Erstellen Sie ein AMI mit Windows Sysprep mit Config EC2 - Amazon Elastic Compute Cloud
Windows-Sysprep-AktionenNach SysprepFühren Sie Windows Sysprep mit dem Config-Dienst aus EC2

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie ein AMI mit Windows Sysprep mit Config EC2

Wenn Sie ein Image aus einer Instanz erstellen, auf der der EC2 Config-Dienst installiert ist, führt EC2 Config während der Vorbereitung des Images bestimmte Aufgaben aus. Dazu gehört auch die Arbeit mit Windows Sysprep. Weitere Informationen finden Sie unter Sysprep-Phasen von Windows.

Windows-Sysprep-Aktionen

Windows Sysprep und der EC2 Config-Dienst führen bei der Vorbereitung eines Images die folgenden Aktionen aus.

  1. Wenn Sie im Dialogfeld mit den EC2 Diensteigenschaften die Option Shutdown with Sysprep wählen, führt das System den Befehl ec2config.exe -sysprep aus.

  2. Der EC2 Config-Dienst liest den Inhalt der BundleConfig.xml Datei. Diese Datei befindet sich standardmäßig im folgenden Verzeichnis: C:\Program Files\Amazon\Ec2ConfigService\Settings.

    Die BundleConfig.xml-Datei umfasst die folgenden Einstellungen. Sie können diese Einstellungen ändern:

    • AutoSysprep: Gibt an, ob Windows Sysprep automatisch verwendet werden soll. Sie müssen diesen Wert nicht ändern, wenn Sie Windows Sysprep über das Dialogfeld EC2 Diensteigenschaften ausführen. Der Standardwert ist No.

    • Set RDPCertificate: Legt ein selbstsigniertes Zertifikat für den Remote Desktop-Server fest. Auf diese Weise können Sie das Remote Desktop Protocol (RDP) sicher verwenden, um eine Verbindung zur Instance herzustellen. Ändern Sie den Wert in Yes, wenn neue Instances ein Zertifikat verwenden sollen. Diese Einstellung wird für Windows Server 2012 Instances nicht verwendet, da diese Betriebssysteme ihre eigenen Zertifikate generieren können. Der Standardwert ist No.

    • SetPasswordAfterSysprep: Legt ein zufälliges Passwort für eine neu gestartete Instanz fest, verschlüsselt es mit dem Benutzerstartschlüssel und gibt das verschlüsselte Passwort an die Konsole aus. Ändern Sie den Wert in No, wenn die neuen Instances nicht als zufällig verschlüsseltes Passwort festgelegt werden sollen. Der Standardwert ist Yes.

    • PreSysprepRunCmd: Der Speicherort des auszuführenden Befehls. Der Befehl befindet sich standardmäßig in folgendem Verzeichnis: C:\Program Files\Amazon\Ec2ConfigService\Scripts\BeforeSysprep.cmd

  3. Das System führt au BeforeSysprep.cmd. Dieser Befehl erstellt den folgenden Registrierungsschlüssel:

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f

    Der Registrierungsschlüssel deaktiviert RDP-Verbindungen bis sie erneut aktiviert werden. Die Deaktivierung von RDP-Verbindungen ist eine notwendige Sicherheitsmaßnahme, da während der ersten Boot-Session nach der Ausführung von Windows Sysprep kurzzeitig Verbindungen von RDP zugelassen werden und noch kein Administratorkennwort vergeben ist.

  4. Der EC2 Config-Dienst ruft Windows Sysprep auf, indem er den folgenden Befehl ausführt:

    sysprep.exe /unattend: "C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml" /oobe /generalize /shutdown

Generalisierungsphase

  • Das Tool entfernt Image-spezifische Informationen und Konfigurationen, z. B. Computer-Name und SID. Wenn die Instance Mitglied einer Domain ist, wird sie von der Domain entfernt. Die sysprep2008.xml-Antwortdatei enthält folgende Einstellungen, die sich auf diese Phase auswirken:

    • PersistAllDeviceInstalls: Diese Einstellung verhindert, dass Windows Setup Geräte entfernt und neu konfiguriert, wodurch der Image-Vorbereitungsprozess beschleunigt wird, da Amazon bestimmte Treiber zur Ausführung AMIs benötigt und die erneute Erkennung dieser Treiber einige Zeit in Anspruch nehmen würde.

    • DoNotCleanUpNonPresentDevices: Bei dieser Einstellung werden Plug & Play-Informationen für Geräte beibehalten, die derzeit nicht vorhanden sind.

  • Windows Sysprep beendet das Betriebssystem bei der Vorbereitung der Erstellung des AMI. Das System startet entweder eine neue Instance oder die ursprüngliche Instance.

Spezialisierungsphase

Das System erstellt OS-spezifische Anforderungen, z. B. Computer-Name und eine SID. Das System führt zudem die folgenden Aktionen basierend auf Konfigurationen durch, die Sie in der sysprep2008.xml-Antwortdatei angeben.

