Vor Kurzem hatten wir einen Fall, in dem ein Kunde den Zugriff auf eine in der Cloud gehostete Windows Server-Instanz verloren hatte. Ein Mitarbeiter im Unternehmen hatte die Konfiguration der Windows-Firewall fehlerhaft angepasst. Das Ergebnis: Niemand konnte mehr per RDP oder auf anderem Weg auf die Maschine zugreifen.
Leider passiert so etwas häufiger, als einem lieb ist – die gute Nachricht: Es lässt sich beheben. In der Hoffnung, dass dieser Artikel auch anderen weiterhilft, beschreibe ich die einfachen Schritte, mit denen Sie ähnliche Situationen lösen können.
Da wir die Maschine auf anderem Weg nicht erreichen konnten, haben wir die in der Google Cloud Web Console angebotene Verbindung über den seriellen Port genutzt.
Um den Zugriff auf die Windows-Instanz wiederherzustellen, gehen wir in drei Schritten vor: Zuerst stellen wir eine Verbindung zur Maschine her. Anschließend öffnen wir eine Windows-Eingabeaufforderung. Zum Schluss deaktivieren wir die Firewall, um den RDP-Zugriff freizugeben. Wir setzen voraus, dass Sie bereits in der Google Cloud Web Console angemeldet sind.
Für die in diesem Artikel beschriebenen Schritte benötigen Sie folgende Berechtigungen in der Google Cloud Platform (GCP):
- compute.instances.setMetadata
- compute.projects.setCommonInstanceMetadata
Schritt 1: Zur Instanz navigieren und über eine Serial Console verbinden
Wechseln Sie nach der Anmeldung in der Google Cloud Web Console zur Seite Compute Engine, um die Liste der Instanzen anzuzeigen. Suchen Sie die betroffene Instanz und wählen Sie sie aus, um die Detailseite zu öffnen.
Detailansicht der VM-Instanz
Prüfen Sie über das Attribut "Enable connection to serial ports", ob der Zugriff auf die Serial Console aktiviert ist. Falls nicht, müssen Sie ihn aktivieren. Klicken Sie dazu auf "Edit", aktivieren Sie das Attribut "Enable connecting to serial ports" und speichern Sie die Änderung.
Konnektivität für den seriellen Port bearbeiten
Sobald der Zugriff auf den seriellen Port aktiviert ist, lässt sich auch die Schaltfläche "Connect to serial console" anklicken. Nutzen Sie sie, um ein Serial-Console-Fenster zu öffnen. Es erscheint ein neues Fenster mit der Windows Special Administration Console (SAC).
VM-Instanzdetails – Serial Console aktiviert
Über die Windows SAC können Sie mit dem Windows-Betriebssystem interagieren. Die SAC bietet Zugriff auf das Betriebssystem auch dann, wenn das Netzwerk nicht funktioniert. Zudem stellt sie einen sehr grundlegenden Befehlssatz für die Verwaltung des Betriebssystems bereit.
Special Administration Console (SAC)
Tipp: Wenn Sie mehr über das SAC-Terminal erfahren möchten, lassen Sie sich mit
?oderhelpdie Liste der verfügbaren Befehle anzeigen.
Schritt 2: Verbindung zu einer Windows-Eingabeaufforderung herstellen
Die benötigten Firewall-Befehle sind in der SAC nicht verfügbar. Daher legen wir einen neuen Kanal an, der Zugriff auf die altbekannte Windows-Eingabeaufforderung bietet.
Starten Sie im SAC-Terminal mit dem Befehl cmd einen weiteren Kanal. Das System bestätigt den neuen Kanal mit einer Meldung. Der neue Kanal heißt "Cmd0001"; wir wechseln mit ch -sn Cmd0001 dorthin.
Neuen Kanal erstellen und wechseln
Das System zeigt die Details des neuen Kanals an. Drücken Sie eine beliebige Taste – außer den aufgelisteten <esc><tab>-Kombinationen –, um den Kanal aufzurufen.
Geben Sie ch -sn zusammen mit dem Kanalnamen ein, also zum Beispiel ch -sn Cmd0001. Dieser Befehl wechselt die Serial Console auf den angegebenen Kanal.
Die Windows-Eingabeaufforderung ermöglicht den vollständigen Zugriff auf die Maschine. Das System fordert Anmeldeinformationen an, um Sie als autorisierten Benutzer zu authentifizieren. Geben Sie Benutzername, Domäne und Passwort ein. Ist die Maschine nicht Teil einer Domäne, lassen Sie das Domänenfeld leer.
Authentifizierung an der Eingabeaufforderung
Schritt 3: Firewall deaktivieren
Da wir nun an der Maschine authentifiziert sind, kommt der letzte Schritt: die Firewall-Regeln deaktivieren, die den Zugriff blockieren. Verwenden Sie dazu den Befehl netsh advfirewall set allprofiles state off. Das System antwortet mit einer kurzen "Ok."-Meldung und bestätigt damit, dass die Firewall-Regeln deaktiviert sind. Sie können sich nun mit der Maschine verbinden und die Konfiguration auf den gewünschten Stand zurücksetzen. Vergessen Sie selbstverständlich nicht, die Firewall anschließend wieder zu aktivieren.
Bestätigungsmeldung des netsh-Befehls
Zusammenfassung
In den Schritten oben haben wir gezeigt, wie Sie den Zugriff auf eine Windows Server-Instanz wiederherstellen, wenn die Firewall des Betriebssystems ihn blockiert. Denken Sie daran, den Zugriff auf die Serial Console anschließend wieder zu deaktivieren, um die Ressource zu schützen. GCP bietet zusätzlich eine Sicherheitsfunktion, um den Zugriff auf die Serial Console auf allen Maschinen abzusichern: Eine Organisationsrichtlinie für den Zugriff auf serielle Ports überschreibt die Einstellungen einzelner Maschinen. Nutzen Sie dafür die Option "Disable VM serial port access" auf der Seite Organization Policies.
Darüber hinaus protokolliert GCP sämtliche Zugriffe auf die Serial Console in den Cloud Logs. Um diese Logs einzusehen, öffnen Sie in der GCP Web Console das Menü Logs. Filtern Sie dort nach der Ressource "GCE VM Instance" und suchen Sie nach ssh-serialport-googleapis.com. Ihr Benutzerkonto benötigt dafür die Berechtigung zum Anzeigen von Logs.
Mit ein paar grundlegenden Maßnahmen lassen sich solche Situationen vermeiden. Ein etablierter Change-Management-Prozess sorgt für eine lückenlose Dokumentation aller Aktionen. Solche Änderungsprotokolle helfen dabei, die Ursache eines Vorfalls zu finden, die passende Lösung nachzuvollziehen und schneller wieder einsatzbereit zu sein. Sorgen Sie außerdem für regelmäßige Backups. Die Google Cloud Platform stellt dafür einen ausgezeichneten Snapshot-Planungsdienst für Instanzen bereit.
Lust auf mehr? Schauen Sie in unseren Blog auf Medium oder folgen Sie Garrett auf Twitter.