排查 Amazon WorkSpaces 问题 - Amazon WorkSpaces
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

排查 Amazon WorkSpaces 问题

以下信息可帮助您排除与 WorkSpace 相关的问题。

启用高级日志记录

为了帮助解决用户可能遇到的问题,您可以在任何 Amazon WorkSpaces 客户端上启用高级日志记录。在禁用高级日志记录之前,将为每个后续客户端会话启用高级日志记录。

高级日志记录将生成包含诊断信息和调试级别详细信息(包括详细的性能数据)的日志文件。对于 1.0+ 和 2.0+ 客户端,这些高级日志记录文件会自动上传到 AWS 中的数据库。

注意

要让 AWS 审查由高级日志记录生成的日志文件,以及接收您的 WorkSpaces 客户端的技术支持问题,请联系 AWS Support。有关更多信息,请参阅 AWS 支持中心

Windows 客户端

    Windows 客户端日志存储在以下位置:

    %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs

    为 Windows 客户端启用高级日志记录

    1. 关闭 Amazon WorkSpaces 客户端。

    2. 打开命令提示符应用程序。

    3. 使用 -l3 标志启动 WorkSpaces 客户端。

      c:

      cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"

      workspaces.exe -l3

    macOS 客户端

      macOS 客户端日志存储在以下位置:

      ~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs

      为 macOS 客户端启用高级日志记录

      1. 关闭 Amazon WorkSpaces 客户端。

      2. 打开终端。

      3. 运行以下命令。

        open -a workspaces --args -l3

      Linux 客户端

        Linux 客户端日志存储在以下位置:

        ~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs

        为 Linux 客户端启用高级日志记录

        1. 关闭 Amazon WorkSpaces 客户端。

        2. 打开终端。

        3. 运行以下命令。

          /opt/workspacesclient/workspacesclient -l3

        1. 打开 WorkSpaces 客户端。

        2. 选择客户端应用程序右上角的齿轮图标。

        3. 选择 Advanced Settings (高级设置)

        4. 选中 Enable Advanced Logging (启用高级日志记录) 复选框。

        5. 选择 Save

        Windows 客户端日志存储在以下位置:

        %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs

        macOS 客户端日志存储在以下位置:

        ~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0

        排查特定问题

        以下信息可帮助您排查与 WorkSpace 相关的特定问题。

        问题

        我无法创建 Amazon Linux WorkSpace,因为用户名中存在无效字符

        对于 Amazon Linux WorkSpace,用户名:

        • 最多可包含 20 个字符

        • 可以包含能够以 UTF-8 表示的字母、空格和数字

        • 可包含以下特殊字符:_ .-#

        • 不能以短划线符号 (-) 作为用户名的开头第一个字符

        注意

        这些限制不适用于 Windows WorkSpaces。对于用户名中的所有字符,Windows WorkSpaces 支持 @ 和 - 符号。

        我更改了 Amazon Linux WorkSpace 的 shell,现在我无法预配置 PCoIP 会话

        要覆盖 Linux WorkSpaces 的默认 shell,请参阅 覆盖 Amazon Linux WorkSpace 的默认 Shell

        经常无法在我连接的目录中启动 WorkSpace

        验证是否可从您连接到目录时所指定的每个子网访问本地目录中的两个 DNS 服务器或域控制器。您可以通过在每个子网中启动一个 Amazon EC2 实例并将该实例加入您的目录中,然后使用两个 DNS 服务器的 IP 地址来验证此连接。

        启动 WorkSpace 失败,出现内部错误

        检查您的子网是否配置为自动将 IPv6 地址分配给在子网中启动的实例。要检查此设置,请打开 Amazon VPC 控制台,选择子网,然后依次选择 Subnet Actions (子网操作)Modify auto-assign IP settings (修改自动分配 IP 设置)。如果此设置启用,则无法使用性能或图形服务包启动 WorkSpace。解决办法是,在启动实例时,禁用此设置并手动指定 IPv6 地址。

        我的用户无法连接到 Windows WorkSpace,系统显示了一个交互式登录横幅

        如果实施了交互式登录消息以显示登录横幅,则会阻止用户访问其 Windows WorkSpace。Amazon WorkSpaces 目前不支持交互式登录消息的组策略设置。将 WorkSpace 移动到未应用 Interactive logon: Message text for users attempting to log on 组策略的组织单位 (OU)。

        我的用户无法连接到 Windows WorkSpace

        我的用户在尝试连接到他们的 Windows WorkSpaces 时收到以下错误:

        "An error occurred while launching your WorkSpace. Please try again."

