Crea un’AMI utilizzando Windows Sysprep con EC2Config - Amazon Elastic Compute Cloud
Azioni di Windows SysprepDopo SysprepEseguire Windows Sysprep con il servizio EC2Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un’AMI utilizzando Windows Sysprep con EC2Config

Quando crei un’immagine da un’istanza con il servizio EC2Config installato, EC2Config esegue specifiche attività durante la preparazione dell’immagine. Ciò include l’uso di Windows Sysprep. Per ulteriori informazioni, consulta Fasi di Windows Sysprep.

Azioni di Windows Sysprep

Durante la preparazione di un'immagine, Windows Sysprep e il servizio EC2Config eseguono le azioni seguenti.

  1. Quando si sceglie Arresta con Sysprep nella finestra di dialogo Proprietà del servizio EC2, il sistema esegue il comando ec2config.exe –sysprep.

  2. Il servizio EC2Config legge il contenuto del file BundleConfig.xml. Per impostazione predefinita, questo file si trova nella directory seguente: C:\Program Files\Amazon\Ec2ConfigService\Settings.

    Il file BundleConfig.xml include le seguenti impostazioni. È possibile modificare tali impostazioni:

    • AutoSysprep: indica la possibilità di utilizzare Windows Sysprep in modo automatico. Non si deve modificare tale valore se Windows Sysprep è in esecuzione dalla finestra di dialogo EC2 Service Properties (Proprietà servizio EC2). Il valore predefinito è No.

    • SetRDPCertificate: imposta un certificato autofirmato per il server Remote Desktop. Questo consente di utilizzare il Remote Desktop Protocol (RDP) in modo sicuro per connettersi all'istanza. Modifica il valore in Yes se le nuove istanze devono utilizzare un certificato. Questa impostazione non si utilizza con le istanze di Windows Server 2012 in quanto tali sistemi operativi sono in grado di generare i propri certificati. Il valore predefinito è No.

    • SetPasswordAfterSysprep: imposta una password casuale in un'istanza appena avviata, la crittografa con la chiave di lancio dell'utente e invia la password crittografata alla console. Modifica il valore in No se le nuove istanze non devono essere impostate su una password casuale crittografata. Il valore predefinito è Yes.

    • PreSysprepRunCmd: posizione del comando da eseguire. Per impostazione predefinita il comando si trova nella seguente directory: C:\Program Files\Amazon\Ec2ConfigService\Scripts\BeforeSysprep.cmd

  3. Il sistema esegue BeforeSysprep.cmd. Tale comando crea una chiave di registro come indicato di seguito:

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f

    La chiave di registro disattiva le connessioni RDP fino a che non vengono riattivate. La disattivazione delle connessioni RDP è una misura di sicurezza necessaria in quanto, nella prima sessione di avvio dopo l'esecuzione di Windows Sysprep, RDP consente le connessioni per un breve periodo di tempo in cui la password dell'Amministratore è vuota.

  4. Il servizio EC2Config chiama Windows Sysprep attraverso l'esecuzione dei comandi seguenti:

    sysprep.exe /unattend: "C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml" /oobe /generalize /shutdown

Fase di generalizzazione

  • Lo strumento rimuove le informazioni e le configurazioni specifiche dell'immagine, quali il nome del computer e l'SID. Se l'istanza è un membro di un dominio, essa viene rimossa dal dominio. Il file di risposta sysprep2008.xml include le impostazioni seguenti che riguardano questa fase:

    • PersistAllDeviceInstalls: questa impostazione impedisce alla Configurazione di Windows di rimuovere e riconfigurare i dispositivi. In questo modo, il processo di preparazione dell'immagine è più veloce, in quanto le AMI di Amazon richiedono l'esecuzione di determinati driver e rilevarli nuovamente richiederebbe tempo.

    • DoNotCleanUpNonPresentDevices: questa impostazione archivia le informazioni di Plug and Play per i dispositivi non attualmente presenti.

  • Windows Sysprep arresta l'SO quando si prepara alla creazione dell'AMI. Il sistema avvia una nuova istanza o avvia l'istanza originale.

Fase di specializzazione

Il sistema genera i requisiti specifici del SO, come un nome del computer e un SID. Il sistema esegue anche le azioni seguenti, in base alle configurazioni specificate nel file di risposta sysprep2008.xml.

