排查 WorkSpaces 问题 - 亚马逊 WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排查 WorkSpaces 问题

以下信息可帮助您排查与相关的问题 WorkSpaces。

启用高级日志记录

为了帮助解决您的用户可能遇到的问题,您可以在任何亚马逊 WorkSpaces 客户端上启用高级登录。

高级日志记录将生成包含诊断信息和调试级别详细信息(包括详细的性能数据)的日志文件。对于 1.0+ 和 2.0+ 客户端,这些高级日志文件会自动上传到中的数据库Amazon。

注意

要Amazon查看高级日志记录生成的日志文件并获得有关 WorkSpaces 客户问题的技术Support,请联系Amazon支持人员。有关更多信息,请参阅 Amazon 支持中心

Windows 客户端

    Windows 客户端日志存储在以下位置:

    %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs

    为 Windows 客户端启用高级日志记录
    1. 关闭亚马逊 WorkSpaces 客户端。

    2. 打开命令提示符应用程序。

    3. 使用-l3标志启动 WorkSpaces 客户端。

      c:

      cd "C:\Program Files\Amazon Web Services, Inc\Amazon WorkSpaces"

      workspaces.exe -l3

      注意

      如果 WorkSpaces 是为一个用户而不是所有用户安装的,请使用以下命令:

      c:

      cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"

      workspaces.exe -l3

    macOS 客户端

      macOS 客户端日志存储在以下位置:

      ~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs

      为 macOS 客户端启用高级日志记录
      1. 关闭亚马逊 WorkSpaces 客户端。

      2. 打开终端。

      3. 运行以下命令。

        open -a workspaces --args -l3

      Android

        为 Android 客户端启用高级日志记录
        1. 关闭亚马逊 WorkSpaces 客户端。

        2. 打开安卓客户端菜单。

        3. 选择 “Su pport”。

        4. 选择 “记录设置”

        5. 选择 “启用高级日志”。

        要在启用高级日志记录后检索 Android 客户端的日志,请执行以下操作:
        • 选择 “提取日志” 将压缩日志保存在本地。

        Linux 客户端

          Linux 客户端日志存储在以下位置:

          ~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs

          为 Linux 客户端启用高级日志记录
          1. 关闭亚马逊 WorkSpaces 客户端。

          2. 打开终端。

          3. 运行以下命令。

            /opt/workspacesclient/workspacesclient -l3

          Windows 客户端

            Windows 客户端日志存储在以下位置:

            %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs

            为 Windows 客户端启用高级日志记录
            1. 关闭亚马逊 WorkSpaces 客户端。

            2. 打开命令提示符应用程序。

            3. 使用-l3标志启动 WorkSpaces 客户端。

              c:

              cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"

              workspaces.exe -l3

              注意

              如果 WorkSpaces 是为一个用户而不是所有用户安装的,请使用以下命令:

              c:

              cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"

              workspaces.exe -l3

            macOS 客户端

              macOS 客户端日志存储在以下位置:

              ~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs

              为 macOS 客户端启用高级日志记录
              1. 关闭亚马逊 WorkSpaces 客户端。

              2. 打开终端。

              3. 运行以下命令。

                open -a workspaces --args -l3

              Android

                为 Android 客户端启用高级日志记录
                1. 关闭亚马逊 WorkSpaces 客户端。

                2. 打开安卓客户端菜单。

                3. 选择 “Su pport”。

                4. 选择 “记录设置”

                5. 选择 “启用高级日志”。

                要在启用高级日志记录后检索 Android 客户端的日志,请执行以下操作:
                • 选择 “提取日志” 将压缩日志保存在本地。

                Linux 客户端

                  Linux 客户端日志存储在以下位置:

                  ~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs

                  为 Linux 客户端启用高级日志记录
                  1. 关闭亚马逊 WorkSpaces 客户端。

                  2. 打开终端。

                  3. 运行以下命令。

                    /opt/workspacesclient/workspacesclient -l3

                  1. 打开 WorkSpaces 客户端。

                  2. 选择客户端应用程序右上角的齿轮图标。

                  3. 选择 Advanced Settings (高级设置)

                  4. 选中 Enable Advanced Logging (启用高级日志记录) 复选框。

                  5. 选择 Save(保存)。

                  Windows 客户端日志存储在以下位置:

                  %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs

                  macOS 客户端日志存储在以下位置:

                  ~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0

                  排查特定问题

                  以下信息可帮助您排查与相关的问题 WorkSpaces。

                  问题

                  我无法创建 Amazon Linux, WorkSpace 因为用户名中有无效字符

                  对于亚马逊 Linux WorkSpaces,用户名:

                  • 最多可包含 20 个字符

                  • 可以包含能够以 UTF-8 表示的字母、空格和数字

                  • 可包含以下特殊字符:_ .-#

                  • 不能以短划线符号 (-) 作为用户名的开头第一个字符

                  注意

                  这些限制不适用于 Windows WorkSpaces。Windows WorkSpaces 支持用户名中所有字符的 @ 和-符号。

                  我更改了亚马逊 Linux WorkSpace 的外壳但现在我无法配置 PCoIP 会话

                  要覆盖 Linux 的默认外壳 WorkSpaces,请参见覆盖亚马逊 Linux WorkSpaces 的默认外壳

                  我的亚马逊 Linux WorkSpaces 无法启动

                  从 2020 年 7 月 20 日起,亚马逊 Linux WorkSpaces 将使用新的许可证证书。这些新证书仅与 pCoIP 代理的 2.14.1.1、2.14.7、2.14.9 和 20.10.6 或更高版本兼容。

                  如果您使用不支持的 PCoIP 代理版本,则必须将其升级到最新版本 (20.10.6),该版本包含与新证书兼容的最新修复和性能改进。如果您不在 7 月 20 日之前进行这些升级,则您的 Linux WorkSpaces 会话配置将失败,您的最终用户将无法连接到他们的 Linux WorkSpaces。