        当 WorkSpace 无法使用 PCoIP 加载 Windows 桌面时,通常会发生此错误。请检查以下事项:

        • 如果 Windows 的 PCoIP 标准代理服务未运行,则会显示此消息。使用 RDP 进行连接,以验证服务是否正在运行,是否设置为自动启动,以及是否可以通过管理界面 (eth0) 进行通信。

        • 如果卸载了 PCoIP 代理,请通过 Amazon WorkSpaces 控制台重启 WorkSpace 以自动重新安装它。

        • 如果修改了 WorkSpaces 安全组以限制出站流量,则在长时间延迟后,您也可能会在 Amazon WorkSpaces 客户端上收到此错误。限制出站流量会阻止 Windows 与您的目录控制器通信而导致无法进行登录。验证您的安全组是否允许 WorkSpace 通过主网络接口与所有必需端口上的目录控制器进行通信。

        此错误的另一个原因与用户权限分配组策略有关。如果以下组策略配置不正确,它会阻止用户访问其 Windows WorkSpaces:

        Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment (计算机配置\Windows 设置\安全设置\本地策略\用户权限分配)

        • 不正确的策略:

          策略:Access this computer from the network (从网络访问此计算机)

          设置:域名\域计算机

          获胜 GPO:允许文件访问

        • 正确的策略:

          策略:Access this computer from the network (从网络访问此计算机)

          设置:域名\域用户

          获胜 GPO:允许文件访问

        注意

        此策略设置应该应用于 Domain Users (域用户) 而不是 Domain Computers (域计算机)

        有关更多信息,请参阅 Microsoft Windows 文档中的从网络访问此计算机 - 安全策略设置配置安全策略设置

        Amazon WorkSpaces 客户端显示一个灰色的“正在加载...”屏幕一段时间,然后返回登录屏幕。不显示其他错误消息。

        此行为通常表示 WorkSpaces 客户端可以通过端口 443 进行身份验证,但无法通过端口 4172 建立流连接。当未满足网络先决条件时,可能会发生此情况。客户端的问题通常导致客户端右下角的网络检查失败。要查看哪些运行状况检查失败,请选择网络检查图标(通常是带有感叹号的红色三角形)。

        注意

        此问题的最常见原因是客户端防火墙或代理阻止通过端口 4172(TCP 和 UDP)进行访问。如果此运行状况检查失败,请检查您的本地防火墙设置。

        如果网络检查获得通过,则 WorkSpace 的网络配置可能存在问题。例如,Windows 防火墙规则可能会阻止管理界面上的端口 UDP 4172。使用远程桌面协议 (RDP) 客户端连接到 WorkSpace,以验证 WorkSpace 是否满足必要的端口要求

        我的用户收到消息“WorkSpace 状态:不正常。我们无法将您连接到您的 WorkSpace。请过几分钟再试。”

        此错误通常表示 SkyLightWorkSpacesConfigService 服务未响应运行状况检查。

        如果您刚刚重启或启动了 WorkSpace,请等待几分钟,然后重试。

        如果 WorkSpace 已经运行了一段时间,而您仍然看到此错误,请使用 RDP 进行连接以验证 SkyLightWorkSpacesConfigService 服务:

        • 正在运行。

        • 设置为自动启动。

        • 可以通过管理界面 (eth0) 进行通信。

        • 未被任何第三方防病毒软件阻止。

        我的用户收到消息“此设备未获授权,无法访问 WorkSpace。请联系您的管理员寻求帮助。”

