EC2Config を使用した Windows 管理者パスワードのリセット - Amazon Elastic Compute Cloud
EC2Config サービスが実行中であることを確認しますステップ 2: ルートボリュームをインスタンスからデタッチしますステップ 3: ボリュームを一時インスタンスにアタッチします。ステップ 4: 設定ファイルを変更するステップ 5: 元のインスタンスを再起動します。

EC2Config を使用した Windows 管理者パスワードのリセット

Windows 管理者パスワードを紛失した場合、Windows Server 2016 以前の Windows AMI を使用している場合は、EC2Config エージェントを使用して新しいパスワードを生成できます。

Windows Server 2016 以降の AMI を使用している場合は、「EC2Launch を使用した Windows 管理者パスワードのリセット」を参照してください。また、EC2Launch サービスを使用する EC2Rescue ツールを使用して、新しいパスワードを生成できます。

注記

インスタンスでローカル管理者アカウントを無効にし、インスタンスが Systems Manager 用に設定されている場合は、EC2Rescue および Run Command を使用してローカル管理者パスワードを再度有効にしたり、リセットすることもできます。詳細については、「Systems Manager Run Command での EC2Rescue for Windows Server の使用」を参照してください。

注記

ローカル管理者パスワードのリセットに必要な手動の手順を自動的に適用する AWS Systems Manager のオートメーションドキュメントがあります。詳細については、「AWS Systems Manager ユーザーガイド」の「EC2 インスタンスでのパスワードと SSH キーのリセット」を参照してください。

EC2Config を使用して Windows 管理者パスワードをリセットするには、次の操作が必要です。

ステップ 1: EC2Config サービスが実行中であることを確認します

管理者パスワードのリセットを試みる前に、EC2Config サービスがインストールされ、実行されていることを確認します。このセクションの後で、EC2Config サービスを使用して管理者パスワードをリセットします。

EC2Config サービスが実行中であることを確認するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで [インスタンス] を選択し、パスワードのリセットが必要なインスタンスを選択します。この手順では、このインスタンスを元のインスタンスと呼びます。

  3. (新コンソール) [Actions] (アクション)、[Monitor and troubleshoot] (モニタリングとトラブルシューティング)、[Get system log] (システムログの取得) の順に選択します。

    (旧コンソール) [Actions] (アクション)、[System Settings] (システム設定)、[Get System log] (システムログの取得) の順に選択します。

  4. EC2 Agent エントリ (例: EC2 Agent: Ec2Config service v3.18.1118) を見つけます。このエントリが表示される場合、EC2Config サービスは実行中です。

    システムログ出力が空であるか、EC2Config サービスが実行されていない場合は、インスタンスコンソールスクリーンショットサービスを使用してインスタンスをトラブルシューティングします。詳細については、「接続できないインスタンスのスクリーンショットの取得」を参照してください。

ステップ 2: ルートボリュームをインスタンスからデタッチします

パスワードが保存されているボリュームが、ルートボリュームとしてインスタンスにアタッチされている場合、EC2Config を使用して管理者パスワードをリセットすることはできません。一時インスタンスにセカンダリボリュームとしてアタッチする前に、元のインスタンスからボリュームをデタッチする必要があります。

ルートボリュームをインスタンスからデタッチするには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[インスタンス] を選択します。

  3. パスワードのリセットが必要なインスタンスを選択し、[アクション]、[インスタンスの状態]、[インスタンスの停止] の順に選択します。インスタンスのステータスが [停止] に変わったら、次のステップに進みます。

  4. (オプション) このインスタンスの起動時に指定したプライベートキーがある場合は、次のステップに進みます。それ以外の場合は、次の手順を使用して、新しいキーペアで起動する新しいインスタンスでインスタンスを置き換えます。

    1. Amazon EC2 コンソールで、新しいキーペアを作成します。紛失したプライベートキーと同じ名前を新しいキーペアに指定するには、まず既存のキーペアを削除する必要があります。

    2. 置き換えるインスタンスを選択します。インスタンスのインスタンスタイプ、VPC、サブネット、セキュリティグループ、および IAM ロールを書き留めます。

    3. [アクション]、[Image and templates (イメージとテンプレート)]、[イメージの作成] の順に選択します。イメージの名前と説明を入力して、[イメージの作成] を選択します。ナビゲーションペインで [AMIs] を選択します。イメージのステータスが [利用可能] に変わったら、次のステップに進みます。

    4. イメージを選択し、[アクション]、[起動] の順に選択します。

    5. ウィザードを完了し、置き換えるインスタンスと同じインスタンスタイプ、VPC、サブネット、セキュリティグループ、および IAM ロールを選択し、[起動] を選択します。

    6. プロンプトが表示されたら、新しいインスタンス用に作成したキーペアを選択し、[受信確認] チェックボックスをオンにして、[インスタンスを起動] をクリックします。

    7. (オプション) 元のインスタンスに Elastic IP アドレスが関連付けられていた場合は、それを新しいインスタンスに関連付けます。元のインスタンスにルートボリュームに加えて EBS ボリュームがある場合は、それらを新しいインスタンスに転送します。

  5. 次のように、元のインスタンスからルートボリュームをデタッチします。

    1. 元のインスタンスの [説明] ペインで、ルートデバイスとして表示される EBS ボリュームの ID を書き留めます

    2. ナビゲーションペインの [Volumes] を選択します。

    3. ボリュームのリストで、前のステップで記録したボリュームを選択し、[アクション]、[ボリュームのデタッチ] の順に選択します。ボリュームのステータスが [利用可能] に変わったら、次のステップに進みます。