                  将 PCoIP 代理升级到最新版本
                  1. 通过 https://console.aws.amazon.com/workspaces/ 打开 WorkSpaces 主机。

                  2. 在导航窗格中,选择 WorkSpaces

                  3. 选择您的 Linux WorkSpace,然后通过选择 “操作”、“重启” 来重新启动它 WorkSpaces。如果 WorkSpace 状态为STOPPED,则必须选择 “操作”, WorkSpaces先启动,然后等到其状态变为,AVAILABLE然后才能重新启动。

                  4. WorkSpace 在重新启动且其状态为后AVAILABLE,我们建议您在执行此升级ADMIN_MAINTENANCE时 WorkSpace 将的状态更改为。完成后,将的状态更改 WorkSpace 为AVAILABLE。有关ADMIN_MAINTENANCE模式的更多信息,请参阅手动维护

                    要将 a 的状态更改为ADMIN_MAINTENANCE, WorkSpace 请执行以下操作:

                    1. 选择 WorkSpace 并选择操作修改 WorkSpace

                    2. 选择 Modify State

                    3. 对于 “预期状态”,选择 “管理员_维护”。

                    4. 选择 Modify(修改)。

                  5. WorkSpace 通过 SSH Connect 到 Linux。有关更多信息,请参阅为你的 Linux 启用 SSH 连接 WorkSpaces

                  6. 要更新 PCoIP 代理,请运行以下命令:

                    sudo yum --enablerepo=pcoip-stable install pcoip-agent-standard-20.10.6
                  7. 要验证代理版本并确认更新成功,请运行以下命令:

                    rpm -q pcoip-agent-standard

                    验证命令应产生以下结果:

                    pcoip-agent-standard-20.10.6-1.el7.x86_64
                  8. 断开与的连接 WorkSpace ,然后再次重新启动。

                  9. 如果您将的状态设置为 i WorkSpace nADMIN_MAINTENANCE步骤 4,请重复步骤 4并将预期状态设置为AVAILABLE

                  如果您的 Linux 在升级 PCoIP 代理后 WorkSpace 仍然无法启动,请联系SupportAmazon 部门。

                  WorkSpaces 在我的连接目录中启动经常失败

                  验证是否可从您连接到目录时所指定的每个子网访问本地目录中的两个 DNS 服务器或域控制器。您可以通过在每个子网中启动 Amazon EC2 实例并使用两个 DNS 服务器的 IP 地址将该实例加入您的目录来验证这种连接。

                  启动 WorkSpaces 失败,出现内部错误

                  检查您的子网是否配置为自动将 IPv6 地址分配给在子网中启动的实例。要检查此设置,请打开 Amazon VPC 控制台,选择您的子网,然后选择子网操作修改自动分配 IP 设置。如果启用此设置,则无法 WorkSpaces 使用性能包或图形包启动。解决办法是,在启动实例时,禁用此设置并手动指定 IPv6 地址。

                  当我尝试注册一个目录时,注册失败并使该目录处于错误状态

                  如果您尝试注册已配置为多区域复制的Amazon托管 Microsoft AD 目录,则可能会出现此问题。尽管主区域中的目录可以成功注册到亚马逊 WorkSpaces使用,但尝试在副本区域注册该目录会失败。不支持在复制区域 WorkSpaces 内使用Amazon托管 Microsoft AD 进行多区域复制。

                  我的用户无法连接到 WorkSpace 带有交互式登录横幅的 Windows

                  如果已实现交互式登录消息以显示登录标语,则会阻止用户访问其 Windows WorkSpaces。 WorkSpaces 目前不支持交互式登录消息的组策略设置。将移 WorkSpaces 至未应用Interactive logon: Message text for users attempting to log on组策略的组织单位 (OU)。

                  我的用户无法连接到 Windows WorkSpace

                  我的用户在尝试连接到 Windows 时会收到以下错误 WorkSpaces:

                  "An error occurred while launching your WorkSpace. Please try again."

                  此错误通常发生在 WorkSpace 无法使用 PCoIP 加载 Windows 桌面时。请检查以下事项:

                  • 如果 Windows 的 PCoIP 标准代理服务未运行,则会显示此消息。使用 RDP 进行连接,以验证服务是否正在运行,是否设置为自动启动,以及是否可以通过管理界面 (eth0) 进行通信。

                  • 如果卸载了 PCoIP 代理,请 WorkSpace 通过亚马逊 WorkSpaces 控制台重新启动以自动重新安装。

                  • 如果修改了WorkSpaces安全组以限制出站流量,则经过长时间的延迟,您也可能会在 Amazon WorkSpaces 客户端上收到此错误。限制出站流量会阻止 Windows 与您的目录控制器通信而导致无法进行登录。验证您的安全组是否 WorkSpaces 允许您通过主网络接口在所有必需的端口上与目录控制器通信。

                  此错误的另一个原因与用户权限分配组策略有关。如果以下组策略配置不正确,则会阻止用户访问其 Windows WorkSpaces:

                  Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment (计算机配置\Windows 设置\安全设置\本地策略\用户权限分配)

                  • 不正确的策略:

                    策略:Access this computer from the network (从网络访问此计算机)

                    设置:域名\域计算机

                    获胜 GPO:允许文件访问

                  • 正确的策略:

                    策略:Access this computer from the network (从网络访问此计算机)

                    设置:域名\域用户

                    获胜 GPO:允许文件访问

                  注意

                  此策略设置应该应用于 Domain Users (域用户) 而不是 Domain Computers (域计算机)

                  有关更多信息,请参阅 Microsoft Windows 文档中的从网络访问此计算机 - 安全策略设置配置安全策略设置

                  在返回登录屏幕之前,亚马逊 WorkSpaces 客户端会显示灰色的 “正在加载...” 屏幕一会儿。不显示其他错误消息。

                  此行为通常表明 WorkSpaces 客户端可以通过端口 443 进行身份验证,但无法通过端口 4172 (PCoIP) 或端口 4195 (WSP) 建立流式连接。当未满足网络先决条件时,可能会发生此情况。客户端的问题通常会导致客户端的网络检查失败。要查看哪些运行状况检查失败,请选择网络检查图标(对于 2.0+ 客户端,通常是带有惊叹号的红色三角形,对于 2.0+ 客户端,则选择右上角的网络图标 
                        Network icon
                    )。

