本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
带上你自己的 Windows 桌面许可证 WorkSpaces
为了遵守 Microsoft 许可条款,请在Amazon云端专为你设计的硬件 WorkSpaces上Amazon运行 BYOL。通过提供您自己的许可证,您可以为用户提供一致的体验。有关更多信息,请参阅WorkSpaces 定价
重要
已从一个版本的 Windows 11 升级到较新版本的 Windows 11(Windows 功能/版本升级)的 Windows 11 系统不支持创建映像。例如,升级到 24H2 的 Windows 11 23H2 系统不能用于创建映像。但是, WorkSpaces 映像创建过程支持 Windows 累积更新或安全更新。
主题
使用自带 Windows 桌面许可证 WorkSpaces
按照以下步骤在亚马逊中导入和使用您自己的 Windows 桌面许可证 WorkSpaces
在开始之前,请验证以下几点:
-
您的 Microsoft 许可协议是否允许 Windows 在虚拟托管环境中运行。
-
如果您要使用 non-GPU-enabled捆绑包(Graphics.g4dn、.g4dn、Graphics 和以外的捆绑包 GraphicsPro),请确认每个区域至少要使用 50 个 GraphicsPro。 WorkSpaces 这些 50 WorkSpaces 可以是 AlwaysOn 和的任意组合 AutoStop WorkSpaces。要在专用硬件 WorkSpaces 上运行,则要求 WorkSpaces 每个区域至少使用 50 个。为了符合 Microsoft 的许可要求,你必须在专用硬件 WorkSpaces 上运行。专用硬件在Amazon侧面配置,因此您的 VPC 可以保持默认租期。
如果您计划使用支持 GPU 的捆绑包(Graphics.g4dn、 GraphicsPro .g4dn、Graphics 和 GraphicsPro),请确认在专用硬件上每月在一个区域中至少运行 4 AlwaysOn 或 20 个 GPU 支持。 AutoStop WorkSpaces
注意
-
作为图像导入过程的一部分,Amazon自动检索系统日志以解决图像导入错误,提供故障排除帮助,并向用户提供准确的错误消息。
-
Graphics.g4dn、 GraphicsPro .g4dn、Graphics 和 GraphicsPro 捆绑包在非洲(开普敦)地区和以色列(特拉维夫)地区不可用。
-
要 WorkSpaces 在非洲(开普敦)地区跑步,你需要 WorkSpaces 在非洲(开普敦)地区跑至少400分。
-
为了获得最佳视频会议体验,建议使用 Power(4 个 vCPU,16 GB 或更大内存)捆绑包。
-
-
WorkSpaces 可以使用 /16 IP 地址范围内的管理接口。管理接口连接到用于交互式流媒体的安全 WorkSpaces 管理网络。这样可以 WorkSpaces 管理你的 WorkSpaces. 有关更多信息,请参阅 网络接口。为此,您必须至少从下列 IP 地址范围之一中保留一个 /16 网络掩码,并确保您选择的 IP 地址范围在您的网络中不会发生冲突:
-
10.0.0.0/8
-
100.64.0.0/10
-
172.16.0.0/12
-
192.168.0.0/16
-
198.18.0.0/15
注意
-
在您采用该 WorkSpaces 服务时,可用的管理接口 IP 地址范围经常发生变化。要确定当前有哪些范围可用,请运行 list-available-management-cidr-ranges Amazon Command Line Interface (Amazon CLI) 命令。
-
除了您选择的 /16 CIDR 块外,54.239.224.0/20 IP 地址范围还用于所有区域的管理接口流量。Amazon
-
支持 BYOL 的 Windows 版本
您的 VM 必须运行以下 Windows 版本之一:
-
Windows 10 版本 22H2(2022 年 11 月更新)
-
Windows 10 Enterprise LTSC 2019(1809)
-
Windows 10 Enterprise LTSC 2021(21H2)
-
Windows 11 Enterprise 23H2(2023 年 10 月发布)
