Herstellungshandbuch für Windows Engineering (WEG)
Die Fertigung WEG bietet Originalgerätehersteller (OEM) und ODM-Partnern eine Roadmap des idealen Fertigungsprozesses für Windows 10 und spätere Geräte, mit Anleitungen für potenzielle Fallfälle und Möglichkeiten zur Optimierung des Prozesses.
Fertigung – Übersicht
Zahlreiche Entscheidungen, die sich auf die Herstellbarkeit auswirken, werden bereits in einem frühen Stadium der Entwicklung eines neuen Geräts getroffen. Daher sollten Sie sorgfältig abwägen, um sicherzustellen, dass der Produktionsprozess mit den geringsten Gemeinkosten gewählt wird. Jede zusätzliche Minute, die in der Fertigungshalle verbracht wird, bedeutet zusätzliche Kosten für das Endprodukt. Der Manufacturing WEG soll OEM- und ODM-Partnern einen Fahrplan für den idealen Herstellungsprozess bieten, der Software und Hardware in der Fabrikhalle zusammenführt. Diese WEG stellt auch Möglichkeiten zur Rationalisierung des Prozesses und Anleitungen für die Planung und Vermeidung häufiger Probleme bereit. Unsere Empfehlungen zu Herstellung und Einsatz sollen Ihnen helfen:
- Optimieren Sie den Speicherplatz für Images auf Desktops
- Aktivieren der Windows-Bereitstellung auf kleinen Datenträgern auf Desktops
- Kürzen der Imagebereitstellungszeit
- Vereinfachen des Imaging-Prozesses
- Vereinfachen der OEM-Aktivierung (OA3) und des Berichtsprozesses auf Desktops. Mobile Geräte erfordern keine Aktivierung.
- Testen und kalibrieren des Geräts an der Montagelinie
- Unterstützen anderer Schlüsselszenarien zur Entwicklung großartiger Geräte
Für dieses Dokument würde eine generische Version des Desktop-Fertigungsprozesses wie folgt aussehen:
Die Fertigung WEG ist nicht für die Kommunikation des Windows-Mindesthardwareanforderungen oder OEM-Richtliniendokuments (OPD) vorgesehen. Die WHCP- und OPD-Dokumente haben Vorrang vor allen Informationen im Manufacturing WEG. Sie müssen WHCP und OPD einhalten.
Allgemeine Überlegungen
Herstellungsweg
Es gibt zwei allgemeine Fertigungspfade, die Sie je nach Unternehmen übernehmen können– Build to Stock (BTS) und Build to Order (BTO). Wenn Sie die Richtlinien in diesem Dokument überprüfen, sollten Sie den Fertigungspfad für das Gerät berücksichtigen, um Investitionen in jede Phase zu priorisieren und so viel Zeit wie möglich für Ihren angepassten Prozess zu sparen.
Eine exemplarische Vorgehensweise mithilfe von Desktopgeräten finden Sie in unserem End-to-End-Labor für die Fertigung.
Für mobile Geräte müssen Sie den BTS-Fertigungspfad verwenden.
Build to order (BTO)
BTO-Geräte beginnen mit einem einfachen Image und erhalten dann die Meisten ihrer Anpassungen während des Herstellungsprozesses.
Der Hauptvorteil ist die flexible Softwareabrechnung von Materialien, die späte Änderungen ermöglichen. Zu den Nachteilen gehören ein komplexerer Image-Erstellungs- und Herstellungsprozess, zusätzlicher Zeitaufwand in der Fabrik und wachsende Bildgrößen.
Build to stock (BTS)
BTS-Geräte verfügen über Images, die fast vollständig im Labor angepasst werden. BTS-Prozesse sind einfacher zu planen und zu produzieren, sind schneller in der Fabrik, weisen eine höhere Qualitätskontrolle auf und haben eine kontrollierte Plattengröße. BTS-Geräte müssen immer noch späte Änderungen in der Fabrikhalle zulassen. Für Desktopeditionen von Windows 10 und Windows 11 können viele dieser Änderungen mithilfe der Offlinewartung durchgeführt werden.
Zurücksetzen auf Knopfdruck
Das Zurücksetzen von Tools für die Schaltfläche erfordert kein separates Wiederherstellungsimage des Vollsystems in einer separaten Partition. Dadurch können Sie mehrere Gigabyte Speicherplatz sparen. Wenn Benutzer das Gerät aktualisieren oder zurücksetzen müssen, können sie ihre installierten Windows-Updates beibehalten und nicht alle erneut herunterladen und installieren. Sie behalten auch alle von Ihnen bereitgestellten Anpassungen bei.
Das neue Partitionslayout ähnelt den herkömmlichen Partitionslayouts aus Windows 8.1, außer die Windows RE Partition wird jetzt an das Ende des Laufwerks verschoben, und es ist keine separate Vollsystemwiederherstellungspartition mehr erforderlich.
Weitere Informationen finden Sie unter Zurücksetzen per Knopfdruck
Das Zurücksetzen per Knopfdruck wird auf mobilen Geräten nicht unterstützt. Stattdessen sollten Sie eine Werksrücksetzung durchführen.
Betriebssystemkomprimierung
Sie können jetzt das gesamte Betriebssystem, einschließlich Ihrer vorinstallierten Windows-Desktop-Anwendungen, mit komprimierten Dateien ausführen, indem Sie die Funktionen Compact OS und Single-Instancing nutzen. Diese Funktionen ersetzten die WIM-Boot-Funktion von Windows 8.1 Update 1 und können dazu beitragen, den Speicherplatzbedarf mit der Zeit zu verringern.
Obwohl Compact OS von allen Geräten unterstützt wird, empfehlen wir die Verwendung von Compact OS nur auf Geräten mit Solid-State-Laufwerken, da diese langsamer sind als rotierende Laufwerke.
