View a markdown version of this page

Buat AMI menggunakan Windows Sysprep dengan EC2config - Amazon Elastic Compute Cloud
Tindakan Windows SysprepPasca SysprepJalankan Windows Sysprep dengan layanan EC2config

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat AMI menggunakan Windows Sysprep dengan EC2config

Saat Anda membuat gambar dari instance dengan layanan EC2config diinstal, EC2config melakukan tugas tertentu saat gambar disiapkan. Ini termasuk bekerja dengan Windows Sysprep. Untuk informasi selengkapnya, lihat Fase Windows Sysprep.

Tindakan Windows Sysprep

Windows Sysprep dan layanan EC2config melakukan tindakan berikut saat menyiapkan gambar.

  1. Saat Anda memilih Matikan dengan Sysprep di kotak dialog Properti Layanan EC2, sistem menjalankan perintah ec2config.exe –sysprep.

  2. Layanan EC2Config membaca konten dari file BundleConfig.xml. Secara default, file terletak dalam direktori berikut: C:\Program Files\Amazon\Ec2ConfigService\Settings.

    File BundleConfig.xml mencakup pengaturan berikut. Anda dapat mengubah pengaturan ini:

    • AutoSysprep: Menunjukkan apakah akan menggunakan Windows Sysprep secara otomatis. Anda tidak perlu mengubah nilai ini jika Anda menjalankan Windows Sysprep dari kotak dialog Properti Layanan EC2. Nilai default-nya adalah No.

    • SetRDPCertificate: Mengatur sertifikat yang ditandatangani sendiri untuk server Desktop Jarak Jauh. Ini memungkinkan Anda menggunakan Remote Desktop Protocol (RDP) secara aman untuk tersambung ke instans. Ubah nilai ke Yes jika instans baru harus menggunakan sertifikat. Pengaturan ini tidak digunakan dengan instance Windows Server 2012 karena sistem operasi ini dapat menghasilkan sertifikat mereka sendiri. Nilai default-nya adalah No.

    • SetPasswordAfterSysprep: Menetapkan kata sandi acak pada instance yang baru diluncurkan, mengenkripsi dengan kunci peluncuran pengguna, dan mengeluarkan kata sandi terenkripsi ke konsol. Ubah nilai ke No jika instans baru tidak boleh diatur ke kata sandi terenkripsi acak. Nilai default-nya adalah Yes.

    • PreSysprepRunCmd: Lokasi perintah untuk dijalankan. Skrip ini terletak di direktori berikut secara default: C:\Program Files\Amazon\Ec2ConfigService\Scripts\BeforeSysprep.cmd

  3. Sistem menjalankan BeforeSysprep.cmd. Perintah ini membuat kunci registri sebagai berikut:

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f

    Kunci registri akan menonaktifkan koneksi RDP hingga diaktifkan kembali. Menonaktifkan koneksi RDP adalah langkah keamanan yang diperlukan karena, selama sesi boot pertama setelah Windows Sysprep berjalan, ada periode waktu singkat di mana RDP memungkinkan koneksi dan kata sandi Administrator kosong.

  4. Layanan EC2config memanggil Windows Sysprep dengan menjalankan perintah berikut:

    sysprep.exe /unattend: "C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml" /oobe /generalize /shutdown

Fase Generalisasi

  • Alat ini menghapus informasi dan konfigurasi spesifik gambar, seperti nama komputer dan SID. Jika instans adalah anggota sebuah domain, instans akan dihapus dari domain tersebut. File jawaban sysprep2008.xml mencakup pengaturan berikut yang memengaruhi fase ini:

    • PersistAllDeviceInstalls: Pengaturan ini mencegah Pengaturan Windows menghapus dan mengonfigurasi ulang perangkat, yang mempercepat proses persiapan gambar karena Amazon AMI memerlukan driver tertentu untuk dijalankan dan deteksi ulang driver tersebut akan memakan waktu.

    • DoNotCleanUpNonPresentDevices: Pengaturan ini menyimpan informasi Plug and Play untuk perangkat yang saat ini tidak ada.

  • Windows Sysprep mematikan OS saat bersiap untuk membuat AMI. Sistem meluncurkan instans baru atau memulai instans asal.

Tahap Spesialisasi

Sistem menghasilkan persyaratan spesifik OS, seperti nama komputer dan SID. Sistem juga melakukan tindakan berikut ini berdasarkan konfigurasi yang Anda tentukan dalam file jawaban sysprep2008.xml.