你需要使用支持的 Windows 操作系统版本的 Windows 虚拟机映像或 Windows ISO 映像文件:
-
登录微软 365 管理中心
,下载企业版 ISO 镜像。在 Visual Studio 订阅门户上登录您的订阅 以获取可用下载内容。请勿使用从不提供企业版 ISO 的 Windows 11 公共下载网站上下载 的 ISO 文件。 -
要使用自定义的虚拟机映像,请在导入之前验证您的映像。
-
导入过程中不支持加密 AMIs 。可以在配置最终 WorkSpaces 版本后启用加密。
-
不支持默认 EBS 加密。在导入图像之前,请在 EC2 控制台中禁用默认加密。
-
对于 Windows 11 映像, WorkSpaces 需要启用 UEFI 启动模式。有关 EC2 Image Builder 如何检测启动模式的更多信息,请参阅《虚拟机 Import/Export 用户指南》中的 “虚拟机导入/导出” 支持的卷类型和文件系统。
-
所有支持的操作系统版本都支持您使用的Amazon区域中可用的所有计算类型 WorkSpaces。微软不再支持的 Windows 版本不能保证能正常运行,Support 也不支持这些版本。Amazon
注意
目前,BYOL 不支持 Windows 11 版本。
在确认自己满足将 Windows BYOL 与一起使用的先决条件后 WorkSpaces,需要启用您的帐户才能使用 BYOL 映像。
在 WorkSpaces 控制台中,导航至 “账户设置” 页面。
在“自带许可(BYOL)”部分,您会看到账户的 BYOL 启用状态。如果状态显示账户未启用,请选择开始使用 BYOL 按钮。
在 BYOL 页面上,选择“为账户启用 BYOL”。
注意
为账户启用 BYOL 仅适用于单个区域。请记下您当前所在的区域,如果您想使用其他区域,请在为账户启用 BYOL 前切换到相应区域。
将出现一个弹出模式,确认您了解使用 BYOL WorkSpaces 的最低要求。确认您已了解相关要求,然后选择“启用账户”。
注意
如果您打算将 Graphics WorkSpaces 与 BYOL 配合使用,请创建 Su Amazon pport 请求单。控制台尚不支持启用 Graphics BYOL。 WorkSpaces
在大多数情况下,账户会自动启用。但是,有些账户需要进一步审核。刷新后,您会在 BYOL 页面上看到启用状态。
为账户启用 BYOL 后,请继续执行下一步。
注意
此步骤仅适用于要导入的自定义虚拟机映像。如果您要导入的是 Windows ISO,则可跳过此步骤。
如果您要导入自定义的虚拟机映像,我们建议您运行 WorkSpaces Image Checker 工具,以确保您的虚拟机与 WorkSpaces兼容。映像检查程序工具会运行一系列测试,并且可以帮助修复兼容性问题。
下载映像兼容性检查程序脚本
在下载并运行映像兼容性检查程序脚本之前,请验证虚拟机上是否安装了最新的 Windows 安全更新。此脚本在运行时会禁用 Windows 更新服务。
-
在
Downloads文件夹中,创建一个BYOL文件夹。 -
从
ImageCompatibilityChecker.zip中提取文件并将其复制到Downloads\BYOL文件夹。 -
删除
Downloads\ImageCompatibilityChecker.zip文件夹,以便仅保留提取的文件。
检查是否未启用 Windows 虚拟机 BitLocker。
确保未启用 Windows 虚拟机 BitLocker
-
以管理员身份打开 PowerShell。
-
运行如下命令:
manage-bde -offDriveLetter: -
BitLocker 通过运行以下命令来检查的状态:
manage-bde -StatusDriveLetter: -
确保显示的值与以下值相匹配:
BitLocker 版本-无
转换状态 – 已完全解密
加密百分比 – 0.0%
加密方法 - 无
保护状态 - 保护已关闭
锁定状态:已解锁
执行以下步骤以运行映像兼容性检查程序脚本。
运行映像兼容性检查程序脚本
-
以管理员身份打开 PowerShell。
选择 Windows 的“开始”按钮。
右键单击 Windows PowerShell。
选择以管理员身份运行。
如果出现用户账户控制提示,请选择是。
-
在 PowerShell 命令提示符处,切换到 “图像兼容性检查器” 脚本所在的目录。例如,如果脚本位于
Downloads\BYOL目录中,请输入以下命令并按 Enter:cd C:\Users\username\Downloads\BYOL -