Weitere Informationen finden Sie unter Compact OS, Single-Instancing und Imageoptimierung.
Compact OS wird auf mobilen Geräten nicht unterstützt.
Bereitstellungspakete
Um Zeit beim Erstellen von Images zu sparen, können Sie jetzt Desktop-Windows-Anwendungen während der Imagebereitstellung mithilfe von Bereitstellungspaketen erfassen und anwenden. Dadurch werden die zeitaufwendigen Schritte zur Generalisierung und Recaptur des gesamten Images gespeichert, und Sie können BTO-Geräte schnell bereitstellen.
Sprachpakete
Anstatt vollständige Language Packs hinzuzufügen, sparen Sie Speicherplatz, indem Sie die Ressourcen hinzufügen, die Sie für das Desktopgerät benötigen, indem Sie einzelne Pakete für Anzeigezeichenfolgen, Handschrift, Sprache und Text-zu-Sprache auswählen. Falls Ihr Benutzer später zusätzliche Sprachfunktionen benötigt, kann Windows die Pakete nach Bedarf herunterladen.
Sprach- und regionale SKU-Entscheidungen können sich erheblich auf den Speicherplatz und die Komplexität des Imageerstellungssystems auswirken. Achten Sie darauf, die Menge und die Arten von Sprachpaketen zu begrenzen, die in jedem Bild enthalten sind.
Mobile Geräte verwenden ein weltweites Bild, sodass alle Sprachen in jedem Bild enthalten sind.
Treiber-Co-Installer
Treiber sind im Allgemeinen ein sehr kleiner Teil des Datenträgerabdrucks, aber die Co-Installer oder Desktopgeräte-Apps, die die Treiber begleiten, können Hunderte von Megabyte hinzufügen. Berücksichtigen Sie sorgfältig, ob das Gerät die zugehörige klassische Windows-Anwendung vollständig funktionsfähig sein muss.
Hardwarekomponenten
Hardwareentscheidungen können sich auch auf den Herstellungsprozess auswirken. Neben den Herausforderungen bei der physischen Montage der Hardware kann die Ein- oder Ausschlüsse bestimmter Geräte den Werksprozess schwieriger machen. Sind beispielsweise Touchscreens und Sensoren enthalten, müssen diese auf jedem Gerät kalibriert werden. Wenn Sie Geräte wie Ethernet-Ports ausschließen, können Sie den PXE-Start nicht verwenden, was zusätzliche Kosten bedeuten kann.
Antischadsoftware-Apps
Empfehlung: Konfigurieren Sie Ihre Geräte, um die vollständige Überprüfung des Datenträgers während der ersten Anmeldung zu vermeiden. Bitte arbeiten Sie mit Ihrem Antischadsoftwareanbieter zusammen, um bewährte Methoden zum Einschränken dieser Überprüfung zu ermitteln.
Wir haben mehrere Instanzen gesehen, in denen Antischadsoftwaretools während der ersten Anmeldung des Benutzers eine vollständige Datenträgerüberprüfung durchführen. Das Scannen steht in Konkurrenz zu kritischen Aufgaben, die während des ersten Anmeldevorgangs anfallen. Dies führt zu einer sehr langsamen ersten Anmeldung, einem verschlechterten Start-Erlebnis und einer langsamen Systemleistung.
Für Microsoft Defender können Sie dies konfigurieren, indem Sie Ihren Images eindeutige Bezeichner hinzufügen. Weitere Informationen finden Sie unter Konfigurieren eines vertrauenswürdigen Image-Identifikators für Microsoft Defender.
Aktualisierungen von Images vor der Fabrik
Goldene Images werden in der Regel vom OEM an den ODM weitergegeben, bevor die Produktion beginnt. Diese Images müssen fast immer aktualisiert werden. Wenn Sie das goldene Image aktualisieren, müssen Sie die Aktualisierungen nicht auf jedem Gerät durchführen. Dies führt zu weniger Zeit auf dem Werksboden für jedes Gerät und erhöht die Qualität.
Aktualisierungen zum Image können Treiber, Windows Aktualisierungen, Software, OEM-Anpassungen und App-Pakete (.appx) enthalten.
Überlegungen
Wenn Sie Images mit der Offline-Wartung aktualisieren, müssen Sie die Images regelmäßig pflegen. Die Zeitersparnis in der Fabrikhalle sollte es wert sein.
Ziele
Verringern Sie die Zeit pro Einheit auf dem Werksboden, und verringern Sie die Mengen von Errata auf Produktionsgeräten.
Implementierung
Bei einem BTO-System müssen möglicherweise einige optionale Treiber und einige optionale Anwendungen an der Software-Download-Station angewendet werden, um das Gerät zu unterstützen. Diese Änderungen müssen so gering wie möglich gehalten werden, um die Fehlerwahrscheinlichkeit zu verringern und die Herstellungszeit zu verkürzen.
Erstellung von Images
Der gesamte Prozess der Erstellung eines goldenen Desktop-Images in den OEM Image Labs ähnelt dem bisherigen Prozess.
Um Kompatibilitätsprobleme zu vermeiden, verwenden Sie die neue Version von Windows PE, wenn Sie mit dem Referenzgerät im Image-Erstellungslabor arbeiten.
Regionalspezifische Richtlinie für die Entfernung von Skype auf dem Desktop
Die von Windows bereitgestellten Apps sind standardmäßig in allen Windows-Images enthalten. Diese Apps können nicht verändert werden, es sei denn, dies ist ausdrücklich im Windows OEM Policy Document (OPD) festgelegt.
Wenn Sie die Skype-App für den Posteingang aufgrund von Richtlinienanforderungen entfernen müssen, können Sie die App mit dem Tool DISM.exe oder den DISM Windows PowerShell Cmdlets entfernen. Weitere Informationen zu dieser Anforderung finden Sie im aktuellen OEM Policy Document.
