur im Anschnitt Automation auf Export template klicken. Das verwendete Benutzer­konto finden Sie dann im Abschnitt osProfile.

    Das ARM-Template (auch wenn nachträglich erzeugt) enthält den Namen des Admin-User-Accounts.

    Dass Sie auf diesem Weg nicht an das verwendete Passwort heran kommen, versteht sich von selbst, denn dies würde ein Sicherheitsrisiko darstellen.

    Passwort-Reset

    Was Sie aber tun können ist, das verwendete Passwort zurückzusetzen. Dazu navigieren Sie im Abschnitt Help zu Reset password und setzen ein neues Kennwort für den ermittelten Benutzer­namen, indem Sie auf Update klicken

    Passworts für den Admin-User-Account auf einer Azure-VM zurücksetzen

    Allerdings läuft auch dieser Vorgang über den oben erwähnten VM-Agenten. Davon können Sie sich leicht überzeugen, wenn Sie das Passwort per PowerShell zurücksetzen:

    $SubID = "<SUBSCRIPTION ID>"
    $RgName = "<RESOURCE GROUP NAME>"
    $VmName = "<VM NAME>"
    $Location = "<LOCATION>"

    Connect-AzAccount
    Select-AzSubscription -SubscriptionId $SubID
    Set-AzVMAccessExtension -ResourceGroupName $RgName `
    -Location $Location -VMName $VmName -Credential (get-credential)`
    -typeHandlerVersion "2.0" -Name VMAccessAgent

    Offline-Reset

    Dieser Weg funktioniert natürlich nicht für VMs, in denen ein Domain Controller läuft. In diesem Fall oder generell bei VMs ohne Agenten müssen Sie das Konto offline zurücksetzen. Hier gehen Sie wie folgt vor:

    1. Beenden Sie die betroffene VM
    2. Erstellen Sie einen Snapshot für den Betriebs­system­daten­träger der VM
    3. Erzeugen Sie aus dem Snapshot eine Kopie des Betriebs­system­daten­trägers
    4. Hängen Sie den kopierten Datenträger an eine andere Windows-VM an, deren Zugangsdaten Sie haben. Alternativ mounten Sie den kopierten Datenträger und erstellen dann einige Konfigurations­dateien auf ihm, die Ihnen helfen, das Passwort zurückzusetzen.
    5. Heben Sie die Bereitstellung auf und trennen Sie den kopierten OS-Datenträger von der Fehlerbehebungs-VM.
    6. Tauschen Sie den Datenträger für die VM aus, deren Passwort zurückgesetzt werden sollte.

    Was dabei im Detail für Windows-VMs bzw. Linux-VMs zu tun ist, erläutert Microsoft ausführlich in der jeweiligen Dokumentation.

    Neues Konto

    Auch wenn der reine Passwort-Reset in der Regel ausreicht, möchten Sie bei dieser Gelegenheit vielleicht noch gleich ein neues Konto in der Azure-VM anlegen. Sie können im gleichen Dialog, der dem Reset des Passworts dient, auch ein neues Konto anlegen. Bestimmte Benutzernamen wie admin sind in Azure natürlich tabu.

    Einen neuen Admin-Account anlegen

    Damit wird bei einer Windows-VM auch gleich die RDP-Konfiguration zurückgesetzt und Sie können sich mit den neuen Benutzerdaten via RDP mit der VM verbinden, sofern diese über eine öffentliche IP-Adresse verfügt.

    Erfolgreich via RDP angemeldet mit neuem Benutzernamen

    Alternativ kann sie über einen Bastion-Host, eine Destination-NAT-Rule in einem Azure Load-Balancer oder über eine Destination-NAT-Rule in der Azure Firewall erreichbar sein.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet ist seit fast 30 Jahren selb­ständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehe­malige und aktuelle IT-Magazine sowie Blogs.

    Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.

    Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zerti­fi­zierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grund­lagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.

    Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Infor­mationen und Anmel­dung über sein Azure-Blog.

    Verwandte Beiträge

    Weitere Links