Ein AMI mithilfe von Windows Sysprep mit EC2Config erstellen - Amazon Elastic Compute Cloud
Windows-Sysprep-AktionenNach SysprepWindows Sysprep mit dem EC2Config-Service ausführen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ein AMI mithilfe von Windows Sysprep mit EC2Config erstellen

Wenn Sie ein Image aus einer Instance erstellen, auf der der EC2Config-Service installiert ist, führt EC2Config während der Vorbereitung des Images bestimmte Aufgaben aus. Dies beinhaltet die Arbeit mit Windows Sysprep. Weitere Informationen finden Sie unter Sysprep-Phasen von Windows.

Windows-Sysprep-Aktionen

Windows Sysprep und der EC2Config-Service führen folgende Aktionen beim Vorbereiten eines Images aus.

  1. Wenn Sie im Dialogfeld EC2-Serviceeigenschaften die Option Mit Sysprep herunterfahren auswählen, führt das System den Befehl ec2config.exe -sysprep aus.

  2. Der EC2Config-Service liest den Inhalt der Datei BundleConfig.xml ein. Diese Datei befindet sich standardmäßig im folgenden Verzeichnis: C:\Program Files\Amazon\Ec2ConfigService\Settings.

    Die BundleConfig.xml-Datei umfasst die folgenden Einstellungen. Sie können diese Einstellungen ändern:

    • AutoSysprep: Gibt an, ob Windows Sysprep automatisch verwendet werden soll. Sie brauchen diesen Wert nicht zu ändern, wenn Sie Windows Sysprep vom Dialogfeld „EC2-Service-Eigenschaften“ aus ausführen. Der Standardwert ist No.

    • SetRDPCertificate: Legt ein selbstsigniertes Zertifikat für den Remote-Desktop-Server fest. Auf diese Weise können Sie das Remote Desktop Protocol (RDP) sicher verwenden, um eine Verbindung zur Instance herzustellen. Ändern Sie den Wert in Yes, wenn neue Instances ein Zertifikat verwenden sollen. Diese Einstellung wird für Windows Server 2012 Instances nicht verwendet, da diese Betriebssysteme ihre eigenen Zertifikate generieren können. Der Standardwert ist No.

    • SetPasswordAfterSysprep: Legt ein zufälliges Passwort für eine neu gestartete Instance fest, verschlüsselt sie mit dem Benutzer-Startschlüssel und gibt das verschlüsselte Passwort an die Konsole aus. Ändern Sie den Wert in No, wenn die neuen Instances nicht als zufällig verschlüsseltes Passwort festgelegt werden sollen. Der Standardwert ist Yes.

    • PreSysprepRunCmd: Der Speicherort des auszuführenden Befehls. Der Befehl befindet sich standardmäßig in folgendem Verzeichnis: C:\Program Files\Amazon\Ec2ConfigService\Scripts\BeforeSysprep.cmd

  3. Das System führt au BeforeSysprep.cmd. Dieser Befehl erstellt den folgenden Registrierungsschlüssel:

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f

    Der Registrierungsschlüssel deaktiviert RDP-Verbindungen bis sie erneut aktiviert werden. Die Deaktivierung von RDP-Verbindungen ist eine notwendige Sicherheitsmaßnahme, da während der ersten Boot-Session nach der Ausführung von Windows Sysprep kurzzeitig Verbindungen von RDP zugelassen werden und noch kein Administratorkennwort vergeben ist.

  4. Der EC2Config-Service ruft Windows Sysprep mit dem folgenden Befehl auf:

    sysprep.exe /unattend: "C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml" /oobe /generalize /shutdown

Generalisierungsphase

  • Das Tool entfernt Image-spezifische Informationen und Konfigurationen, z. B. Computer-Name und SID. Wenn die Instance Mitglied einer Domain ist, wird sie von der Domain entfernt. Die sysprep2008.xml-Antwortdatei enthält folgende Einstellungen, die sich auf diese Phase auswirken:

    • PersistAllDeviceInstalls: Die Einstellung verhindert, dass Windows Setup Geräte entfernt und neu konfiguriert. Dies beschleunigt die Image-Vorbereitung, da Amazon-AMIs bestimmte Treiber für die Ausführung erfordern und die erneute Erkennung der Treiber Zeit erfordern würde.

    • DoNotCleanUpNonPresentDevices: Die Einstellung hält Plug & Play-Informationen für Geräte zurück, die derzeit nicht vorhanden sind.

  • Windows Sysprep beendet das Betriebssystem bei der Vorbereitung der Erstellung des AMI. Das System startet entweder eine neue Instance oder die ursprüngliche Instance.

Spezialisierungsphase

Das System erstellt OS-spezifische Anforderungen, z. B. Computer-Name und eine SID. Das System führt zudem die folgenden Aktionen basierend auf Konfigurationen durch, die Sie in der sysprep2008.xml-Antwortdatei angeben.