So entfernen Sie Skype online im Audit-Modus aus der Windows PowerShell:
get-provisionedappxpackage -online | where-object {$_.displayname -eq "Microsoft.SkypeApp"} | Remove-ProvisionedAppxPackage -online
So entfernen Sie Skype offline mit Windows PowerShell:
get-provisionedappxpackage -path c:\mount | where-object {$_.displayname -eq "Microsoft.SkypeApp"} | Remove-ProvisionedAppxPackage
So entfernen Sie Skype offline mit Dism.exe:
Rufen Sie den vollständigen Paketnamen ab:
Dism.exe /image:<Windows_volume> /get-provisionedappxpackages
Entfernen Sie das Paket mit Hilfe von
<PackageName>
aus der Liste Microsoft.SkypeApp:Dism.exe /image:<Windows_volume> /remove-provisionedappxpackage /PackageName:<PackageName>
Hinweis
Wenn Sie die Windows 8 Version von WinPE verwenden, müssen Sie nach einem Wartungsvorgang die Zeitstempel der Dateien aktualisieren. Andernfalls können Sie das Bild nicht mit der OEM-Aktivierung 3.0-Lizenzierungsmethode aktivieren. Darüber hinaus meldet das in der Box enthaltene Lizenzdiagnosetool licensingdiag.exe, dass das Image manipuliert wurde.
Um dieses Problem zu beheben, müssen Sie nach jedem Wartungsvorgang, der von der Windows 8-Version von WinPE ausgeführt wird, den OEM ausführen:
dir %windir%\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
Treiberanpassung
Sie müssen Treiberpakete hinzufügen, um sicherzustellen, dass Windows zum ersten Mal erfolgreich gestartet werden und eine Verbindung mit dem Internet und Windows Update herstellen kann. Anweisungen finden Sie unter „Hinzufügen von Treibern zu Ihrem Windows-Image“.
Leitfaden zur Treiberanpassung
- Wenn ein Treiberpaket erforderlich ist, um Windows auf dem System erfolgreich zu starten, müssen Sie DISM verwenden, um es in einem Offline-Windows-Image zu installieren, bevor Sie das Windows-Image bereitstellen und starten.
- Um eine optimale Zuverlässigkeit und Wartung zu gewährleisten, sollten Sie nur Windows-Treiber kompatible Treiberpakete installieren.
- Um optimale Zuverlässigkeit und Effizienz zu erzielen, sollten Sie DISM verwenden, um Treiberpakete in einem Offline-Windows-Image zu installieren.
- Wenn zusätzliche Treiberpakete auf dem Werksboden installiert werden müssen, sollten Sie Treiberpakete während der Offlinewartung installieren, d. h. nachdem Sie das Windows-Image auf das Gerät angewendet haben, und bevor Sie das Gerät im Überwachungsmodus starten.
Aktualisierungen des Language Packs
Nach der Installation einer neuen Sprache müssen Sie alle APPX-Bundles und Inbox-Windows-Anwendungen neu installieren, um die neuen Sprachen zu unterstützen. Andernfalls werden die APPX-Bundles keine Unterstützung für die neuen Sprachen enthalten.
Apps im Überwachungsmodus
Wir raten davon ab, den App Readiness Service im Überwachungsmodus für alle OEM-Geräte zu deaktivieren. Die Deaktivierung des App Readiness Service kann die Zeit verkürzen, die das Gerät benötigt, um zum ersten Mal in den OOBE-Modus zu booten, kann aber das Starten von Apps, die in das Betriebssystem integriert sind, verhindern oder negativ beeinflussen.
So deaktivieren Sie den App Readiness Service offline:
Erstellen Sie eine .reg-Datei, in der HKLM\Software\Microsoft\Windows\CurrentVersion\AppReadiness DisableInAuditMode auf einen Wert von 1 gesetzt ist.
Binden Sie das Windows-Image ein. Beispiel:
Dism /Mount-Image /ImageFile:"C:\Images\ModelSpecificImage.wim" /Name:"Fabrikam" /MountDir:"C:\mount\windows" /Optimize
Laden Sie die Registrierungsstruktur. Beispiel:
reg load hklm\LoadedHive C:\mount\Windows\System32\config\SYSTEM
Fügen Sie den folgenden Registrierungswert hinzu. Verwenden Sie z. B. eine REG-Datei von Ihrem USB-Stick:
regedit /s e:\registry\regFile.reg
Entladen Sie die Struktur.
reg unload hklm\LoadedHive
Trennen Sie das Windows-Image und bestätigen Sie die Änderungen. Beispiel:
Dism /Unmount-Image /MountDir:"C:\mount\windows" /Commit
Es wird empfohlen, dass Sie, wenn Sie den Dienst deaktivieren müssen, dies offline tun, bevor Sie den Audit-Modus aufrufen. Sie können ihn auch online im Überwachungsmodus deaktivieren, aber Sie müssen das Image nach der Deaktivierung des Dienstes generalisieren. So deaktivieren Sie den App Readiness Service online:
- Starten Sie im Überwachungsmodus
regedit
. - Navigieren Sie zu HKLM\Software\Microsoft\Windows\CurrentVersion\AppReadiness DisableInAuditMode.
- Setzen Sie den Wert des Schlüssels auf 1.
Führen Sie Sysprep allgemein aus, bevor Sie fortfahren.
SMT / Assemblyphase
Geräte müssen für die beste Kundenerfahrung kalibriert werden und die Tests des Windows Hardware Lab Kit übergeben.
Implementierung
- Kalibrierungen
- Sensoren
- Touchpad
- Touchscreen
- RF
- Kamera
Legen Sie die Zeit auf UTC fest, und implementieren Sie die unten beschriebenen ACPI-Änderungen.
