WorkSpaces 中的自带 Windows 桌面许可证 - Amazon WorkSpaces
在 WorkSpaces 中使用自带 Windows 桌面许可证

WorkSpaces 中的自带 Windows 桌面许可证

如果与 Microsoft 签订的许可协议允许这样做,则可以将您的 Windows 10 或 11 桌面带到 WorkSpaces 并进行部署。为此,您必须启用自带许可 (BYOL) 并提供满足以下要求的 Windows 10 或 11 许可证。有关在 AWS 上使用 Microsoft 软件的更多信息,请参阅 Amazon Web Services 和 Microsoft

为了遵守 Microsoft 许可条款,AWS 在 AWS 云中专供您使用的硬件上运行 BYOL WorkSpaces。通过提供您自己的许可证,您可以为用户提供一致的体验。有关更多信息,请参阅 WorkSpaces 定价

重要

已从一个版本的 Windows 11 升级到更高版本(Windows 功能/版本升级)的 Windows 11 的 Windows 11 系统不支持映像创建。例如,升级到 24H2 的 Windows 11 23H2 系统不能用于创建映像。但是,Windows 累积更新或安全更新由 WorkSpaces 映像创建过程支持。

主题

在 WorkSpaces 中使用自带 Windows 桌面许可证

按照以下步骤在 Amazon WorkSpaces 中导入和使用您自己的 Windows 桌面许可证

在开始之前,请验证以下几点:

  • 您的 Microsoft 许可协议是否允许 Windows 在虚拟托管环境中运行。

  • 如果您要使用未启用 GPU 的捆绑包(Graphics.g4dn、GraphicsPro.g4dn、Graphics 和 GraphicsPro 以外的捆绑包),请验证您在每个区域是否至少使用 50 个 WorkSpaces。这 50 个 WorkSpaces 可以是 AlwaysOn 和 AutoStop WorkSpace 的任意组合。每个区域使用至少 50 个 WorkSpaces 是在专用硬件上运行 WorkSpaces 的一个要求。在专用硬件上运行您的 WorkSpaces 需要符合 Microsoft 许可要求。专用硬件在 AWS 端预调配,因此您的 VPC 可以保持默认租赁状态。

    如果您计划使用启用 GPU(Graphics.g4dn、GraphicsPro.g4dn、Graphics 和 GraphicsPro)的捆绑包,请验证您在专用硬件上每个月在一个区域中是否至少会运行 4 个 AlwaysOn 或 20 个 AutoStop 支持 GPU 的 WorkSpaces。

    注意

    • 作为映像导入流程的一部分,AWS 会自动检索系统日志以解决映像导入错误,提供故障排除帮助,并向用户提供准确的错误消息。

    • Graphics.g4dn、GraphicsPro.g4dn、Graphics 和 GraphicsPro 捆绑包不在非洲(开普敦)和以色列(特拉维夫)区域提供。

    • 要在非洲(开普敦)区域运行您的 WorkSpaces,您需要在非洲(开普敦)区域运行至少 400 个 WorkSpaces。

    • 经济捆绑包不适用于 Windows 11 和 WorkSpaces Pools。有关迁移现有服务捆绑包 WorkSpaces 的更多信息,请参阅迁移 WorkSpaces 个人版中的 WorkSpace

    • 为了获得最佳视频会议体验,建议使用 Power(4 个 vCPU,16 GB 或更大内存)捆绑包。

  • WorkSpaces 可以在 /16 IP 地址范围内使用管理接口。管理接口连接到一个用于交互式流式传输的安全 WorkSpaces 管理网络。这样可允许 WorkSpaces 管理您的 WorkSpace。有关更多信息,请参阅 网络接口。您必须至少从以下 IP 地址范围之一保留 /16 子网掩码用于此目的:

    • 10.0.0.0/8

    • 100.64.0.0/10

    • 172.16.0.0/12

    • 192.168.0.0/16

    • 198.18.0.0/15

    注意

    • 在采用 WorkSpaces 服务时,可用的管理接口 IP 地址范围经常会发生变化。要确定当前可用的范围,请运行 list-available-management-cidr-ranges AWS Command Line Interface (AWS CLI) 命令。

    • 除了您选择的 /16 CIDR 块外,54.239.224.0/20 IP 地址范围还用于所有 AWS 区域的管理接口流量。

  • 在导入 BYOL 自定义虚拟机映像之前,请验证您的映像

    WorkSpaces 仅支持启用了 UEFI 启动模式的映像。有关 EC2 Image Builder 如何检测启动模式的更多信息,请参阅《VM Import/Export 用户指南》中的VM Import/Export 支持的卷类型和文件系统