                  注意

                  此问题的最常见原因是客户端防火墙或代理阻止通过端口 4172 或 4195(TCP 和 UDP)进行访问。如果此运行状况检查失败,请检查您的本地防火墙设置。

                  如果网络检查通过,则的网络配置可能存在问题 WorkSpace。例如,Windows 防火墙规则可能会在管理界面上屏蔽端口 UDP 4172 或 4195。 WorkSpace 使用远程桌面协议 (RDP) 客户端Connect 以验证是否 WorkSpace 满足必要的端口要求

                  我的用户收到消息 “WorkSpace 状态:不健康。我们无法将您连接到您的 WorkSpace. 请过几分钟再试。”

                  此错误通常表示 SkyLightWorkSpacesConfigService 服务未响应运行状况检查。

                  如果您刚重启或启动了 WorkSpace,请等待几分钟,然后重试。

                  如果 WorkSpace 已经运行了一段时间但您仍然看到此错误,请使用 RDP 连接以验证该 SkyLightWorkSpacesConfigService 服务:

                  • 正在运行。

                  • 设置为自动启动。

                  • 可以通过管理界面 (eth0) 进行通信。

                  • 未被任何第三方防病毒软件阻止。

                  我的用户会收到消息 “此设备无权访问 WorkSpace. 请联系您的管理员寻求帮助。”

                  此错误表明在 WorkSpace 目录上配置了 IP 访问控制组,但客户端 IP 地址未列入白名单。

                  检查您的目录上的设置。确认用户连接的公有 IP 地址允许访问 WorkSpace。

                  我的用户收到消息 “没有网络。网络连接丢失。请检查您的网络连接或联系管理员寻求帮助。” 尝试连接到 WSP 时 WorkSpace

                  如果出现此错误并且您的用户没有连接问题,请确保网络防火墙上的端口 4195 处于打开状态。为了 WorkSpaces 使用 WorkSpaces 流媒体协议 (WSP),用于流式传输客户端会话的端口从 4172 更改为 4195。

                  WorkSpaces 客户端给我的用户带来了网络错误,但他们可以在自己的设备上使用其他支持网络的应用程序

                  WorkSpaces 客户端应用程序依赖于对Amazon云中资源的访问,并且需要提供至少 1 Mbps 下载带宽的连接。如果设备间歇性地连接到网络,则 WorkSpaces 客户端应用程序可能会报告网络问题。

                  WorkSpaces 自 2018 年 5 月起,强制使用亚马逊信任服务颁发的数字证书。在 WorkSpaces 支持的操作系统上,Amazon Trust Services 已经是受信任的根 CA。如果操作系统的根 CA 列表不是最新的,则设备无法连接到 WorkSpaces ,客户端会出现网络错误。

                  识别由于证书失败造成的连接问题
                  • PCoIP 零客户端-显示以下错误消息。

                    Failed to connect. The server provided a certificate that is invalid. See below for details:
                    - The supplied certificate is invalid due to timestamp
                    - The supplied certificate is not rooted in the devices local certificate store
                  • 其他客户端-运行状况检查失败,并显示互联网的红色警告三角形。

                  Windows 客户端应用程序

                  使用以下解决方案之一处理证书故障。

                  解决方案 1:更新客户端应用程序

                  https://clients.amazonworkspaces.awsapps.cn/。在安装过程中,客户端应用程序确保由 Amazon Trust Services 发布了您的操作系统信任证书。

                  解决方案 2:将 Amazon Trust Services 添加到本地根 CA 列表
                  1. 打开 https://www.amazontrust.com/repository/

                  2. 下载 DER 格式的 Starfield 证书 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。

                  3. 打开 Microsoft 管理控制台。(从命令提示符中,运行 mmc。)

                  4. 依次选择 File (文件)Add/Remove Snap-in (添加/删除管理单元)Certificates (证书)Add (添加)

                  5. Certificates snap-in (证书管理单元) 页面上,选择 Computer account (计算机账户),然后选择 Next (下一步)。保留默认值 Local computer (本地计算机)。选择 Finish (结束)。选择 OK(确定)。

                  6. 展开 Certificates (Local Computer) (证书 (本地计算机)),然后选择 Trusted Root Certification Authorities (受信任的根证书颁发机构)。依次选择 Action (操作)All Tasks (所有任务)Import (导入)

                  7. 按照向导的说明,导入下载的证书。

                  8. 退出并重新启动 WorkSpaces 客户端应用程序。

                  解决方案 3:使用组策略部署 Amazon Trust Services 作为可信 CA

                  对于使用组策略的域,将 Starfield 证书添加到信任根 CA。有关更多信息,请参阅使用策略来分配证书

                  PCoIP 零客户端

                  要 WorkSpace 使用固件版本 6.0 或更高版本直接连接,请下载并安装亚马逊信任服务颁发的证书。

                  添加 Amazon Trust Services 作为可信根 CA
                  1. 打开 https://certs.secureserver.net/repository/

                  2. Starfield Certificate Chain (Starfield 证书链) 中下载具有指纹 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C8 67 75 21 FB 5F B6 58 的证书。

                  3. 上传证书至 zero 客户端。有关更多信息,请参阅 Teradici 文档中的上传证书

                  其他客户端应用程序

                  Amazon Trust Services 添加 Starfield 证书 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。有关如何添加根 CA 的更多信息,请参阅以下文档:

                  我的 WorkSpace 用户看到以下错误消息:“设备无法连接到注册服务。请检查网络设置。”

