Windows-Image verwenden

Um einen Desktop-Pool mit Windows zu erstellen, müssen Sie Ihre eigene Lizenz verwenden.

Hinweis

  • Oracle stellt allgemeine Windows-Basisimages bereit, die für die Verwendung mit Secure Desktops vorkonfiguriert sind. Öffnen Sie eine Serviceanfrage, um eines dieser Images anzufordern. Weitere Informationen finden Sie unter Unterstützte Images.
  • OCI stellt keine Images oder Lizenzen für Windows 10 oder Windows 11 bereit. Um ein Windows-Image verwenden zu können, müssen Sie Ihren Microsoft-Lizenzvertrag einhalten. Siehe Microsoft-Lizenzen in Oracle Cloud Infrastructure.

Benutzerdefinierte Windows-Images importieren

Mit Compute können Sie Windows-Images importieren, die außerhalb von Oracle Cloud Infrastructure erstellt wurden. Beispiel: Sie können Images, die On Premise auf physischen Maschinen oder virtuellen Maschinen (VMs) ausgeführt werden, oder in Oracle Cloud Infrastructure Classic ausgeführte VMs importieren. Danach können Sie die importierten Images auf Compute-VMs starten.

Achtung

  • Durch den Support von Oracle Cloud Infrastructure beim Starten einer Instanz über ein benutzerdefiniertes Betriebssystem wird nicht sichergestellt, dass der Betriebssystemhersteller die Instanz ebenfalls unterstützt.
  • Windows 10/11 erfordert, dass Sie Ihre eigene Lizenz (BYOL) mitbringen. Um dies zu aktivieren, muss das benutzerdefinierte Image das Betriebssystem Windows angeben.
  • Standardmäßig werden Windows-Desktops auf dedizierten Hosts für virtuelle Maschinen (DVH) bereitgestellt. Wenn Ihre Lizenzvereinbarung die Virtualisierung von Windows 10/11-Desktops in einer Cloud-Umgebung zulässt, können Sie das DVH-Provisioning deaktivieren, indem Sie das entsprechende Tag zum Image hinzufügen, das zum Erstellen des Desktoppools verwendet wird. Siehe Tags für sichere Desktops.

Anforderungen an Windows-Quellimages

Benutzerdefinierte Images müssen die folgenden Anforderungen erfüllen:

  • Die maximale Imagegröße ist 400 GB.
  • Das Image muss für einen unterstützten Boottyp eingerichtet sein.
    • Verwenden Sie für ein Windows 10-Image UEFI oder den Legacy-BIOS-Boottyp.
    • Verwenden Sie für ein Windows 11-Image nur den Boot-Typ UEFI.
  • Für einen erfolgreichen Boot-Prozess dürfen keine zusätzlichen Daten-Volumes erforderlich sein.
  • Das Datenträgerimage kann nicht verschlüsselt werden.
  • Das Datenträgerimage muss eine VMDK- oder QCOW2-Datei sein.
    • Erstellen Sie die Imagedatei durch Kopieren des Quell-Volumes und nicht durch Erstellen eines Snapshots.
    • VMDK-Dateien müssen entweder vom Typ "Single Growable" (monolithicSparse) oder vom Typ "Stream Optimed" (streamOptimized) sein, die beide aus einer einzigen VMDK-Datei bestehen. Alle anderen VMDK-Formate wie solche, die mehrere Dateien verwenden, Volumes aufteilen oder Snapshots enthalten, werden nicht unterstützt.
  • Die Netzwerkschnittstelle muss die Netzwerkeinstellungen über DHCP ermitteln. Wenn Sie ein benutzerdefiniertes Image importieren, werden vorhandene Netzwerkschnittstellen nicht neu erstellt. Alle vorhandenen Netzwerkschnittstellen werden durch eine NIC ersetzt, nachdem der Importprozess abgeschlossen ist. Sie können zusätzliche VNICs anhängen, nachdem Sie die importierte Instanz gestartet haben.
  • Die Netzwerkkonfiguration darf die MAC-Adresse für die Netzwerkschnittstelle nicht hart codieren.
  • Bei Windows 11-Images müssen sowohl Secure Boot als auch Trusted Platform Module (TPM) bei der Imageerstellung für Windows deaktiviert sein, wenn Ihre Virtualisierungsplattform sie nicht unterstützt (Beispiel: VirtualBox). Verwenden Sie vor der Installation den Registrierungseditor, um neue Registrierungsschlüssel hinzuzufügen:
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassRAMCheck DWORD-Wert (32-Bit) 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassSecureBootCheck DWORD-Wert (32-Bit) 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassTPMCheck DWORD-Wert (32-Bit) 1.