  6. 元のインスタンスと置き換えるために新しいインスタンスを作成した場合は、元のインスタンスをすぐに終了することができます。元のインスタンスはもう必要ありません。この手順の残りの部分では、元のインスタンスへのすべてのリファレンスが、作成した新しいインスタンスに適用されます。

ステップ 3: ボリュームを一時インスタンスにアタッチします。

次に、一時インスタンスを起動し、ボリュームにセカンダリボリュームとして接続します。これは、設定ファイルを変更するために使用するインスタンスです。

一時インスタンスを起動してボリュームをアタッチするには

  1. 次のように一時インスタンスを起動します。

    1. ナビゲーションペインで、[インスタンス]、[インスタンスを起動] の順に選択し、AMI を選択します。

      重要

      ディスク署名の競合を回避するには、Windows 用の異なるバージョンの AMI を選択する必要があります。たとえば、元のインスタンスが Windows Server 2019 を実行している場合、Windows Server 2016 用の AMI を使用して一時インスタンスを起動します。

    2. デフォルトのインスタンスタイプのまま、[次: インスタンスの詳細の設定] を選択します。

    3. [インスタンスの詳細の設定] ページの [サブネット] で、元のインスタンスと同じアベイラビリティーゾーンを選択し、[確認して起動] を選択します。

      重要

      一時インスタンスは、元のインスタンスと同じアベイラビリティーゾーンで起動する必要があります。一時インスタンスが別のアベイラビリティーゾーンにある場合、元のインスタンスのルートボリュームをアタッチすることはできません。

    4. [Review Instance Launch] ページで、[Launch] を選択します。

    5. プロンプトが表示されたら新しいキーペアを作成し、コンピュータ上の安全な場所にダウンロードして、[インスタンスを起動] を選択します。

  2. 次のように、ボリュームをセカンダリボリュームとして一時インスタンスにアタッチします。

    1. ナビゲーションペインで [ボリューム] を選択し、元のインスタンスからデタッチしたボリュームを選択した後で、[アクション]、[ボリュームのアタッチ] の順に選択します。

    2. [インスタンス] の [ボリュームのアタッチ] ダイアログボックスで、一時インスタンスの名前または ID の入力を開始し、リストからインスタンスを選択します。

    3. [デバイス] で、xvdf (まだない場合) を入力し、[アタッチ] を選択します。

ステップ 4: 設定ファイルを変更する

一時インスタンスにボリュームをセカンダリボリュームとして添付したら、設定ファイルの Ec2SetPassword プラグインを変更します。

設定ファイルを変更するには

  1. 一時インスタンスから、次のようにセカンダリボリュームの設定ファイルを変更します。

    1. 一時インスタンスを起動して接続します。

    2. [ディスクの管理] ユーティリティを開き、「Amazon EBS ボリュームを使用できるようにする」の指示に従ってドライブをオンラインにします。

    3. セカンダリボリュームに移動し、メモ帳などのテキストエディタを使用して \Program Files\Amazon\Ec2ConfigService\Settings\config.xml を開きます。

    4. ファイルの先頭で、スクリーンショットに示すような Ec2SetPassword という名前のプラグインを見つけます。状態を Disabled から Enabled に変更して、ファイルを保存します。

      Config.xml ファイルの変更領域

  2. 設定ファイルを変更した後、次のように、一時インスタンスからセカンダリボリュームをデタッチします。

    1. [ディスク管理] ユーティリティを使用して、ボリュームをオフラインにします。

    2. 一時インスタンスから切断し、Amazon EC2 コンソールに戻ります。

    3. ナビゲーションペインで、[ボリューム] を選択してボリュームを選択し、[アクション]、[ボリュームのデタッチ] の順に選択します。ボリュームのステータスが [available] に変わったら、次のステップに進みます。

ステップ 5: 元のインスタンスを再起動します。

設定ファイルを変更した後、元のインスタンスにボリュームをルートボリュームとして再アタッチし、そのキーペアを使用してインスタンスに接続して管理者パスワードを取得します。

  1. 初期インスタンスにボリュームを再度アタッチします。

    1. ナビゲーションペインで [ボリューム] を選択し、一時インスタンスからデタッチしたボリュームを選択した後で、[アクション]、[ボリュームのアタッチ] の順に選択します。

    2. [インスタンス] の [ボリュームのアタッチ] ダイアログボックスで、元のインスタンスの名前または ID の入力し、インスタンスを選択します。

    3. [デバイス] で、/dev/sda1 を入力します。

    4. [アタッチ] を選択します。ボリュームのステータスが in-use に変わったら、次のステップに進みます。

  2. ナビゲーションペインで、[インスタンス] を選択します。元のインスタンスを選択し、[インスタンスの状態]、[インスタンスの開始] の順に選択します。インスタンスの状態が Running に変わったら、次のステップに進みます。

  3. 新しいキーペアのプライベートキーを使用して、新しい Windows 管理者パスワードを取得し、インスタンスに接続します。詳細については、「 Windows インスタンスに接続する」を参照してください。

    重要

    インスタンスを停止して起動すると、新しいパブリック IP アドレスが取得されます。必ず、現在のパブリック DNS 名を使用してインスタンスに接続してください。詳細については、「インスタンスのライフサイクル」を参照してください。

  4. (オプション) 一時インスタンスをそれ以上使用しない場合は、終了できます。一時インスタンスを選択し、[インスタンスの状態]、[インスタンスの終了] の順に選択します。