Oracle Cloud Infrastructure-Dokumentation

Windows-Image verwenden

Um einen Desktop-Pool mit Windows zu erstellen, müssen Sie Ihre eigene Lizenz verwenden.

Hinweis

  • Oracle stellt allgemeine Windows-Basisimages bereit, die für die Verwendung mit Secure Desktops vorkonfiguriert sind. Öffnen Sie eine Serviceanfrage, um eines dieser Images anzufordern. Weitere Informationen finden Sie unter Unterstützte Images.
  • OCI stellt keine Images oder Lizenzen für Windows 10 oder Windows 11 bereit. Um ein Windows-Image zu verwenden, müssen Sie Ihre Microsoft-Lizenzvereinbarung einhalten. Siehe Microsoft-Lizenzen in Oracle Cloud Infrastructure.

Benutzerdefinierte Windows-Images importieren

Mit dem Compute-Service können Sie Windows-Images importieren, die außerhalb von Oracle Cloud Infrastructure erstellt wurden. Beispiel: Sie können Images, die On Premise auf physischen oder virtuellen Maschinen (VMs) ausgeführt werden, oder VMs, die in Oracle Cloud Infrastructure Classic ausgeführt werden, importieren. Danach können Sie die importierten Images auf Compute-VMs starten.

Achtung

  • Durch den Support von Oracle Cloud Infrastructure beim Starten einer Instanz von einem benutzerdefinierten Betriebssystem wird nicht sichergestellt, dass der Betriebssystemhersteller die Instanz ebenfalls unterstützt.
  • Windows 10/11 erfordert, dass Sie Ihre eigene Lizenz (BYOL) mitbringen. Um dies zu aktivieren, muss das benutzerdefinierte Image das Betriebssystem Windows angeben.
  • Standardmäßig werden Windows-Desktops auf dedizierten Hosts für virtuelle Maschinen (DVH) bereitgestellt. Wenn Ihre Lizenzvereinbarung die Virtualisierung von Windows 10/11-Desktops in einer Cloud-Umgebung zulässt, können Sie das DVH-Provisioning deaktivieren, indem Sie dem Image, das zum Erstellen des Desktoppools verwendet wird, das entsprechende Tag hinzufügen. Siehe Secure Desktops-Tags.

Anforderungen an Windows-Quellimages

Benutzerdefinierte Images müssen die folgenden Anforderungen erfüllen:

  • Die maximale Imagegröße beträgt 400 GB.
  • Das Abbild muss für einen unterstützten Boot-Typ eingerichtet sein.
    • Verwenden Sie für ein Windows 10-Image den UEFI- oder Legacy-BIOS-Boottyp.
    • Verwenden Sie für ein Windows 11-Image nur den UEFI-Boottyp.
  • Für einen erfolgreichen Boot-Prozess dürfen keine zusätzlichen Daten-Volumes erforderlich sein.
  • Das Datenträgerabbild kann nicht verschlüsselt werden.
  • Das Datenträgerimage muss eine VMDK- oder QCOW2-Datei sein.
    • Erstellen Sie die Imagedatei durch Klonen des Quell-Volumes und nicht durch Erstellen eines Snapshots.
    • VMDK-Dateien müssen entweder vom Typ "Single Growable" (monolithicSparse) oder vom Typ "Stream Optimized" (streamOptimized) sein, die beide aus einer einzigen VMDK-Datei bestehen. Alle anderen VMDK-Formate wie solche, die mehrere Dateien verwenden, aus aufgeteilten Volumes bestehen oder Snapshots enthalten, werden nicht unterstützt.
  • Die Netzwerkschnittstelle muss die Netzwerkeinstellungen über DHCP ermitteln. Wenn Sie ein benutzerdefiniertes Image importieren, werden bestehende Netzwerkschnittstellen noch nicht neu erstellt. Alle vorhandenen Netzwerkschnittstellen werden durch eine NIC ersetzt, nachdem der Importprozess abgeschlossen ist. Sie können zusätzliche VNICs anhängen, nachdem Sie die importierte Instanz gestartet haben.
  • Die Netzwerkkonfiguration darf die MAC-Adresse der Netzwerkschnittstelle nicht hart codieren.
  • Bei Windows 11-Images müssen sowohl Secure Boot als auch Trusted Platform Module (TPM) während der Imageerstellung für Windows deaktiviert werden, wenn Ihre Virtualisierungsplattform sie nicht unterstützt (z.B. VirtualBox). Verwenden Sie vor der Installation den Registrierungseditor, um neue Registrierungsschlüssel hinzuzufügen:
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassRAMCheck DWORD (32-Bit)-Wert 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassSecureBootCheck DWORD (32-Bit)-Wert 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassTPMCheck DWORD (32-Bit)-Wert 1.