Windows-VMs für Import vorbereiten

Bevor Sie ein benutzerdefiniertes Windows-Image importieren können, müssen Sie das Image vorbereiten, damit die über das Image gestarteten Instanzen korrekt gebootet werden können und die Netzwerkverbindungen ordnungsgemäß funktionieren.

Sie können die in diesem Abschnitt beschriebenen Aufgaben im ausgeführten Quellsystem ausführen. Wenn Sie Bedenken beim Ändern des Livequellsystems haben, können Sie das Image unverändert exportieren, in Oracle Cloud Infrastructure importieren und dann eine Instanz basierend auf dem benutzerdefinierten Image starten. Dann können Sie mit der VNC-Konsole eine Verbindung zur Instanz herstellen und die Vorbereitungsschritte ausführen.

Wichtig

Das Systemlaufwerk, auf dem Windows installiert ist, wird in Oracle Cloud Infrastructure importiert. Alle Partitionen auf dem Laufwerk werden mit dem Image importiert. Andere Laufwerke werden nicht importiert. Sie müssen sie nach dem Import auf der Instanz neu erstellen. Danach müssen Sie die Daten auf den Nicht-Systemlaufwerken manuell verschieben.

Um eine Windows-VM für den Import vorzubereiten, verwenden Sie eine der folgenden Optionen:

VM mit dem Secure Desktops Image Builder vorbereiten

Verwenden Sie den Secure Desktops Image Builder, um eine VM als Image für die Verwendung mit Secure Desktops vorzubereiten.

Dieses Utility prüft Anforderungen, führt eine unbeaufsichtigte Installation aus und konfiguriert ein Image (im VMDK-Format), das in Oracle Cloud Infrastructure hochgeladen werden kann.

Hinweis

  • Dieses Dienstprogramm erstellt Bilder für Windows 10 oder 11 (64-Bit) Enterprise- oder Professional-Editionen. Bewertungsversionen werden nicht unterstützt.
  • Dieses Dienstprogramm erfordert die Verwendung von Oracle VirtualBox Version 7.0.18. Wenn Sie eine andere Virtualisierungssoftwarelösung verwenden, befolgen Sie die manuelle Methode zur Vorbereitung der VM.
  • Dieses Dienstprogramm wählt automatisch UEFI-Firmware für ein Windows 11-Image aus.

So verwenden Sie Secure Desktops Image Builder:

  1. Weitere Informationen finden Sie unter OCI Secure Desktops: So erstellen Sie ein Windows-Image zur Verwendung mit OCI Secure Desktops mit dem OCI Secure Desktops Image Builder (KB91837).
  2. Lesen Sie die Anweisungen, und laden Sie alle erforderlichen Packages in das lokale System herunter.
  3. Laden Sie die Anwendungsdatei (im Wissensartikel angehängt) auf das lokale System herunter.
  4. Führen Sie die Anwendungsdatei als Administrator aus, und befolgen Sie alle Prompts.
  5. Nach Abschluss des Prozesses zeigt das Utility den Speicherort der erstellten VMDK-Imagedatei an.

