Buat AMI menggunakan Windows Sysprep dengan Config EC2 - Amazon Elastic Compute Cloud
Tindakan Windows SysprepPasca SysprepJalankan Windows Sysprep dengan layanan Config EC2

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat AMI menggunakan Windows Sysprep dengan Config EC2

Saat Anda membuat gambar dari instance dengan layanan EC2 Config diinstal, EC2 Config melakukan tugas tertentu saat gambar disiapkan. Ini termasuk bekerja dengan Windows Sysprep. Untuk informasi selengkapnya, lihat Fase Windows Sysprep.

Tindakan Windows Sysprep

Windows Sysprep dan layanan EC2 Config melakukan tindakan berikut saat menyiapkan gambar.

  1. Ketika Anda memilih Shutdown dengan Sysprep di kotak dialog EC2 Service Properties, sistem menjalankan perintah ec2config.exe -sysprep.

  2. Layanan EC2 Config membaca konten file. BundleConfig.xml Secara default, file terletak dalam direktori berikut: C:\Program Files\Amazon\Ec2ConfigService\Settings.

    File BundleConfig.xml mencakup pengaturan berikut. Anda dapat mengubah pengaturan ini:

    • AutoSysprep: Menunjukkan apakah akan menggunakan Windows Sysprep secara otomatis. Anda tidak perlu mengubah nilai ini jika Anda menjalankan Windows Sysprep dari kotak dialog Properti EC2 Layanan. Nilai default-nya adalah No.

    • Set RDPCertificate: Menetapkan sertifikat yang ditandatangani sendiri untuk server Remote Desktop. Ini memungkinkan Anda menggunakan Remote Desktop Protocol (RDP) secara aman untuk tersambung ke instans. Ubah nilai ke Yes jika instans baru harus menggunakan sertifikat. Pengaturan ini tidak digunakan dengan instance Windows Server 2012 karena sistem operasi ini dapat menghasilkan sertifikat mereka sendiri. Nilai default-nya adalah No.

    • SetPasswordAfterSysprep: Menetapkan kata sandi acak pada instance yang baru diluncurkan, mengenkripsi dengan kunci peluncuran pengguna, dan mengeluarkan kata sandi terenkripsi ke konsol. Ubah nilai ke No jika instans baru tidak boleh diatur ke kata sandi terenkripsi acak. Nilai default-nya adalah Yes.

    • PreSysprepRunCmd: Lokasi perintah untuk dijalankan. Skrip ini terletak di direktori berikut secara default: C:\Program Files\Amazon\Ec2ConfigService\Scripts\BeforeSysprep.cmd

  3. Sistem menjalankan BeforeSysprep.cmd. Perintah ini membuat kunci registri sebagai berikut:

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f

    Kunci registri akan menonaktifkan koneksi RDP hingga diaktifkan kembali. Menonaktifkan koneksi RDP adalah langkah keamanan yang diperlukan karena, selama sesi boot pertama setelah Windows Sysprep berjalan, ada periode waktu singkat di mana RDP memungkinkan koneksi dan kata sandi Administrator kosong.

  4. Layanan EC2 Config memanggil Windows Sysprep dengan menjalankan perintah berikut:

    sysprep.exe /unattend: "C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml" /oobe /generalize /shutdown

Fase Generalisasi

  • Alat ini menghapus informasi dan konfigurasi spesifik gambar, seperti nama komputer dan SID. Jika instans adalah anggota sebuah domain, instans akan dihapus dari domain tersebut. File jawaban sysprep2008.xml mencakup pengaturan berikut yang memengaruhi fase ini:

    • PersistAllDeviceInstalls: Pengaturan ini mencegah Pengaturan Windows menghapus dan mengonfigurasi ulang perangkat, yang mempercepat proses persiapan gambar karena Amazon AMIs memerlukan driver tertentu untuk dijalankan dan deteksi ulang driver tersebut akan memakan waktu.

    • DoNotCleanUpNonPresentDevices: Pengaturan ini menyimpan informasi Plug and Play untuk perangkat yang saat ini tidak ada.

  • Windows Sysprep mematikan OS saat bersiap untuk membuat AMI. Sistem meluncurkan instans baru atau memulai instans asal.

Tahap Spesialisasi

Sistem menghasilkan persyaratan spesifik OS, seperti nama komputer dan SID. Sistem juga melakukan tindakan berikut ini berdasarkan konfigurasi yang Anda tentukan dalam file jawaban sysprep2008.xml.

