WorkSpaces 中的自带 Windows 桌面许可证 - Amazon WorkSpaces
支持 BYOL 的 Windows 版本确认您的虚拟机满足 BYOL 要求将虚拟机作为映像导入 Amazon EC2使用 WorkSpaces 控制台创建 BYOL 映像根据 WorkSpaces BYOL 映像创建一个自定义捆绑包创建专用目录以便在 WorkSpaces 中使用 BYOL 映像启动 BYOL WorkSpaces关于上传和创建 BYOL 映像的视频在 WorkSpaces 中关联 BYOL 账户

WorkSpaces 中的自带 Windows 桌面许可证

如果与 Microsoft 签订的许可协议允许这样做,则可以将您的 Windows 10 或 11 桌面带到 WorkSpaces 并进行部署。为此,您必须启用自带许可 (BYOL) 并提供满足以下要求的 Windows 10 或 11 许可证。有关在 AWS 上使用 Microsoft 软件的更多信息,请参阅 Amazon Web Services 和 Microsoft

为了遵守 Microsoft 许可条款,AWS 在 AWS 云中专供您使用的硬件上运行 BYOL WorkSpaces。通过提供您自己的许可证,您可以为用户提供一致的体验。有关更多信息,请参阅 WorkSpaces 定价

重要

已从一个版本的 Windows 10 或 11 升级到更高版本(Windows 功能/版本升级)的 Windows 10 或 11 的 Windows 10 或 11 系统不支持映像创建。但是,Windows 累积更新或安全更新由 WorkSpaces 映像创建过程支持。

支持 BYOL 的 Windows 版本

您的 VM 必须运行以下 Windows 版本之一:

  • Windows 10 版本 22H2(2022 年 11 月更新)

  • Windows 10 Enterprise LTSC 2019(1809)

  • Windows 10 Enterprise LTSC 2021(21H2)

  • Windows 11 Enterprise 23H2(2023 年 10 月发布)

  • Windows 11 Enterprise 22H2(2022 年 10 月发布)

所有受支持的操作系统版本都支持您使用 WorkSpaces 时所在 AWS 区域中可用的所有计算类型。不再受 Microsoft 支持的 Windows 版本不能保证正常工作,也不受 AWS Support 支持。

注意

目前,BYOL 不支持 Windows 10 N 和 Windows 11 N 版本。

确认 Amazon WorkSpaces 中的 Windows 虚拟机符合 Microsoft BYOL 的要求

按照使用 Amazon WorkSpaces 控制台为符合条件的 WorkSpaces 账户启用 BYOL中的说明为您的账户启用 BYOL 后,您必须确认您的虚拟机满足 BYOL 的要求。要执行此操作,请执行以下步骤来下载并运行 WorkSpaces BYOL 检查程序 PowerShell 脚本。该脚本将对您计划用于创建映像的 VM 执行一系列测试。

重要

VM 必须先通过所有测试,然后您才能将其用于 BYOL。

下载 BYOL 检查程序脚本

在下载并运行 BYOL 检查程序脚本之前,请验证是否在 VM 上安装了最新的 Windows 安全更新。此脚本在运行时会禁用 Windows 更新服务。

  1. 将 BYOL Checker 脚本 .zip 文件从 https://tools.amazonworkspaces.com/BYOLChecker.zip 下载到您的 Downloads 文件夹。

  2. Downloads 文件夹中,创建一个 BYOL 文件夹。

  3. BYOLChecker.zip 中提取文件并将其复制到 Downloads\BYOL 文件夹。

  4. 删除 Downloads\BYOLChecker.zip 文件夹,以便仅保留提取的文件。

执行以下步骤以运行 BYOL 检查程序脚本。

运行 BYOL 检查程序脚本

  1. 在 Windows 桌面上,打开 Windows PowerShell。选择 Windows Start 按钮,右键单击 Windows PowerShell,然后选择 Run as administrator (以管理员身份运行)。如果用户账户控制提示您选择是否希望 PowerShell 更改您的设备,请选择

  2. 在 PowerShell 命令提示符处,转至 BYOL 检查程序脚本所在的目录。例如,如果脚本位于 Downloads\BYOL 目录中,请输入以下命令并按 Enter

    cd C:\Users\username\Downloads\BYOL

  3. 输入以下命令以在计算机上更新 PowerShell 执行策略。这样做将允许 BYOL 检查程序脚本运行:

    Set-ExecutionPolicy AllSigned

  4. 当系统提示您确认是否要更改 PowerShell 执行策略时,请输入 A 以便为所有项指定“Yes (是)”。

  5. 输入以下命令以运行 BYOL 检查程序脚本:

    .\BYOLChecker.ps1

  6. 如果有安全通知出现,请按 R 键以运行一次。

  7. WorkSpaces 映像验证对话框中,选择开始测试

  8. 每个测试完成后,您都可以查看测试的状态。对于状态为 FAILED (失败) 的任何测试,请选择 Info (信息) 以显示有关如何解决导致失败的问题的信息。如果任何测试显示了状态 WARNING (警告),请选择 Fix All Warnings (修复所有警告) 按钮。

  9. 适当时,请解决导致测试故障和警告的任何问题,然后重复 步骤 7步骤 8,直到 VM 通过所有测试。您在导出 VM 之前必须解决所有故障和警告。

  10. BYOL 脚本检查程序将生成两个日志文件:BYOLPrevalidationlogYYYY-MM-DD_HHmmss.txtImageInfo.text。这两个文件位于 BYOL 检查程序脚本文件所在的目录中。

    提示

    请勿删除这些文件。出现问题时,它们可能有助于解决问题。

  11. 如果您的 VM 通过了所有测试,您将收到 Validation Successful (验证成功) 消息。

    您还将看到运行 Sysprep 的提示。关闭提示,暂时不要运行 Sysprep。

  12. 关闭虚拟机并将其导出。有关更多信息,请参阅《虚拟机导入/导出用户指南》中的从其虚拟化环境导出虚拟机

  13. (可选)启动虚拟机并再次运行 BYOL Checker 脚本。应通过所有验证。屏幕将再次弹出,上面有一个用于运行 Sysprep 的按钮。选择运行 Sysprep。如果 Sysprep 成功,可将您在步骤 12 导出的虚拟机导入 Amazon Elastic Compute Cloud(Amazon EC2)中。

    如果 Sysprep 不成功,请查看 %WINDIR%\System32\Sysprep\Panther 路径中的 Sysprep 日志,从步骤 12 回滚到导出的虚拟机,解决报告的问题,然后通过导出固定虚拟机再次完成步骤 12。然后,重新运行 BYOL Checker 脚本,以确保问题已得到解决。

    Sysprep 失败的最常见原因是未针对所有用户卸载现代 AppX 程序包。使用 Remove-AppxPackage PowerShell cmdlet 删除 AppX 程序包。

  14. 将您在步骤 12 中导出的虚拟机导入到 Amazon EC2。

常见错误消息及其解决方案

必须安装 PowerShell 4.0 或更高版本。有关更多信息,请参阅 Microsoft Windows PowerShell

导入前必须卸载 Microsoft Office。有关更多信息,请参阅从 PC 上卸载 Office

卸载 PCoIP 代理。有关卸载 PCoIP 代理的信息,请参阅卸载适用于 Mac 的 Teradici PCoIP 软件客户端

按照以下步骤禁用 Windows 更新:

  1. Windows 键 + R。 键入 services.msc,然后按 Enter

  2. 右键单击 Windows 更新,然后选择属性

  3. 常规选项卡下,将启动类型设置为禁用

  4. 选择停止

  5. 单击应用,然后选择确定

  6. 重新启动您的计算机。

您必须启用自动挂载。以管理员身份在 PowerShell 中运行以下命令:

C:\> diskpart
DISKPART> automount enable

已启用自动挂载新卷。

必须启用 WorkSpaces_BYOL 账户。有关更多信息,请参阅使用 Amazon WorkSpaces 控制台为您的账户启用 BYOL

必须更改网络接口才能使用 DHCP。有关更多信息,请参阅更改 TCP/IP 设置

本地磁盘必须有足够的空间,并且需要您腾出 20 GB 或更多空间。

只有 C 和 D 驱动器可以存在于用于导入映像的 WorkSpace 上。删除所有其他驱动器,包括虚拟驱动器。

使用 Windows 10 或 Windows 11 操作系统。

必须取消系统与 AD 域的连接。有关更多信息,请参阅 Azure Active Directory 设备管理常见问题

必须取消系统与 Azure 域的连接。有关更多信息,请参阅 Azure Active Directory 设备管理常见问题

必须禁用公共防火墙配置文件。有关更多信息,请参阅打开或关闭 Microsoft Defender 防火墙

必须卸载 VMware 工具。有关更多信息,请参阅在 VMware Fusion 中卸载和手动安装 VMware 工具 (1014522)

磁盘必须小于 80 GB。减小磁盘大小。

对于 Windows 10,卷必须采用 MBR 分区,对于 Windows 11,卷必须采用 GPT 分区。有关更多信息,请参阅管理磁盘

安装所有更新并重启操作系统。

要禁用自动登录注册表,请执行以下操作:

  1. Windows 键 + R,然后在命令提示符处键入 Regedit.exe

  2. 向下滚动到 HKEY_LOCAL_Machine\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

  3. DontDisplayLastUserName 添加一个值。

  4. 对于类型,输入 REG_SZ

  5. 对于,请输入 0

注意

  • DontDisplayLastUserName 决定登录对话框是否显示上次登录 PC 的用户的用户名。

  • 默认情况下,该值不存在。如果存在,则您必须将其设置为 0,否则 DefaultUser 值将被擦除,自动登录将失败。

必须启用 RealTimeUniversal 注册表项。有关更多信息,请参阅为 Windows Server 2008 和更高版本配置时间设置

可启动分区的数量不得超过一个。

移除其他分区

  1. Windows 徽标 + R 键,打开运行框。输入 msconfig,并按键盘上的 Enter 键,打开“系统配置”窗口。

  2. 从窗口中选择启动选项卡,然后检查要使用的操作系统是否设置为当前操作系统;默认操作系统。如果未设置,请从窗口中选择所需的操作系统,然后在同一窗口中选择设置为默认值

  3. 要删除其他分区,请选择该分区,然后选择删除应用确定

如果错误仍然出现,请从安装光盘或修复光盘启动计算机,然后按照以下步骤操作。

  1. 跳过初始语言屏幕,然后在主安装屏幕上选择修复计算机

  2. 选择选项屏幕上,选择问题排查

  3. 高级选项屏幕上,选择命令提示符

  4. 在命令提示符处输入 bootrec.exe /fixmbr,然后按 Enter

必须使用 64 位操作系统映像。有关更多信息,请参阅 BYOL 支持的 Windows 版本

映像重置计数不得为 0。重置功能允许您延长 Windows 试用版的激活期。创建映像过程要求重置计数为 0 以外的值。

检查 Windows 重置计数

  1. 在 Windows“开始”菜单上,选择 Windows 系统,然后选择命令提示符

  2. 在命令提示符处输入 cscript C:\Windows\System32\slmgr.vbs /dlv,然后按 Enter

  3. 将重置计数重置为 0 以外的值。有关更多信息,请参阅 Sysprep(概化)Windows 安装

Windows 必须尚未从以前的版本升级。

必须卸载防病毒软件。运行 BYOLChecker 以获取要卸载的防病毒软件的详细信息。

Windows 10 必须使用旧版 BIOS 启动模式。有关更多信息,请参阅启动模式

Sysprep 错误消息和错误修复列表

可能仍会为您的用户安装现代 AppX 程序包。通过运行 Powershell cmdletRemove-AppxPackage 来删除 AppX 程序包。

禁用预留存储空间

  1. 打开注册表编辑器,输入 regedit.exe

  2. 导航到以下注册表项:HKLM\Software\Microsoft\Windows\CurrentVersion\ReserveManager

  3. ShippedWithReserves 参数的值从 1 更改为 0

  4. ActiveScenario 的值更改为 0

  5. 使用以下命令在 Windows 中禁用预留存储空间:

    DISM.exe /Online /Set-ReservedStorageState /State:Disabled

必须卸载防病毒软件。运行 BYOLChecker 以获取要卸载的防病毒软件的详细信息。有关更多信息,请参阅 确认 Amazon WorkSpaces 中的 Windows 虚拟机符合 Microsoft BYOL 的要求

无法确定 Sysprep 失败的原因。通过以下网址联系 AWS 支持:https://aws.amazon.com/support

将虚拟机作为映像导入 Amazon EC2,准备为 WorkSpaces 创建 BYOL 映像

按照将虚拟机从 Amazon WorkSpaces 虚拟化环境中导出中的说明导出虚拟机后,查看从虚拟机导入 Windows 操作系统的要求。根据需要执行操作。有关更多信息,请参阅 VM Import/Export 要求

注意

不支持导入带有加密磁盘的 VM。如果您已为 Amazon Elastic Block Store (Amazon EBS) 卷选择了默认加密,则必须在导入 VM 之前取消选择该选项。

将 VM 作为 Amazon 系统映像 (AMI) 导入 Amazon EC2。使用以下方法之一:

  • 通过 AWS CLI 使用 import-image 命令。有关更多信息,请参阅《AWS CLI 命令参考》中的 import-image

  • 使用 ImportImage API 操作。有关更多信息,请参阅《Amazon EC2 API 参考》中的 ImportImage

有关更多信息,请参阅《VM Import/Export 用户指南》 中的将 VM 作为映像导入

使用 WorkSpaces 控制台创建 BYOL 映像

按照将虚拟机作为映像导入 Amazon EC2,准备为 WorkSpaces 创建 BYOL 映像中的说明将虚拟机导入 Amazon EC2 后,执行以下步骤来创建 WorkSpaces BYOL 映像。