  • CopyProfile: Windows Sysprep kann so konfiguriert werden, dass alle Benutzerprofile gelöscht werden, einschließlich des integrierten Administratorprofils. Die Einstellung behält das integrierte Administratorkonto bei, sodass alle an diesem Konto vorgenommenen Anpassungen auf das neue Image übertragen werden. Der Standardwert ist „True“.

    CopyProfileersetzt das Standardprofil durch das vorhandene lokale Administratorprofil. Alle Konten, die sich nach der Ausführung von Windows Sysprep anmelden, erhalten bei der ersten Anmeldung eine Kopie dieses Profils und seiner Inhalte.

    Wenn es keine spezifischen Benutzerprofilanpassungen gibt, die Sie auf das neue Image übertragen möchten, legen Sie diese Einstellung auf „False“ fest. Windows Sysprep wird alle Benutzerprofile entfernen. Das spart Zeit und Festplattenspeicher.

  • TimeZone: Die Zeitzone ist standardmäßig auf Coordinate Universal Time (UTC) eingestellt.

  • Synchronous command with order 1: Das System führt den folgenden Befehl zur Aktivierung des Administratorkontos und Angabe der Passwortanforderungen aus.

    net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES

  • Synchronous command with order 2: Das System verschlüsselt das Administratorpasswort. Die Sicherheitsmaßnahme dient dazu, den Zugriff auf die Instance nach Abschluss von Windows Sysprep zu verhindern, wenn die ec2setpassword-Einstellung nicht aktiviert wurde.

    C:\Program Dateien\ Amazon\ Ec2ConfigService\ ScramblePassword .exe“ -u Administrator

  • Synchronous command with order 3: Das System führt den folgenden Befehl aus:

    C:\Program Dateien\ Amazon\ Ec2\ ScriptsConfigService\ .cmd SysprepSpecializePhase

    Der Befehl fügt den folgenden Registrierungsschlüssel hinzu, der RDP erneut aktiviert:

    reg füge „HKEY_LOCAL_MACHINE\ SYSTEM\ ControlCurrentControlSet\ Terminal Server“ /v FDeny /t REG_DWORD /d 0 /f hinzu TSConnections

OOBE-Phase

  1. Mithilfe der Antwortdatei des EC2 Config-Dienstes spezifiziert das System die folgenden Konfigurationen:

    • < InputLocale InputLocale >en-US</ >

    • < SystemLocale >de-US</ SystemLocale >

    • < UILanguage >de-US</ UILanguage >

    • < UserLocale >de-US</ UserLocale >

    • EULAPage<Ausblenden >Wahre</Verbergen EULAPage >

    • < HideWirelessSetupIn OOBE>Wahr</ HideWirelessSetupIn OOBE>

    • < NetworkLocation >Andere</ NetworkLocation >

    • < PC>3</ PC> ProtectYour ProtectYour

    • < BluetoothTaskbarIconEnabled >falsch</ BluetoothTaskbarIconEnabled >

    • < TimeZone >UTC</ TimeZone >

    • < RegisteredOrganization >Amazon.com</ RegisteredOrganization >

    • < RegisteredOwner RegisteredOwner >Amazon</ >

    Anmerkung

    Während der Phasen Generalisieren und Spezialisieren überwacht der EC2 Config-Dienst den Status des Betriebssystems. Wenn EC2 Config feststellt, dass sich das Betriebssystem in einer Sysprep-Phase befindet, veröffentlicht es die folgende Meldung im Systemprotokoll:

    EC2ConfigMonitorState: 0 Windows wird konfiguriert. SysprepState=IMAGE_STATE_UNDEPLOYABLE

  2. Nach Abschluss der OOBE-Phase führt das System SetupComplete.cmd von folgendem Standort aus: C:\Windows\Setup\Scripts\SetupComplete.cmd. In Amazon Public AMIs vor April 2015 war diese Datei leer und es lief nichts auf dem Bild. In der öffentlichen AMIs Version, die nach April 2015 datiert wurde, enthält die Datei den folgenden Wert:call "C:\Program Files\Amazon\Ec2ConfigService\Scripts\PostSysprep.cmd".

  3. Das System führt PostSysprep.cmd aus, das die folgenden Vorgänge ausführt:

    • Legt das Administratorpasswort so fest, dass es nicht ablaufen kann. Wenn das Passwort abläuft, können sich Administratoren anschließend möglicherweise nicht mehr anmelden.

    • Legt den MSSQLServer Computernamen (falls installiert) so fest, dass der Name mit dem AMI synchronisiert wird.