                  当注册服务出现故障时,您的 WorkSpace 用户可能会在 “连接Health 检查” 页面上看到以下错误消息:“您的设备无法连接到 WorkSpaces 注册服务。您将无法在上注册您的设备 WorkSpaces。请检查网络设置。”

                  当 WorkSpaces 客户端应用程序无法访问注册服务时,就会发生此错误。通常,这发生在 WorkSpaces 目录被删除时。要解决此错误,请确保注册码有效且与Amazon云中的运行目录相对应。

                  我的 PCoIP 零客户端用户收到错误“提供的证书由于时间戳而无效”

                  如果在 Teradici 中未启用网络时间协议 (NTP),则 PCoIP 零客户端用户可能会收到证书失败错误。要设置 NTP,请参阅为 WorkSpaces 设置 PCoIP 零客户端

                  USB 打印机和其他 USB 外围设备不适用于 pCoIP 零客户端

                  从 PCoIP 代理的 20.10.4 版本开始,亚马逊默认通过 Windows 注册表 WorkSpaces 禁用 USB 重定向。当您的用户使用 PCoIP 零客户端设备连接其 USB 外围设备时,此注册表设置会影响 USB 外围设备的行为 WorkSpaces。

                  WorkSpaces 如果您使用的是 PCoIP 代理版本 20.10.4 或更高版本,则在您启用 USB 重定向之前,USB 外围设备将无法与 PCoIP 零客户端设备一起使用。

                  注意

                  如果您使用的是 32 位虚拟打印机驱动程序,则还必须将这些驱动程序更新到 64 位版本。

                  为 pCoIP 零客户端设备启用 USB 重定向

                  我们建议您 WorkSpaces 通过组策略将这些注册表更改推送到您的。有关更多信息,请参阅 Teradici 文档中的配置代理和可配置设置

                  1. 将以下注册表项值设置为 1(已启用):

                    KeyPath = HKEY_LOCAL_MACHINE\ SOFTWARE\ Policis\ Teradici\ pCoIP\ pcoip_admin

                    KeyName = pcoip.enable_usb

                    KeyType = DWORD

                    KeyValue = 1

                  2. 将以下注册表项值设置为 1(已启用):

                    KeyPath = HKEY_LOCAL_MACHINE\ SOFTWARE\ Policip\ pcoip\ pcoip_admin_defaults

                    KeyName = pcoip.enable_usb

                    KeyType = DWORD

                    KeyValue = 1

                  3. 如果您尚未执行此操作,请注销 WorkSpace,然后重新登录。您的 USB 设备现在应该可以工作了。

                  我的用户跳过了更新其 Windows 或 macOS 客户端应用程序的过程,并且没有收到安装最新版本的提示

                  当用户跳过 Amazon WorkSpaces Windows 客户端应用程序的更新时,会设置SkipThisVersion注册表项,并且在发布新版本的客户端时不再提示他们更新客户端。要更新到最新版本,您可以按照《亚马逊 WorkSpaces 用户指南》中的 “将 WorkSpaces Windows 客户端应用程序更新到新版本” 中所述编辑注册表。您还可以运行以下 PowerShell 命令:

                  Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces\WinSparkle" -Name "SkipThisVersion"

                  当用户跳过 Amazon WorkSpaces macOS 客户端应用程序的更新时,会设置SUSkippedVersion首选项,并且在发布新版本的客户端时不再提示他们更新客户端。要更新到最新版本,您可以按照《亚马逊 WorkSpaces 用户指南》中的 “将 WorkSpaces macOS 客户端应用程序更新到新版本” 中所述重置此首选项。

                  我的用户没有收到邀请电子邮件或密码重置电子邮件

                  用户不会自动收到使用 AD Connector WorkSpaces 或可信域创建的欢迎电子邮件或密码重置电子邮件。如果用户已存在于 Active Directory 中,也不会自动发送邀请电子邮件。

                  要手动向这些用户发送欢迎电子邮件,请参阅 发送邀请电子邮件

                  要重置用户密码,请参阅设置 Active Directory 管理工具 WorkSpaces

                  我的用户在客户端登录屏幕上看不到“忘记密码?”选项

                  如果您使用的是 AD Connector 或可信域,则您的用户将无法重置自己的密码。(忘记密码? WorkSpaces 客户端应用程序登录屏幕上的选项将不可用。) 有关如何重置用户密码的信息,请参阅设置 Active Directory 管理工具 WorkSpaces

                  当我尝试在 Windows 上安装应用程序时,我收到 “系统管理员已设置策略阻止此安装” 消息 WorkSpace

                  您可以通过修改 Windows 安装程序组策略设置来解决此问题。要将此策略部署到您的目录 WorkSpaces 中的多个位置,请将此设置应用于从加入域的 EC2 实例链接到 WorkSpaces 组织单位 (OU) 的组策略对象。如果您使用 AD Connector,则可以从域控制器进行这些更改。有关使用 Active Directory 管理工具处理组策略对象的更多信息,请参阅《管理指南》中的 “安装 Active DirectoryAmazon Directory Service 管理工具”。

                  以下过程演示了如何配置 WorkSpaces Group 策略对象的 Windows 安装程序设置。

                  1. 确保您的域中安装了最新的 WorkSpaces 组策略管理模板

                  2. 在 Windows WorkSpace 客户端上打开组策略管理工具,导航到并选择 WorkSpaces 计算机帐户的 WorkSpaces 组策略对象。从主菜单中,依次选择 Action (操作)Edit (编辑)

                  3. 在组策略管理编辑器中,依次选择计算机配置策略管理模板经典管理模板Windows 组件Windows 安装程序

                  4. 打开 Turn Off Windows Installer (关闭 Windows 安装程序) 设置。

                  5. Turn Off Windows Installer (关闭 Windows 安装程序) 对话框中,将 Not Configured (未配置) 更改为 Enabled (已启用),然后将 Disable Windows Installer (禁用 Windows 安装程序) 设置为 Never (从不)