        此错误表示已在 WorkSpace 目录上配置 IP 访问控制组,但客户端 IP 地址未列入白名单。

        检查您的目录上的设置。确认用户所连接的公有 IP 地址允许访问 WorkSpace。

        我的用户在使用 WorkSpaces 客户端时遇到了网络错误提示,但他们能够在其设备上使用其他网络支持的应用程序

        WorkSpaces 客户端应用程序的运行依赖于对 AWS 云中资源的访问,需要可提供至少 1 Mbps 下载带宽的连接。如果设备是间歇性地连接到网络,WorkSpaces 客户端应用程序就可能报告网络问题。

        从 2018 年 5 月开始,Amazon WorkSpaces 强制使用 Amazon Trust Services 颁发的数字证书。在 Amazon WorkSpaces 支持的操作系统上,Amazon Trust Services 已经是受信任的根 CA。如果操作系统的根 CA 列表不是最新的,则设备无法连接到 WorkSpaces,客户端会发出网络错误提示。

        识别由于证书失败造成的连接问题

        • PCoIP zero 客户端 — 将显示以下错误消息。

          Failed to connect. The server provided a certificate that is invalid. See below for details:
          - The supplied certificate is invalid due to timestamp
          - The supplied certificate is not rooted in the devices local certificate store
        • 其他客户端 — 运行状况检查失败,出现 Internet 红色警告三角形。

        Windows 客户端应用程序

        使用以下解决方案之一处理证书故障。

        解决方案 1:更新客户端应用程序

        Amazon WorkSpaces Client Downloads 下载并安装最新 Windows 客户端应用程序。在安装过程中,客户端应用程序确保由 Amazon Trust Services 发布了您的操作系统信任证书。

        解决方案 2:将 Amazon Trust Services 添加到本地根 CA 列表

        1. 打开 https://www.amazontrust.com/repository/

        2. 下载 DER 格式的 Starfield 证书 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。

        3. 打开 Microsoft 管理控制台。(从命令提示符中,运行 mmc。)

        4. 依次选择 File (文件)Add/Remove Snap-in (添加/删除管理单元)Certificates (证书)Add (添加)

        5. Certificates snap-in (证书管理单元) 页面上,选择 Computer account (计算机账户),然后选择 Next (下一步)。保留默认值 Local computer (本地计算机)。选择 Finish。选择 OK (确定)

        6. 展开 Certificates (Local Computer) (证书 (本地计算机)),然后选择 Trusted Root Certification Authorities (受信任的根证书颁发机构)。依次选择 Action (操作)All Tasks (所有任务)Import (导入)

        7. 按照向导的说明,导入下载的证书。

        8. 退出并重启 WorkSpace 客户端应用程序。

        解决方案 3:使用组策略部署 Amazon Trust Services 作为可信 CA

        对于使用组策略的域,将 Starfield 证书添加到信任根 CA。有关更多信息,请参阅使用策略来分配证书

        PCoIP Zero 客户端

        要直接连接到使用固件版本 6.0 或更高版本的 WorkSpace,请下载并安装由 Amazon Trust Services 发布的证书。

        添加 Amazon Trust Services 作为可信根 CA

        1. 打开 https://certs.secureserver.net/repository/

        2. Starfield Certificate Chain (Starfield 证书链) 中下载具有指纹 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C8 67 75 21 FB 5F B6 58 的证书。

        3. 上传证书至 zero 客户端。有关更多信息,请参阅 Teradici 文档中的上传证书

        其他客户端应用程序

        Amazon Trust Services 添加 Starfield 证书 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。有关如何添加根 CA 的更多信息,请参阅以下文档:

        我的 WorkSpace 用户看到以下错误消息:“设备无法连接到注册服务。请检查网络设置。”

        当出现注册服务故障时,您的工作区用户可能会在 Connection Health Check 页面上看到以下错误消息:“您的设备无法连接到 WorkSpaces 注册服务。您无法向 WorkSpaces 注册设备。请检查网络设置。”

        当 WorkSpaces 客户端应用程序无法访问注册服务时会出现此错误。通常,这是在删除 WorkSpace 目录时出现。要纠正此错误,请确保注册代码有效并与 AWS 云中一个正在运行的目录相对应。