支持 BYOL 的 Windows 版本

您的 VM 必须运行以下 Windows 版本之一:

  • Windows 10 版本 22H2(2022 年 11 月更新)

  • Windows 10 Enterprise LTSC 2019(1809)

  • Windows 10 Enterprise LTSC 2021(21H2)

  • Windows 11 Enterprise 23H2(2023 年 10 月发布)

  • Windows 11 Enterprise 22H2(2022 年 10 月发布)

  • Windows 11 Enterprise 24H2(2024 年 10 月发布)

所有受支持的操作系统版本都支持您使用 WorkSpaces 时所在 AWS 区域中可用的所有计算类型。不再受 Microsoft 支持的 Windows 版本不能保证正常工作,也不受 AWS Support 支持。

注意

目前,BYOL 不支持 Windows 10 N 和 Windows 11 N 版本。

确认满足在 WorkSpaces 中使用 Windows BYOL 的先决条件后,您需要为账户启用 BYOL,才能使用 BYOL 映像。

  1. 在 WorkSpaces 控制台中,导航至“账户设置”页面。

  2. 在“自带许可证(BYOL)”部分,您会看到账户的 BYOL 启用状态。如果状态显示账户未启用,请选择开始使用 BYOL 按钮。

  3. 在 BYOL 页面上,选择“为账户启用 BYOL”。

    注意

    为账户启用 BYOL 仅适用于单个区域。请记下您当前所在的区域,如果您想使用其他区域,请在为账户启用 BYOL 前切换到相应区域。

  4. 这时将弹出一个模态窗口,确认您了解使用 BYOL WorkSpaces 的最低要求。确认您已了解相关要求,然后选择“启用账户”。

    注意

    如果您打算在 Graphics WorkSpaces 中使用 BYOL,请创建 AWS Support 票证。WorkSpaces 控制台尚不支持启用 Graphics BYOL。

  5. 在大多数情况下,账户会自动启用。但是,有些账户需要进一步审核。刷新后,您会在 BYOL 页面上看到启用状态。

  6. 为账户启用 BYOL 后,请继续执行下一步。

注意

此步骤仅适用于要导入的自定义虚拟机映像。如果您要导入的是 Windows ISO,则可跳过此步骤。

如果您要导入自定义虚拟机映像,建议您运行 WorkSpaces Image Checker 工具,以确保您的虚拟机与 WorkSpaces 兼容。映像检查程序工具会运行一系列测试,并且可以帮助修复兼容性问题。

下载映像兼容性检查程序脚本

在下载并运行映像兼容性检查程序脚本之前,请验证虚拟机上是否安装了最新的 Windows 安全更新。此脚本在运行时会禁用 Windows 更新服务。

  1. 将映像兼容性检查程序脚本 .zip 文件从 ImageCompatibilityChecker.zip 下载到您的Downloads文件夹。

  2. Downloads 文件夹中,创建一个 BYOL 文件夹。

  3. ImageCompatibilityChecker.zip 中提取文件并将其复制到 Downloads\BYOL 文件夹。

  4. 删除 Downloads\ImageCompatibilityChecker.zip 文件夹,以便仅保留提取的文件。

确认 Windows 虚拟机未启用 BitLocker。

确保 Windows 虚拟机未启用 BitLocker

  1. 以管理员身份打开 PowerShell。

  2. 运行以下命令:

    manage-bde -off  DriveLetter:

  3. 通过运行以下命令来检查 BitLocker 的状态:

    manage-bde -Status  DriveLetter:

  4. 确保显示的值与以下值相匹配:

    • BitLocker 版本:无

    • 转换状态:已完全解密

    • 加密百分比:0.0%

    • 加密方法:无

    • 保护状态:保护已关闭

    • 锁定状态:已解锁

执行以下步骤以运行映像兼容性检查程序脚本。

运行映像兼容性检查程序脚本

  1. 以管理员身份打开 PowerShell。

    1. 选择 Windows 的“开始”按钮。

    2. 右键单击 Windows PowerShell

    3. 选择以管理员身份运行

    4. 如果出现用户账户控制提示,请选择

  2. 在 PowerShell 命令提示符处,转至映像兼容性检查程序脚本所在的目录。例如,如果脚本位于 Downloads\BYOL 目录中,请输入以下命令并按 Enter

    cd C:\Users\username\Downloads\BYOL

  3. 输入以下命令以在计算机上更新 PowerShell 执行策略。这样可以运行映像兼容性检查程序脚本:

    Set-ExecutionPolicy AllSigned

  4. 当系统提示您确认是否要更改 PowerShell 执行策略时,请输入 A 以便为所有项指定“Yes (是)”。

  5. 输入以下命令以运行映像兼容性检查程序脚本:

    .\ImageCompatibilityChecker.exe

  6. 如果有安全通知出现,请按 R 键以运行一次。

  7. WorkSpaces 映像验证对话框中,选择运行测试

  8. 每个测试完成后,您都可以查看测试的状态。对于状态为 FAILED (失败) 的任何测试,请选择 Info (信息) 以显示有关如何解决导致失败的问题的信息。如果任何测试显示了状态 WARNING (警告),请选择 Fix All Warnings (修复所有警告) 按钮。

  9. 适当时,请解决导致测试故障和警告的任何问题,然后重复 步骤 7步骤 8,直到 VM 通过所有测试。您在导出 VM 之前必须解决所有故障和警告。

  10. BYOL 脚本检查程序将生成两个日志文件:WorkSpacesImageCompatabilityCheckLogYYYY-MM-DD_HHmmss.txtImageInfo.text。这两个文件位于映像兼容性检查程序脚本文件所在的目录中。

    提示

    请勿删除这些文件。出现问题时,它们可能有助于解决问题。

  11. 如果您的 VM 通过了所有测试,您将收到 Validation Successful (验证成功) 消息。

    您还将看到运行 Sysprep 的提示。关闭提示,暂时不要运行 Sysprep。

  12. 关闭虚拟机并将其导出。有关更多信息,请参阅《虚拟机导入/导出用户指南》中的从其虚拟化环境导出虚拟机

  13. (可选)启动虚拟机并再次运行映像兼容性检查程序脚本。应通过所有验证。屏幕将再次弹出,上面有一个用于运行 Sysprep 的按钮。选择运行 Sysprep。如果 Sysprep 成功,可将您在步骤 12 导出的虚拟机导入 Amazon Elastic Compute Cloud(Amazon EC2)中。

    如果 Sysprep 不成功,请查看 %WINDIR%\System32\Sysprep\Panther 路径中的 Sysprep 日志,从步骤 12 回滚到导出的虚拟机,解决报告的问题,然后通过导出固定虚拟机再次完成步骤 12。然后,重新运行映像兼容性检查程序脚本,以确保问题已得到解决。

    Sysprep 失败的最常见原因是未针对所有用户卸载现代 AppX 程序包。使用 Remove-AppxPackage PowerShell cmdlet 删除 AppX 程序包。

  14. 将您在步骤 12 中导出的虚拟机导入到 Amazon EC2。

按照以下步骤操作,导入映像和创建 WorkSpaces BYOL 映像。

  1. 转至导航窗格并选择映像,然后选择导入映像

  2. 根据基础映像选项和要导入的映像类型,按照导入映像页面上的步骤进行操作:

    • 虚拟机导入:导入已经自定义的虚拟机映像。您可以导入 VHDXVMDKOVF 文件。

    • ISO 导入:导入从 Microsoft 下载的未自定义的 Windows ISO 映像。

    • AMI 导入:导入现有的 Amazon EC2 AMI 以用作 WorkSpaces BYOL 映像。

  3. 请执行以下操作之一:

    • 对于虚拟机导入选项,请将您的文件上传到 Amazon S3,然后指定文件要导入的位置。请注意,您使用的 S3 存储桶必须位于您计划部署 BYOL WorkSpaces 的同一区域。

    • 对于 ISO 导入:导入从 Microsoft 下载的未自定义的 Windows ISO 映像。请注意,您使用的 S3 存储桶必须位于您计划部署 BYOL WorkSpaces 的同一区域。

    • 对于AMI 导入,请指定 AMI ID。

  4. 转至基础设施配置

    WorkSpaces 会自动创建 Amazon EC2 Image Builder 管道来构建 BYOL 映像。基础设施配置定义如何配置 EC2 Image Builder 来构建映像。您可以使用以下设置对其进行自定义:

    • 服务默认值:创建并使用默认 IAM 角色和策略来构建映像。

    • 使用现有基础设施配置:提供一系列自定义基础设施配置选项,这些配置已在 Amazon EC2 Image Builder 中完成设置。有关更多信息,请参阅《EC2 Image Builder 用户指南》中的创建基础设施配置