Windows-VMs für Import vorbereiten

Vor dem Import eines benutzerdefinierten Windows-Image müssen Sie das Image vorbereiten, damit alle über das Image gestarteten Instanzen korrekt gebooted werden können und die Netzwerkverbindungen ordnungsgemäß funktionieren.

Sie können die in diesem Abschnitt beschriebenen Aufgaben im ausgeführten Quellsystem ausführen. Wenn Sie Bedenken beim Ändern des Livequellsystems haben, können Sie das Image so exportieren, wie es ist, in Oracle Cloud Infrastructure importieren und dann eine Instanz basierend auf dem benutzerdefinierten Image starten. Dann können Sie mit der VNC-Konsole eine Verbindung zur Instanz herstellen und die Vorbereitungsschritte ausführen.

Wichtig

Das Systemlaufwerk, auf dem Windows installiert ist, wird in Oracle Cloud Infrastructure importiert. Alle Partitionen auf dem Laufwerk werden zusammen mit dem Image importiert. Andere Laufwerke werden nicht importiert. Sie müssen sie nach dem Import auf der Instanz neu erstellen. Danach müssen Sie die Daten auf den Nicht-Systemlaufwerken manuell verschieben.

Um eine Windows-VM für den Import vorzubereiten, verwenden Sie eine der folgenden Optionen:

VM mit Secure Desktops Image Builder vorbereiten

Verwenden Sie Secure Desktops Image Builder, um eine VM als Image für die Verwendung mit Secure Desktops vorzubereiten.

Dieses Utility prüft die Anforderungen, führt eine unbeaufsichtigte Installation aus und konfiguriert ein Image (im VMDK-Format), das in Oracle Cloud Infrastructure hochgeladen werden kann.

Hinweis

  • Dieses Dienstprogramm erstellt Bilder für Windows 10 oder 11 (64-Bit) Enterprise- oder Professional-Editionen. Bewertungsversionen werden nicht unterstützt.
  • Dieses Dienstprogramm erfordert die Verwendung von Oracle VirtualBox Version 7.0.18. Wenn Sie eine andere Virtualisierungssoftwarelösung verwenden, befolgen Sie die manuelle Methode zur Vorbereitung der VM.
  • Dieses Dienstprogramm wählt automatisch UEFI-Firmware für ein Windows 11-Image aus.

So verwenden Sie Secure Desktops Image Builder:

  1. Weitere Informationen finden Sie unter OCI Secure Desktops: So erstellen Sie ein Windows-Image zur Verwendung mit OCI Secure Desktops mit dem OCI Secure Desktops Image Builder (KB91837).
  2. Prüfen Sie die Anweisungen, und laden Sie alle erforderlichen Packages auf das lokale System herunter.
  3. Laden Sie die Anwendungsdatei (im Wissensartikel angehängt) auf das lokale System herunter.
  4. Führen Sie die Anwendungsdatei als Administrator aus, und befolgen Sie alle Prompts.
  5. Nach Abschluss des Prozesses zeigt das Utility den Speicherort der erstellten VMDK-Imagedatei an.

