排查 Amazon WorkSpaces 问题 - Amazon WorkSpaces
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

排查 Amazon WorkSpaces 问题

以下信息可帮助您解决与相关的问题。WorkSpaces.

启用高级日志记录

为了帮助解决用户可能遇到的问题,您可以在任何 Amazon WorkSpaces 客户端上启用高级日志记录。在禁用高级日志记录之前,将为每个后续客户端会话启用高级日志记录。

高级日志记录将生成包含诊断信息和调试级别详细信息(包括详细的性能数据)的日志文件。对于 1.0+ 和 2.0+ 客户端,这些高级日志记录文件会自动上传到 AWS 中的数据库。

注意

要让 AWS 查看由高级日志记录生成的日志文件,并接收针对 WorkSpaces 客户端问题的技术支持,请联系 AWS Support。有关更多信息,请参阅 AWS 支持中心.

Windows 客户端

    Windows 客户端日志存储在以下位置:

    %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs

    为 Windows 客户端启用高级日志记录

    1. 关闭 Amazon WorkSpaces 客户端。

    2. 打开命令提示符应用程序。

    3. 使用 WorkSpaces 标志启动 -l3 客户端。

      c:

      cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"

      workspaces.exe -l3

      注意

      如果为一个用户而不是所有用户安装了 WorkSpaces,请使用以下命令:

      c:

      cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"

      workspaces.exe -l3

    macOS 客户端

      客户端日志存储在以下位置:macOS

      ~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs

      为 macOS 客户端启用高级日志记录

      1. 关闭 Amazon WorkSpaces 客户端。

      2. 打开终端。

      3. 运行以下命令。

        open -a workspaces --args -l3

      Linux 客户端

        Linux 客户端日志存储在以下位置:

        ~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs

        为 Linux 客户端启用高级日志记录

        1. 关闭 Amazon WorkSpaces 客户端。

        2. 打开终端。

        3. 运行以下命令。

          /opt/workspacesclient/workspacesclient -l3

        1. 打开 WorkSpaces 客户端。

        2. 选择客户端应用程序右上角的齿轮图标。

        3. 选择 Advanced Settings (高级设置).

        4. 选中 Enable Advanced Logging (启用高级日志记录) 复选框。

        5. 选择 Save.

        Windows 客户端日志存储在以下位置:

        %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs

        客户端日志存储在以下位置:macOS

        ~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0

        排查特定问题

        以下信息可帮助您排查 WorkSpaces 的特定问题。

        问题

        我无法创建 Amazon Linux WorkSpace,因为用户名中存在无效字符

        对于 Amazon Linux WorkSpaces,用户名:

        • 最多可包含 20 个字符

        • 可以包含能够以 UTF-8 表示的字母、空格和数字

        • 可包含以下特殊字符:_ .-#

        • 不能以短划线符号 (-) 作为用户名的开头第一个字符

        注意

        这些限制不适用于 Windows WorkSpaces。 对于用户名中的所有字符,Windows WorkSpaces 支持 @ 和 - 符号。

        我更改了 Amazon Linux WorkSpace 的 shell,现在我无法预配置 PCoIP 会话

        要覆盖 Linux WorkSpaces 的默认 shell,请参阅覆盖 Amazon Linux WorkSpaces 的默认 Shell

        我的 Amazon Linux WorkSpaces 不会启动

        自 2020 年 7 月 20 日起,Amazon Linux WorkSpaces 将使用新的许可证证书。这些新证书仅与 PCoIP 代理的版本 2.14.1.1、2.14.7 和 2.14.9 兼容。

        如果您使用的是不受支持的 PCoIP 代理版本,则必须将其升级到最新版本 (2.14.9),该版本具有与新证书兼容的最新修复和性能改进。如果您未在 7 月 20 日之前进行这些升级,则 Linux WorkSpaces 的会话预配置将失败,并且您的最终用户将无法连接到其 WorkSpaces。

        将 PCoIP 代理升级到最新版本

        1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

        2. 在导航窗格中,选择 WorkSpaces

        3. 选择您的 Linux WorkSpace,然后通过依次选择 Actions (操作)Reboot WorkSpaces (重启) 来重启它。 如果 WorkSpace 状态为 STOPPED,则必须先选择 Actions (操作),选择 Start WorkSpaces (启动环境) 并等到其状态为 AVAILABLE 之后,您才能重启它。

        4. 在 WorkSpace重新启动并且其状态为 AVAILABLE 后,我们建议您在执行此升级时将 WorkSpace 的状态更改为 ADMIN_MAINTENANCE。完成后,将 WorkSpace 的状态更改为 AVAILABLE。 有关 ADMIN_MAINTENANCE 模式的更多信息,请参阅 手动维护

          要将 WorkSpace 的状态更改为 ADMIN_MAINTENANCE,请执行以下操作:

          1. 选择 WorkSpace,然后依次选择 Actions (操作)Modify WorkSpace (修改环境)

          2. 选择 Modify State.

          3. 对于 Intended State,选择 ADMIN_MAINTENANCE

          4. 选择修改.

        5. 通过 SSH 连接到 Linux WorkSpace。有关更多信息,请参阅 为 Linux 启用 SSH 连接 WorkSpaces.