Nächsten Schritt:

Importieren Sie die VMDK-Imagedatei in Oracle Cloud Infrastructure.

VM mit der manuellen Methode vorbereiten

Verwenden Sie die manuelle Methode, um eine VM als Image für die Verwendung mit Secure Desktops vorzubereiten.

Hinweis

Anweisungen zum manuellen Vorbereiten der VM mit VirtualBox finden Sie unter OCI Secure Desktops: Windows 10/11 für die OCI-Vorbereitung (KB60923).

So bereiten Sie eine Windows-VM manuell vor:

  1. Befolgen Sie die Sicherheitsrichtlinien Ihres Unternehmens, um sicherzustellen, dass das Windows-System gesichert ist. Dies kann die folgenden Aufgaben umfassen:
    • Installieren Sie die aktuellen Sicherheitsupdates für das Betriebssystem und die installierten Anwendungen.
    • Aktivieren Sie die Firewall. Konfigurieren Sie sie so, dass Sie nur die erforderlichen Regeln aktivieren.
    • Deaktivieren Sie nicht benötigte privilegierte Accounts.
    • Verwenden Sie für alle Accounts starke Kennwörter.
  2. Legen Sie den Lizenzaktivierungsserver fest:
    slmgr.vbs /skms <KMS_server_name_or_IP>:1688
  3. Erstellen Sie ein Backup des Root-Volumes.
  4. Wenn Speicher wie NFS oder Block-Volumes remote an die VM angehängt ist, konfigurieren Sie von diesem Speicher abhängige Services so, dass sie manuell gestartet werden. Der remote angehängte Speicher ist nach dem ersten Start einer importierten Instanz in Oracle Cloud Infrastructure nicht verfügbar.
  5. Stellen Sie sicher, dass alle Netzwerkschnittstellen DHCP verwenden und dass die MAC-Adresse und IP-Adresse nicht hartcodiert sind. In der Systemdokumentation wird beschrieben, wie Sie die Netzwerkkonfiguration für Ihr System durchführen.
  6. Installieren Sie Oracle Cloud Agent. Um die Oracle Cloud Agent-Installationsdatei zu erhalten, wenden Sie sich an den Oracle-Support.
  7. Laden Sie die Oracle VirtIO Drivers for Microsoft Windows herunter.
  8. Installieren Sie die Treiber (wählen Sie die Installationsart Benutzerdefiniert aus), und starten Sie die Instanz neu.
  9. Deaktivieren Sie LockScreen:
    try {
      Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -ErrorAction Stop 
    } catch {
     New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Force
    } try {
     New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1 -PropertyType Dword -ErrorAction Stop
     Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1  -ErrorAction Stop
    } catch {
     echo "done"
    }
  10. RDP deaktivieren:
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 1
  11. Legen Sie den Zeitserver auf OCI fest:
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'Type' -Value NTP -Type String
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'AnnounceFlags' -Value 5 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer' -Name 'Enabled' -Value 1 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'NtpServer' -Value '169.254.169.254,0x9' -Type String
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient' -Name 'SpecialPollInterval' -Value 900 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxPosPhaseCorrection' -Value 1800 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxNegPhaseCorrection' -Value 1800 -Type DWord
  12. Installieren Sie optional weitere Software, auf die Ihre Benutzer Zugriff haben sollen.
  13. Installieren Sie Cloudbase-Init. Während der Installation:
    • Benutzername: Administrator
    • Nicht wählen Sie die Option zum Ausführen des Cloudbase-Init-Service als LocalSystem aus.

      Wenn Sie diese Option verwenden, sind bestimmte BS-Funktionen während der Cloud-Initialisierungsphase nicht verfügbar und können beim Starten des Desktops zu fehlenden Desktop-Volumes führen, sodass Sie das Skript attach_volume.ps1 ausführen müssen, um das Problem zu beheben. Siehe Fehlende Desktop-Volumes beim Öffnen des Windows-Desktops.