  5. 转至高级设置并选择是否要在映像遇到导入错误时终止 EC2 构建实例。

    • 如果您选择在出现故障时终止实例,则在映像导入工作流程中,您将无法访问实例来调试错误。

    • 如果您选择不终止实例,则实例可用于调试错误,但运行 EC2 实例可能会产生额外费用。

  6. 转至映像详情以指定映像的属性:包括映像名称。

    • 映像名称:映像的唯一标识符。

    • 计算类型:指定此映像应使用非图形/基础硬件还是图形硬件

    • 操作系统版本:选择映像的 Windows 操作系统版本

    • 语义版本:为映像定义语义版本,该版本将存储在 EC2 Image Builder 中。有关更多信息,请参阅《EC2 Image Builder 用户指南》中的 Image Builder 中的语义版本控制

注意

在 BYOL 导入过程中,系统会在您的 AWS 账户中创建 EC2 Image Builder 资源。为了创建映像,系统会自动创建名为 AWSServiceRoleForImageBuilder 的服务相关角色(若该角色尚未存在)。此角色将包含 AWS 托管策略 AWSServiceRoleForImageBuilder。您还必须拥有 VM Import/Export 所需的权限才能导入自定义虚拟机映像。

创建映像时,控制台映像页面上的状态将显示为待处理。BYOL 摄取过程至少需要 90 分钟。

导入映像时出现的错误将与建议解决方案一起显示在映像页面上。有关详细日志,请参见 Amazon CloudWatch 中导入映像时创建的 Image Builder 日志组。可能的错误类型如下:

  • 映像错误:EC2 Image Builder 无法生成映像。修复虚拟化环境中的问题并导入新映像。

  • Image Builder 错误:尝试构建映像时出错。查看 Amazon CloudWatch 中的 Image Builder 日志,了解更多详细信息

  • EC2 错误:映像存在无法自动修复的问题。要解决这些错误,您可以连接到 Amazon EC2 实例(如果该实例设置为在构建失败时不终止)并直接执行修复。然后,您可以从“映像”页面重试导入。

  • 自动修复的错误:这些问题已由 WorkSpaces 自动修复。无需进一步操作。

有关常见错误的详细信息,请参阅常见错误消息及其解决方案

在专用硬件上运行 BYOL WorkSpaces 以遵守 Microsoft 许可条款。为此,系统会创建一个 BYOL 管理接口,以便在 WorkSpaces 和 AWS 托管的 WorkSpaces 管理网络之间建立安全的连接。有关更多信息,请参阅网络接口

如果您在同一区域有另一个 AWS 账户启用了 BYOL,则应在不同账户中使用相同的管理接口以预留较少的 IP 地址。为此,请不要选择管理接口 IP 地址范围,可参阅下面的关联 BYOL 账户

选择管理接口 IP 地址范围

  1. 返回账户设置中的 BYOL 页面。

  2. 选择 IP 范围部分中,选择选择 IP 范围按钮。

  3. 通过提供您的网络上可用的 IP 地址范围来输入搜索范围。WorkSpaces 会返回与搜索内容相匹配的可用 /16 网络掩码 IP 地址范围。

  4. 选择可用的 IP 地址范围(以 CIDR 数据块的形式显示)。

    注意

    为管理接口选择 IP 范围后,便无法更改。

如果您在同一区域有另一个 AWS 账户启用了 BYOL,且这两个账户使用相同的付款人账户,则应在不同账户中使用相同的管理接口以预留较少的 IP 地址。关联账户还可以避免满足每个账户的最低 BYOL 要求,因为最低要求是在关联账户之间共享的。如果您在同一个付款人账户下没有启用了 BYOL 的另一账户,请跳过此步骤。

要关联到现有 BYOL 账户,请不要选择 IP 地址范围。

关联 BYOL 账户

  1. 登录已启用 BYOL WorkSpaces 的 AWS 账户。

  2. 导航至账户设置中的 BYOL 页面。

  3. 选择 IP 范围部分中,选择账户关联部分下的发送邀请按钮。

  4. 提供未启用 BYOL 且您希望关联到的账户的 AWS 账户 ID。

    注意

    这两个账户必须在同一区域使用 BYOL。

  5. 关联邀请发送后,返回尚未启用 BYOL 的 AWS 账户。在账户设置页面中,您将看到一条横幅通知,显示您有待处理的 BYOL 账户关联邀请。在横幅中选择查看邀请