  • CopyProfile: Windows Sysprep kann zur Löschung aller Benutzerprofile konfiguriert werden, einschließlich des integrierten Administratorprofils. Die Einstellung behält das integrierte Administratorkonto bei, sodass alle an diesem Konto vorgenommenen Anpassungen auf das neue Image übertragen werden. Der Standardwert ist „True“.

    CopyProfile ersetzt das Standardprofil durch das vorhandene Profil des lokalen Administrators. Alle Konten, die sich nach der Ausführung von Windows Sysprep anmelden, erhalten bei der ersten Anmeldung eine Kopie dieses Profils und seiner Inhalte.

    Wenn es keine spezifischen Benutzerprofilanpassungen gibt, die Sie auf das neue Image übertragen möchten, legen Sie diese Einstellung auf „False“ fest. Windows Sysprep wird alle Benutzerprofile entfernen. Das spart Zeit und Festplattenspeicher.

  • TimeZone: Die Zeitzone wird standardmäßig auf koordinierte Weltzeit (UTC) festgelegt.

  • Synchronous command with order 1: Das System führt den folgenden Befehl zur Aktivierung des Administratorkontos und Angabe der Passwortanforderungen aus.

    net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES

  • Synchronous command with order 2: Das System verschlüsselt das Administratorpasswort. Die Sicherheitsmaßnahme dient dazu, den Zugriff auf die Instance nach Abschluss von Windows Sysprep zu verhindern, wenn die ec2setpassword-Einstellung nicht aktiviert wurde.

    C:\Programme\Amazon\Ec2ConfigService\ScramblePassword.exe" -u Administrator

  • Synchronous command with order 3: Das System führt den folgenden Befehl aus:

    C:\Programme\Amazon\Ec2ConfigService\Scripts\SysprepSpecializePhase.cmd

    Der Befehl fügt den folgenden Registrierungsschlüssel hinzu, der RDP erneut aktiviert:

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

OOBE-Phase

  1. Das System gibt mit der EC2Config-Service-Antwortdatei die folgenden Konfigurationen an:

    • <InputLocale>en-US</InputLocale>

    • <SystemLocale>en-US</SystemLocale>

    • <UILanguage>en-US</UILanguage>

    • <UserLocale>en-US</UserLocale>

    • <HideEULAPage>true</HideEULAPage>

    • <HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>

    • <NetworkLocation>Other</NetworkLocation>

    • <ProtectYourPC>3</ProtectYourPC>

    • <BluetoothTaskbarIconEnabled>false</BluetoothTaskbarIconEnabled>

    • <TimeZone>UTC</TimeZone>

    • <RegisteredOrganization>Amazon.com</RegisteredOrganization>

    • <RegisteredOwner>Amazon</RegisteredOwner>

    Anmerkung

    Während der Generalisierungs- und Spezialisierungsphasen überwacht der EC2Config-Service den Status des Betriebssystems. Wenn EC2Config erkennt, dass sich das OS in einer Sysprep-Phase befindet, schreibt es die folgende Mitteilung in das Systemprotokoll:

    EC2ConfigMonitorState: 0 Windows is being configured. SysprepState=IMAGE_STATE_UNDEPLOYABLE

  2. Nach Abschluss der OOBE-Phase führt das System SetupComplete.cmd von folgendem Standort aus: C:\Windows\Setup\Scripts\SetupComplete.cmd. In öffentlichen AMIs von Amazon vor April 2015 war die Datei leer und es wurden keine Befehle für das Image ausgeführt. In öffentlichen AMIs, die nach April 2015 datiert wurden, enthält die Datei den folgenden Wert: call "C:\Program Files\Amazon\Ec2ConfigService\Scripts\PostSysprep.cmd".

  3. Das System führt PostSysprep.cmd aus, das die folgenden Vorgänge ausführt:

    • Legt das Administratorpasswort so fest, dass es nicht ablaufen kann. Wenn das Passwort abläuft, können sich Administratoren anschließend möglicherweise nicht mehr anmelden.

    • Legt den MSSQLServer-Computer-Namen (sofern installiert) fest, sodass der Name mit dem AMI synchronisiert wird.