Nächsten Schritt:

Importieren Sie die VMDK-Imagedatei in Oracle Cloud Infrastructure.

VMs mit der manuellen Methode vorbereiten

Verwenden Sie die manuelle Methode, um eine VM als Image für die Verwendung mit Secure Desktops vorzubereiten.

Hinweis

Anleitungen zur manuellen Vorbereitung der VM mit VirtualBox finden Sie unter OCI Secure Desktops: Windows 10/11 zur OCI-Vorbereitung (KB60923).

So bereiten Sie eine Windows-VM manuell vor:

  1. Befolgen Sie die Sicherheitsrichtlinien Ihres Unternehmens, um sicherzustellen, dass das Windows-System gesichert ist. Dies kann die folgenden Aufgaben umfassen, ist jedoch nicht darauf beschränkt:
    • Installieren Sie die aktuellen Sicherheitsupdates für das Betriebssystem und die installierten Anwendungen.
    • Aktivieren sie die Firewall, und konfigurieren Sie sie so, dass Sie nur die erforderlichen Regeln aktivieren.
    • Deaktivieren Sie nicht benötigte privilegierte Accounts.
    • Verwenden Sie für alle Accounts starke Kennwörter.
  2. Legen Sie Ihren Lizenzaktivierungsserver fest: 
    slmgr.vbs /skms <KMS_server_name_or_IP>:1688
  3. Erstellen Sie ein Backup des Root-Volumes.
  4. Wenn Speicher wie NFS oder Block-Volumes remote an die VM angehängt sind, konfigurieren Sie alle Services, die auf diesem Speicher angewiesen sind, so dass diese manuell gestartet werden. Der remote angehängte Speicher wird nach dem ersten Boot-Prozess einer importierten Instanz in Oracle Cloud Infrastructure nicht verfügbar.
  5. Stellen Sie sicher, dass alle Netzwerkschnittstellen DHCP verwenden und dass die MAC-Adresse und IP-Adresse nicht hartcodiert ist. In der Systemdokumentation wird beschrieben, wie Sie die Netzwerkkonfiguration für Ihr System durchführen.
  6. Installieren Sie Oracle Cloud Agent. Um die Oracle Cloud Agent-Installationsdatei zu erhalten, kontaktieren Sie den Oracle-Support.
  7. Laden Sie die Oracle VirtIO-Treiber für Microsoft Windows herunter.
  8. Installieren Sie die Treiber (wählen Sie den Installationstyp Benutzerdefiniert aus), und starten Sie die Instanz neu.
  9. Deaktivieren Sie LockScreen: 
    try {
  Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -ErrorAction Stop 
} catch {
 New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Force
} try {
 New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1 -PropertyType Dword -ErrorAction Stop
 Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1  -ErrorAction Stop
} catch {
 echo "done"
}
  10. RDP deaktivieren: 
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 1
  11. Legen Sie den Zeitserver auf OCI fest: 
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'Type' -Value NTP -Type String
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'AnnounceFlags' -Value 5 -Type DWord
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer' -Name 'Enabled' -Value 1 -Type DWord
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'NtpServer' -Value '169.254.169.254,0x9' -Type String
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient' -Name 'SpecialPollInterval' -Value 900 -Type DWord
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxPosPhaseCorrection' -Value 1800 -Type DWord
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxNegPhaseCorrection' -Value 1800 -Type DWord
  12. Installieren Sie optional jede zusätzliche Software, auf die Ihre Benutzer Zugriff haben sollen.
  13. Installieren Sie Cloudbase-Init. Während der Installation:
    • Benutzername: Administrator
    • Wählen Sie Nicht die Option zum Ausführen des Cloudbase-Init-Service als LocalSystem aus.

      Wenn Sie diese Option verwenden, sind bestimmte BS-Features während der Cloud-Initialisierungsphase nicht verfügbar. Dadurch können beim Starten des Desktops fehlende Desktop-Volumes entstehen, sodass Sie das Skript attach_volume.ps1 ausführen müssen, um das Problem zu beheben. Siehe Desktop-Volumes beim Öffnen des Windows-Desktops fehlen.