Nach Sysprep

Nach Abschluss von Windows Sysprep senden die EC2 Config-Dienste die folgende Meldung an die Konsolenausgabe:

Windows sysprep configuration complete.
			Message: Sysprep Start
			Message: Sysprep End

EC2Config führt dann die folgenden Aktionen aus:

  1. Liest den Inhalt der config.xml-Datei aus und führt alle aktivierten Plugins aus.

  2. Führt alle Plugins vom Typ „Before Windows is ready“ gleichzeitig aus.

    • Ec2 SetPassword

    • Ec2 SetComputerName

    • Ec2 InitializeDrives

    • Ec2 EventLog

    • Ec2ConfigureRDP

    • Ec2-Ausgang RDPCert

    • Ec2 SetDriveLetter

    • Ec2 WindowsActivate

    • Ec2 DynamicBootVolumeSize

  3. Sendet nach Abschluss die Meldung „Windows is ready“ an die Instance-Systemprotokolle.

  4. Führt alle Plugins vom Typ „After Windows is ready“ gleichzeitig aus.

    • CloudWatch Amazon-Protokolle

    • UserData

    • AWS Systems Manager (Systems Manager)

Weitere Informationen über Windows-Plug-ins finden Sie unter Verwenden Sie den EC2 Config-Dienst, um Aufgaben beim Start einer EC2 Legacy-Windows-Betriebssysteminstanz auszuführen.

Führen Sie Windows Sysprep mit dem Config-Dienst aus EC2

Gehen Sie wie folgt vor, um mithilfe von Windows Sysprep und dem EC2 Config-Dienst ein standardisiertes AMI zu erstellen.

  1. Suchen oder erstellen Sie in der EC2 Amazon-Konsole ein AMI, das Sie duplizieren möchten.

  2. Starten Sie die Windows-Instance und stellen Sie eine Verbindung zu ihr her.

  3. Passen Sie sie an.

  4. Geben Sie die Konfigurationseinstellungen in der Antwortdatei des EC2 Config-Dienstes an:

    C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml

  5. Klicken Sie im Windows-Startmenü auf Alle Programme und dann auf EC2ConfigServiceEinstellungen.

  6. Wählen Sie die Registerkarte Image (Image) im Dialogfeld Ec2 Service Properties (Ec2-Service-Eigenschaften) aus. Weitere Informationen zu den Optionen und Einstellungen im Ec2 Service Properties-Dialogfeld finden Sie unter Ec2-Service-Eigenschaften.

  7. Wählen Sie eine Option für das Administratorkennwort aus und wählen Sie dann Shutdown with Sysprep oder Shutdown without Sysprep aus. EC2Config bearbeitet die Einstellungsdateien auf der Grundlage der von Ihnen ausgewählten Passwortoption.

    • Zufällig: EC2 Config generiert ein Passwort, verschlüsselt es mit dem Schlüssel des Benutzers und zeigt das verschlüsselte Passwort auf der Konsole an. Die Einstellung wird nach dem ersten Start deaktiviert, sodass das Passwort weiterhin gilt, wenn die Instance neu gestartet bzw. angehalten und gestartet wird.

    • Spezifizieren: Das Passwort wird unverschlüsselt (Klartext) in der Windows-Sysprep-Antwortdatei gespeichert. Bei der nächsten Ausführung von Windows Sysprep wird das Administratorpasswort festgelegt. Wenn Sie den Service gleich beenden, wird das Passwort sofort festgelegt. Sobald der Service erneut startet, wird das Administratorpasswort entfernt. Bewahren Sie das Passwort unbedingt gut auf, da Sie es später nicht erneut abrufen können.

    • Weiter vorhanden: Das bestehende Passwort für das Administratorkonto ändert sich nicht, wenn Windows Sysprep ausgeführt oder EC2 Config neu gestartet wird. Bewahren Sie das Passwort unbedingt gut auf, da Sie es später nicht erneut abrufen können.

  8. Klicken Sie auf OK.

Wenn Sie zum Bestätigen der Ausführung von Windows Sysprep und zum Beenden der Instance aufgefordert werden, klicken Sie auf Ja. Sie werden feststellen, dass EC2 Config Windows Sysprep ausführt. Anschließend werden Sie von der Instance abgemeldet und die Instance wird beendet. Wenn Sie die Instance-Seite in der EC2 Amazon-Konsole aufrufen, ändert sich der Instance-Status von Running bis Stopping und schließlich von zuStopped. Jetzt kann ein AMI aus dieser Instance erstellt werden.

Sie können das Windows-Sysprep-Tool manuell mittels Befehlszeile und dem folgenden Befehl aufrufen:

"%programfiles%\amazon\ec2configservice\"ec2config.exe -sysprep""
Anmerkung

Die doppelten Anführungszeichen im Befehl sind nicht erforderlich, wenn sich Ihre CMD-Shell bereits im Verzeichnis C:\Program Files\ Amazon\ EC2ConfigService\ befindet.

Achten Sie aber sorgfältig auf die Angabe der richtigen XML-Dateioptionen im Ordner Ec2ConfigService\Settings, andernfalls kann möglicherweise keine Verbindung zur Instance hergestellt werden. Weitere Informationen zu diesen Einstellungsdateien finden Sie unter EC2Dateien mit Konfigurationseinstellungen. Ein Beispiel für die Konfiguration und das anschließende Ausführen von Windows Sysprep über die Befehlszeile finden Sie unter Ec2ConfigService\Scripts\InstallUpdates.ps1.