  • CopyProfile: Windows Sysprep può essere configurato per cancellare tutti i profili utente, compreso il profilo Amministratore integrato. Questa impostazione mantiene l'account Amministratore integrato cosicché qualsiasi personalizzazione effettuata su tale account venga trasferita alla nuova immagine. Il valore predefinito è True.

    CopyProfile sostituisce il profilo predefinito con il profilo dell'amministratore locale esistente. Tutti gli account connessi dopo l'esecuzione di Windows Sysprep riceveranno una copia di tale profilo e del suo contenuto al primo accesso.

    Se non si dispone di personalizzazioni specifiche del profilo utente che si desidera trasferire alla nuova immagine, modificare questa impostazione in False. Windows Sysprep rimuoverà tutti i profili utente, risparmiando tempo e spazio su disco.

  • TimeZone: per impostazione predefinita, il fuso orario è impostato su Orario Universale Coordinato (UTC).

  • Synchronous command with order 1 (Comando sincrono con ordine 1): il sistema esegue il comando seguente che abilita l'account amministratore e specifica il requisito della password.

    net user Administrator /ACTIVE:YES /LOGONPASSWORDCHG:NO /EXPIRES:NEVER /PASSWORDREQ:YES

  • Synchronous command with order 2 (Comando sincrono con ordine 2): il sistema codifica la password dell'amministratore. Questa misura di sicurezza è progettata per impedire che l'istanza sia accessibile dopo il completamento di Windows Sysprep se non è stata attivata l'impostazione ec2setpassword.

    C:\Program Files\Amazon\Ec2ConfigService\ScramblePassword.exe" -u Amministratore

  • Synchronous command with order 3 (Comando sincrono con ordine 3): il sistema esegue il comando seguente:

    C:\Program Files\Amazon\Ec2ConfigService\Scripts\SysprepSpecializePhase.cmd

    Questo comando aggiunge la seguente chiave di registro, che riattiva l'RDP:

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

Fase Configurazione guidata

  1. Con l'utilizzo del file di risposta del servizio EC2Config, il sistema specifica le configurazioni seguenti:

    • <InputLocale>en-US</InputLocale>

    • <SystemLocale>en-US</SystemLocale>

    • <UILanguage>en-US</UILanguage>

    • <UserLocale>en-US</UserLocale>

    • <HideEULAPage>true</HideEULAPage>

    • <HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>

    • <NetworkLocation>Other</NetworkLocation>

    • <ProtectYourPC>3</ProtectYourPC>

    • <BluetoothTaskbarIconEnabled>false</BluetoothTaskbarIconEnabled>

    • <TimeZone>UTC</TimeZone>

    • <RegisteredOrganization>Amazon.com</RegisteredOrganization>

    • <RegisteredOwner>Amazon</RegisteredOwner>

    Nota

    Durante le fasi di generalizzazione e di specializzazione, il servizio EC2Config monitora lo stato del SO. Se EC2Config rileva che il SO si trova in una fase di Sysprep, pubblica il messaggio seguente nel log di sistema:

    EC2ConfigMonitorState: 0 Configurazione di Windows in corso. SysprepState=IMAGE_STATE_UNDEPLOYABLE

  2. Al termine della fase OOBE, il sistema esegue SetupComplete.cmd dal seguente percorso: C:\Windows\Setup\Scripts\SetupComplete.cmd. Nelle AMI pubbliche di Amazon, prima dell'aprile 2015 questo file era vuoto e non eseguiva nulla sull'immagine. Nelle AMI pubbliche datate dopo l'aprile 2015, il file include il seguente valore: call "C:\Program Files\Amazon\Ec2ConfigService\Scripts\PostSysprep.cmd".

  3. Il sistema esegue PostSysprep.cmd, che esegue le seguenti operazioni:

    • Imposta la password Amministratore locale in modo che non scada. Se la password è scaduta, l'Amministratore potrebbe non essere in grado di effettuare l'accesso.

    • Imposta il nome della macchina MSSQLServer (se installata) in modo che sia sincronizzato con l'AMI.