                  6. 选择 OK(确定)。

                  7. 要应用组策略更改,请执行下列操作之一:

                    • 重新启动 WorkSpace (在 WorkSpaces 控制台中,选择 WorkSpace,然后选择操作重新启动 WorkSpaces)。

                    • 从管理命令提示符下,输入 gpupdate /force

                  我的目录 WorkSpaces 里没有,我可以连接到互联网

                  WorkSpaces 默认情况下无法与互联网通信。您必须显式提供 Internet 访问。有关更多信息,请参阅通过您的网络提供互联网接入 WorkSpace

                  我 WorkSpace 已经无法访问互联网了

                  如果您无法访问互联网,并且无法使用 RDP 连接到,则此问题可能是由于丢失的公有 IP 地址造成的 WorkSpace。 WorkSpace WorkSpace 如果您在目录级别启用了弹性 IP 地址的自动分配,则弹性 IP 地址(来自亚马逊提供的地址池)将在启动 WorkSpace 时分配给您。但是,如果您将自己拥有的弹性 IP 地址关联到,然后取消了该弹性 IP 地址与的关联,则该 WorkSpace地址将 WorkSpace 丢失其公有 IP 地址,并且不会自动从亚马逊提供的池中获取新的 IP 地址。 WorkSpace

                  要将亚马逊提供的地址池中的新公有 IP 地址关联到 WorkSpace,您必须重建 WorkSpace。如果您不想重建 WorkSpace,则必须将您拥有的另一个弹性 IP 地址关联到 WorkSpace。

                  我们建议您不要在启动 WorkSpace后修改的elastic network inter WorkSpace face。向分配弹性 IP 地址后, WorkSpace将 WorkSpace 保留相同的公有 IP 地址(除非重新构建,在这种情况下,它将获得新的公有 IP 地址)。 WorkSpace

                  当我尝试连接我的本地目录时收到一条“DNS unavailable”错误

                  在连接您的本地目录时,您收到类似于以下内容的错误消息。

                  DNS unavailable (TCP port 53) for IP: dns-ip-address

                  AD Connector 必须能够通过端口 53 通过 TCP 和 UDP 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。

                  在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误

                  在连接您的本地目录时,您收到类似于以下内容的错误消息。

                  Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address
                  Kerberos/authentication unavailable (TCP port 88) for IP: ip-address
                  Please ensure that the listed ports are available and retry the operation.

                  AD Connector 必须能够通过以下端口通过 TCP 和 UDP 与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信:

                  • 88 (Kerberos)

                  • 389 (LDAP)

                  在尝试连接到我的本地目录时,我收到一条“SRV record”错误

                  在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息。

                  SRV record for LDAP does not exist for IP: dns-ip-address
                  
                  SRV record for Kerberos does not exist for IP: dns-ip-address

                  AD Connector 在连接到您的目录时需要获取_ldap._tcp.dns-domain-name_kerberos._tcp.dns-domain-name SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您会收到此错误。请确保您的 DNS 服务器包含这些 SRV 记录。有关更多信息,请参阅微软上的 SRV 资源记录 TechNet。

                  我的 Windows 处于闲置状态时会 WorkSpace 进入睡眠状态

                  要解决此问题,请连接 WorkSpace 并使用以下步骤将电源计划更改为高性能

                  1. 从中 WorkSpace打开 “控制面板”,然后选择 “硬件” 或选择 “硬件和声音”(名称可能会有所不同,具体取决于您的 Windows 版本)。

                  2. Power Options (电源选项) 下,选择 Choose a power plan (选择电源计划)

                  3. “选择或自定义电源计划” 窗格中,选择 “高性能电源计划”,然后选择 “更改计划设置”

                    • 如果选择高性能电源计划的选项被禁用,请选择更改当前不可用的设置,然后选择高性能电源计划。

                    • 如果高性能计划不可见,请选择 “显示其他计划” 右侧的箭头将其显示,或者在左侧导航栏中选择 “创建电源计划”,选择 “高性能”,为电源计划命名,然后选择 “下一步”。

                  4. “更改套餐设置:高性能” 页面上,确保将关闭显示器和(如果可用)将计算机置于睡眠状态设置为 “从不”。

                  5. 如果您对高绩效计划进行了任何更改,请选择 “保存更改”(如果要创建新计划,请选择 “创建”)。

                  如果上述步骤无法解决该问题,请执行以下操作:

                  1. 从中 WorkSpace打开 “控制面板”,然后选择 “硬件” 或选择 “硬件和声音”(名称可能会有所不同,具体取决于您的 Windows 版本)。

                  2. Power Options (电源选项) 下,选择 Choose a power plan (选择电源计划)

                  3. Choose or customize a power plan (选择或自定义电源计划) 窗格中,选择 High performance (高性能) 电源计划右侧的 Change plan settings (更改计划设置) 链接,然后选择 Change advanced power settings (更改高级电源设置) 链接。

                  4. Power Options (高级选项) 对话框中的设置列表中,选择 Hard disk (硬盘) 左侧的加号以显示相关设置。

                  5. 验证 Plugged in (已插入)Turn off hard disk after (在多长时间后关闭硬盘) 值是否大于 On battery (使用电池) 的值(默认值为 20 分钟)。

                  6. 选择 PCI Express 左侧的加号,然后为 Link State Power Management (链路状态电源管理) 执行相同的操作。

                  7. 验证 Link State Power Management (链路状态电源管理) 设置是否为 Off (关闭)

                  8. 选择 OK (确定)(如果您更改了任何设置,则选择 Apply (应用))以关闭对话框。

                  9. Change settings for the plan (更改计划的设置) 窗格中,如果您更改了任何设置,请选择 Save changes (保存更改)

                  我其中一个 WorkSpaces 的状态为UNHEALTHY

                  该 WorkSpaces 服务会定期向 a 发送状态请求 WorkSpace。A WorkSpace 在无法响应这些请求UNHEALTHY时被标记。导致此问题的常见原因包括:

                  • 上的应用程序 WorkSpace 正在阻塞网络端口,这会 WorkSpace 阻止响应状态请求。

                  • 高 CPU 利用率使无法及时响应状态请求。 WorkSpace

                  • 的计算机名称 WorkSpace 已更改。这样可以防止在 WorkSpaces 和之间建立安全通道 WorkSpace。

                  您可以尝试使用以下方法来纠正这种状况:

                  • WorkSpace 从控制 WorkSpaces 台重新启动。

                  • WorkSpace 使用以下步骤Connect 运行状况不佳的服务器,该过程应仅用于故障排除:

                    1. Connect 运行 WorkSpace 状况不佳的同一个目录中的操作服务器 WorkSpace。

                    2. 从操作上看 WorkSpace,使用远程桌面协议 (RDP) 连接到不健康 WorkSpace 的 IP 地址 WorkSpace。视问题严重程度而定,您可能无法连接到不健康的网络 WorkSpace。

                    3. 如果不正常 WorkSpace,请确认满足最低端口要求

                  • 确保该 SkyLightWorkSpacesConfigService 服务可以响应运行状况检查。要解决此问题,请参阅我的用户收到消息 “WorkSpace 状态:不健康。我们无法将您连接到您的 WorkSpace. 请过几分钟再试。”

                  • WorkSpace 从控制 WorkSpaces 台重建。由于重建 WorkSpace 可能会导致数据丢失,因此只有在所有其他纠正问题的尝试均未成功时,才应使用此选项。

                  我的 WorkSpace 意外崩溃或重启

                  如果您为 PCoIP WorkSpace 配置反复崩溃或重新启动,并且您的错误日志或崩溃转储表明或存在问题,spacedeskHookKmode.sys或者spacedeskHookUmode.dll如果您收到以下错误消息,则可能需要禁用 Web Access 来访问 WorkSpace:

                  The kernel power manager has initiated a shutdown transition.
                  Shutdown reason: Kernel API
                  The computer has rebooted from a bugcheck.
                  注意
                  • 这些故障排除步骤不适用于 WorkSpaces 为 WorkSpaces 流媒体协议 (WSP) 配置的步骤。它们仅适用于为 WorkSpaces PCoIP 配置的配置。

                  • 仅当您不允许用户使用 Web 访问时,才应禁用 Web 访问。

                  要禁用 Web 访问 WorkSpace,必须设置组策略并修改两个注册表设置。有关使用 Active Directory 管理工具处理组策略对象的信息,请参阅《管理指南》中的 “安装 Active DirectoryAmazon Directory Service 管理工具”。

                  步骤 1:设置组策略以在目录级别禁用 Web 访问

                  您必须从 PCoIP WorkSpace 而不是域控制器进行这些更改,因为 STXHD 托管应用程序服务必须存在。

                  1. 编辑用于允许 RDP 连接的安全组。 WorkSpaces 有关更多信息,请参阅如何 WorkSpace 使用 RDP 连接到?

                  2. 使用 RDP 连接到 WorkSpace. 确保您使用的是具有域权限的用户帐户来创建和修改 GPO。如果您在 WorkSpace 目录中使用 Simple AD,则用户名为Administrator。如果你使用的是 Microsoft AD,则管理员用户名是Admin

                  3. 安装 Active Directory 管理工具 (RSAT) 以获取组策略管理编辑器工具。要安装这些工具,请参阅管理指南中的安装 Active DirectoryAmazon Directory Service 管理工具

                    您也可以通过以管理员身份运行以下 Windows PowerShell 命令来安装这些工具:

                    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
                  4. 打开组策略管理编辑器 (gpmc.msc),并在目录的域控制器级别找到组策略对象 (GPO) 策略。

                    注意

                    如果支持的域 WorkSpaces 是Amazon Managed Microsoft AD目录,则无法使用默认域策略创建 GPO。相反,您必须在具有委托权限的域容器下创建并链接 GPO。

                    使用创建目录时Amazon Managed Microsoft AD,Amazon Directory Service会在域根目录下创建您的域名组织单位 (OU)。此 OU 的名称基于您在创建目录时输入的 NetBIOS 名称而定。如果您不指定 NetBIOS 名称,它将默认为您的目录 DNS 名称的第一个部分(例如,NetBIOS 名称为corp)。corp.example.com

                    要创建 GPO,请选择 y ourdomainname OU(或该域名下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建 GPO,然后将其链接到此处,而不是选择默认域策略

                    有关 y ourdomainname OU 的更多信息,请参阅《Amazon Directory Service管理指南》中的创建内容

                  5. 选择 Action (操作)Edit (编辑)

                  6. 导航到以下设置:

                    计算机配置\ 策略\ Windows 设置\ 安全设置\ 系统服务\ STXHD 托管应用程序服务

                  7. STXHD Hosted Application Service Properties (STXHD 托管应用程序服务属性) 对话框的 Security Policy Setting (安全策略设置) 选项卡上,选中 Define this policy setting (定义此策略设置) 复选框。

                  8. Select Service Startup Mode (选择服务启动模式) 下,选择 Disabled (已禁用)

                  9. 选择 OK(确定)。

                  10. 在完成注册表编辑(步骤 2)之前,阻止计算机重新启动。

                  步骤 2:编辑注册表以禁用 Web 访问

                  我们建议您通过 GPO 推送这些注册表更改。

                  1. 将以下注册表项值设置为 1(已启用):

                    KeyPath = HKEY_LOCAL_MACHINE\ SOFTWAREWorkSpacesConfig\ Amazon\ update-webacces

                    KeyName = RebootCount

                    KeyType = DWORD

                    KeyValue = 1

                  2. 将以下注册表项值设置为 4(已禁用):

                    KeyPath = HKEY_LOCAL_MACHINE\ SYSTECurrentControlSet M\\ 服务\spacedeskHookKmode

                    KeyName = 开始

                    KeyType = DWORD

                    KeyValue = 4

                  3. 重启计算机。

                  同一个用户名有多个用户名 WorkSpace,但用户只能登录到其中一个 WorkSpaces

                  如果您在 Active Directory (AD) 中删除用户而不先删除该用户, WorkSpace 然后将该用户添加回 Active Directory WorkSpace 并为该用户创建一个新用户名,则同一个用户名现在在同一个目录 WorkSpaces 中将有两个。但是,如果用户尝试连接到他们的原始服务器 WorkSpace,他们将收到以下错误:

                  "Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."