  • CopyProfile: Windows Sysprep dapat dikonfigurasi untuk menghapus semua profil pengguna, termasuk profil Administrator bawaan. Pengaturan ini mempertahankan akun Administrator bawaan sehingga kustomisasi apa pun yang Anda buat pada akun tersebut dipindahkan ke gambar baru. Nilai default-nya adalah True.

    CopyProfile mengganti profil default dengan profil administrator lokal yang ada. Semua akun yang masuk setelah menjalankan Windows Sysprep akan menerima salinan profil itu dan isinya pada login pertama.

    Apabila Anda tidak memiliki kustomisasi profil pengguna tertentu yang ingin Anda tampilkan ke gambar baru tersebut, ubah pengaturan ini menjadi False. Windows Sysprep akan menghapus semua profil pengguna; ini menghemat waktu dan ruang disk.

  • TimeZone: Zona waktu diatur ke Coordinate Universal Time (UTC) secara default.

  • Perintah sinkron dengan order 1: Sistem menjalankan perintah berikut, yang mengaktifkan akun administrator dan menentukan persyaratan kata sandi.

    net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES

  • Perintah sinkron dengan order 2: Sistem mengacak kata sandi administrator. Langkah keamanan ini dirancang untuk mencegah instance agar tidak dapat diakses setelah Windows Sysprep selesai jika Anda tidak mengaktifkan pengaturan ec2setpassword.

    C:\Program Files\ Amazon\ Ec2ConfigService\ ScramblePassword .exe” -u Administrator

  • Perintah sinkron dengan order 3: Sistem menjalankan perintah berikut:

    C:\Program File\ Amazon\ Ec2\ SkripConfigService\ .cmd SysprepSpecializePhase

    Perintah ini menambahkan kunci registri berikut ini, yang mengaktifkan ulang RDP:

    reg tambahkan “HKEY_LOCAL_MACHINE\ SYSTEM\\ ControlCurrentControlSet\ Terminal Server” /v fDeny/t REG_DWORD /d 0 /f TSConnections

Fase OOBE

  1. Menggunakan file jawaban layanan EC2 Config, sistem menentukan konfigurasi berikut:

    • < InputLocale InputLocale >en-kami</ >

    • < SystemLocale SystemLocale >en-kami</ >

    • < UILanguage UILanguage >en-kami</ >

    • < UserLocale UserLocale >en-kami</ >

    • <Sembunyikan EULAPage >Benar</Sembunyikan > EULAPage

    • < HideWirelessSetupIn OOBE>BENAR</ HideWirelessSetupIn OOBE>

    • < NetworkLocation NetworkLocation >Lainnya</ >

    • < ProtectYour PC> 3 </ PC> ProtectYour

    • < BluetoothTaskbarIconEnabled BluetoothTaskbarIconEnabled >salah</ >

    • < TimeZone TimeZone >UTC</ >

    • < RegisteredOrganization RegisteredOrganization >Amazon.com</ >

    • < RegisteredOwner RegisteredOwner >Amazon</ >

    catatan

    Selama fase generalisasi dan spesialisasi, layanan EC2 Config memantau status OS. Jika EC2 Config mendeteksi bahwa OS berada dalam fase Sysprep, maka ia menerbitkan pesan berikut ke log sistem:

    EC2ConfigMonitorState: 0 Windows sedang dikonfigurasi. SysprepState=IMAGE_STATE_UNDEPLOYABLE

  2. Setelah fase OOBE selesai, sistem menjalankan SetupComplete.cmd dari lokasi berikut: C:\Windows\Setup\Scripts\SetupComplete.cmd. Di Amazon publik AMIs sebelum April 2015 file ini kosong dan tidak menjalankan apa pun pada gambar. Di depan umum AMIs tertanggal setelah April 2015, file tersebut mencakup nilai berikut:call "C:\Program Files\Amazon\Ec2ConfigService\Scripts\PostSysprep.cmd".

  3. Sistem menjalankan PostSysprep.cmd, yang melakukan operasi berikut:

    • Mengatur kata sandi Administrator lokal agar tidak kedaluwarsa. Jika kata sandi kedaluwarsa, Administrator mungkin tidak bisa masuk.

    • Menetapkan nama MSSQLServer mesin (jika diinstal) sehingga nama akan sinkron dengan AMI.