Dopo Sysprep

Al termine di Windows Sysprep, i servizi EC2Config inviano il messaggio seguente all'uscita della console:

Windows sysprep configuration complete.
			Message: Sysprep Start
			Message: Sysprep End

Quindi EC2Config effettua le seguenti azioni:

  1. Legge il contenuto del file config.xml ed elenca tutti i plug-in attivati.

  2. Esegue tutti i plug-in "Prima che Windows sia pronto" contemporaneamente.

    • Ec2SetPassword

    • Ec2SetComputerName

    • Ec2InitializeDrives

    • Ec2EventLog

    • Ec2ConfigureRDP

    • Ec2OutputRDPCert

    • Ec2SetDriveLetter

    • Ec2WindowsActivate

    • Ec2DynamicBootVolumeSize

  3. Al termine, invia un messaggio "Windows è pronto" ai log del sistema di istanza.

  4. Esegue tutti i plug-in "Dopo che Windows è pronto" contemporaneamente.

    • Amazon CloudWatch Logs

    • UserData

    • AWS Systems Manager (Systems Manager)

Per ulteriori informazioni sui plug-in di Windows, consulta Utilizza il servizio EC2Config per eseguire attività durante l'avvio dell'istanza del sistema operativo Windows legacy EC2.

Eseguire Windows Sysprep con il servizio EC2Config

Per creare un'AMI standardizzata utilizzando Windows Sysprep e il servizio EC2Config, utilizzare la procedura seguente.

  1. Nella console Amazon EC2 individuare o creare un'AMI che si desidera duplicare.

  2. Avviare l'istanza Windows e connettersi a essa.

  3. Personalizzarla.

  4. Specificare le impostazioni di configurazione nel file di risposta del servizio EC2Config:

    C:\Program Files\Amazon\Ec2ConfigService\sysprep2008.xml

  5. Dal menu Start (Avvio) di Windows, selezionare All Programs (Tutti i programmi), quini scegliere EC2ConfigService Settings (Impostazioni EC2ConfigService).

  6. Selezionare la scheda Image (Immagine) nella finestra di dialogo Ec2 Service Properties (Proprietà servizio Ec2). Per ulteriori informazioni sulle opzioni e sulle impostazioni nella finestra di dialogo Proprietà servizio Ec2, consultare Proprietà servizio Ec2.

  7. Selezionare un'opzione per la password Amministratore, quindi scegliere Shutdown with Sysprep (Arresta con Sysprep) o Shutdown without Sysprep (Arresta senza Sysprep). EC2Config modifica i file delle impostazioni in base all'opzione della password selezionata.

    • Random (Casuale): EC2Config genera una password, la crittografa con la chiave dell'utente e mostra la password crittografata alla console. Questa impostazione si disattiva dopo il primo avvio, in modo che questa password persista se l'istanza viene riavviata o arrestata e avviata.

    • Specifica: la password viene memorizzata nel file di risposta Windows Sysprep in un modulo non crittografato (testo normale). Quando Windows Sysprep viene eseguito, imposta la password Amministratore. Se si esegue l'arresto in questo momento, la password viene impostata immediatamente. Quando il servizio viene avviato nuovamente, la password Amministratore viene rimossa. È importante ricordare la password, poiché non sarà più possibile recuperarla in seguito.

    • Mantenere quella esistente: la password esistente dell'account Amministratore non cambia durante l'esecuzione di Windows Sysprep o il riavvio di EC2Config. È importante ricordare la password, poiché non sarà più possibile recuperarla in seguito.

  8. Seleziona OK.

Quando viene chiesto di confermare l'esecuzione di Windows Sysprep e l'arresto dell'istanza, fare clic su . EC2Config esegue Windows Sysprep. Successivamente, si verrà disconnessi dall'istanza e l'istanza verrà arrestata. Se si controlla la pagina Instances (Istanze) nella console Amazon EC2, lo stato dell'istanza cambia da Running a Stopping e infine in Stopped. A questo punto, è opportuno creare un'AMI da questa istanza.

È possibile richiamare manualmente lo strumento Windows Sysprep dalla riga di comando con il comando seguente:

"%programfiles%\amazon\ec2configservice\"ec2config.exe -sysprep""
Nota

Le virgolette doppie nel comando non sono necessarie se la shell CMD è già nella directory C:\Program Files\Amazon\EC2ConfigService\.

Tuttavia, è necessario controllare bene che le opzioni dei file XML specificate nella cartella Ec2ConfigService\Settings siano corrette; in caso contrario, potrebbe non essere possibile connettersi all'istanza. Per ulteriori informazioni sui file delle impostazioni, consultare File delle impostazioni di EC2Config. Per avere un esempio della configurazione e dell'esecuzione di Windows Sysprep dalla riga di comando, consulta Ec2ConfigService\Scripts\InstallUpdates.ps1.