Hardwaretest und Ausführungsphase
Für diese Phase haben Sie folgende Möglichkeiten:
- Nutzen Sie Microsoft Validation OS, ein schlankes, schnelles und anpassbares Windows 11-basiertes Betriebssystem, das Sie in der Fertigung verwenden können, um Hardwarefehler während der Herstellung von Windows-Geräten zu diagnostizieren, zu beheben und zu reparieren.
- Testen Sie eine Vollversion von Windows. Auf diese Weise können Sie endgültige Hardware-/Softwareinteraktionen testen, da der Benutzer sie sehen wird.
Überlegungen
Windows PE ist kein unterstütztes Betriebssystem zum Testen. Es ist so konzipiert, dass es nur als Bereitstellungsfahrzeug verwendet werden soll.
Die Verwendung von Validation OS oder der Vollversion von Windows, mit der Sie das Gerät ausliefern werden, ermöglicht das Testen und Validieren in genau der gleichen Umgebung, mit der das Gerät ausgeliefert wird.
Ziele
Liefern Sie das höchste Qualitätsprodukt, während sie die Fertigungszeiten auf dem absoluten Minimum halten.
Implementierung
Die Installation des Testbetriebssystems kann auf verschiedene Arten behandelt werden. Da das Testbetriebssystem weniger Abwanderungen aufweist als das Versandbetriebssystem, kann das Image jederzeit auf dem Datenträger festgelegt werden, wodurch die Zeit reduziert werden kann, die das Bild auf der Werksfläche angewendet hat. Optionen umfassen, dass das Bild vor dem IHV flasht oder die Datenträgerduplizierung auf der Website verwendet wird.
Wichtig: Deaktivieren Sie die automatische Bereitstellung von TPM (Trusted Platform Module), wenn Sie mit einem Testbetriebssystem starten, um sowohl eine gute Leistung sicherzustellen als auch sicherzustellen, dass das Betriebssystem des Benutzers Über den Besitz des Moduls verfügt. Dazu müssen Sie in Windows die folgenden Registrierungsschlüssel festlegen:
[HKLM\System\CurrentControlSet\Services\Tpm\WMI\NoAutoProvision] (REG_DWORD) to 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TPM\WMI]
"NoAutoProvision"=dword:00000001
Softwaredownloadphase
Überlegungen
Achten Sie darauf, die für diese Phase aufgewendete Zeit zu minimieren. Auch wenn einige lange Laufzeiten unvermeidlich sind (z. B. BTO-Anpassungen), empfehlen wir unseren Partnern, die Kosten und Vorteile einer Rationalisierung so weit wie möglich abzuwägen.
Ziele
Erstellen Sie ein effizientes und robustes Imaging-System mit minimalem Aufwand. Verschieben Sie so viele Schritte wie möglich zum Pre-Factory Floor Image Aktualisierungen.
Implementierung
Starten Sie den Rechner mit WinPE. Zum Bereitstellen des Kompaktbetriebssystems müssen Sie die Windows 10-Version oder höher von Windows PE verwenden. Sie können WinPE auf verschiedene Arten starten:
- Verwenden von PXE
- Verwenden eines USB-Wechseldatenträgers
- Vorinstallieren von WinPE auf der Festplatte
Erstellen Sie die Festplattenpartitionsstruktur mithilfe von Diskpart.
diskpart /s F:\CreatePartitions-UEFI.txt
Weitere Informationen finden Sie unter UEFI/GPT-basierte Festplattenpartitionen
Wenden Sie die Images, die Sie mit DISM erstellt haben, auf die Windows-Partitionen an.
ApplyImage F:\Images\ThinImage.wim
Weitere Informationen finden Sie unter Erfassen und Anwenden von Windows-, System- und Wiederherstellungspartitionen.
Optional: Verwenden Sie dasselbe Image als Wiederherstellungsimage auf einem separaten USB-Flash-Laufwerk. Dieser USB-Datenträger muss nicht mehr von einem autorisierten Hersteller bezogen werden. Weitere Informationen finden Sie unter Erstellen von Medien zum Ausführen von Rücksetzfunktionen per Knopfdruck.
Starten Sie das Gerät im Überwachungsmodus.
Nehmen Sie letzte Imageänderungen vor. Hier werden viele BTO-Änderungen vorgenommen.
Wenn APPX-Apps installiert wurden, bevor zusätzliche Sprachpakete hinzugefügt wurden, installieren Sie die Apps neu, damit sie die neuen Sprachen unterstützen können. Dazu gehören Posteingangsanwendungen.
Microsoft rät OEMs dringend, DISM mit den Flags /StartComponentCleanup /resetbase auszuführen, um zusätzlichen freien Speicherplatz zu gewinnen.
Stellen Sie sicher, dass .NET Framework-Anwendungen kompiliert sind, indem Sie die folgenden Befehle ausführen
C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe update /queue C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe eqi
Auf 64-Bit-Computern tun Sie dasselbe für die 64-Bit-CLR:
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.exe update /queue C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.exe eqi
Erstellen Sie den OA3 Computer Build Report (CBR) mit OAtool.exe, geben Sie den Schlüssel in die Firmware ein und validieren Sie die Provisionierung.
Wenn Sie das Windows Preinstallation Environment (WinPE) 5.x verwenden, korrigieren Sie die Zeitstempel. (Dieser Schritt ist nicht erforderlich, wenn Sie WinPE für Windows 10 verwenden).
dir %windir%\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
Führen Sie Sysprep /oobe aus, um das System für den Endbenutzer vorzubereiten.
Aktivieren des sicheren Startvorgangs (sofern implementiert).
Qualitätssicherungsphase
Die Qualitätssicherung sollte auf einer Stichprobe von Computern während des gesamten Produktionslaufs durchgeführt werden, um sicherzustellen, dass alle Anpassungen erfolgreich installiert worden sind. Dieser QA-Pass sollte auch verwendet werden, um die OA3-Implementierung zu überprüfen.
