Wie kann ich das Administratorpasswort auf einer EC2-Windows-Instance zurücksetzen?

Lesedauer: 7 Minute

Ich möchte das Administratorpasswort meiner Windows-Instance der Amazon Elastic Compute Cloud (Amazon EC2) zurücksetzen.

Behebung

Sie können den AWS Systems Manager oder EC2Rescue for Windows Server verwenden, um das Administratorpasswort auf Ihrer EC2-Windows-Instance zurückzusetzen.

Systems Manager führt den Befehl AWSSupport-RunEC2RescueForWindowsTool aus (Online-Methode)

Voraussetzungen:

Sie müssen Systems Manager für Ihr AWS-Konto konfigurieren und dann den Systems Manager-Agenten auf der Instance installieren. Weitere Informationen finden Sie unter AWS Systems Manager einrichten.
Die Instance muss über eine öffentliche IP-Adresse oder NAT mit Internetzugang (für Systems Manager) verfügen.
-oder-
Die Instance muss einen Amazon Virtual Private Cloud (Amazon VPC)-Endpunkt verwenden, der für Systems Manager konfiguriert ist.
Weitere Informationen finden Sie unter AWS PrivateLink-Konzepte.

Gehen Sie wie folgt vor, um das Administratorpasswort mit Systems Manager und dem Befehl Ausführen zurückzusetzen:

1. Hängen Sie die folgende Richtlinie an die Rolle AWS Identity and Access Management (IAM) an, die der Instance zugeordnet ist, um das verschlüsselte Passwort in Parameter Store zu speichern:

{  
  "Version": "2012-10-17",  
  "Statement": [  
    {  
      "Effect": "Allow",  
      "Action": [  
        "ssm:PutParameter"  
      ],  
      "Resource": [  
        "arn:aws:ssm:*:*:parameter/EC2Rescue/Passwords/i-*"  
      ]  
    }  
  ]  
}

2. Öffnen Sie die AWS Systems Manager-Konsole und wählen Sie dann im Navigationsbereich Befehl ausführen aus.

3. Wählen Sie Befehl ausführen.

4. Wählen Sie für das Befehlsdokument die Option AWSSupport-RunEC2RescueForWindowsTool aus.

5. Stellen Sie für Befehlsparameter sicher, dass Befehl auf ResetAccess gesetzt ist.

6. Wählen Sie für Ziele die Option Instances manuell auswählen und wählen Sie dann Ihre Instance aus.

7. Wählen Sie Ausführen aus.

8. Wählen Sie im Abschnitt Ziele und Outputs die Instance-ID für Ihre Instance aus.

9. Wählen Sie Output anzeigen, um Anweisungen zum Abrufen des neuen Passworts zu erhalten.

10. Nachdem Sie wieder Zugriff auf Ihre Instance erhalten haben, empfiehlt es sich, das Passwort zu ändern und dann den Parameter aus dem Parameter Store zu löschen.

Weitere Informationen finden Sie unter Verwenden von EC2Rescue for Windows Server mit dem Systems Manager-Ausführen-Befehl.

Passwörter auf verwaltete Knoten zurücksetzen (Online-Methode)

Sie können das Passwort für jeden Benutzer auf einem verwalteten Knoten einer Amazon EC2-Instance zurücksetzen.

Eine detaillierte Anleitung finden Sie unter Passwort auf einem verwalteten Knoten zurücksetzen. Stellen Sie sicher, dass Sie alle Voraussetzungen erfüllen, bevor Sie diese Methode verwenden.

1. Öffnen Sie die Systems-Manager-Konsole.

2. Wählen Sie im linken Navigationsbereich Flotten-Manager aus.

3. Wählen Sie den Knoten aus, der ein neues Passwort benötigt.

4. Wählen Sie im Menü Instance-Aktionen die Option Passwort zurücksetzen aus.

5. Geben Sie unter Benutzername den Namen des Benutzers ein, für den Sie das Passwort ändern. Dies kann ein beliebiger Benutzername sein, der ein Konto auf dem Knoten hat.