                  此外,在亚马逊 WorkSpaces 控制台中搜索用户名只会返回新的用户名 WorkSpace,即使这两个用户名 WorkSpaces 仍然存在。(您可以 WorkSpace 通过搜索 WorkSpace ID 而不是用户名来找到原件。)

                  如果您在 Active Directory 中重命名用户而不先将其删除,也会出现这种行为 WorkSpace。如果您随后将他们的用户名改回原始用户名并为该用户创建一个新 WorkSpace 用户名,则目录 WorkSpaces 中将有两个相同的用户名。

                  出现此问题的原因是 Active Directory 使用用户的安全标识符 (SID)(而不是用户名)以唯一标识用户。当删除某个用户并在 Active Directory 中重新创建此用户时,即使用户的用户名保持不变,也会为该用户分配一个新的 SID。在搜索用户名期间,亚马逊 WorkSpaces控制台使用 SID 在 Active Directory 中搜索匹配项。亚马逊 WorkSpaces 客户在连接时还使用 SID 来识别用户 WorkSpaces。

                  要解决此问题,请执行下列操作之一:

                  • 如果由于在 Active Directory 中删除了用户并在其中重新创建了该用户而发生了此问题,并且在 Active Directory 中启用了回收站功能,则您可能能够还原原始的已删除的用户对象。如果您能够恢复原始用户对象,请确保该用户可以连接到原始用户对象 WorkSpace。如果可以,您可以在手动备份并将任何用户数据从新数据传输 WorkSpace 到原始数据 WorkSpace (如果需要) WorkSpace之后删除新的。

                  • 如果您无法恢复原始用户对象,请删除该用户的原始对象 WorkSpace。用户应该能够连接到,并 WorkSpace 改用他们的新内容。请务必手动备份所有用户数据并将其从原始数据传输 WorkSpace 到新数据 WorkSpace。

                    警告

                    删除 a WorkSpace 是永久性操作,无法撤消。 WorkSpace 用户的数据不会持续存在并被销毁。要获得备份用户数据的帮助,请联系SuAmazon pport 部门。

                  我在亚马逊上使用 Docker 时遇到了问题 WorkSpaces

                  微软的 WorkSpaces

                  Windows 不支持嵌套虚拟化(包括使用 Docker) WorkSpaces。有关更多信息,请参阅 Docker 文档

                  Linu WorkSpaces

                  要在 Linux WorkSpaces 上使用 Docker,请确保 Docker 使用的 CIDR 块不与与之相关的两个弹性网络接口 (ENI) 中使用的 CIDR 块重叠 WorkSpace。如果你在 Linux 上使用 Docker 时遇到问题 WorkSpaces,请联系 Docker 寻求帮助。

                  我的一些 API 调用收到 ThrottlingException 错误

                  WorkSpaces API 调用的默认允许速率是每秒两次 API 调用的固定速率,允许的最大 “突发” 速率为每秒五次 API 调用。下表显示了适用于 API 请求的突发速率限制。

                  发送的请求数 允许的网络请求 详细信息

                  1

                  0

                  5

                  第一秒(第 1 秒)内允许发出五个请求,最高突发速率为每秒五次调用。

                  2

                  2

                  5

                  由于在第 1 秒中发出的调用未超过两次,所以五次调用的完整突发容量仍然可用。

                  3

                  5

                  5

                  由于在第 2 秒中发出的调用只有两次,所以五次调用的完整突发容量仍然可用。

                  4

                  2

                  2

                  因为在第 3 秒中使用了完整突发容量,所以只有每秒两次调用这一恒定速率可用。

                  5

                  3

                  2

                  由于没有剩余的突发容量,此时仅允许进行两次调用。这意味着剩余三次 API 调用的其中一次会受到限制。在短暂的延迟后,受到限制的调用将发出响应。

                  6

                  0

                  1

                  由于第 5 秒中的某次调用在第 6 秒中进行了重试,因此,根据每秒两次调用的恒定速率限制,第 6 秒中仅剩余一次额外调用的容量。

                  7

                  0

                  3

                  现在,队列中不再有任何受限制的 API 调用,速率限制继续增加,直至达到五次调用的突发速率限制。

                  8

                  0

                  5

                  由于在第 7 秒内没有发出调用,因此允许发送最大数量的请求。

                  9

                  0

                  5

                  即使在第 8 秒没有发出任何调用,速率限制也不会增加到五次以上。

                  当我 WorkSpace 让它在后台运行时我一直断开连接

                  对于 Mac 用户,请查看 Power Nap 功能是否已开启。如果已开启,请将其关闭。要关闭 Power Nap,请打开终端并运行以下命令:

                  defaults write com.amazon.workspaces NSAppSleepDisabled -bool YES

                  SAML 2.0 联合身份验证不起作用。我的用户无权直播他们的 WorkSpaces 桌面。

                  之所以发生这种情况,可能是因为为 SAML 2.0 联邦 IAM 角色嵌入的内联策略不包括从目录亚马逊资源名称 (ARN) 进行流式传输的权限。IAM 角色由访问 WorkSpaces 目录的联合用户担任。编辑角色权限以包含目录 ARN,并确保用户在目录 WorkSpace 中有。有关更多信息,请参阅使用 SAML 2.0 身份验证和 SAML 2.0 联合故障排除Amazon。