Überlegungen
Sobald das System die OOBE für diesen QA-Durchlauf durchlaufen hat, wird es zurückgesetzt, um sicherzustellen, dass die Endbenutzererfahrung hervorragend ist.
Ziele
Gewährleisten Sie ein gutes Kundenerlebnis und reduzieren Sie die Zeit, die für den Wiederaufbau der Maschine benötigt wird.
Implementierung
Das Gerät sollte in die Produktionslinie zurückkehren, um erneut geprüft zu werden.
Wiederherstellung
Nachdem das Gerät die OOBE durchlaufen hat (aus welchem Grund auch immer), muss das Gerät reimagiert werden. Im Werk kann das Gerät einfach wieder in die Software-Downloadstation eingesetzt werden, nachdem das TPM gelöscht wurde (falls vorhanden).
Wenn das Gerät vor Ort von einer dritten Partei gewartet werden muss, sollte der Reset-Druckknopf verwendet werden. Dadurch wird sichergestellt, dass das Gerät in die vollständige Werkskonfiguration zurückversetzt wird und dennoch einfach auszuführen ist.
Überlegungen
PBR besitzt zwar alle Funktionen, die für die Wiederaufbereitung in der Fabrik benötigt werden, aber es bietet keine Möglichkeit, die Aktionen zu skripten und liefert keine Fehlercodes, die für die Automatisierung benötigt werden, die in der Großproduktion notwendig wäre.
Ziele
Stellen Sie sicher, dass eine gute Kundenfreundlichkeit gewährleistet ist, während sie die Benutzerdaten schützen.
Implementierung
Um das TPM zu löschen, verwenden Sie die folgenden Befehle:
$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm"
$Tpm.SetPhysicalPresenceRequest(22)
Um Windows PE zu verwenden, benötigen Sie ein angepasstes Windows PE-Image mit:
- SOC-spezifische Treiber für ftpm.
- Optionale Komponenten: SecureStartup, WMI, PowerShell und .NET Framework.
Checkliste für die Herstellung
Zeitplan für Windows 10-Herstellungsaufgaben
Sie können diese Checkliste verwenden, um Ihre Fertigungsaufgaben zu planen.
Aufgabe | Vor-EV-Phase | EV-Phase | DV-Phase | PV-Phase |
---|---|---|---|---|
Voraussetzungen für die Herstellungsarbeiten: | Pre-EV | EV | DV | BW |
ODM ausgewählt? | ✔ | - | - | - |
OEM-Zugriff auf Windows 11? | ✔ | - | - | - |
ODM-Zugriff auf Windows 11? | ✔ | - | - | - |
OEM-Zugriff zu Manufacturing WEG? | ✔ | - | - | - |
ODM-Zugriff auf Manufacturing WEG? | ✔ | - | - | - |
ODM-Kontaktpunkte identifiziert? | ✔ | - | - | - |
OEM-Kontaktpunkte identifiziert? | ✔ | - | - | - |
ODM-Start? | ✔ | - | - | - |
OEM-Start? | ✔ | - | - | - |
Regelmäßiger Herstellungsanruf? | - | ✔ | - | - |
Bereitstellung: | Pre-EV | EV | DV | BW |
OEM-Verständnis von Bereitstellungskonzepten | ✔ | - | - | - |
ODM-Verständnis von Bereitstellungskonzepten | ✔ | - | - | - |
Verwenden von Windows 11 DISM | - | ✔ | - | - |
Verwenden von Windows 11 Windows PE | - | ✔ | - | - |
Erweiterte Attribute, die über DISM angewendet werden | - | ✔ | - | - |
WinSxS-Überprüfung, die ausgeführt wird? /AnalyzeComponentStore | - | ✔ | - | - |
Image ist bereinigt? (DISM /Cleanup-Image /StartComponentCleanup /ResetBase) | - | ✔ | - | - |
Zurücksetzen auf Knopfdruck | Pre-EV | EV | DV | BW |
OEM-Verständnis der Konzepte für das Zurücksetzen auf Knopfdruck | - | ✔ | - | - |
ODM-Verständnis der Konzepte für das Zurücksetzen auf Knopfdruck | - | ✔ | - | - |
Empfohlenes Partitionslayout für Windows RE und Zurücksetzen per Knopfdruck? | - | - | ✔ | - |
Wenn ein nicht standardmäßiges Partitionslayout verwendet wird, ist die Bare-Metal-Wiederherstellung konfiguriert? | - | - | ✔ | - |
Wiederherstellungsimage ACL-Einstellungen korrekt? | - | - | ✔ | - |
Entspricht die Aktualisierungs-/Rücksetzzeit den Richtlinien? | - | - | - | ✔ |
Windows RE: | Pre-EV | EV | DV | BW |
OEM-Verständnis von Windows RE-Konzepten | - | ✔ | - | - |
ODM-Verständnis von Windows RE-Konzepten | - | ✔ | - | - |
Windows RE ist aktiviert | - | - | ✔ | - |
Windows RE-Speicherort ist korrekt | - | - | ✔ | - |
BCD GUID für Windows RE entspricht dem Windows RE GUID-Eintrag in Reagent.xml | - | - | ✔ | - |
Imageindex ist korrekt | - | - | ✔ | - |
Fertigung: | Pre-EV | EV | DV | BW |
Windows RE Partitionsgröße (MB) und Position auf ausgewähltem Datenträger | - | ✔ | - | - |
Testpartition verwendet Validation OS oder die Vollversion von Windows | - | - | ✔ | - |
Imagebereitstellung über [NIC] oder [Duplikation] | - | ✔ | - | - |
OPM-Schlüsselbereitstellungsplan fertig? | - | ✔ | - | - |
Language packs pro SKU | - | - | ✔ | - |
Sicherer Start: | Pre-EV | EV | DV | BW |
OEM-Verständnis von Sicherheitskonzepten | ✔ | - | - | - |
ODM-Verständnis von Sicherheitskonzepten | ✔ | - | - | - |