6. Wählen Sie Senden aus.

7. Folgen Sie den Anweisungen im Befehlsfenster Neues Passwort eingeben, um das neue Passwort anzugeben.

Systems Manager Automation AWSSupport-ResetAccess (Offline-Methode)

Warnung: Beachten Sie Folgendes, bevor Sie die Automatisierung ausführen:

Wenn Sie keine Elastische IP-Adresse verwenden, wird die öffentliche IP-Adresse freigegeben, wenn Sie die Instance beenden.
Wenn diese Instance über ein Instance-Speicher-Volume verfügt, gehen alle darauf befindlichen Daten verloren, wenn die Instance beendet wird.
Wenn das Verhalten beim Herunterfahren der Instance auf Terminieren eingestellt ist, wird die Instance beendet, wenn sie stoppt.
Wenn die Instance Teil einer Auto-Scaling-Gruppe ist, trennen Sie die Instance zuerst von der Auto-Scaling-Gruppe. Nachdem Sie die Instance gestoppt und gestartet haben, fügen Sie die Instance wieder der Auto-Scaling-Gruppe hinzu.

Weitere Informationen finden Sie unter Stoppen und Starten einer Instance.

AWSSupport-ResetAccess ist ein Systems Manager Automations-Dokument, das das Zurücksetzen von EC2Rescue-Offline-Passwörtern mithilfe von AWS CloudFormation- und AWS Lambda-Funktionen automatisiert. Das Automatisierungsdokument führt die folgenden Operationen aus:

Erstellt eine Instance zur Unterstützung der Wiederherstellung in Ihrer Availability Zone.
Hängt Amazon Elastic Block Store (Amazon EBS)-Volumes an und trennt sie.
Führt das EC2Rescue-Hilfsprogramm aus.
Erstellt eine Amazon VPC für EC2Rescue, die von Ihrer Umgebung isoliert ist.
Erstellt ein Backup-AMI der Instance.

Sie können das AWSSupport-ResetAccess-Dokument in den folgenden Szenarien verwenden:

Sie haben Ihr EC2-Schlüsselpaar verloren. Jetzt möchten Sie ein passwortgeschütztes AMI aus Ihrer EC2-Instance erstellen, um eine neue Instance mit einem vorhandenen Schlüsselpaar zu starten.
Sie haben Ihr lokales Administratorpasswort verloren. Jetzt möchten Sie ein neues Passwort generieren, das Sie mit dem aktuellen EC2-Schlüsselpaar entschlüsseln können.

Wichtig: Sie können das AWSSupport-ResetAccess-Dokument nicht mit verschlüsselten EBS-Root-Volumes verwenden.

1. Öffnen Sie die Systems Manager-Konsole und wählen Sie dann im Navigationsbereich Automatisierung aus.

2. Wählen Sie Automatisierung ausführen aus.

3. Wählen Sie für das Automatisierungsdokument, AWSSupport-ResetAccess und dann Weiter aus.

4. Geben Sie für Eingabeparameter die InstanceID Ihrer EC2-Instance ein.

5. Wählen Sie Ausführen aus.

6. Warten Sie, bis der Status in Erfolgreich geändert wird. Dies kann bis zu 25 Minuten dauern.

Hinweis: Sehen Sie sich auf der Seite mit den Ausführungsdetails die ausgeführten Schritte an, um den Fortschritt zu überwachen. Erweitern Sie Outputs, um das Output der Automatisierung anzuzeigen. Um zu dieser Seite zurückzukehren, öffnen Sie die Systems Manager-Konsole und wählen Sie dann im Navigationsbereich Automatisierung aus. Wählen Sie die laufende Automatisierung und dann Details anzeigen aus.