  6. 确认账户关联邀请。

如果您想对同一付款人账户下的两个账户使用不同的管理接口,请联系 AWS Support 寻求帮助。

按照中的说明创建 BYOL 映像后,您可以使用该映像创建一个自定义捆绑包。有关信息,请参阅为 WorkSpaces 个人版创建自定义 WorkSpaces 映像和捆绑包

要对 WorkSpaces 使用 BYOL 映像,您必须专门创建一个目录。

要为 WorkSpaces 创建目录,请参阅为 WorkSpaces 个人版创建目录。确保在创建目录时选择启用专用的 WorkSpaces。

重要

如果您在注册目录时未看到“启用专用 WorkSpaces”选项,请确保已完成在账户和区域中启用 BYOL 的步骤。

如果您已注册不在专用硬件上运行的 AWS 托管 Microsoft AD 目录或适用于 WorkSpaces 的 AD Connector 目录,则可以专门设置一个新的 AWS 托管 Microsoft AD 目录或 AD Connector 目录。您也可以取消注册该目录,然后再次将其注册为专用 WorkSpaces 的目录。要详细了解如何注册和取消注册现有 AWS Directory Service 目录,请参阅“向 WorkSpaces 个人版注册现有 AWS Directory Service 目录”。

启动 BYOL WorkSpaces 个人版

要启动个人版 WorkSpaces,请参阅在 WorkSpaces 个人版中创建 WorkSpace

启动 BYOL WorkSpaces 池

要启动 WorkSpaces Pools,必须启动个人 WorkSpaces,创建该个人 WorkSpaces 的映像,然后使用该映像启动池。

为 BYOL WorkSpaces Pools 创建映像

  1. 使用要用于 WorkSpaces Pools 的 BYOL 映像启动个人 WorkSpaces。有关如何启动 WorkSpaces 个人版的信息,请参阅“在 WorkSpaces 个人版中创建 WorkSpace”。

  2. 登录个人 WorkSpaces 并确保安装了所有 Windows 更新。

  3. 更新您的 Amazon EC2 配置。要使用 Windows 10 更新您的 EC2 配置,请参阅安装最新版本的 EC2Config。要使用 Windows 11 更新您的 EC2 配置,请参阅安装最新版本的 EC2Launch。

  4. 添加 Windows Defender 排除列表。有关更多信息,请参阅 Add an exclusion to Windows Security。

    在 Windows Defender 中将以下文件夹添加到排除列表中:

    • C:\Program Files\Amazon\

    • C:\ProgramData\Amazon\*

    • C:\Program Files\NICE\

    • C:\ProgramData\NICE\

    • C:\Program Files (x86)\AWS Tools\*

    • C:\Program Files (x86)\AWS SDK for .NET\*

    • C:\AWSEUC\(这适用于会话脚本)

  5. 输入以下命令,在启动时禁用 Windows 更新。

  6. 以管理员身份打开 PowerShell。

    1. 选择 Windows 的“开始”按钮。

    2. 右键单击 Windows PowerShell

    3. 选择以管理员身份运行

    4. 如果出现用户账户控制提示,请选择

  7. 运行以下命令:

    New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Force
    New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Force
    Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "NoAutoUpdate" -Value 1 -Force

  8. 重启 WorkSpace。有关更多信息,请参阅“重启 WorkSpaces 个人版中的 WorkSpace”。

    注意

    建议您在开始为 BYOL WorkSpaces 池创建映像之前执行以下操作。

    • 删除不必要的启动应用程序。

    • 删除或禁用不必要的计划任务。打开“开始”菜单,选择计划任务,选择要禁用的任务,然后选择禁用。

  9. 通过输入以下命令,在重新启动后运行映像检查程序。

    C:\Program Files\Amazon\ImageChecker.exe

  10. 解决映像检查程序发现的任何错误。有关更多信息,请参阅“解决映像检查程序检测到的问题的提示”。

  11. 在所有测试均通过映像检查程序后,返回 WorkSpaces 控制台。

  12. 在导航窗格的“WorkSpaces”下,选择个人。选择 BYOL 个人 WorkSpaces,然后依次选择操作、创建映像。

  13. 在导航窗格中,选择映像。在映像下,检查是否已创建映像。

现在,您可以使用所创建的映像启动 WorkSpaces Pools。有关启动 WorkSpaces 池的更多信息,请参阅“创建 WorkSpaces 池”。