输入以下命令以更新计算机上的 PowerShell 执行策略。这样可以运行映像兼容性检查程序脚本:
Set-ExecutionPolicy AllSigned -
当系统提示您确认是否更改 PowerShell 执行策略时,请输入A以指定 Yes to All。
输入以下命令以运行映像兼容性检查程序脚本:
.\ImageCompatibilityChecker.exe如果有安全通知出现,请按 R 键以运行一次。
在 “WorkSpaces 图像验证” 对话框中,选择 “运行测试”。
每个测试完成后,您都可以查看测试的状态。对于状态为 FAILED (失败) 的任何测试,请选择 Info (信息) 以显示有关如何解决导致失败的问题的信息。如果任何测试显示了状态 WARNING (警告),请选择 Fix All Warnings (修复所有警告) 按钮。
适当时,请解决导致测试故障和警告的任何问题,然后重复 步骤 7 和 步骤 8,直到 VM 通过所有测试。您在导出 VM 之前必须解决所有故障和警告。
BYOL 脚本检查程序将生成两个日志文件:
WorkSpacesImageCompatabilityCheckLog和YYYY-MM-DD_HHmmss.txtImageInfo.text。这两个文件位于映像兼容性检查程序脚本文件所在的目录中。提示
请勿删除这些文件。出现问题时,它们可能有助于解决问题。
-
如果您的 VM 通过了所有测试,您将收到 Validation Successful (验证成功) 消息。
您还将看到运行 Sysprep 的提示。关闭提示,暂时不要运行 Sysprep。
-
关闭虚拟机并将其导出。有关更多信息,请参阅《虚拟机 Import/Export 用户指南》中的将虚拟机从其虚拟化环境中导出。
-
(可选)启动虚拟机并再次运行映像兼容性检查程序脚本。应通过所有验证。屏幕将再次弹出,上面有一个用于运行 Sysprep 的按钮。选择运行 Sysprep。如果 Sysprep 成功,则可以将您在步骤 12 中导出的虚拟机导入到亚马逊弹性计算云 (Amazon)。 EC2
如果 Sysprep 不成功,请查看
%WINDIR%\System32\Sysprep\Panther路径中的 Sysprep 日志,从步骤 12 回滚到导出的虚拟机,解决报告的问题,然后通过导出固定虚拟机再次完成步骤 12。然后,重新运行映像兼容性检查程序脚本,以确保问题已得到解决。Sysprep 失败的最常见原因是未针对所有用户卸载现代 AppX 程序包。使用
Remove-AppxPackagePowerShell cmdlet 移除 AppX 软件包。 -
将您在步骤 12 中导出的虚拟机导入到 Amazon EC2。
执行以下步骤导入您的图像并创建 WorkSpaces BYOL 映像:
转至导航窗格并选择映像,然后选择导入映像。
根据基础映像选项和要导入的映像类型,按照导入映像页面上的步骤进行操作:
虚拟机导入:导入已经自定义的虚拟机映像。您可以导入
VHDX、VMDK或OVF文件。ISO 导入:导入从 Microsoft 下载的未自定义的 Windows ISO 映像。
AMI 导入 — 导入现有亚马逊 EC2 AMI 以用作您的 WorkSpaces BYOL 映像。
请执行以下操作之一:
对于虚拟机导入选项,请将您的文件上传到 Amazon S3,然后指定文件要导入的位置。请注意,您使用的 S3 存储桶必须与您打算部署 BYOL WorkSpaces 的区域相同。
对于 ISO 导入:导入从 Microsoft 下载的未自定义的 Windows ISO 映像。请注意,您使用的 S3 存储桶必须与您打算部署 BYOL WorkSpaces 的区域相同。
对于AMI 导入,请指定 AMI ID。
转至基础设施配置。
WorkSpaces 自动创建 Amazon EC2 Image Builder 管道来构建 BYOL 映像。基础架构配置定义了如何配置 EC2 Image Builder 来构建您的映像。您可以使用以下设置对其进行自定义:
服务默认值:创建并使用默认 IAM 角色和策略来构建映像。
使用现有基础设施配置-提供在 Amazon Im EC2 age Builder 中设置的自定义基础设施配置。有关更多信息,请参阅 I EC2 mage Builder 用户指南中的创建基础设施配置。
前往高级设置并选择是否要在图像遇到导入错误时终止 EC2 构建实例。