                  我的用户每 60 分钟就会断开一次 WorkSpaces 会话连接。

                  如果您将 SAML 2.0 身份验证配置为,则可能需要配置 IdP 作为 SAML 属性作为身份验证响应的一部分传递的信息,具体取决于您的身份提供商 (IdP)。 WorkSpacesAmazon这包括配置 Attribute (属性) 元素,并将 SessionDuration 属性设置为 https://aws.amazon.com/SAML/Attributes/SessionDuration

                  SessionDuration指定了在需要重新身份验证之前,联合流会话可以保持活动的最长时间。虽然 SessionDuration 是可选属性,但我们建议您将它包含在 SAML 身份验证响应中。如果您未指定此属性,则会话持续时间默认为 60 分钟。

                  要解决此问题,请将您的 IdP 配置为在 SAML 身份验证响应中包含该SessionDuration值,然后根据需要设置该值。有关更多信息,请参阅步骤 5:为 SAML 身份验证响应创建断言

                  我的用户在使用 SAML 2.0 身份提供商 (IdP) 启动的流程进行联合时会遇到重定向 URI 错误,或者每次我的用户在联合到 IdP 后尝试从 WorkSpaces 客户端登录时,都会启动客户端应用程序的附加实例。

                  此错误是由于中继状态 URL 无效所致。确保 IdP 联合设置中的中继状态正确,并在 WorkSpaces 目录属性中为 IdP 联盟正确配置了用户访问 URL 和中继状态参数名称。如果它们有效且问题仍然存在,请联系SuAmazon pport 部门。有关更多信息,请参阅设置 SAML

                  我的用户在联合到 IdP 后尝试登录 WorkSpaces 客户端应用程序时,会收到 “出错了:启动你的时出错 WorkSpace” 的消息。

                  查看与联合的问题排查 SAML 2.0 断言。SAML Subjecter NameID 值必须与 WorkSpaces 用户名匹配,并且通常与 Active Directory 用户的 s aMAccountName 属性相同。此外,PrincipalTag:Email属性设置为的 Attribute 元素https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email必须与 WorkSpaces 目录中定义的 WorkSpaces 用户的电子邮件地址相匹配。有关更多信息,请参阅设置 SAML

                  我的用户在联合到 IdP 后尝试登录 WorkSpaces 客户端应用程序时会收到 “无法验证标签” 消息。

                  查看您的联合体 SAML 2.0 断言中的PrincipalTag属性值,例如https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email。标签值可能包括字符_ . : / = + - @、字母、数字和空格的组合。有关更多信息,请参阅 IAM 中的标记规则和Amazon STS

                  我的用户收到的消息是:“客户端和服务器无法通信,因为他们没有通用的算法”。

                  如果您不启用 TLS 1.2,则可能发生此问题。

                  我的麦克风或摄像头无法在 Windows 上运行 WorkSpaces。

                  打开 “开始” 菜单检查您的隐私设置

                  • 开始 > 设置 > 隐私 > 相机

                  • 开始 > 设置 > 隐私 > 麦克风

                  如果它们已关闭,请将其打开。

                  或者, WorkSpaces 管理员可以创建组策略对象 (GPO) 以根据需要启用麦克风和/或摄像头。

                  我的用户无法使用基于证书的身份验证登录,当他们连接到桌面会话时,系统会在 WorkSpaces 客户端或 Windows 登录屏幕上提示输入密码。

                  会话中基于证书的身份验证不成功。如果问题仍然存在,则基于证书的身份验证失败可能是以下问题之一造成的:

                  • 不支持 WorkSpaces 或客户端。使用最新 WorkSpaces 的 Windows 客户端应用程序的 Windows WorkSpaces WorkSpaces 流媒体协议 (WSP) 捆绑包支持基于证书的身份验证。

                  • 在 WorkSpaces 目录上启用基于证书的身份验证后, WorkSpaces 需要重新启动。

                  • WorkSpaces 无法与Amazon Private CA证书通信或Amazon Private CA未颁发证书。检查Amazon CloudTrail是否已颁发证书。有关更多信息,请参阅管理基于证书的身份验证

                  • 域控制器没有用于智能卡登录的域控制器证书,或者该证书已过期。有关更多信息,请参阅中的步骤 7 “使用域控制器证书配置域控制器以对智能卡用户进行身份验证先决条件

                  • 该证书不可信。有关更多信息,请参阅中的步骤 7 “将 CA 发布到 Active Directory先决条件

                  • 缓存中有证书,但已使证书失效的用户的属性已更改。联系Amazon Web Services Support以在证书到期(24 小时)之前清除缓存。有关更多信息,请参阅Amazon Web Services Support中心

                  • UserPrincipalNameSAML 属性的格式不正确或无法解析为用户的实际域。 userPrincipalName 有关更多信息,请参阅中的步骤 1先决条件

                  • 您的 SAML 断言中的(可选)ObjectSid属性与 saml_subject 中指定的用户的 Active Directory 安全标识符 (SID) 不匹配NameID。确认您的 SAML 联盟中的属性映射是正确的,并且您的 SAML 身份提供商正在同步 Active Directory 用户的 SID 属性。

                  • 有些组策略设置正在修改智能卡登录的默认 Active Directory 设置,或者在智能卡读卡器中移除智能卡时采取措施。除上面列出的错误外,这些设置可能会导致其他意外行为。基于证书的身份验证向实例操作系统提供虚拟智能卡,并在登录完成后将其删除。检查智能卡的主组策略设置以及其他智能卡组策略设置和注册表项,包括智能卡删除行为。

                  • 私有 CA 的 CRL 分发点不可联机,也无法从 WorkSpaces 或域控制器访问。有关更多信息,请参阅先决条件中的步骤 5。

                  其他故障排除步骤包括查看 WorkSpaces 实例 Windows 事件日志。经常要查看的登录失败事件是事件 4625:帐户在 Windows 安全日志中登录失败

                  如果问题仍存在,请联系 Amazon Web Services Support。有关更多信息,请参阅Amazon Web Services Support中心