Uso de una imagen de Windows

Para crear un pool de escritorios con Windows, debe traer su propia licencia.

Nota

  • Oracle proporciona imágenes base de Windows de uso general preconfiguradas para su uso con Secure Desktops. Abra una solicitud de servicio para solicitar una de estas imágenes. Para obtener más información, consulte Imágenes soportadas.
  • OCI no proporciona imágenes ni licencias para Windows 10 ni para Windows 11. Para utilizar una imagen de Windows, debe cumplir con el acuerdo de licencia de Microsoft. Consulte Licencias de Microsoft en Oracle Cloud Infrastructure.

Importación de imágenes personalizadas de Windows

El servicio de recursos informáticos le permite importar imágenes de Windows creadas fuera de Oracle Cloud Infrastructure. Por ejemplo, puede importar imágenes que se ejecutan en máquinas virtuales o físicas (VM) locales o en máquinas virtuales que se ejecutan en Oracle Cloud Infrastructure Classic. A continuación, puede iniciar las imágenes importadas en máquinas virtuales informáticas.

Atención

  • El soporte de Oracle Cloud Infrastructure al inicio de una instancia desde un sistema operativo personalizado no garantiza que el proveedor del sistema operativo también soporte la instancia.
  • Windows 10/11 requiere que traiga su propia licencia (BYOL). Para activar esto, la imagen personalizada debe especificar el sistema operativo Windows.
  • Por defecto, los escritorios de Windows se aprovisionan en hosts de máquina virtual dedicados (DVH). Si el acuerdo de licencia permite virtualizar escritorios de Windows 10/11 en un entorno de nube, puede desactivar el aprovisionamiento de DVH agregando la etiqueta adecuada a la imagen utilizada para crear el pool de escritorios. Consulte Etiquetas de escritorios seguros.

Requisitos de la imagen de origen de Windows

Las imágenes personalizadas deben cumplir los siguientes requisitos:

  • El tamaño máximo de la imagen es de 400 GB.
  • Se debe configurar la imagen para un tipo de inicio admitido.
    • Para una imagen de Windows 10, use el tipo de inicio UEFI o Legacy BIOS.
    • Para una imagen de Windows 11, utilice sólo el tipo de inicio UEFI.
  • El proceso de arranque no debe requerir que haya volúmenes de datos adicionales para un arranque exitoso.
  • La imagen de disco no se puede cifrar.
  • La imagen de disco debe ser un archivo VMDK o QCOW2.
    • Cree el archivo de imagen clonándolo, no creando una instantánea.
    • Los archivos VMDK deben ser del tipo "single cultivable" (monolithicSparse) o del tipo "stream optimizado" (streamOptimized), que constan de un solo archivo VMDK. No se admiten todos los demás formatos VMDK, como los que usan varios archivos, dividen volúmenes o contienen instantáneas.
  • La interfaz de red debe usar DHCP para descubrir la configuración de red. Cuando importa una imagen personalizada, las interfaces de red existentes no se recrean. Cualquier interfaz de red existente se reemplaza con una única NIC una vez que se completa el proceso de importación. Puede adjuntar VNIC adicionales después de iniciar la instancia importada.
  • La configuración de red no debe forzar la dirección MAC de la interfaz de red.
  • Para las imágenes de Windows 11, tanto el inicio seguro como el módulo de plataforma segura (TPM) deben estar desactivados para Windows durante la creación de imágenes si la plataforma de virtualización no los admite (por ejemplo, VirtualBox). Antes de la instalación, utilice el Editor del Registro para agregar nuevas claves de registro:
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassRAMCheck Valor 1 de DWORD (32 bits).
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassSecureBootCheck Valor 1 de DWORD (32 bits).
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassTPMCheck Valor 1 de DWORD (32 bits).

Preparación de VM de Windows para la importación

Antes de importar una imagen personalizada de Windows, debe preparar la imagen para asegurarse de que las instancias iniciadas desde la imagen puedan iniciarse correctamente y que funcionen correctamente las conexiones de red.