如果您选择在出现故障时终止实例,则在映像导入工作流程中,您将无法访问实例来调试错误。
如果您选择不终止实例,则可以使用该实例来调试错误,但运行该 EC2 实例可能会产生额外费用。
转至映像详情以指定映像的属性:包括映像名称。
映像名称:映像的唯一标识符。
计算类型:指定此映像应使用非图形/基础硬件还是图形硬件
操作系统版本:选择映像的 Windows 操作系统版本
语义版本-为图像定义语义版本,该版本将存储在 Image Builder EC2 中。有关更多信息,请参阅 Image Builder 用户指南中的 Image Builder 中的EC2 语义版本控制
注意
在 BYOL 导入过程中,将在您的Amazon账户中创建 EC2 Image Builder 资源。为了创建映像,系统会自动创建名为 AWSServiceRoleForImageBuilder 的服务相关角色(若该角色尚未存在)。此角色将包含Amazon托管策略AWSServiceRoleForImageBuilder。您还必须拥有 VM Import/Export 所需的权限才能导入自定义虚拟机映像。
创建映像时,控制台映像页面上的状态将显示为待处理。BYOL 摄取过程至少需要 90 分钟。
导入映像时出现的错误将与建议解决方案一起显示在映像页面上。详细日志可在亚马逊导入图像时创建的 Image Builder 日志组 CloudWatch 下找到。可能的错误类型如下:
图像错误-Image Builder 无法生成 EC2 图像。修复虚拟化环境中的问题并导入新映像。
Image Builder 错误:尝试构建映像时出错。查看亚马逊上的 Image Builder 日志,了解更多 CloudWatch 详情
EC2 错误-您的图像存在无法自动修复的问题。要解决这些错误,您可以连接到 Amazon EC2 实例(如果该实例设置为在构建失败时不终止)并直接执行修复。然后,您可以从“映像”页面重试导入。
自动修复错误-这些问题已由自动修复。 WorkSpaces无需进一步操作。
有关常见错误的详细信息,请参阅常见错误消息及其解决方案。
BYOL 在专用硬件上 WorkSpaces 运行,以符合微软许可条款。为了支持这一点,我们创建了 BYOL 管理接口,以便在您 WorkSpaces 和Amazon托管 WorkSpaces 管理网络之间建立安全连接。有关更多信息,请参阅网络接口。
如果您在同一地区有另一个Amazon账户启用了 BYOL,则应在账户之间使用相同的管理界面来保留更少的 IP 地址。为此,请不要选择管理接口 IP 地址范围,可参阅下面的关联 BYOL 账户。
选择管理接口 IP 地址范围
返回账户设置中的 BYOL 页面。
在选择 IP 范围部分中,选择选择 IP 范围按钮。
通过提供您的网络上可用的 IP 地址范围来输入搜索范围。 WorkSpaces 返回与您的搜索相匹配的可用的 /16 网络掩码 IP 地址范围。
选择可用的 IP 地址范围(以 CIDR 数据块的形式显示)。
注意
为管理接口选择 IP 范围后,便无法更改。
关联 BYOL 账户
如果您在同一地区有另一个启用了 BYOL 的Amazon账户,该账户共享相同的付款人账户,则应在账户之间使用相同的管理界面来预留更少的 IP 地址。关联账户还可以避免满足每个账户的最低 BYOL 要求,因为最低要求是在关联账户之间共享的。如果您在同一个付款人账户下没有启用了 BYOL 的另一账户,请跳过此步骤。
要关联到现有 BYOL 账户,请不要选择 IP 地址范围。
关联 BYOL 账户
登录已启用 BYOL WorkSpaces 的Amazon账户。
导航至账户设置中的 BYOL 页面。
在选择 IP 范围部分中,选择账户关联部分下的发送邀请按钮。
提供未启用 BYOL 且您希望关联的账户的账户 ID。Amazon
注意
这两个账户必须在同一区域使用 BYOL。
关联邀请发送后,返回尚未启用 BYOL 的Amazon账户。在账户设置页面中,您将看到一条横幅通知,显示您有待处理的 BYOL 账户关联邀请。在横幅中选择查看邀请。
确认账户关联邀请。
如果您想对同一付款人账户下的两个账户使用不同的管理界面,请联系 Su Amazon pport 寻求帮助。
按照中的说明创建 BYOL 映像后,您可以使用该映像创建一个自定义捆绑包。有关信息,请参阅为 WorkSpaces 个人版创建自定义 WorkSpaces 镜像和捆绑包。
要将 BYOL 映像用于 WorkSpaces,必须为此目的创建一个目录。