    • Wählen Sie Nicht die Optionen aus, um Sysprep in Cloudbase-Init auszuführen und das System herunterzufahren.

    Bearbeiten Sie nach Abschluss der Installation C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf\cloudbase-init.conf, und fügen Sie retry_count=100 hinzu.

  14. Erstellen Sie das Skript PowerShell C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1, um RDP in Oracle Cloud Infrastructure zu aktivieren, wenn Cloudbase-Init ausgeführt wird: 
    #ps1_sysnative 
# 
# location C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 
# 
$script_path=$Env:ProgramData+"\Oracle\OCI\Desktops"
$log="$script_path\enable_rdp.txt" 
Start-Transcript -Path $log -Append 
Write-Host "Enabling rdp port" | Out-Default 
Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
date | Out-Default 
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections -Value 0 | Out-Default 
Enable-NetFirewallRule -DisplayGroup "Remote Desktop" | Out-Default 
# 
Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default
  15. Wenn Sie das importierte Image auf mehr als einer VM-Instanz starten möchten, erstellen Sie ein generalisiertes Image des Bootdatenträgers. Ein generalisiertes Image ist von rechnerspezifischen Informationen wie eindeutigen IDs bereinigt. Wenn Sie Instanzen über ein generalisiertes Image erstellen, werden die eindeutigen IDs neu generiert. Dadurch wird verhindert, dass zwei Instanzen, die aus demselben Image erstellt werden, dieselben IDs haben.
  16. Führen Sie den OCI Secure Desktops Image Readiness Checker aus, um zu prüfen, ob Ihre VM die Complianceanforderungen erfüllt, die als Image für die Verwendung mit Secure Desktops erstellt werden müssen.

    Dieses Tool kann Network Time Protocol (NTP), Remote Desktop Protocol (RDP) aktualisieren und Bildschirmeinstellungen sperren, die für ein Secure Desktops-Windows-Image erforderlich sind.

    Weitere Informationen zu diesem Utility und zum Herunterladen der Anwendungsdatei finden Sie unter OCI Secure Desktops: How To Confirm Compliance Using The OCI Secure Desktops Image Readiness Checker (KB100881)

  17. Klonen Sie die gestoppte VM als VMDK- oder QCOW2-Datei. Die Schritte finden Sie in der Dokumentation zu den Tools, die Sie mit Ihrer Virtualisierungsumgebung bereitgestellt haben.

Nächsten Schritt:

Importieren Sie die VMDK- oder QCOW2-Imagedatei in Oracle Cloud Infrastructure.

Windows-basierte VMs importieren

Nachdem Sie ein Windows-Image für den Import vorbereitet haben, laden Sie die Bilddatei hoch, und importieren Sie das Image.

  1. Hochladen der Imagedatei in einen Object Storage-Bucket. Geben Sie den folgenden Befehl mit der Befehlszeilenschnittstelle (CLI) aus: 
    oci --profile <profile in $HOME/.oci/config> --region <region> os object put\
    -bn <name of bucket> \
    -ns <name space> \
    --name <The name of the object in the bucket> \
    --file <path to the QCOW2 or VMDK image>
  2. Erstellen Sie ein benutzerdefiniertes Image aus dem hochgeladenen Objekt im Bucket: 
    oci --profile <profile in $HOME/.oci/config> --region <region> \
   compute image import from-object \
   -ns <name space> \
   -bn <name of bucket> \
   --name <The name of the object in the bucket> \
   --compartment-id <The OCID of the compartment you want the custom image to be created in> \
   --display-name <A user-friendly name for the new custom image> \
   --launch-mode PARAVIRTUALIZED \
   --source-image-type QCOW2|VMDK

    Das importierte Image wird in der Liste "Benutzerdefinierte Images" für das Compartment mit dem Status Wird importieren angezeigt. Wenn der Import erfolgreich abgeschlossen ist, wechselt der Status auf Verfügbar.