Sicherer Startprozess mit Vorproduktionssignierung getestet? | - | - | ✔ | - |
Wasserzeichen aus? | - | - | - | ✔ |
Von IHV/ISV signierte Treiber? | - | - | - | ✔ |
Von Microsoft signierte Treiber? | - | - | - | ✔ |
Wiederherstellungsprozess abgeschlossen [Fabrik] | - | - | ✔ | - |
Wiederherstellungsprozess abgeschlossen [Außendienst] | - | - | ✔ | - |
Pläne für einen sicheren Start und Debug-Richtlinien von FT geprüft | - | ✔ | - | - |
OA 3.0: | Pre-EV | EV | DV | BW |
Verwenden aktualisierter OA3tool.exe | - | - | ✔ | - |
Image/Schlüssel offline validieren | - | - | ✔ | - |
Die Injektion erfolgt in [Windows PE][Windows] Abschnitt „OEM-Aktivierung 3.0“. |
- | - | ✔ | - |
Anhang
Optimierung des Speicherplatzbedarfs
Der grundlegende Speicherplatzbedarf von Windows 10 x86 mit Office und 2 GB RAM umfasst:
Windows (mit Office), Page file, hiberfile, swapfile, und zwei Language Packs | 11,7 GB |
WinRE | 500 MB |
Systempartitionen (MSR, ESP) | 428 MB |
Gesamt | ~23 GB |
Verfügbarer Speicherplatz für OEM-Anpassungen auf einem 32-GB-Gerät (29 GB nutzbar) | ~6 GB |
Voraussetzungen:
- Mit GetDiskFreeSpaceEx() berechneter Speicherplatzbedarf
- Die Daten werden direkt nach der Einrichtung des Betriebssystems, vor der Ausführung von NGEN und vor den Idle Tasks erfasst.
- Messung umfasst Pagedateien
- Windows-Update ist deaktiviert
- Build umfasst mehrere Läufe; in diesem Bericht wird der maximale Platzbedarf verwendet.
- Die Festplattenkapazität wird in Base-2-Größen umgerechnet:32GB == 32.000.000.000 Bytes == 30518MiB (oder 29GiB).
Sprachpakete
Language Packs gehören zu den größten Speicherplatzerweiterungen, die ein OEM vornehmen kann. Eine Sprache mit all ihren optionalen Komponenten umfasst schätzungsweise jeweils 275 MB (die Größe variiert je nach Sprache), während Office-Sprachpakete schätzungsweise 300 MB umfassen (ebenfalls je nach Sprache).
Windows schneidet ungenutzte Language Packs ab, sobald der Endbenutzer während der OOBE eine Primärsprache auswählt. Nachdem sie entfernt wurden, sind diese Sprachen durch Zurücksetzen per Knopfdruck nicht mehr verfügbar.
Um den Speicherplatzbedarf zu verringern, sollten Sie die Anzahl der auf jeder Versand-SKU installierten Sprachen reduzieren.
Wartung
Das Hinzufügen von Windows Update KB-Paketen kann die Festplattengröße erheblich erhöhen. So verkleinern Sie den Platzbedarf eines Images nach dem Hinzufügen von Aktualisierungen:
Installieren Sie KB und führen Sie einen Neustart durch, wenn Sie dazu aufgefordert werden.
Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle aus:
dism.exe /online /cleanup-image /startcomponent
Starten Sie das Gerät neu.
Echtzeituhr (RTC)
Die RTC ist eine batteriegestützte Zeitquelle, die die Systemzeit speichert und aufrechterhält, wenn ein Gerät ausgeschaltet ist. ACPI 5.0 definiert das Time & Alarm-Gerät, das das zugrunde liegende Hardwaregerät abstrahiert, das die Plattformzeit verwaltet. Das ACPI-Zeit- und Alarmgerät ist die bevorzugte Methode zum Festlegen und Abfragen der Plattformzeit in Windows, auch auf einem System mit einem herkömmlichen ASPX-basierten RTC. Die ACPI-Schnittstelle stellt die Zeitzonen-Verzerrung für den Zeitwert bereit, der aus oder in den RTC geschrieben wurde. Dieses zusätzliche Informationsfeld adressiert ein langes Problem mit dem CMOS-basierten RTC, bei dem ein Betriebssystem nicht weiß, wie die Zeit vom Hardwareuhr gelesen wird.
Überlegungen zum Fabrikboden
Windows ruft RTC ab, um die Systemzeit zu aktualisieren, wenn:
- Es ist kein Zeitsynchronisationsdienst verfügbar.
- Der Computer geht in den Schlaf- (S3) oder Ruhezustand (S4) über.
- Kernel-Debugger ist aktiviert.
OEMs stellen in der Regel die RTC in lokaler Zeit (LT) für Geräte bereit, die mit Windows 7 geliefert wurden. Windows 7 verwendet ausschließlich die CMOS-Zeitschnittstelle, um RTC-Zeit abzurufen, die als LT interpretiert wird. In Windows 8 haben wir Unterstützung für das ACPI-Zeit- und Alarmgerät hinzugefügt, aber Windows 8 verwendet auch das ASPX RTC, sofern verfügbar, und behandelt die von ihr zurückgegebene Zeit als LT. Dieses Verhalten (im Zusammenhang mit der CMOS RTC-Schnittstelle) ist mit den meisten Nicht-Windows-Betriebssystemen nicht kompatibel. Zudem möchten Hostinganbieter wie Azure die UTC-Zeit in ihrer virtualisierten Hardware verwenden, um die Verwaltung und Migration von Gästen zu vereinfachen, die möglicherweise in verschiedenen Zeitzonen leben.
Um diese Bedenken zu beheben, wechselt Microsoft von der Verwendung der ASPX RTC-Schnittstelle und setzt in erster Linie auf das ACPI-Zeit- und Alarmgerät.