Puede realizar las tareas descritas en esta sección del sistema de origen en ejecución. Si tiene alguna preocupación por modificar el sistema de origen activo, puede exportar la imagen como está, importarla a Oracle Cloud Infrastructure y, a continuación, iniciar una instancia basada en la imagen personalizada. A continuación, puede conectarse a la instancia mediante la consola de VNC y realizar los pasos de preparación.

Importante

La unidad del sistema donde está instalado Windows se importará a Oracle Cloud Infrastructure. Todas las particiones de la unidad seguirán la imagen importada. Cualquier otras unidades no se importarán y debe volver a crearlas en la instancia después de la importación. A continuación, deberá mover manualmente los datos de las unidades que no son del sistema.

Para preparar una máquina virtual de Windows para la importación, utilice una de las siguientes opciones:

Preparación de una VM mediante Secure Desktops Image Builder

Utilice Secure Desktops Image Builder para preparar una máquina virtual como imagen para utilizarla con Secure Desktops.

Esta utilidad verifica los requisitos, realiza una instalación desatendida y configura una imagen (en formato VMDK) que se puede cargar en Oracle Cloud Infrastructure.

Nota

  • Esta utilidad crea imágenes para las ediciones Enterprise o Professional de Windows 10 o 11 (64 bits). No se admiten las versiones de evaluación.
  • Esta utilidad requiere el uso de Oracle VirtualBox versión 7.0.18. Si utiliza una solución de software de virtualización diferente, siga el método manual para preparar la VM.
  • Esta utilidad selecciona automáticamente el firmware UEFI para una imagen de Windows 11.

Para usar Secure Desktops Image Builder:

  1. Consulte OCI Secure Desktops: Cómo crear una imagen de Windows para utilizarla con OCI Secure Desktops mediante OCI Secure Desktops Image Builder (KB91837).
  2. Revise las instrucciones y descargue todos los paquetes necesarios en el sistema local.
  3. Descargue el archivo de aplicación (anexo en el artículo de conocimientos) en el sistema local.
  4. Ejecute el archivo de aplicación como administrador y siga todas las peticiones de datos.
  5. Una vez finalizado el proceso, la utilidad muestra la ubicación del archivo de imagen VMDK que se ha creado.

Siguiente paso:

Importe el archivo de imagen de VMDK a Oracle Cloud Infrastructure.

Preparación de una VM con el método manual

Use el método manual para preparar una máquina virtual como imagen para usarla con Secure Desktops.

Nota

Para obtener orientación sobre la preparación manual de la máquina virtual mediante VirtualBox, consulte OCI Secure Desktops: Windows 10/11 para la preparación de OCI (KB60923).

Para preparar manualmente una VM de Windows:

  1. Siga las directrices de seguridad de la organización para garantizar que el sistema Windows esté protegido. Esto puede incluir, pero no está limitado a las siguientes tareas:
    • Instale las actualizaciones de seguridad más recientes para el sistema operativo y las aplicaciones instaladas.
    • Activar el firewall y configurarlo para que solo active las reglas necesarias.
    • Desactive las cuentas con privilegios que no sean necesarias.
    • Utilice contraseñas seguras para todas las cuentas.
  2. Configure el servidor de activación de licencia:
    slmgr.vbs /skms <KMS_server_name_or_IP>:1688
  3. Cree una copia de seguridad del volumen raíz.
  4. Si la VM tiene almacenamiento asociado de forma remota, como NFS o volúmenes en bloque, configure los servicios que dependen de este almacenamiento para que se inicien manualmente. El almacenamiento asociado remotamente no está disponible la primera vez que se inicia una instancia importada en Oracle Cloud Infrastructure.
  5. Asegúrese de que todas las interfaces de red utilicen DHCP y que la dirección MAC y las direcciones IP no estén codificadas. Consulte la documentación del sistema para ver los pasos que se deben realizar para configurar la red del sistema.
  6. Instale Oracle Cloud Agent. Para obtener el archivo de instalación de Oracle Cloud Agent, póngase en contacto con los Servicios de Soporte Oracle.
  7. Descargue los controladores de Oracle VirtIO para Microsoft Windows.
  8. Instale los controladores (seleccione el tipo de instalación Custom) y, a continuación, reinicie la instancia.
  9. Desactive LockScreen:
    try {
      Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -ErrorAction Stop 
    } catch {
     New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Force
    } try {
     New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1 -PropertyType Dword -ErrorAction Stop
     Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1  -ErrorAction Stop
    } catch {
     echo "done"
    }
  10. Desactivar RDP:
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 1
  11. Defina el servidor de tiempo en OCI:
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'Type' -Value NTP -Type String
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'AnnounceFlags' -Value 5 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer' -Name 'Enabled' -Value 1 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'NtpServer' -Value '169.254.169.254,0x9' -Type String
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient' -Name 'SpecialPollInterval' -Value 900 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxPosPhaseCorrection' -Value 1800 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxNegPhaseCorrection' -Value 1800 -Type DWord
  12. Opcionalmente, instale cualquier software adicional al que desee que tengan acceso los usuarios.
  13. Instale Cloudbase-Init. Durante la instalación:
    • Nombre de usuario: Administrador
    • No seleccione la opción para ejecutar el servicio Cloudbase-Init como LocalSystem.

