Wie man ein vergessenes Root-Passwort in ESXi 7.x und ESXi 8.x wiederherstellt

Wenn Sie das Root-Passwort für ESXi vergessen haben, empfiehlt VMware eine Neuinstallation von ESXi. In kleineren Umgebungen ohne automatisierte Bereitstellung und zentrale Profile müssen Sie alles manuell konfigurieren. Alternativ können Sie das Passwort auch auf inoffizielle Weise zurücksetzen. Wenn Sie ESXi über vCenter verwalten, können Sie das Passwort mit einem privilegierten Konto in vCenter zurücksetzen. Auch die Zugehörigkeit des ESXi-Hosts zu einer Active Directory-Domäne kann sehr hilfreich sein. Stehen diese Optionen nicht zur Verfügung, können Sie das Passwort eines eigenständigen Hosts nicht zurücksetzen, da das System den Passwort-Hash in einer verschlüsselten Konfigurationsdatei speichert, die ohne Root-Zugriff nicht entschlüsselt werden kann. Daher funktioniert die alte Methode, den Host von Linux zu starten und die Konfigurationsdatei direkt zu bearbeiten, ab ESXi 6.x nicht mehr.

Alternative Lösung mittels virtuellem Hosting

Die hier beschriebene Methode beinhaltet die Einrichtung eines zweiten (virtuellen) Hosts und die Übertragung des Schlüssels vom Haupthost auf diesen. Dadurch können Sie die Konfiguration extrahieren und den Passwort-Hash in der SQLite-Datenbank ändern. Dazu müssen Sie die Bootmedien sowohl des physischen als auch des virtuellen Hosts extern einbinden, da die Konfigurationsdatei nicht im laufenden Betrieb überschrieben werden kann und das System die Änderungen beim nächsten Neustart ablehnt. Ein Linux-System eignet sich für den Zugriff auf die ESXi-Konfiguration; die Verwendung einer Live-CD ist der einfachste Weg.

Installation eines virtuellen ESXi

Um die ESXi-Konfiguration eines physischen Hosts zu bearbeiten, benötigen Sie einen anderen ESXi-Host mit genau der gleichen Version, für den Sie das Passwort nicht vergessen haben.

Erstellen Sie eine neue virtuelle Maschine, wählen Sie „Andere“ als Gastbetriebssystem und anschließend die ESXi-Version aus, die Sie installieren möchten.

Gehen Sie anschließend zur Seite „Einstellungen anpassen“ und aktivieren Sie im Abschnitt „Virtuelle Hardware => CPU“ die Option „Hardwaregestützte Virtualisierung für das Gastbetriebssystem bereitstellen“.

Zum Schluss binden Sie die ESXi-Installations-ISO-Datei als DVD-Laufwerk ein und aktivieren die Option „Beim Einschalten verbinden“. Sie müssen diese Datei zuvor über „Speicher“ → „Datenspeicher-Browser“ → „Hochladen“ auf den ESXi-Host hochladen.

Erstelle eine Sicherungskopie von state.tgz

Im nächsten Schritt wird die Datei state.tgz auf dem physischen Host gesichert. Diese Datei speichert persistente Konfigurationsdaten, die der Host benötigt, um seinen Zustand beim nächsten Neustart wiederherzustellen.

Diese Datei enthält den Hash des vergessenen Passworts und den Schlüssel, der zum Verschlüsseln der darin enthaltenen Datei local.tgz verwendet wurde.

Wenn Sie den Host von USB gestartet haben (von VMware nicht empfohlen), trennen Sie ihn und schließen Sie ihn an einen Windows-Computer an. Wenn der Host von der internen Festplatte startet, starten Sie ihn über das externe Laufwerk in einer Linux-Umgebung und mounten Sie beispielsweise die FAT-formatierte Partition 6 unter /mnt.
mount /dev/sdb6 /mnt

Dann die Datei /mnt/bootbank/state.tgz auf eine lokale Festplatte (sofern beschreibbar) oder auf ein Netzlaufwerk mithilfe von Standard-Linux-Tools wie SCP-1811 Oder FTP Kopieren. Es wird außerdem empfohlen, eine Sicherungskopie dieser Datei anzufertigen.

Kopieren Sie state.tgz auf den virtuellen ESXi.

Kopieren Sie anschließend die Sicherungsdatei in das Verzeichnis /tmp Migrieren Sie den virtuellen ESXi-Host, zum Beispiel mit SCP-1811. Befindet sich die Datei auf einem Windows-Computer, könnte der Befehl folgendermaßen aussehen:

scp "C:\temp\state.tgz" [email protected]:/tmp/state.tgz

tar -zxvf state.tgz

cp /bootbank/state.tgz /tmp/state.tgz
cd /tmp
tar -xzf state.tgz
rm state.tgz
vmtar -x local.tgz -o local.tar
tar -xf local.tar
rm local.tar
cp /tmp/encryption.info etc/vmware/
vmtar -c local.tar etc/vmware -o local.tgz
mv local.tgz state-mod.tgz

scp [email protected]:/tmp/state-mod.tgz "C:\temp\state-mod.tgz"

fdisk -l

scp "C:\temp\state-mod.tgz" [email protected]:/home/thomas/state-mod.tgz

sudo su
mkdir -p /bootbank1
mkdir -p /bootbank2
mount /dev/sdc5 /bootbank1
mount /dev/sdc6 /bootbank2
cp /home/thomas/state-mod.tgz /bootbank1/state.tgz
cp /home/thomas/state-mod.tgz /bootbank2/state.tgz
umount /bootbank1
umount /bootbank2

cd /tmp
cp /bootbank/state.tgz ./
tar -xzf state.tgz
rm state.tgz
vmtar -x local.tgz.ve -o local.tgz

tar -zxvf local.tgz

/tmp/var/lib/vmware/configstore/backup/current-store-1

/usr/lib/vmware/sqlite/bin/sqlite3 /tmp/var/lib/vmware/configstore/backup/current-store-1 "select * from config where Component='esx' and ConfigGroup = 'authentication' and Name = 'user_accounts' and Identifier = 'root'"

openssl passwd -6

/usr/lib/vmware/sqlite/bin/sqlite3 /tmp/var/lib/vmware/configstore/backup/current-store-1 "update config set UserValue='"name":"root","password_hash":"$6$s6ic82Ik$ER28x38x.1umtnQ99Hx9z0ZBOHBEuPYneedI1ekK2cwe/jIpjDcBNUHWHw0LwuRYJWhL3L2ORX3I5wFxKmyki1","description":"Administrator"' where Component='esx' and ConfigGroup = 'authentication' and Name = 'user_accounts' and Identifier = 'root'"

vmtar -c etc .ssh var -o local.tgz
vmtar -c local.tgz -o local.tgz.ve
tar -czf state-recover.tgz local.tgz.ve

sudo su
mkdir -p /bootbank1
mkdir -p /bootbank2
mount /dev/sdb5 /bootbank1
mount /dev/sdb6 /bootbank2
cp /root/state-recover.tgz /bootbank1/state.tgz
cp /root/state-recover.tgz /bootbank2/state.tgz
umount /bootbank1
umount /bootbank2