Nach Sysprep

Nach dem Abschluss von Windows Sysprep sendet der EC2Config-Service die folgende Mitteilung an die Konsolenausgabe:

Windows sysprep configuration complete.
			Message: Sysprep Start
			Message: Sysprep End

EC2Config führt anschließend die folgenden Aktionen aus:

  1. Liest den Inhalt der config.xml-Datei aus und führt alle aktivierten Plugins aus.

  2. Führt alle Plugins vom Typ „Before Windows is ready“ gleichzeitig aus.

    • Ec2SetPassword

    • Ec2SetComputerName

    • Ec2InitializeDrives

    • Ec2EventLog

    • Ec2ConfigureRDP

    • Ec2OutputRDPCert

    • Ec2SetDriveLetter

    • Ec2WindowsActivate

    • Ec2DynamicBootVolumeSize

  3. Sendet nach Abschluss die Meldung „Windows is ready“ an die Instance-Systemprotokolle.

  4. Führt alle Plugins vom Typ „After Windows is ready“ gleichzeitig aus.

    • Amazon CloudWatch Logs

    • UserData

    • AWS Systems Manager (Systems Manager)

Weitere Informationen über Windows-Plug-ins finden Sie unter Den EC2Config-Service verwenden, um Aufgaben während des Starts der EC2-Legacy-Windows-Betriebssysteminstance auszuführen.

Windows Sysprep mit dem EC2Config-Service ausführen

Verwenden Sie das folgende Verfahren, um ein standardisiertes AMI mit Windows Sysprep und dem EC2Config-Service zu erstellen.

  1. Suchen Sie in der Amazon EC2-Konsole das zu duplizierende AMI oder erstellen Sie eines.

  2. Starten Sie die Windows-Instance und stellen Sie eine Verbindung zu ihr her.

  3. Passen Sie sie an.

  4. Geben Sie Konfigurationseinstellungen in der EC2Config-Service-Antwortdatei an:

    C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml

  5. Klicken Sie im Windows-Start-Menü auf Alle Programme und anschließend auf EC2ConfigService Settings (EC2ConfigService-Einstellungen).

  6. Wählen Sie die Registerkarte Image (Image) im Dialogfeld Ec2 Service Properties (Ec2-Service-Eigenschaften) aus. Weitere Informationen zu den Optionen und Einstellungen im Ec2 Service Properties-Dialogfeld finden Sie unter Ec2-Service-Eigenschaften.

  7. Wählen Sie eine Option für das Administratorpasswort aus und wählen Sie anschließend Shutdown with Sysprep (Herunterfahren mit Sysrep) oder Shutdown without Sysprep (Herunterfahren ohne Sysprep). EC2Config bearbeitet die Einstellungsdateien basierend auf der ausgewählten Passwortoption.

    • Random (Zufällig): EC2Config erstellt ein Passwort, verschlüsselt es mit dem Benutzerschlüssel und gibt das verschlüsselte Passwort an die Konsole aus. Die Einstellung wird nach dem ersten Start deaktiviert, sodass das Passwort weiterhin gilt, wenn die Instance neu gestartet bzw. angehalten und gestartet wird.

    • Spezifizieren: Das Passwort wird unverschlüsselt (Klartext) in der Windows-Sysprep-Antwortdatei gespeichert. Bei der nächsten Ausführung von Windows Sysprep wird das Administratorpasswort festgelegt. Wenn Sie den Service gleich beenden, wird das Passwort sofort festgelegt. Sobald der Service erneut startet, wird das Administratorpasswort entfernt. Bewahren Sie das Passwort unbedingt gut auf, da Sie es später nicht erneut abrufen können.

    • Vorhandenes beibehalten: Das bestehende Passwort für das Administratorkonto ändert sich nicht, wenn Windows Sysprep ausgeführt oder EC2Config neu gestartet wird. Bewahren Sie das Passwort unbedingt gut auf, da Sie es später nicht erneut abrufen können.

  8. Klicken Sie auf OK.

Wenn Sie zum Bestätigen der Ausführung von Windows Sysprep und zum Beenden der Instance aufgefordert werden, klicken Sie auf Ja. Sie werden feststellen, dass EC2Config Windows Sysprep ausführt. Anschließend werden Sie von der Instance abgemeldet und die Instance wird beendet. Auf der Seite Instances in der Amazon EC2-Konsole wechselt der Instance-Zustand von Running zu Stopping und abschließend zu Stopped. Jetzt kann ein AMI aus dieser Instance erstellt werden.

Sie können das Windows-Sysprep-Tool manuell mittels Befehlszeile und dem folgenden Befehl aufrufen:

"%programfiles%\amazon\ec2configservice\"ec2config.exe -sysprep""
Anmerkung

Die doppelten Anführungszeichen sind nicht erforderlich, wenn sich die CMD-Shell bereits im Verzeichnis C:\Programme\Amazon\EC2ConfigService\ befindet.

Achten Sie aber sorgfältig auf die Angabe der richtigen XML-Dateioptionen im Ordner Ec2ConfigService\Settings, andernfalls kann möglicherweise keine Verbindung zur Instance hergestellt werden. Weitere Informationen zu diesen Einstellungsdateien finden Sie unter EC2Config-Einstellungsdateien. Ein Beispiel für die Konfiguration und das anschließende Ausführen von Windows Sysprep über die Befehlszeile finden Sie unter Ec2ConfigService\Scripts\InstallUpdates.ps1.