      El uso de esta opción hace que ciertas funciones del sistema operativo no estén disponibles durante la fase de inicialización de la nube y puede provocar que falten volúmenes de escritorio cuando se inicia el escritorio, lo que requiere que ejecute la secuencia de comandos attach_volume.ps1 para resolver el problema. Consulte Missing Desktop Volume When Open Windows Desktop.

    • No seleccione las opciones para ejecutar Sysprep en Cloudbase-Init y cerrar el sistema.

    Una vez finalizada la instalación, edite C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf\cloudbase-init.conf y agregue retry_count=100.

  14. Cree el script PowerShell C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 para activar el RDP en Oracle Cloud Infrastructure cuando se ejecute Cloudbase-Init:
    #ps1_sysnative 
    # 
    # location C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 
    # 
    $script_path=$Env:ProgramData+"\Oracle\OCI\Desktops"
    $log="$script_path\enable_rdp.txt" 
    Start-Transcript -Path $log -Append 
    Write-Host "Enabling rdp port" | Out-Default 
    Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
    date | Out-Default 
    Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections -Value 0 | Out-Default 
    Enable-NetFirewallRule -DisplayGroup "Remote Desktop" | Out-Default 
    # 
    Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
  15. Si tiene previsto iniciar la imagen importada en más de una instancia de VM, cree una imagen generalizada del disco de inicio. Se limpia una imagen generalizada de la información específica de la computadora, como identificadores únicos. Al crear instancias a partir de una imagen generalizada, se regeneran los identificadores únicos. Esto evita que dos instancias creadas desde la misma imagen se coloquen en los mismos identificadores.
  16. Ejecute el comprobador de preparación de imágenes de OCI Secure Desktops para verificar si su máquina virtual cumple los requisitos de conformidad que se van a crear como imagen para su uso con Secure Desktops.

    Esta herramienta puede actualizar el protocolo de hora de red (NTP), el protocolo de escritorio remoto (RDP) y la configuración de la pantalla de bloqueo necesaria para una imagen de Windows de Secure Desktops.

    Para obtener más información sobre esta utilidad y descargar el archivo de aplicación, consulte OCI Secure Desktops: Cómo confirmar el cumplimiento mediante OCI Secure Desktops Image Readiness Checker (KB100881).

  17. Clone la máquina virtual parada como un archivo VMDK o QCOW2. Consulte la documentación de herramientas que se proporciona con el entorno de virtualización para ver los pasos que se deben realizar.

Siguiente paso:

Importe el archivo de imagen QCOW2 o VMDK a Oracle Cloud Infrastructure.

Importación de una VM basada en Windows

Después de preparar una imagen de Windows para importar, cargue el archivo de imagen e importe la imagen.