        我的 PCoIP 零客户端用户收到错误“提供的证书由于时间戳而无效”

        如果在 Teradici 中未启用网络时间协议 (NTP),则 PCoIP 零客户端用户可能会收到证书失败错误。要设置 NTP,请参阅为 WorkSpace 设置 PCoIP 零客户端

        我的用户跳过了更新其 Windows 或 macOS 客户端应用程序的过程,并且没有收到安装最新版本的提示

        当用户跳过对 Amazon WorkSpaces Windows 客户端应用程序的更新时,系统将设置 SkipThisVersion 注册表项,并且在发布客户端的新版本时不再提示他们更新其客户端。要更新到最新版本,可以按照 Amazon WorkSpaces 用户指南 中的将 WorkSpaces Windows 客户端应用程序更新为较新版本中所述编辑注册表。也可以运行以下 PowerShell 命令:

        Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces\WinSparkle" -Name "SkipThisVersion"

        当用户跳过对 Amazon WorkSpaces macOS 客户端应用程序的更新时,系统将设置 SUSkippedVersion 首选项,并且在发布客户端的新版本时不再提示他们更新其客户端。要更新到最新版本,可以按照 Amazon WorkSpaces 用户指南 中的将 WorkSpaces macOS 客户端应用程序更新为较新版本中所述重置此首选项。

        我的用户没有收到邀请电子邮件或密码重置电子邮件

        用户不会自动收到使用 AD Connector 创建的 WorkSpaces 的欢迎或密码重置电子邮件。

        要手动向这些用户发送欢迎电子邮件,请参阅 发送邀请电子邮件

        要重置用户密码,请参阅为 Amazon WorkSpaces 设置 Active Directory 管理工具

        我的用户在客户端登录屏幕上看不到“忘记密码?”选项

        如果您使用的是 AD Connector,则您的用户将无法重置自己的密码。(WorkSpaces 客户端应用程序登录屏幕上的忘记密码?选项将不可用。) 有关如何重置用户密码的信息,请参阅为 Amazon WorkSpaces 设置 Active Directory 管理工具

        当我尝试在 Windows WorkSpace 上安装应用程序时,我收到消息“系统管理员已设置策略以阻止此安装”

        您可以通过修改 Windows 安装程序组策略设置来解决此问题。若要将此策略部署到目录中的多个 WorkSpace,请将此设置应用于从加入域的 EC2 实例链接到 WorkSpace 组织单位 (OU) 的组策略对象。如果您使用 AD Connector,则可以从域控制器进行这些更改。有关使用 Active Directory 管理工具处理组策略对象的更多信息,请参阅 AWS Directory Service Administration Guide 中的安装 Active Directory 管理工具

        以下过程说明如何为 Amazon WorkSpaces 组策略对象配置 Windows 安装程序设置。

        1. 确保您的域中安装了最新的 Amazon WorkSpaces 组策略管理模板

        2. 在您的 Windows WorkSpace 客户端上打开组策略管理工具,导航并选择您的 WorkSpace 计算机账户的 WorkSpace 组策略对象。从主菜单中,依次选择 Action (操作)Edit (编辑)

        3. 在组策略管理编辑器中,依次选择计算机配置策略管理模板经典管理模板Windows 组件Windows 安装程序

        4. 打开 Turn Off Windows Installer (关闭 Windows 安装程序) 设置。

        5. Turn Off Windows Installer (关闭 Windows 安装程序) 对话框中,将 Not Configured (未配置) 更改为 Enabled (已启用),然后将 Disable Windows Installer (禁用 Windows 安装程序) 设置为 Never (从不)

        6. 选择 OK

        7. 要应用组策略更改,请执行下列操作之一:

          • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择WorkSpace,然后依次选择 Actions (操作)Reboot WorkSpaces (重启 WorkSpace))。

          • 从管理命令提示符下,输入 gpupdate /force

        我的目录中的 WorkSpaces 均无法连接到 Internet

        默认情况下,WorkSpaces 无法与 Internet 通信。您必须显式提供 Internet 访问。有关更多信息,请参阅 提供 WorkSpace 的 Internet 访问权限