7. Verwenden Sie Ihr vorhandenes Schlüsselpaar, um das neu generierte Passwort von der EC2-Konsole aus zu entschlüsseln. Weitere Informationen finden Sie unter Wie rufe ich nach dem Start einer Instance mein Windows-Administratorpasswort ab?

Wenn Sie Ihr EC2-Schlüsselpaar verloren haben

1. Stoppen Sie Ihre Instance.

Warnung: Beachten Sie Folgendes, bevor Sie eine Instance beenden:

Wenn Sie keine Elastisch IP-Adresse verwenden, wird die öffentliche IP-Adresse freigegeben, wenn Sie die Instance beenden.
Wenn diese Instance über ein Instance-Speicher-Volume verfügt, gehen alle darauf befindlichen Daten verloren, wenn die Instance beendet wird.
Wenn das Verhalten beim Herunterfahren der Instance auf Terminieren eingestellt ist, wird die Instance beendet, wenn sie stoppt.
Wenn die Instance Teil einer Auto Scaling-Gruppe ist, trennen Sie die Instance zuerst von der Auto Scaling-Gruppe. Nachdem Sie die Instance gestoppt und gestartet haben, fügen Sie die Instance wieder der Auto-Scaling-Gruppe hinzu.

Weitere Informationen finden Sie unter Stoppen und Starten einer Instance.

2. Öffnen Sie die Amazon EC2-Konsole und wählen Sie dann AMIs aus.

3. Suchen Sie nach Ihrer Instance-ID.

4. Wählen Sie das AMI mit dem Namen AWSSupport-EC2Rescue-Post-Script-Backup-i-xxxxxxxxx_Date und dann Starten aus.

5. Folgen Sie den Anweisungen des Launch Wizards, um die Konfiguration Ihrer Instance anzugeben, und wählen Sie dann ein Schlüsselpaar aus, das Ihnen gehört.

6. Stellen Sie sicher, dass Sie eine Verbindung mit der neuen Instance herstellen können und dass Ihre Anwendungen wie erwartet funktionieren, bevor Sie die andere Instance beenden.

EC2Rescue (Offline- oder Online-Methode)

Gehen Sie wie folgt vor, um das Administratorpasswort beim nächsten Instance-Start mit EC2Rescue zurückzusetzen:

1. Erstellen Sie eine temporäre Helfer-Instance, die sich in derselben Availability Zone wie die Instance befindet, für die Sie das Passwort zurücksetzen möchten. Oder Sie können eine Instance mit RDP-Zugriff verwenden, die sich in derselben Availability Zone befindet.

2. Erstellen Sie einen Snapshot oder ein AMI-Backup der Instance, für die das Passwort zurückgesetzt werden muss.

3. Stoppen Sie die Instance, für die das Passwort zurückgesetzt werden muss.

4. Trennen Sie das Root-Volume von der Instance, für die das Passwort zurückgesetzt werden muss.

5. Hängen Sie das Root-Volume, das in Schritt 4 getrennt wurde, der temporären Helfer-Instance aus Schritt 1 an.

6. Laden Sie EC2Rescue herunter und entpacken Sie die ZIP-Datei, indem Sie die ausführbare Datei EC2Rescue ausführen.

7. Führen Sie das EC2Rescue-Hilfsprogramm aus. Wählen Sie Offline-Instance und das EBS-Root-Volume aus, das Sie an die temporäre Helfer-Instance angehängt haben.

8. Wählen Sie Diagnose und Rettung aus. Aktivieren Sie unter Mögliche Probleme erkennen das Kontrollkästchen Ec2SetPassword und wählen Sie dann Weiter aus.

9. Füllen Sie den EC2Rescue-Launch Wizard aus und hängen Sie dann das Root-EBS-Volume wieder an die ursprüngliche Instance an, um das neue Passwort zu überprüfen.

Weitere Informationen finden Sie unter Wie kann ich EC2Rescue verwenden, um Probleme mit meiner Amazon EC2-Windows-Instance zu beheben?