Pasca Sysprep

Setelah Windows Sysprep selesai, layanan EC2 Config mengirimkan pesan berikut ke output konsol:

Windows sysprep configuration complete.
			Message: Sysprep Start
			Message: Sysprep End

EC2Config kemudian melakukan tindakan berikut:

  1. Membaca konten file config.xml dan mencantumkan semua plug-in yang diaktifkan.

  2. Menjalankan semua plug-in “Sebelum Windows siap” secara bersamaan.

    • Ec2 SetPassword

    • Ec2 SetComputerName

    • Ec2 InitializeDrives

    • Ec2 EventLog

    • Ec2ConfigureRDP

    • Keluaran Ec2 RDPCert

    • Ec2 SetDriveLetter

    • Ec2 WindowsActivate

    • Ec2 DynamicBootVolumeSize

  3. Setelah selesai, mengirimkan pesan “Windows siap” ke log sistem instans.

  4. Menjalankan semua plug-in “Setelah Windows siap” secara bersamaan.

    • CloudWatch Log Amazon

    • UserData

    • AWS Systems Manager (Systems Manager)

Untuk informasi selengkapnya tentang plug-in Windows, lihat Gunakan layanan EC2 Config untuk melakukan tugas selama peluncuran instans sistem operasi Windows EC2 lama.

Jalankan Windows Sysprep dengan layanan Config EC2

Gunakan prosedur berikut untuk membuat AMI standar menggunakan Windows Sysprep dan layanan Config. EC2

  1. Di EC2 konsol Amazon, cari atau buat AMI yang ingin Anda duplikat.

  2. Jalankan dan hubungkan ke instans Windows Anda.

  3. Kustomisasikan.

  4. Tentukan pengaturan konfigurasi dalam file jawaban layanan EC2 Config:

    C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml

  5. Dari menu Mulai Windows, pilih Semua Program, lalu pilih Pengaturan EC2ConfigService.

  6. Pilih tab Gambar di kotak dialog Properti Layanan Ec2. Untuk informasi selengkapnya tentang opsi dan pengaturan di kotak dialog Properti Layanan Ec2, lihat Properti Layanan Ec2.

  7. Pilih opsi untuk kata sandi Administrator, lalu pilih Shutdown dengan Sysprep atau Shutdown tanpa Sysprep. EC2Config mengedit file pengaturan berdasarkan opsi kata sandi yang Anda pilih.

    • Acak: EC2 Config menghasilkan kata sandi, mengenkripsi dengan kunci pengguna, dan menampilkan kata sandi terenkripsi ke konsol. Kami menonaktifkan pengaturan ini setelah peluncuran pertama sehingga kata sandi ini akan tetap ada jika instans tersebut di-boot ulang atau dihentikan dan dimulai.

    • Tentukan: Kata sandi disimpan dalam file jawaban Windows Sysprep dalam bentuk yang tidak terenkripsi (teks yang jelas). Ketika Windows Sysprep berjalan berikutnya, ia menetapkan kata sandi Administrator. Jika Anda mematikan sekarang, kata sandi akan segera ditetapkan. Saat layanan dimulai lagi, kata sandi Administrator dihapus. Penting untuk mengingat kata sandi ini karena Anda tidak dapat mengambilnya nanti.

    • Tetap Ada: Kata sandi yang ada untuk akun Administrator tidak berubah saat Windows Sysprep dijalankan atau Config EC2 dimulai ulang. Penting untuk mengingat kata sandi ini karena Anda tidak dapat mengambilnya nanti.

  8. Pilih OK.

Ketika Anda diminta untuk mengonfirmasi bahwa Anda ingin menjalankan Windows Sysprep dan mematikan instance, klik Ya. Anda akan melihat bahwa EC2 Config menjalankan Windows Sysprep. Selanjutnya, Anda keluar dari instans, dan instansnya dimatikan. Jika Anda memeriksa halaman Instans di EC2 konsol Amazon, status instans berubah dari Running keStopping, dan akhirnya menjadiStopped. Ketika itu, aman untuk membuat AMI dari instans ini.

Anda dapat secara manual memanggil alat Windows Sysprep dari baris perintah menggunakan perintah berikut:

"%programfiles%\amazon\ec2configservice\"ec2config.exe -sysprep""
catatan

Tanda kutip ganda dalam perintah tidak diperlukan jika shell CMD Anda sudah ada di direktori C:\Program Files\ Amazon\ EC2ConfigService\.

Namun, Anda harus sangat berhati-hati agar opsi file XML yang ditentukan dalam folder Ec2ConfigService\Settings sudah benar; jika tidak, Anda mungkin tidak dapat terhubung ke instans. Untuk informasi selengkapnya tentang file pengaturan, lihat EC2File pengaturan Config. Untuk contoh mengkonfigurasi dan kemudian menjalankan Windows Sysprep dari baris perintah, lihat. Ec2ConfigService\Scripts\InstallUpdates.ps1