        我的 WorkSpace 已失去对 Internet 的访问权限

        如果您的 WorkSpace 已失去对 Internet 的访问权限,并且您无法使用 RDP 连接到 WorkSpace,则此问题可能是由于 WorkSpace 的公有 IP 地址丢失而导致的。如果您在目录级别启用了弹性 IP 地址自动分配,则会在您的 WorkSpace 启动时为其分配弹性 IP 地址(来自 Amazon 提供的池)。但是,如果您将您拥有的弹性 IP 地址与 WorkSpace 关联,稍后您将该弹性 IP 地址与 WorkSpace 取消关联,则 WorkSpace 将失去其公有 IP 地址,并且不会自动从 Amazon 提供的池中获取新的 IP 地址。

        要将 Amazon 提供的池中的新公有 IP 地址与 WorkSpace 关联,您必须重建 WorkSpace。如果您不想重建 WorkSpace,必须将您拥有的另一个弹性 IP 地址与 WorkSpace 关联。

        我们建议您不要在 WorkSpace 启动后修改其弹性网络接口。将弹性 IP 地址分配给 WorkSpace 后,WorkSpace 会保留相同的公有 IP 地址(除非重建 WorkSpace ,在这种情况下,它会获得新的公有 IP 地址)。

        当我尝试连接我的本地目录时收到一条“DNS unavailable”错误

        在连接您的本地目录时,您收到类似于以下内容的错误消息。

        DNS unavailable (TCP port 53) for IP: dns-ip-address

        AD Connector 必须能够通过 TCP 和 UDP 经由端口 53 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。

        在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误

        在连接您的本地目录时,您收到类似于以下内容的错误消息。

        Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address
        Kerberos/authentication unavailable (TCP port 88) for IP: ip-address
        Please ensure that the listed ports are available and retry the operation.

        AD Connector 必须能够通过 TCP 和 UDP 经由以下端口与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信:

        • 88 (Kerberos)

        • 389 (LDAP)

        在尝试连接到我的本地目录时,我收到一条“SRV record”错误

        在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息。

        SRV record for LDAP does not exist for IP: dns-ip-address
        
        SRV record for Kerberos does not exist for IP: dns-ip-address

        在连接您的目录时,AD Connector 需要获取 _ldap._tcp.dns-domain-name_kerberos._tcp.dns-domain-name SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您会收到此错误。请确保您的 DNS 服务器包含这些 SRV 记录。有关更多信息,请参阅 Microsoft TechNet 上的 SRV 资源记录

        我的 Windows WorkSpace 在空闲时进入睡眠状态

        要解决此问题,请连接到 WorkSpace 并通过使用以下过程将电源计划更改为 High performance (高性能)

        1. 从 WorkSpace 中,打开 Control Panel (控制面板),然后选择 Hardware and Sound (硬件和声音)

        2. Power Options (电源选项) 下,选择 Choose a power plan (选择电源计划)

        3. Choose or customize a power plan (选择或自定义电源计划) 窗格中,选择 High performance (高性能) 电源计划。如果此计划不可见,请选择 Show additional plans (显示其他计划) 右侧的箭头以显示它。

        如果上述步骤无法解决该问题,请执行以下操作:

        1. Choose or customize a power plan (选择或自定义电源计划) 窗格中,选择 High performance (高性能) 电源计划右侧的 Change plan settings (更改计划设置) 链接,然后选择 Change advanced power settings (更改高级电源设置) 链接。

        2. Power Options (高级选项) 对话框中的设置列表中,选择 Hard disk (硬盘) 左侧的加号以显示相关设置。

        3. 验证 Plugged in (已插入)Turn off hard disk after (在多长时间后关闭硬盘) 值是否大于 On battery (使用电池) 的值(默认值为 20 分钟)。

        4. 选择 PCI Express 左侧的加号,然后为 Link State Power Management (链路状态电源管理) 执行相同的操作。

        5. 验证 Link State Power Management (链路状态电源管理) 设置是否为 Off (关闭)