要为创建目录 WorkSpaces,请参阅为 WorkSpaces 个人创建目录。确保在创建目录 WorkSpaces 时选择 “启用专用”。
重要
如果您在注册目录时看不到 “启用专用 WorkSpaces ” 选项,请确保已完成在您的账户和地区启用 BYOL 的步骤。
如果你已经注册了未在专用硬件上运行的 Microsoft AD Amazon 托管目录或 AD Connector 目录,则可以为此目的设置一个新的Amazon托管微软 AD 目录或 AD Connector 目录。 WorkSpaces 您也可以取消注册该目录,然后将其重新注册为专用 WorkSpaces目录。要了解有关注册和取消注册现有Amazon目录服务目录的更多信息,请参阅向 WorkSpaces 个人注册现有Amazon目录服务目录。
启动你的 BYOL WorkSpaces 个人版
要启动个人账户 WorkSpaces,请参阅在 WorkSpaces 个人版 WorkSpace 中创建。
启动你的 BYOL 池 WorkSpaces
要启动矿 WorkSpaces 池,你必须启动个人账户 WorkSpace,创建该个人的镜像 WorkSpace,然后使用该镜像启动池。
为 BYOL 池 WorkSpaces 创建映像
使用您要用于 WorkSpaces 矿池的 BYOL 镜像启动个人 WorkSpace 账户。有关如何启动 WorkSpaces 个人版的信息,请参阅在个人版 WorkSpace 中 WorkSpaces 创建。
登录个人版 WorkSpace 并确保所有的 Windows 更新都已安装。
更新您的 Amazon EC2 配置。要使用 Windows 10 更新您的 EC2 配置,请参阅安装最新版本的 EC2 Config。要使用 Windows 11 更新您的 EC2 配置,请参阅安装最新版本的 EC2 Launch。
添加 Windows Defender 排除列表。有关更多信息,请参阅 Add an exclusion to Windows Security。
在 Windows Defender 中将以下文件夹添加到排除列表中:
C:\Program Files\Amazon\C:\ProgramData\Amazon\*C:\Program Files\NICE\C:\ProgramData\NICE\C:\Program Files (x86)\AWS Tools\*C:\Program Files (x86)\AWS SDK for .NET\*C:\AWSEUC\(这适用于会话脚本)
输入以下命令,在启动时禁用 Windows 更新。
以管理员身份打开 PowerShell。
选择 Windows 的“开始”按钮。
右键单击 Windows PowerShell。
选择以管理员身份运行。
如果出现用户账户控制提示,请选择是。
运行以下命令:
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -ForceNew-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -ForceSet-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "NoAutoUpdate" -Value 1 -Force重新启动 WorkSpace。有关更多信息,请参阅 WorkSpaces 个人版 WorkSpace 中的重启。
注意
我们建议您在开始为 BYOL WorkSpaces 池创建映像之前执行以下操作。
删除不必要的启动应用程序。
删除或禁用不必要的计划任务。打开“开始”菜单,选择计划任务,选择要禁用的任务,然后选择禁用。
通过输入以下命令,在重新启动后运行映像检查程序。
C:\Program Files\Amazon\ImageChecker.exe解决映像检查程序发现的任何错误。有关更多信息,请参阅“解决映像检查程序检测到的问题的提示”。
所有测试均通过图像检查器后,返回 WorkSpaces 控制台。
在导航窗格中 WorkSpaces,选择个人。选择 BYOL 个人 WorkSpaces,然后选择 “操作”、“创建图像”。
在导航窗格中,选择映像。在映像下,检查是否已创建映像。
现在,您可以使用您创建的映像启动 P WorkSpaces ools。有关启动 WorkSpaces 池的更多信息,请参阅创建 WorkSpaces 池。