  • CopyProfile: Windows Sysprep dapat dikonfigurasi untuk menghapus semua profil pengguna, termasuk profil Administrator bawaan. Pengaturan ini mempertahankan akun Administrator bawaan sehingga kustomisasi apa pun yang Anda buat pada akun tersebut dipindahkan ke gambar baru. Nilai default-nya adalah True.

    CopyProfile mengganti profil default dengan profil administrator lokal yang ada. Semua akun yang masuk setelah menjalankan Windows Sysprep akan menerima salinan profil itu dan isinya pada login pertama.

    Apabila Anda tidak memiliki kustomisasi profil pengguna tertentu yang ingin Anda tampilkan ke gambar baru tersebut, ubah pengaturan ini menjadi False. Windows Sysprep akan menghapus semua profil pengguna; ini menghemat waktu dan ruang disk.

  • TimeZone: Zona waktu diatur ke Coordinate Universal Time (UTC) secara default.

  • Perintah sinkron dengan order 1: Sistem menjalankan perintah berikut, yang mengaktifkan akun administrator dan menentukan persyaratan kata sandi.

    net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES

  • Perintah sinkron dengan order 2: Sistem mengacak kata sandi administrator. Langkah keamanan ini dirancang untuk mencegah instance agar tidak dapat diakses setelah Windows Sysprep selesai jika Anda tidak mengaktifkan pengaturan ec2setpassword.

    C:\Program File\ Amazon\Ec2ConfigService\ ScramblePassword.exe "-u Administrator

  • Perintah sinkron dengan order 3: Sistem menjalankan perintah berikut:

    C:\Program File\ Amazon\Ec2ConfigService\ Script\ SysprepSpecializePhase.cmd

    Perintah ini menambahkan kunci registri berikut ini, yang mengaktifkan ulang RDP:

    reg tambahkan “HKEY_LOCAL_MACHINE\ SYSTEM\\ ControlCurrentControlSet\ Terminal Server” /v FdenytsConnections /t REG_DWORD /d 0 /f

Fase OOBE

  1. Menggunakan file jawaban layanan EC2Config, sistem menentukan konfigurasi berikut ini:

    • < InputLocale InputLocale >en-kami</ >

    • < SystemLocale SystemLocale >en-kami</ >

    • <UILanguage>en-US</UILanguage>

    • < UserLocale UserLocale >en-kami</ >

    • <HideEULAPage>true</HideEULAPage>

    • < HideWirelessSetupInOOBE HideWirelessSetupInOOBE >benar</ >

    • < NetworkLocation NetworkLocation >Lainnya</ >

    • < ProtectYour PC> 3 </ PC> ProtectYour

    • < BluetoothTaskbarIconEnabled BluetoothTaskbarIconEnabled >salah</ >

    • < TimeZone TimeZone >UTC</ >

    • <RegisteredOrganization>Amazon.com</RegisteredOrganization>

    • < RegisteredOwner RegisteredOwner >Amazon</ >

    catatan

    Selama fase generalisasi dan spesialisasi, layanan EC2Config memantau status OS. Jika EC2Config mendeteksi bahwa OS berada dalam fase Sysprep, ia kemudian menerbitkan pesan berikut ke log sistem:

    EC2ConfigMonitorState: 0 Windows sedang dikonfigurasi. SysprepState=IMAGE_STATE_UNDEPLOYABLE

  2. Setelah fase OOBE selesai, sistem menjalankan SetupComplete.cmd dari lokasi berikut: C:\Windows\Setup\Scripts\SetupComplete.cmd. Di AMI publik Amazon sebelum April 2015, file ini kosong dan tidak menjalankan apa pun pada gambar. Di AMI publik tertanggal setelah April 2015, file mencakup nilai berikut: call "C:\Program Files\Amazon\Ec2ConfigService\Scripts\PostSysprep.cmd".

  3. Sistem menjalankan PostSysprep.cmd, yang melakukan operasi berikut:

    • Mengatur kata sandi Administrator lokal agar tidak kedaluwarsa. Jika kata sandi kedaluwarsa, Administrator mungkin tidak bisa masuk.

    • Mengatur nama mesin MSSQLServer (jika terinstal) sehingga nama akan tersinkron dengan AMI.