Für OEMs lautet die Anleitung:
- Implementieren Sie das ACPI-Zeit- und Alarmgerät.
- Setzen Sie das Flag „CMOS RTC nicht vorhanden“ in der Tabelle „Fixed ACPI Description Table“ (FADT) . Die zugrunde liegende Hardware kann weiterhin das ZURÜCKGESICHERte RTC sein, Windows verwendet jedoch nur das ACPI-Zeit- und Alarmgerät, wenn dieses Flag festgelegt ist.
- Es wird nicht empfohlen, dass die Plattform-Firmware die RTC über eine Sommerzeitgrenze aktualisiert. Wenn dies der Fall ist, muss die Firmware jedoch sicherstellen, dass die koordinierte Weltzeit (UTC) immer berechnet werden kann, indem die Zeitzonenverzerrung zum Zeitwert addiert wird, d. h. UTC = LT + TZ. Windows ignoriert das DST-Feld, das von der Steuermethode _GRT empfangen wird.
- Invalidieren Sie TZ (auf 0x7FF gesetzt) durch die Firmware, wenn die RTC-Zeit jemals über die CMOS-RTC-Schnittstelle aktualisiert wird.
Sicherstellen einer guten ersten Anmeldeerfahrung
Das Windows-Team hat eine Reihe von Problemen festgestellt, die eine gute Leistung der Benutzer bei ihren ersten Erfahrungen mit Windows behindern. Die folgende Anleitung sollte die häufigsten Probleme bei der Vorbereitung von Betriebssystem-Images für Ihre Kunden lösen.
Antimalware-Tools scannen die Festplatte bei der ersten Anmeldung
Wir haben mehrere Instanzen gesehen, in denen Antischadsoftwaretools während der ersten Anmeldung des Benutzers eine vollständige Datenträgerüberprüfung durchführen. Das Scannen steht in Konkurrenz zu kritischen Aufgaben, die während des ersten Anmeldevorgangs anfallen. Dies führt zu einer sehr langsamen ersten Anmeldung, einem verschlechterten Start-Erlebnis und einer langsamen Systemleistung.
Empfehlung: Konfigurieren Sie Ihre Geräte, um die vollständige Überprüfung des Datenträgers während der ersten Anmeldung zu vermeiden. Spezifische Anleitungen für AV-Lösungen sollten vom AV-Anbieter bereitgestellt werden.
Microsoft Defender
Fügen Sie Ihren Images eindeutige Identifikatoren hinzu, um zu verhindern, dass Microsoft Defender alle Dateien, die Sie im ursprünglichen Disk-Image bereitgestellt haben, erneut überprüft. Weitere Informationen finden Sie unter Konfigurieren eines vertrauenswürdigen Image-Identifikators für Microsoft Defender.
Ausführen von NGEN-Befehlen
Die Generierung nativer Images ist ein Vorgang, bei dem die MSIL des .NET Frameworks (Code der virtuellen Maschine) in native Images (plattformspezifische ausführbare Dateien) kompiliert wird. Im Allgemeinen wird die Startzeit der CLR-Anwendung um mehr als eine Größenordnung verbessert. Siehe Die Leistungsvorteile von NGen für weitere Einzelheiten.
Empfehlung: Folgen Sie diesen Anweisungen, um sicherzustellen, dass .NET Framework Apps kompiliert werden. Führen Sie bitte die folgenden Befehle aus, nachdem Sie alle Betriebssystem-Updates installiert haben:
Auf 32-Bit-, x86- oder Arm-Geräten:
C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe update /queue
C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe eqi
Auf 64-Bit-Geräten führen Sie dies für beide Versionen des .NET Frameworks durch:
C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe update /queue
C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe eqi
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.exe update /queue
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngen.exe eqi
Grafiktreiber
Ein Windows-Gerät sollte mit dem richtigen DirectX-Grafiktreiber für die Systemhardware geliefert werden. Fehler beim Installieren des richtigen Treibers führt zu einem Fallback auf einen softwarebasierten Grafiktreiber. Dies führt zu beeinträchtigten Erfahrungen mit Windows, einschließlich einer langsameren ersten Anmeldeleistung.
Empfehlung: Installieren Sie den richtigen Grafiktreiber für Ihre Hardware im Überwachungsmodus.
Häufig gestellte Fragen
Windows PE
Frage: Kann ich das neue WinPE verwenden, um frühere Windows-Versionen bereitzustellen, zu pflegen und zu warten?
Antwort: Aktualisierungen für WinPE haben keine Auswirkungen auf die derzeit unterstützten Windows-Versionen. Sie können die aktualisierte WinPE verwenden, um frühere Windows-Versionen bereitzustellen.
Frage: Muss ich auf die neuen Bereitstellungstools migrieren, die als Teil von Windows 10 oder Windows 11 verfügbar sind?
Antwort: Nein, das müssen Sie nicht. Sie brauchen nur auf die neuere Version der Bereitstellungstools (WinPE, DISM) zu aktualisieren, wenn Sie Compact OS implementieren möchten.
Frage: Wie wirkt sich die Speicherbedarfsoptimierung auf meine PXE-Umgebung aus?
Antwort: Sie müssen Ihre PXE-Umgebung nur auf die neuere Version der Bereitstellungstools (WinPE, DISM) aktualisieren, wenn Sie eine „Apply“ während ihrer PXE-Umgebung ausführen. Wenn Sie nur einen Download (Dateikopie vom Server zum Client) durchführen, müssen Sie Ihre PXE-Umgebung nicht aktualisieren.
Wiederherstellung auf Knopfdruck (PBR) und Windows Recovery Environment (WinRE)
Frage: Wird WinRE auch aktualisiert?
Antwort: Ja, ein neues WinRE.wim ist erforderlich.
Frage: Kann der Benutzer weiterhin einen PBR-USB-Schlüssel erstellen?