    Wenn der Zustand nicht geändert werden kann oder in der Liste Benutzerdefinierte Images kein Eintrag angezeigt wird, war der Import nicht erfolgreich. Stellen Sie sicher, das Sie Lesezugriff auf das Object Storage-Objekt haben und das Objekt ein unterstütztes Image enthält.

  3. Aktualisieren Sie das benutzerdefinierte Image, um das Betriebssystem Windows und die Betriebssystemversion Windows10 oder Windows11 anzugeben: 
    oci --profile <profile in $HOME/.oci/config> --region <region> \
   compute image update --image-id <custom image ocid> \
   --operating-system Windows \
   --operating-system-version <Windows10 or Windows11>
  4. Stellen Sie sicher, dass das benutzerdefinierte Image auf den richtigen Bootmodus gesetzt ist.
    • Verwenden Sie für ein Windows 10-Image den UEFI- oder Legacy-BIOS-Boottyp.
    • Verwenden Sie für ein Windows 11-Image nur den UEFI-Boottyp.

    So passen Sie den Bootmodus an:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Compute. Klicken Sie unter "Compute" auf Benutzerdefinierte Images.
    2. Klicken Sie auf das gewünschte benutzerdefinierte Image.
    3. Klicken Sie auf Aktionen, und wählen Sie Bildfunktionen bearbeiten aus. Wählen Sie für Firmware den entsprechenden Bootmodus.
    4. Klicken Sie auf Änderungen speichern.
  5. (Windows 11) Konfigurieren Sie das benutzerdefinierte Image für abgeschirmte Instanzen.

    Windows 11 unterstützt abgeschirmte Instanzen. Abgeschirmte Instanzen verwenden eine Kombination aus Secure Boot, Measured Boot und Trusted Platform Module (TPM) zur Absicherung der Firmwaresicherheit vor böswilliger Boot-Level-Software.

    • Der sichere Start ist ein Unified Extensible Firmware Interface-(UEFI-)Feature, das verhindert, dass unautorisierte Bootloader oder Betriebssysteme gestartet werden.
    • Der kontrollierte Start verbessert die Bootsicherheit, indem Messungen von Bootkomponenten wie Boot Loader, Treiber und Betriebssysteme gespeichert werden.
    • Trusted Platform Module (TPM) ist ein spezieller Sicherheitschip, mit dem dem beim kontrollierten Start die Bootmessungen gespeichert werden. Wenn Sie den gemessenen Start für VMs aktivieren, wird TPM automatisch aktiviert.

    So aktivieren Sie abgeschirmte Instanzen:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Compute. Klicken Sie unter "Compute" auf Benutzerdefinierte Images.
    2. Klicken Sie auf das gewünschte benutzerdefinierte Image.
    3. Klicken Sie auf Aktionen, und wählen Sie Imagefunktionen bearbeiten aus. Sie können Folgendes festlegen:
      • Stellen Sie bei Firmware sicher, dass nur UEFI-64 ausgewählt ist.
      • Stellen Sie sicher, dass der sichere Start aktiviert ist.
    4. Klicken Sie auf Änderungen speichern.

    Wenn Sie also einen Desktoppool mit diesem Image erstellen, erkennt Secure Desktops diese Bildeinstellung und aktiviert automatisch abgeschirmte Desktopinstanzen.

  6. Bevor Sie Ihr Image für die Verwendung mit Secure Desktops verfügbar machen, empfehlen wir, das Image zu testen, indem Sie manuell eine Compute-Instanz mit dem Image erstellen und eine Konsolenverbindung herstellen. Siehe Fehlerbehebung bei Instanzen mit Instanzkonsolenverbindungen.
  7. Fügen Sie das erforderliche Imagetag hinzu, damit das Image für die Verwendung mit Secure Desktops verfügbar ist.

    oci:desktops:is_desktop_image=true

    Siehe Secure Desktops-Tags.