Pasca Sysprep

Setelah Windows Sysprep selesai, layanan EC2config mengirimkan pesan berikut ke output konsol:

Windows sysprep configuration complete.
			Message: Sysprep Start
			Message: Sysprep End

EC2Config kemudian akan melakukan tindakan berikut:

  1. Membaca konten file config.xml dan mencantumkan semua plug-in yang diaktifkan.

  2. Menjalankan semua plug-in “Sebelum Windows siap” secara bersamaan.

    • Ec2SetPassword

    • Ec2SetComputerName

    • Ec2InitializeDrives

    • Ec2EventLog

    • Ec2ConfigureRDP

    • Ec2OutputRDPCert

    • Ec2SetDriveLetter

    • Ec2WindowsActivate

    • Ec2DynamicBootVolumeSize

  3. Setelah selesai, mengirimkan pesan “Windows siap” ke log sistem instans.

  4. Menjalankan semua plug-in “Setelah Windows siap” secara bersamaan.

    • CloudWatch Log Amazon

    • UserData

    • AWS Systems Manager (Systems Manager)

Untuk informasi selengkapnya tentang plug-in Windows, lihat Gunakan layanan EC2config untuk melakukan tugas selama peluncuran instans sistem operasi Windows lama EC2.

Jalankan Windows Sysprep dengan layanan EC2config

Gunakan prosedur berikut untuk membuat AMI standar menggunakan Windows Sysprep dan layanan EC2config.

  1. Di konsol Amazon EC2, cari atau buat AMI yang ingin Anda duplikasi.

  2. Luncurkan dan sambungkan ke instans Windows Anda.

  3. Kustomisasikan.

  4. Tentukan pengaturan konfigurasi dalam file jawaban layanan EC2Config:

    C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml

  5. Dari menu Mulai Windows, pilih Semua Program, lalu pilih Pengaturan EC2ConfigService.

  6. Pilih tab Gambar di kotak dialog Properti Layanan Ec2. Untuk informasi selengkapnya tentang opsi dan pengaturan di kotak dialog Properti Layanan Ec2, lihat Properti Layanan Ec2.

  7. Pilih opsi untuk kata sandi Administrator, lalu pilih Matikan dengan Sysprep atau Matikan tanpa Sysprep. EC2Config mengubah file pengaturan berdasarkan opsi kata sandi yang Anda pilih.

    • Acak: EC2Config membuat kata sandi, mengenkripsinya dengan kunci pengguna, dan menampilkan kata sandi terenkripsi ke konsol. Kami menonaktifkan pengaturan ini setelah peluncuran pertama sehingga kata sandi ini akan tetap ada jika instans tersebut di-boot ulang atau dihentikan dan dimulai.

    • Tentukan: Kata sandi disimpan dalam file jawaban Windows Sysprep dalam bentuk tidak terenkripsi (teks yang jelas). Ketika Windows Sysprep berjalan berikutnya, ia menetapkan kata sandi Administrator. Jika Anda mematikan sekarang, kata sandi akan segera ditetapkan. Saat layanan dimulai lagi, kata sandi Administrator dihapus. Penting untuk mengingat kata sandi ini karena Anda tidak dapat mengambilnya nanti.

    • Tetap Ada: Kata sandi yang ada untuk akun Administrator tidak berubah saat Windows Sysprep dijalankan atau EC2config dimulai ulang. Penting untuk mengingat kata sandi ini karena Anda tidak dapat mengambilnya nanti.

  8. Pilih OK.

Ketika Anda diminta untuk mengonfirmasi bahwa Anda ingin menjalankan Windows Sysprep dan mematikan instance, klik Ya. Anda akan melihat bahwa EC2config menjalankan Windows Sysprep. Selanjutnya, Anda keluar dari instans, dan instansnya dimatikan. Jika Anda memeriksa halaman Instans di konsol Amazon EC2, status instan berubah dari Running ke Stopping, lalu ke Stopped. Ketika itu, aman untuk membuat AMI dari instans ini.

Anda dapat secara manual memanggil alat Windows Sysprep dari baris perintah menggunakan perintah berikut:

"%programfiles%\amazon\ec2configservice\"ec2config.exe -sysprep""
catatan

Tanda kutip ganda dalam perintah tidak diperlukan jika shell CMD Anda sudah ada di direktori C:\Program Files\ Amazon\EC2ConfigService\.

Namun, Anda harus sangat berhati-hati agar opsi file XML yang ditentukan dalam folder Ec2ConfigService\Settings sudah benar; jika tidak, Anda mungkin tidak dapat terhubung ke instans. Untuk informasi selengkapnya tentang file pengaturan, lihat EC2File pengaturan Config. Untuk contoh mengkonfigurasi dan kemudian menjalankan Windows Sysprep dari baris perintah, lihat. Ec2ConfigService\Scripts\InstallUpdates.ps1