注意

要执行此过程,请验证您具有 AWS Identity and Access Management (IAM) 权限以:

  • 调用 WorkSpaces ImportWorkspaceImage

  • 对要用于创建 BYOL 映像的 Amazon EC2 映像调用 Amazon EC2 DescribeImages

  • 对要用于创建 BYOL 映像的 Amazon EC2 映像调用 Amazon EC2 ModifyImageAttribute。确保对 Amazon EC2 映像的启动权限不受限制。在整个 BYOL 映像创建过程中,映像必须可共享。

有关特定于 BYOL WorkSpaces 的 IAM 策略示例,请参阅 对 WorkSpaces 进行身份和访问管理。有关使用 IAM 权限的更多信息,请参阅《IAM 用户指南》中的更改 IAM 用户的权限

要从映像创建 Graphics.g4dn、GraphicsPro.g4dn、Graphics 或 GraphicsPro 捆绑包,请联系 AWS Support 中心,将您的账户添加到允许列表。当您的账户位于允许列表之后,您可以使用 AWS CLI import-workspace-image 命令来摄取 Graphics.g4dn、GraphicsPro.g4dn、Graphics 或 GraphicsPro 映像。有关更多信息,请参阅《AWS CLI 命令参考》中的 import-workspace-image

从 Windows VM 创建映像

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/

  2. 在导航窗格中,选择映像

  3. 选择创建 BYOL 映像

  4. 创建 BYOL 映像页面上,执行以下操作:

    • 对于 AMI ID,请选择 EC2 控制台链接,然后选择您按照上一节 (将虚拟机作为映像导入 Amazon EC2,准备为 WorkSpaces 创建 BYOL 映像) 中所述导入的 Amazon EC2 映像。映像名称必须以 ami- 开头并后跟 AMI 的标识符(例如,ami-1234567e)。

    • 对于映像名称,请输入映像的唯一名称。

    • 对于描述,请输入一个描述以帮助您快速识别映像。

    • 对于实例类型,根据要用于映像的协议(PCoIP 或 DCV),选择相应的捆绑包类型(常规Graphics.g4dnGraphicsGraphicsPro)。如果您想创建 GraphicsPro.g4dn 捆绑包,请选择 Graphics.g4dn。对于未启用 GPU 的捆绑包(Graphics.g4dn、GraphicsPro.g4dn、Graphics 或 GraphicsPro 以外的捆绑包),请选择常规

      注意

      • 只能针对 PCoIP 协议创建 GraphicsPro 映像。

      • 只能针对 DCV 协议创建 Windows 11 映像。

      • Windows 11 不支持 Graphics 和 GraphicsPro 映像。

    • (可选)对于所选应用程序,选择要订阅的 Microsoft Office 版本。有关更多信息,请参阅 将 Microsoft Office 添加到 Amazon WorkSpaces BYOL 映像中

    • (可选)对于标签,选择添加新标签,将标签与此映像相关联。有关更多信息,请参阅 在 WorkSpaces 个人版中为资源添加标签

  5. 选择创建 BYOL 映像

    创建映像时,控制台映像页面上的映像状态将显示为待处理。BYOL 摄取过程至少需要 90 分钟。如果您还订阅了 Office,则预计该过程至少需要 3 个小时。

    如果映像验证不成功,控制台将显示一条错误代码。当映像创建完成时,状态将更改为 Available (可用)

根据 WorkSpaces BYOL 映像创建一个自定义捆绑包

按照使用 WorkSpaces 控制台创建 BYOL 映像中的说明创建 BYOL 映像后,您可以使用该映像创建一个自定义捆绑包。有关信息,请参阅为 WorkSpace 个人版创建自定义 WorkSpace 映像和捆绑包

创建专用目录以便在 WorkSpaces 中使用 BYOL 映像

要对 WorkSpaces 使用 BYOL 映像,您必须专门创建一个目录。

要为 WorkSpaces 创建目录,请参阅为 WorkSpaces 个人版创建目录。确保在创建目录时选择启用专用的 WorkSpaces

如果您已注册不在专用硬件上运行的 AWS 托管 Microsoft AD 目录或适用于 WorkSpaces 的 AD Connector 目录,则可以专门设置一个新的 AWS 托管 Microsoft AD 目录或 AD Connector 目录。您也可以取消注册该目录,然后再次将其注册为专用 WorkSpaces 的目录。要详细了解如何注册和取消注册现有 AWS Directory Service 目录,请参阅向 WorkSpaces 个人版注册现有 AWS Directory Service 目录