    • Nicht wählen Sie die Optionen zum Ausführen von Sysprep in Cloudbase-Init und zum Herunterfahren des Systems aus.

    Bearbeiten Sie nach Abschluss der Installation C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf\cloudbase-init.conf, und fügen Sie retry_count=100 hinzu.

  14. Erstellen Sie das PowerShell-Skript C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1, um RDP in Oracle Cloud Infrastructure zu aktivieren, wenn Cloudbase-Init ausgeführt wird:
    #ps1_sysnative 
    # 
    # location C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 
    # 
    $script_path=$Env:ProgramData+"\Oracle\OCI\Desktops"
    $log="$script_path\enable_rdp.txt" 
    Start-Transcript -Path $log -Append 
    Write-Host "Enabling rdp port" | Out-Default 
    Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
    date | Out-Default 
    Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections -Value 0 | Out-Default 
    Enable-NetFirewallRule -DisplayGroup "Remote Desktop" | Out-Default 
    # 
    Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
  15. Wenn Sie das importierte Image auf mehr als einer VM-Instanz starten möchten, erstellen Sie ein generalisiertes Image des Boot-Disk. Ein allgemeines Image ist von rechnerspezifischen Informationen wie eindeutigen IDs bereinigt. Wenn Sie Instanzen über ein generalisiertes Image erstellen, werden die eindeutigen IDs neu generiert. Dadurch wird verhindert, dass zwei Instanzen, die aus demselben Image erstellt werden, dieselben IDs haben.
  16. Führen Sie den OCI Secure Desktops Image Readiness Checker aus, um zu prüfen, ob Ihre VM die Complianceanforderungen erfüllt, die als Image zur Verwendung mit Secure Desktops erstellt werden.

    Dieses Tool kann Network Time Protocol (NTP), Remote Desktop Protocol (RDP) und Sperrbildschirmeinstellungen aktualisieren, die für ein Windows-Image für sichere Desktops erforderlich sind.

    Weitere Informationen zu diesem Utility und zum Herunterladen der Anwendungsdatei finden Sie unter OCI Secure Desktops: So bestätigen Sie die Compliance mit dem OCI Secure Desktops Image Readiness Checker (KB100881)

  17. Klonen Sie die gestoppte VM als VMDK- oder QCOW2-Datei. Die erforderlichen Schritte finden Sie in der Tools-Dokumentation in Ihrer Virtualisierungsumgebung.

Nächsten Schritt:

Importieren Sie die VMDK- oder QCOW2-Imagedatei in Oracle Cloud Infrastructure.

Windows-basierte VMs importieren

Nachdem Sie ein Windows-Image für den Import vorbereitet haben, laden Sie es hoch und importieren es.

  1. Laden Sie die Imagedatei in einen Objektspeicher-Bucket herunter. Geben Sie mit der Befehlszeilenschnittstelle (CLI) den folgenden Befehl aus:
    oci --profile <profile in $HOME/.oci/config> --region <region> os object put\
        -bn <name of bucket> \
        -ns <name space> \
        --name <The name of the object in the bucket> \
        --file <path to the QCOW2 or VMDK image>
  2. Erstellen Sie ein benutzerdefiniertes Image aus dem hochgeladenen Objekt im Bucket:
    oci --profile <profile in $HOME/.oci/config> --region <region> \
       compute image import from-object \
       -ns <name space> \
       -bn <name of bucket> \
       --name <The name of the object in the bucket> \
       --compartment-id <The OCID of the compartment you want the custom image to be created in> \
       --display-name <A user-friendly name for the new custom image> \
       --launch-mode PARAVIRTUALIZED \
       --source-image-type QCOW2|VMDK

    Das importierte Image wird in der Liste "Benutzerdefinierte Images" für das Compartment mit dem Status Wird importiert angezeigt. Wenn der Import erfolgreich abgeschlossen ist, ändert sich der Status in Verfügbar.