Antwort: Ja. Wenn das Standard-Partitionslayout verwendet wird, ist keine zusätzliche Einrichtung durch den OEM erforderlich, um dies zu aktivieren.
Storage
Frage: Unterstützen Sie nur Solid-State-Datenträger?
Antwort: Wir unterstützen sowohl Solid-State- als auch traditionelle Rotationsverfahren Wir empfehlen, Single-Instancing aufgrund von Leistungsproblemen nur auf Solid-State-Datenträgern zu verwenden.
Frage: Kann ich das Single-Instancing von Bereitstellungspaketen auf einer Konfiguration mit zwei Festplatten (HDD + SSD) verwenden?
Antwort: Single-Instancing kann nur auf demselben Datenträger implementiert werden.
Speicherbedarf des Datenträgers
Frage: Wie löschen Sie die Language Packs, die der Benutzer während der OOBE nicht ausgewählt hat?
Antwort: Die Language Packs werden aus dem Gerät gelöscht und werden während der Wiederherstellung von Push-Schaltflächen nicht mehr verfügbar sein.
Frage: Wie berechnen Sie die Datenträgergröße? Sie melden zum Beispiel eine Festplattengröße von 14,8 GB auf einer 16 GB Festplatte.
Antwort: Die Datenträgerkapazität wird in Base-2 konvertiert. Beispielsweise ist 16.000.000.000 (Milliarden Bytes) gleich ~14,8 GB.
Frage: Kann ich nur kompaktes Betriebssystem auf kleinen Geräten verwenden, z. B. mit 1 GB RAM und 16 GB Datenträger?
Antwort: Kompaktes Betriebssystem kann auf eine beliebige 32-Bit- oder 64-Bit-Plattform mit >=16 GB Solid-State-Speicher angewendet werden.
Frage: Empfehlen Sie die Verwendung von 16 GB Datenträger auf einer 64-Bit-Plattform mit 64-Bit-Windows?
Antwort: Wir empfehlen eine Mindestkapazität von 32 GB für 64-Bit-Windows.
Imaging und Bereitstellung
Frage: Was sind die Änderungen an dem DISM-Befehl, um Compact OS zu unterstützen?
Antwort: Sie können DISM /Apply-Image verwenden ... /Compact and /Apply-CustomDataImage. Weitere Informationen finden Sie unter DISM Image-Management-Befehlszeilenoptionen.
Frage: Unterstützt Compact OS sowohl GPT- als auch MBR-Partitionslayout?
Antwort: Ja.
Frage: Ist ein aktualisiertes OA3-Tool mit Windows 10 und Windows 11 erforderlich?
Antwort: Ja.
Frage: Kann ich Windows SIM, unbeaufsichtigte Antwortdateien und Einstellungen auch mit Windows 10 und Windows 11 verwenden?
Antwort: Ja, obwohl einige Einstellungen möglicherweise geändert wurden. Siehe Geänderte Einstellungen der Antwortdatei.
Language Packs und Apps
Frage: Können wir mehrere Language Packs verwenden?
Antwort: Ja, jedoch empfehlen wir Ihnen dringend, die Auswirkungen der Anzahl der Sprachen (Windows, Office, Treiber und Apps) pro Image auf den Speicherplatz zu überprüfen.
Frage: Gibt es eine Änderung bei der Installation von Language Packs?
Antwort: Ja, Sie werden die Basis lp.cab auf die gleiche Weise anwenden wie zuvor, um mehrere Benutzeroberflächenoptionen zu erhalten, aber um Text eingeben zu können oder Unterstützung zu erhalten, müssen Sie optionale Sprachkomponenten hinzufügen. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.
Frage: Gibt es eine Änderung in der Installation von Desktop- oder Microsoft Store-Apps?
Antwort: Es gibt keine Änderung, wie Sie Desktop- oder Microsoft Store-Apps von Windows 8.1 installieren.
Frage: Was ist die Benutzererfahrung in einer mehrsprachigen Konfiguration oder wenn ein Benutzer ein zusätzliches Language Pack hinzufügt?
Antwort: Sprachpakete funktionieren weiterhin genauso wie in früheren Versionen von Windows.
Frage: Gibt es Kompatibilitätsprobleme mit Desktop-Apps?
Antwort: Die unten aufgeführte Art von Apps muss sorgfältig überprüft werden.
- Tools zur vollständigen Verschlüsselung von Volumes sollten keine WIM-Images verschlüsseln, um die Auswirkungen auf die Leistung zu begrenzen. Solche Tools sollten die Integrität der unverschlüsselten WIM überprüfen, um Manipulationen zu verhindern.
- Jedes Programm, das Systemdateien schreibt, kann davon betroffen sein:
- Imaging-Anwendungen sollten die Sicherung auf Blockebene und die Wiederherstellung aller Volumes ausführen.
- Fehlerhafte/unvollständige Wiederherstellungsvorgänge können ein System unbootbar machen.
- Verschlüsselungs-/Backup-/Defragmentierungs-Tools können Systemdateien ungewollt aufblähen.
Frage: Ist Compact OS auch für Windows Embedded geeignet?
Antwort: Die Implementierung von Compact OS und das Design der Funktionen sind auf Windows 10 und Windows 11 für die Desktop-Editionen (Home, Pro und Enterprise) beschränkt. Sie sollten sich jedoch an Ihren Windows Embedded-Vertreter wenden und nach ihrem Speicherbedarfsplan fragen.
Policy
Frage: Gibt es eine Änderung an der vorhandenen 10 GB kostenlosen Speicherplatzrichtlinie?
Antwort: Sehen Sie sich die aktualisierten Windows Hardware-Kompatibilitätsanforderungen an.
Wartung
Frage: Wie funktioniert das Upgrade, insbesondere für das Wiederherstellungsimage mit Optimierung des Festplattenplatzes?
Antwort: Das Upgrade funktioniert weiterhin.