Betriebssysteme Images für Windows Embedded Standard 7 erstellen

Beim erstellen eines Images für Windows Embedded Standard 7 werden weitreichende Entscheidungen getroffen, deren Konsequenzen erst später zu Tage treten – zum Beispiel, wenn ein Update gemacht werden soll. Die folgenden Tipps aus der Praxis sollen helfen, unangenehme Überraschungen zu vermeiden.

Bevor man mit der Installation der WinES-7-Tools beginnt, sollte man sich über folgende Fragen Gedanken machen:

1. Was für ein BOOT-Medium kann eingesetzt werden?  (Bild 1)
Eine Festplatte wird immer dort verwendet, wo das Embedded-System an einem festen und ruhigen Platz eingesetzt wird. Befindet sich das System hingegen in einem Spielautomaten oder einer Werkzeugmaschine, muss eine Flash-Disk oder eine Solid-State-Disk (SSD) verwendet werden.  Eine Flash-Disk ist sehr günstig aber auch sehr langsam, eignet sich jedoch gut für ein Überwachungsgerät. Eine SSD ist sehr teuer aber auch viel schneller als eine Festplatte oder eine Flash-Disk. Wie im Bild 2 zu sehen ist, befindet sich das WinES-7-Betriebssystem auf einer schreibgeschützten und günstigen Flash-Disk und die permanent benötigten oder produzierten Daten liegen auf einer schnellen SSD. Eine typische Anwendung wäre, dass ein SQL-Server auf der Flash-Disk installiert wurde und die SQL-Daten liegen auf der SSD Disk.

2. Wird für das Embedded System eine Systempartition benötigt?
Bei der Installation von WinES 7 auf dem Embedded-System hat man die Möglichkeit auszuwählen, ob man eine Systempartition benötigt oder nicht. Werden das zu entwickelnde Gerät einige oder alle Sicherheits-Funktionen von Windows Embedded 7 verwendet, dann wird die Systempartition benötigt. Zu diesen Eigenschaften gehören der AppLocker und der BitLocker.  Der AppLocker bietet einen einfachen und flexiblen Mechanismus, mit dem Administratoren genau angeben können, was in der Desktopumgebung ausgeführt werden darf. Die BitLocker-Laufwerkverschlüsselung (kurz BitLocker) verhindert, dass ein ungebetener Gast ein anderes Betriebssystem starten oder Hackersoftware ausführen kann, um den Datei- und Computerschutz von Windows 7 zu umgehen.

3. Welche Update-Mechanismen sollen zur Verfügung gestellt werden?
Bild 1 gezeigt eine WinES-7-Lösung, an der laufend Treiber oder Anwendungen installiert/deinstalliert werden können. Auch lassen sich die von Microsoft zur Verfügung gestellten Updates in der Systemsteuerung konfigurieren. Aber für ein Embedded-System sollte man die benötigten Updates gezielt vornehmen und überwachen, immer nach dem Motto »never change a running system«.

4. Wie kann man ein komplettes Image von WinES 7 (Bild 1) updaten?
Es gibt mehrere Möglichkeiten ein WinES-7-Image auf einem Embedded-System zu erneuern (updaten). Hier seien zwei Möglichkeiten dargestellt: Die erste Möglichkeit wäre, dass man ein Embedded-System mit WinPE 3.0 (Windows Preinstallation Environment) bootet um ein komplettes Image über das Netzwerk oder von einem Flash-Speicher aus installiert. WinPE befindet sich auf der 32-/64-bit-Runtime-DVD des Tool-Kits von WinES 7. Es ist ein minimales Windows-7-Betriebssystem, das einige Netzwerk-Funktionen mitbringt. Sollte WinPE die aktuelle Netzwerkkarte nicht unterstützen, so kann man sich eine eigene WinPE-Version generieren, in der die benötigte Netzwerkkarte enthalten ist.
Unter WinPE kann man mit dem Befehl „net use“ ein Netz-Laufwerk anlegen. Auf diesem Laufwerk befindet sich das neue WinES-7-Image.
Hier ein Update-Bespiel:

  • net use * \\172.16.0.174\Image /USER:Fima\user_rudi user_password
    Image ist ein Shared-Verzeichnis auf dem Entwicklungs-PC mit der IP-Adresse \\172.16.0.174.
    Mit net use wird ein Laufwerk »Z:« auf dem Entwickungs-PC, mit der Domäne »Firma«, dem User und Password angelegt.
  • \TOOLS\Imagex /apply Z:Master.wim 1 E:  /verify
    Mit dem Programm »ImageX« wird vom Netzwerk-Laufwerk Z: das Image »Master.wim« kopiert. Dazu verwendet man die Option »/apply«.
  • net use /delete z:
    Mit der Option »/delete« wird das Netz-Laufwerk wieder freigegeben.


Aber wie könnte man ein Image-Update an einem Gerät vornehmen, an dem es weder eine Maus, eine Tastatur noch einen Bildschirm gibt, ein sogenanntes »Headless-Device«? Dazu könnte man gemäß Bild 2 auf der SSD eine 2. Partition einrichten, auf der man ein zweites WinES-7-Betriebssystem installiert. Mit dieser Dual-Boot Variante könnte man das zweite WinES 7 booten, um dann das Image der ersten Partition zu erneuern. Der Zugriff auf das Embedded-Gerät kann nun mit der Remote-Desktop-Funktion erfolgen und mit Hilfe von BCDEdit kann die gewünschte Boot-Reihenfolge geändert werden. Durch einen Neustart wird dann die eingestellte Partition gebootet. Anschließend kann auch bei dieser Update-Variante ein Image erneuert werden (Update-Beispiel).  Auf dem System befinden sich zwar zwei WinES-7-Versionen, für das man aber nur eine Lizenz benötigt, da zu jedem Zeitpunkt nur eine Version aktiv ist.

5. Werden die Datei-Schreibfilter für das WinES-7-Betriebssystem benötigt?
In Bild 2 wird ein Beispiel gezeigt, in dem eine Flash Disk mit den FBWF (File Based Write Filter) geschützt wird. Aber was bedeutet FBWF?
Ein File Based Write Filter ist ein Treiber von Microsoft für WinES 7, der alle Schreibvorgänge auf der Festplatte oder Flash-Disk abfängt und in einem anderen festgelegten Teil des Arbeitsspeichers puffert. Nach einem Neustart des Systems gehen diese gepufferten Infos verloren. Möchte man hingegen die gepufferten Daten übernehmen, so kann man sie mit dem Befehl (fbwfmgr/enable) in den geschützten Bereich aufnehmen.