Tags: Azure, Virtualisierung, Passwort
Wenn Sie für die Verwaltung vieler Azure-VMs verantwortlich sind, dann kann es passieren, dass die Anmeldedaten verloren gehen, sei es wegen mangelnder Dokumentation oder weil der verantwortliche Admin das Unternehmen verlassen hat. Azure bietet mehrere Möglichkeiten, wieder an eine VM heranzukommen.
Um ein vergessenes oder verlorenes Passwort zurücksetzen zu können, müssen Sie zunächst das Benutzerkonto kennen, das bei der Erstellung der VM angelegt wurde. Es gibt es verschiedene Wege, den verwendeten Anmeldenamen auszuforschen.
Sie können zum Beispiel im Azure Portal bei ausgewählter VM im Menüabschnitt Operations den Eintrag Run command aufrufen, um sozusagen von außen ein PowerShell-Kommando wie
Get-LocalUser
oder ein Script gegen die VM laufen zu lassen. Das kann allerdings etwas Zeit in Anspruch nehmen, weil die Kommunikation für das Ausführen von PowerShell-Befehlen gegen die VM über den Azure-VM-Agenten erfolgt.
In unserem Beispiel hieß das Konto azureuser. Diese Methode setzt jedoch offensichtlich voraus, dass der Azure-Agent auf der VM läuft.
ARM-Vorlage nutzen
Ein anderer (schnellerer) Weg zum Ermitteln des Benutzernamens führt nicht über den VM-Agenten, sondern macht sich die deklarative Vorlage einer Azure-Bereitstellung (Azure Resource Manager Template) zunutze.
Eine solche kann der Azure Resource Manger aus jeder existierenden Bereitstellung nachträglich erzeugen, sofern Sie die VM-Bereitstellung nicht ohnehin schon deklarativ vorgenommen haben.
Hierzu müssen Sie nur im Anschnitt Automation auf Export template klicken. Das verwendete Benutzerkonto finden Sie dann im Abschnitt osProfile.
Dass Sie auf diesem Weg nicht an das verwendete Passwort heran kommen, versteht sich von selbst, denn dies würde ein Sicherheitsrisiko darstellen.
Passwort-Reset
Was Sie aber tun können ist, das verwendete Passwort zurückzusetzen. Dazu navigieren Sie im Abschnitt Help zu Reset password und setzen ein neues Kennwort für den ermittelten Benutzernamen, indem Sie auf Update klicken
Allerdings läuft auch dieser Vorgang über den oben erwähnten VM-Agenten. Davon können Sie sich leicht überzeugen, wenn Sie das Passwort per PowerShell zurücksetzen:
$SubID = "<SUBSCRIPTION ID>"
$RgName = "<RESOURCE GROUP NAME>"
$VmName = "<VM NAME>"
$Location = "<LOCATION>"
Connect-AzAccount
Select-AzSubscription -SubscriptionId $SubID
Set-AzVMAccessExtension -ResourceGroupName $RgName `
-Location $Location -VMName $VmName -Credential (get-credential)`
-typeHandlerVersion "2.0" -Name VMAccessAgent
Offline-Reset
Dieser Weg funktioniert natürlich nicht für VMs, in denen ein Domain Controller läuft. In diesem Fall oder generell bei VMs ohne Agenten müssen Sie das Konto offline zurücksetzen. Hier gehen Sie wie folgt vor:
- Beenden Sie die betroffene VM
- Erstellen Sie einen Snapshot für den Betriebssystemdatenträger der VM
- Erzeugen Sie aus dem Snapshot eine Kopie des Betriebssystemdatenträgers
- Hängen Sie den kopierten Datenträger an eine andere Windows-VM an, deren Zugangsdaten Sie haben. Alternativ mounten Sie den kopierten Datenträger und erstellen dann einige Konfigurationsdateien auf ihm, die Ihnen helfen, das Passwort zurückzusetzen.
- Heben Sie die Bereitstellung auf und trennen Sie den kopierten OS-Datenträger von der Fehlerbehebungs-VM.
- Tauschen Sie den Datenträger für die VM aus, deren Passwort zurückgesetzt werden sollte.
Was dabei im Detail für Windows-VMs bzw. Linux-VMs zu tun ist, erläutert Microsoft ausführlich in der jeweiligen Dokumentation.
Neues Konto
Auch wenn der reine Passwort-Reset in der Regel ausreicht, möchten Sie bei dieser Gelegenheit vielleicht noch gleich ein neues Konto in der Azure-VM anlegen. Sie können im gleichen Dialog, der dem Reset des Passworts dient, auch ein neues Konto anlegen. Bestimmte Benutzernamen wie admin sind in Azure natürlich tabu.
Damit wird bei einer Windows-VM auch gleich die RDP-Konfiguration zurückgesetzt und Sie können sich mit den neuen Benutzerdaten via RDP mit der VM verbinden, sofern diese über eine öffentliche IP-Adresse verfügt.
Alternativ kann sie über einen Bastion-Host, eine Destination-NAT-Rule in einem Azure Load-Balancer oder über eine Destination-NAT-Rule in der Azure Firewall erreichbar sein.
Täglich Know-how für IT-Pros mit unserem Newsletter
Seine Themenschwerpunkte sind Virtualisierung und Cloud Computing, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zertifizierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas ist außerdem zertifizierter AWS Solutions Architect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Administrator.
Thomas führt aktuell jeden zweiten Montag einen 4-tägigen Grundlagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Informationen und Anmeldung über sein AWS-Blog.
Ähnliche Beiträge
- Verfügbare Azure-VMs in einer Region mit PowerShell anzeigen
- Spot, Reservierungen, Sparpläne: Kosten für Azure-VMs reduzieren
- Verfügbarkeit von Azure-VMs: SLA abhängig von Disk-Typ und Availability Set
- Updates für VM-Hosts in Azure: Geplante und ungeplante Wartung
- Azure-Agenten in virtueller Maschine installieren
Weitere Links