        6. 选择 OK (确定)(如果您更改了任何设置,则选择 Apply (应用))以关闭对话框。

        7. Change settings for the plan (更改计划的设置) 窗格中,如果您更改了任何设置,请选择 Save changes (保存更改)

        我的一个 WorkSpace 显示“Unhealthy”状态

        Amazon WorkSpaces 服务会向 WorkSpace 定期发送状态请求。当 WorkSpace 无法响应这些请求时,它将标记为 Unhealthy。导致此问题的常见原因包括:

        • WorkSpace 上的某个应用程序阻塞了网络端口,这阻止 WorkSpace 响应状态请求。

        • CPU 使用率高,阻止了 WorkSpace 及时响应状态请求。

        • WorkSpace 的计算机名称已发生更改。这会阻止 Amazon WorkSpaces 与 WorkSpace 之间建立安全通道。

        您可以尝试使用以下方法来纠正这种状况:

        • 从 Amazon WorkSpaces 控制台重启 WorkSpace。

        • 使用以下过程连接到不正常状态的 WorkSpace (此方法仅限于故障排除目的):

          1. 连接到与不正常状态的 WorkSpace 同处一个目录下的运行正常的 WorkSpace。

          2. 从运行正常的 WorkSpace 中,通过远程桌面协议 (RDP) 使用不正常状态 WorkSpace 的 IP 地址连接到该不正常状态的 WorkSpace。根据问题的严重程度,您或许无法连接到不正常状态的 WorkSpace。

          3. 在运行状况不正常的 WorkSpace 上,确认满足最低端口要求。

        • 从 Amazon WorkSpaces 控制台重建 WorkSpace。重建 WorkSpace 可能会导致数据丢失,因此该选项应只在所有其他尝试纠正此问题的措施都不成功的情况下使用。

        我的 WorkSpace 意外崩溃或重启

        如果您的 WorkSpace 反复崩溃或重启,并且您的错误日志或崩溃转储指向与 spacedeskHookKmode.sysspacedeskHookUmode.dll 有关的问题,或者如果您收到以下错误消息,则可能需要禁用对 WorkSpace 的 Web 访问:

        The kernel power manager has initiated a shutdown transition.
        Shutdown reason: Kernel API
                    
        The computer has rebooted from a bugcheck.
                    
        注意

        仅当您不允许用户使用 Web 访问时,才应禁用 Web 访问。

        要禁用对 WorkSpace 的 Web 访问,必须设置组策略并修改两个注册表设置。有关使用 Active Directory 管理工具处理组策略对象的信息,请参阅 AWS Directory Service Administration Guide 中的安装 Active Directory 管理工具

        步骤 1:设置组策略以在目录级别禁用 Web 访问

        您可以从用于管理域的计算机或从域控制器进行这些更改。

        1. 打开组策略管理编辑器 (gpmc.msc),并在目录的域控制器级别找到组策略对象 (GPO) 策略。

        2. 选择 Action (操作)Edit (编辑)

        3. 导航到以下设置:

          计算机配置\Windows 设置\安全设置\系统服务\STxHD 托管应用程序服务

        4. STXHD Hosted Application Service Properties (STXHD 托管应用程序服务属性) 对话框的 Security Policy Setting (安全策略设置) 选项卡上,选中 Define this policy setting (定义此策略设置) 复选框。

        5. Select Service Startup Mode (选择服务启动模式) 下,选择 Disabled (已禁用)

        6. 选择 OK (确定)

        7. 在完成注册表编辑(步骤 2)之前,阻止计算机重新启动。

        步骤 2:编辑注册表以禁用 Web 访问

        我们建议您通过 GPO 推送这些注册表更改。

        1. 将以下注册表项值设置为 1(已启用):

          KeyPath = HKEY_LOCAL_MACHINE\SOFTWARE\Amazon\WorkSpacesConfig\update-webaccess.ps1

          KeyName = RebootCount

          KeyType = DWORD

          KeyValue = 1

        2. 将以下注册表项值设置为 4(已禁用):

          KeyPath = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\spacedeskHookKmode

          KeyName = Start

          KeyType = DWORD

          KeyValue = 4

        3. 重启计算机。

        同一用户名具有多个工作区,但用户只能登录到其中一个工作区

        如果在 Active Directory (AD) 中删除用户而不先删除其工作区,然后将该用户添加回 Active Directory 并为该用户创建新的工作区,则同一个用户名现在将在同一目录中具有两个工作区。但是,如果用户尝试连接到其原始工作区,则将收到以下错误:

        "Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."