    Wenn der Status nicht geändert werden kann oder in der Liste "Benutzerdefinierte Images" kein Eintrag angezeigt wird, war der Import nicht erfolgreich. Vergewissern Sie sich, dass Sie Lesezugriff auf das Object Storage-Objekt haben und das Objekt ein unterstütztes Image enthält.

  3. Aktualisieren Sie das benutzerdefinierte Image, um das Betriebssystem Windows und die Betriebssystemversion Windows10 oder Windows11 anzugeben:
    oci --profile <profile in $HOME/.oci/config> --region <region> \
       compute image update --image-id <custom image ocid> \
       --operating-system Windows \
       --operating-system-version <Windows10 or Windows11>
  4. Stellen Sie sicher, dass das benutzerdefinierte Image auf den richtigen Boot-Modus gesetzt ist.
    • Verwenden Sie für ein Windows 10-Image den BIOS-Boottyp UEFI oder Legacy.
    • Bei einem Windows 11-Image verwenden Sie nur den UEFI-Boottyp.

    So passen Sie den Bootmodus an:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Compute. Klicken Sie unter "Compute" auf Benutzerdefinierte Images.
    2. Klicken Sie auf das gewünschte benutzerdefinierte Image.
    3. Klicken Sie auf Aktionen, und wählen Sie anschließend Imagefunktionen bearbeiten aus. Wählen Sie bei Firmware den entsprechenden Bootmodus.
    4. Klicken Sie auf Änderungen speichern.
  5. (Windows 11) Konfigurieren Sie das benutzerdefinierte Image für abgeschirmte Instanzen.

    Windows 11 unterstützt abgeschirmte Instanzen. Abgeschirmte Instanzen verwenden eine Kombination aus Secure Boot, Measured Boot und Trusted Platform Module (TPM) zur Absicherung der Firmwaresicherheit vor böswilliger Boot-Level-Software.

    • Der sichere Start ist ein Unified Extensible Firmware Interface-(UEFI-)Feature, das verhindert, dass unautorisierte Bootloader oder Betriebssysteme gestartet werden.
    • Der kontrollierte Start verbessert die Bootsicherheit, indem Messungen von Bootkomponenten wie Boot Loader, Treiber und Betriebssysteme gespeichert werden.
    • Das Trusted Platform Module (TPM) ist ein spezieller Sicherheitschip, mit dem dem beim kontrollierten Start die Bootmessungen gespeichert werden. Wenn Sie den gemessenen Start für VMs aktivieren, wird TPM automatisch aktiviert.

    So aktivieren Sie abgeschirmte Instanzen:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Compute. Klicken Sie unter "Compute" auf Benutzerdefinierte Images.
    2. Klicken Sie auf das gewünschte benutzerdefinierte Image.
    3. Klicken Sie auf Aktionen, und wählen Sie anschließend Imagefunktionen bearbeiten aus. Sie können Folgendes festlegen:
      • Stellen Sie bei Firmware sicher, dass nur UEFI-64 ausgewählt ist.
      • Stellen Sie sicher, dass der sichere Start aktiviert ist.
    4. Klicken Sie auf Änderungen speichern.

    Wenn Sie also einen Desktoppool mit diesem Image erstellen, erkennt Secure Desktops diese Bildeinstellung und aktiviert automatisch abgeschirmte Desktopinstanzen.

  6. Bevor Sie Ihr Image für die Verwendung mit Secure Desktops verfügbar machen, wird empfohlen, das Image zu testen, indem Sie manuell eine Compute-Instanz mit dem Image erstellen und eine Konsolenverbindung herstellen. Siehe Fehlerbehebung bei Instanzen mit Instanzkonsolenverbindungen.
  7. Fügen Sie das erforderliche Imagetag hinzu, damit das Image für die Verwendung mit Secure Desktops verfügbar ist.

    oci:desktops:is_desktop_image=true

    Siehe Secure Desktops-Tags.