启动 BYOL WorkSpaces

按照使用 WorkSpaces 控制台创建 BYOL 映像中的说明为专用 WorkSpaces 注册目录后,您可以在此目录中启动 BYOL WorkSpaces。您可以启动个人 WorkSpaces 或池化的 WorkSpaces。

有关如何启动 WorkSpaces 个人版的信息,请参阅在 WorkSpaces 个人版中创建 WorkSpace

要启动 WorkSpaces Pools,必须启动个人 WorkSpaces,创建该个人 WorkSpaces 的映像,然后使用该映像启动池。

为 BYOL WorkSpaces Pools 创建映像

  1. 使用要用于 WorkSpaces Pools 的 BYOL 映像启动个人 WorkSpaces。有关如何启动 WorkSpaces 个人版的信息,请参阅为 WorkSpaces 个人版创建目录

  2. 登录个人 WorkSpaces 并确保安装了所有 Windows 更新。

  3. 更新您的 Amazon EC2 配置。要使用 Windows 10 更新您的 EC2 配置,请参阅安装最新版本的 EC2Config。要使用 Windows 11 更新您的 EC2 配置,请参阅安装最新版本的 EC2Launch

  4. 添加 Windows Defender 排除列表。有关更多信息,请参阅 Add an exclusion to Windows Security

    在 Windows Defender 中将以下文件夹添加到排除列表中:

    • C:\Program Files\Amazon\*

    • C:\ProgramData\Amazon\*

    • C:\Program Files\NICE\*

    • C:\ProgramData\NICE\*

    • C:\Program Files (x86)\AWS Tools\*

    • C:\Program Files (x86)\AWS SDK for .NET\*

    • C:\AWSEUC\* (这适用于会话脚本)

  5. 输入以下命令,在启动时禁用 Windows 更新。

    Open powershell as admin- 
Run following command -

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Force
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "NoAutoUpdate" -Value 1 -Force

  6. 重启 WorkSpace。有关更多信息,请参阅 重启 WorkSpaces 个人版中的 WorkSpace

    注意

    建议您在开始为 BYOL WorkSpaces Pools 创建映像之前执行以下操作

    • 删除不必要的启动应用程序。

    • 删除或禁用不必要的计划任务。打开“开始”菜单,选择计划任务,选择要禁用的任务,然后选择禁用

  7. 通过输入以下命令,在重新启动后运行映像检查程序。

    C:\Program Files\Amazon\ImageChecker.exe

    有关创建自定义 WorkSpaces 映像的更多信息,请参阅为 WorkSpace 个人版创建自定义 WorkSpace 映像和捆绑包

  8. 解决映像检查程序发现的任何错误。有关更多信息,请参阅 解决映像检查程序检测到的问题的提示

  9. 在所有测试均通过映像检查程序后,返回 WorkSpaces 控制台。

  10. 在导航窗格的“WorkSpaces”下,选择个人。选择 BYOL 个人 WorkSpaces,然后依次选择操作创建映像

  11. 在导航窗格中,选择映像。在映像下,检查是否已创建映像。

现在,您可以使用所创建的映像启动 WorkSpaces Pools。有关启动 WorkSpaces Pools 的更多信息,请参阅创建 WorkSpaces Pools

关于上传和创建 BYOL 映像的视频

有关上传 BYOL 映像的演示,请观看以下视频。

有关使用 Microsoft Hyper-V 创建 BYOL 映像的演示,请观看以下视频。

有关使用 VMware Workstation 创建 BYOL 映像的演示,请观看以下视频。

您可以使用 BYOL 链接来关联账户和共享 BYOL 配置。BYOL 配置包括您账户使用的 CIDR 范围,以及您通过 Windows 许可证创建 WorkSpaces 时使用的映像。所有关联的账户共享相同的底层硬件基础结构。

启用 BYOL 关联的账户是底层硬件基础结构的主要所有者,称为源账户。源账户管理对底层硬件基础结构的访问权限。目标账户是指与源账户关联的账户。

重要

AWS GovCloud (US) Region中没有用于 BYOL 账户关联的 API。

注意

您要关联的 AWS 账户必须是您组织的一部分(在同一付款人账户下)。您只能关联同一区域内的账户。

关联源账户和目标账户

  1. 使用 CreateAccountLinkInvitation API 将邀请链接从源账户发送到目标账户。

  2. 使用 AcceptAccountLinkInvitation API 接受来自目标账户的待处理链接。

  3. 使用 GetAccountLinkListAccountLinks API 验证是否已建立链接。