        此外,在 Amazon WorkSpaces 控制台中搜索用户名仅返回新的工作区,即使这两个工作区仍然存在。(您可以通过搜索工作区 ID 而不是用户名来查找原始工作区。)

        如果在不首先删除用户的工作区的情况下重命名 Active Directory 中的用户,也会发生此行为。如果之后您将其用户名更改回原始用户名并为用户创建新的工作区,则同一用户名将在目录中有两个工作区。

        出现此问题的原因是 Active Directory 使用用户的安全标识符 (SID)(而不是用户名)以唯一标识用户。当删除某个用户并在 Active Directory 中重新创建此用户时,即使用户的用户名保持不变,也会为该用户分配一个新的 SID。在搜索用户名时,Amazon WorkSpaces 控制台使用 SID 搜索 Active Directory 中的匹配项。当客户端连接到工作区时,Amazon WorkSpaces 客户端还使用 SID 来标识用户。

        要解决此问题,请执行下列操作之一:

        • 如果由于在 Active Directory 中删除了用户并在其中重新创建了该用户而发生了此问题,并且在 Active Directory 中启用了回收站功能,则您可能能够还原原始的已删除的用户对象。如果您能够还原原始用户对象,请确保用户可以连接到其原始工作区。如果可以,您可以在手动备份并将任何用户数据从新工作区传输到原始工作区之后删除新的工作区(如果需要)。

        • 如果无法还原原始用户对象,请删除用户的原始工作区。用户应该能够连接到并使用其新的工作区。请确保手动备份并将所有用户数据从原始工作区传输到新工作区。

          警告

          删除工作区是一项永久性操作,无法撤消。WorkSpace 用户的数据不会保留,而是会销毁。要获取有关备份用户数据的帮助,请联系 AWS Support。

        我在将 Docker 与 Amazon WorkSpaces 结合使用时遇到问题

        在 Amazon WorkSpaces for Windows 上不支持嵌套虚拟化(包括使用 Docker)。

        也不支持在 Linux WorkSpaces 上使用 Docker。如果您在 Linux WorkSpaces 上使用 Docker,则可能会遇到一些问题。

        我的一些 API 调用收到了 ThrottlingException 错误

        Amazon WorkSpaces API 调用的默认速率是一个恒定速率,为每秒两次 API 调用;允许的最大“突发”速率为每秒五次 API 调用。下表显示了适用于 API 请求的突发速率限制。

        发送的请求数 允许的 Net 请求数 详细信息

        1

        0

        5

        第一秒(第 1 秒)内允许发出五个请求,最高突发速率为每秒五次调用。

        2

        2

        5

        由于在第 1 秒中发出的调用未超过两次,所以五次调用的完整突发容量仍然可用。

        3

        5

        5

        由于在第 2 秒中发出的调用只有两次,所以五次调用的完整突发容量仍然可用。

        4

        2

        2

        因为在第 3 秒中使用了完整突发容量,所以只有每秒两次调用这一恒定速率可用。

        5

        3

        2

        由于没有剩余的突发容量,此时仅允许进行两次调用。这意味着剩余三次 API 调用的其中一次会受到限制。在短暂的延迟后,受到限制的调用将发出响应。

        6

        0

        1

        由于第 5 秒中的某次调用在第 6 秒中进行了重试,因此,根据每秒两次调用的恒定速率限制,第 6 秒中仅剩余一次额外调用的容量。

        7

        0

        3

        现在,队列中不再有任何受限制的 API 调用,速率限制继续增加,直至达到五次调用的突发速率限制。

        8

        0

        5

        由于在第 7 秒内没有发出调用,因此允许发送最大数量的请求。

        9

        0

        5

        即使在第 8 秒没有发出任何调用,速率限制也不会增加到五次以上。