  1. Cargue el archivo de imagen en un cubo de Object Storage. Utilice la interfaz de línea de comandos (CLI) para ejecutar el siguiente comando:
    oci --profile <profile in $HOME/.oci/config> --region <region> os object put\
        -bn <name of bucket> \
        -ns <name space> \
        --name <The name of the object in the bucket> \
        --file <path to the QCOW2 or VMDK image>
  2. Cree una imagen personalizada a partir del objeto cargado en el cubo:
    oci --profile <profile in $HOME/.oci/config> --region <region> \
       compute image import from-object \
       -ns <name space> \
       -bn <name of bucket> \
       --name <The name of the object in the bucket> \
       --compartment-id <The OCID of the compartment you want the custom image to be created in> \
       --display-name <A user-friendly name for the new custom image> \
       --launch-mode PARAVIRTUALIZED \
       --source-image-type QCOW2|VMDK

    La imagen importada aparece en la lista de imágenes personalizadas para el compartimento, con el estado Importando. Cuando la importación finaliza correctamente, el estado cambia a Disponible.

    Si el estado no cambia, o no aparece ninguna entrada en la lista Imágenes personalizadas, significa que la importación ha fallado. Asegúrese de tener acceso de lectura al objeto de almacenamiento de objetos y que el objeto contiene una imagen soportada.

  3. Actualice la imagen personalizada para especificar el sistema operativo Windows y la versión del sistema operativo Windows10 o Windows11:
    oci --profile <profile in $HOME/.oci/config> --region <region> \
       compute image update --image-id <custom image ocid> \
       --operating-system Windows \
       --operating-system-version <Windows10 or Windows11>
  4. Asegúrese de que la imagen personalizada esté configurada en el modo de inicio correcto.
    • Para una imagen de Windows 10, utilice el tipo de inicio UEFI o Legacy BIOS.
    • Para una imagen de Windows 11, utilice solamente el tipo de inicio UEFI.

    Para ajustar el modo de inicio:

    1. Abra el menú de navegación y haga clic en Recursos informáticos. En Compute, haga clic en Imágenes personalizadas.
    2. Haga clic en la imagen personalizada que le interese.
    3. Haga clic en Acciones y seleccione Editar capacidades de imagen. En Firmware, seleccione el modo de inicio adecuado.
    4. Haga clic en Guardar cambios.
  5. (Windows 11) Configure la imagen personalizada para las instancias blindadas.

    Windows 11 incluye soporte para instancias blindadas. Las instancias blindadas utilizan una combinación de inicio seguro, inicio medido y módulo de plataforma de confianza (TPM) para reforzar las medidas de seguridad de firmware para protegerlas del software de nivel de inicio malicioso.

    • El inicio seguro es una función Unified Extensible Firmware Interface (UEFI) que impide el inicio de cargadores de inicio no autorizados y de sistemas operativos.
    • El inicio medido mejora la seguridad del inicio al almacenar mediciones de los componentes de inicio, como cargadores de inicio, controladores y sistemas operativos.
    • El Módulo de plataforma segura (TPM) es un chips de seguridad especializados que utiliza el inicio medido para almacenar las mediciones de inicio. La activación del inicio medido para las máquinas virtuales activa automáticamente TPM.

    Para activar instancias blindadas:

    1. Abra el menú de navegación y haga clic en Recursos informáticos. En Compute, haga clic en Imágenes personalizadas.
    2. Haga clic en la imagen personalizada que le interese.
    3. Haga clic en Acciones y seleccione Editar funciones de imagen. Defina los campos siguientes:
      • Para el firmware, asegúrese de que sólo esté seleccionado UEFI-64.
      • Asegúrese de que Secure Boot esté activado.
    4. Haga clic en Guardar cambios.

    Como resultado, al crear un pool de escritorios con esta imagen, Secure Desktops detecta esta configuración de imagen y activa automáticamente las instancias de escritorio blindadas.

  6. Antes de que la imagen esté disponible para su uso con Secure Desktops, recomendamos que pruebe la imagen creando manualmente una instancia informática con la imagen y estableciendo una conexión de consola. Consulte Solución de problemas de instancias con conexiones de consola de instancias.
  7. Agregue la etiqueta de imagen necesaria para que la imagen esté disponible para su uso con Secure Desktops.

    oci:desktops:is_desktop_image=true

    Consulte Etiquetas de escritorios seguros.