        6. 要更新 PCoIP 代理,请运行以下命令:

          sudo yum --enablerepo=pcoip-stable install pcoip-agent-standard-2.14.9
        7. 要验证代理版本并确认更新成功,请运行以下命令:

          rpm -q pcoip-agent-standard

          验证命令应生成以下结果:

          pcoip-agent-standard-2.14.9-27877.el7.x86_64
        8. 从 WorkSpace 断开并重新启动它。

        9. 如果您在 WorkSpace 中将 ADMIN_MAINTENANCE 的状态设置为 步骤 4,请重复 步骤 4 并设置 Intended StateAVAILABLE

        如果您在升级 WorkSpace 代理后 Linux PCoIP 仍无法启动,请联系 AWS Support。

        在我连接的目录中启动 WorkSpaces 通常会失败

        验证是否可从您连接到目录时所指定的每个子网访问本地目录中的两个 DNS 服务器或域控制器。您可以通过在每个子网中启动一个 Amazon EC2 实例并将该实例加入您的目录中,然后使用两个 DNS 服务器的 IP 地址来验证此连接。

        启动 WorkSpaces 失败,出现内部错误

        检查您的子网是否配置为自动将 IPv6 地址分配给子网中启动的实例。要检查此设置,请打开 Amazon VPC 控制台,选择子网,然后依次选择 Subnet Actions (子网操作)Modify auto-assign IP settings (修改自动分配 IP 设置). 如果启用了此设置,则无法使用性能或图形服务包启动 WorkSpaces。而应在您启动实例时禁用此设置并手动指定 IPv6 地址。

        当我尝试注册目录时,注册失败,目录处于 ERROR 状态

        如果您尝试注册已为多区域复制配置的 AWS 托管的 Microsoft AD 目录,则可能会出现此问题。虽然主区域中的目录可以成功注册以用于 Amazon WorkSpaces,但尝试在复制区域中注册目录将失败。在复制区域内与 AWS 一起使用时,不支持使用 Amazon WorkSpaces 托管的 Microsoft AD 的多区域复制。

        我的用户无法连接到具有交互式登录横幅的 WindowsWorkSpace

        如果实施了交互式登录消息以显示登录横幅,这会阻止用户访问其 Windows WorkSpaces。 目前不支持交互式登录消息的组策略设置。Amazon WorkSpaces将 WorkSpaces 移动到未应用 Interactive logon: Message text for users attempting to log on 组策略的组织单位 (OU)。

        我的用户无法连接到 WindowsWorkSpace

        我的用户在尝试连接到其 Windows WorkSpaces 时收到以下错误:

        "An error occurred while launching your WorkSpace. Please try again."

        当 WorkSpace 无法使用 PCoIP 加载 Windows 桌面时,通常会发生此错误。 检查以下内容:

        • 如果适用于 Windows 的 PCoIP 标准代理服务未运行,则会显示此消息。使用 RDP 进行连接,以验证服务是否正在运行,是否设置为自动启动,以及是否可以通过管理界面 (eth0) 进行通信。

        • 如果卸载了 PCoIP 代理,请通过 WorkSpace 控制台重启 Amazon WorkSpaces 以自动重新安装它。

        此错误的另一个原因与用户权限分配组策略有关。如果以下组策略配置不正确,它会阻止用户访问其 Windows WorkSpaces:

        Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment (计算机配置\Windows 设置\安全设置\本地策略\用户权限分配)

        • 不正确的策略:

          策略:Access this computer from the network (从网络访问此计算机)

          设置:Domain name\\域计算机

          获胜 GPO:允许文件访问

        • 正确的策略:

          策略:Access this computer from the network (从网络访问此计算机)

          设置:Domain name\\域用户

          获胜 GPO:允许文件访问

        注意

        此策略设置应该应用于 Domain Users (域用户) 而不是 Domain Computers (域计算机).

        有关更多信息,请参阅 Microsoft Windows 文档中的从网络访问此计算机 - 安全策略设置配置安全策略设置

        Amazon WorkSpaces 客户端显示一个灰色的“正在加载...”屏幕一段时间,然后返回登录屏幕。不显示其他错误消息。

        此行为通常表示 WorkSpaces 客户端可以通过端口 443 进行身份验证,但无法通过端口 4172 (PCoIP) 或端口 495 (WSP) 建立流连接。在未满足网络先决条件时,可能会发生此情况。客户端的问题通常会导致客户端中的网络检查失败。要查看哪些运行状况检查失败,请选择网络检查图标(通常是 2.0+ 客户端的登录屏幕右下角具有感叹号的红色三角形或网络图标) 
                        网络图标
                    (在 3.0+ 客户端的右上角)。

        注意

        此问题的最常见原因是客户端防火墙或代理阻止通过端口 4172 或 495(TCP 和 UDP)进行访问。如果此运行状况检查失败,请检查您的本地防火墙设置。

        如果网络检查通过,则 WorkSpace 的网络配置可能存在问题。 例如,Windows 防火墙规则可能会阻止管理界面上的端口 UDP 4172 或 495。 使用远程桌面协议 (RDP) 客户端连接到 WorkSpace,以验证 WorkSpace 是否满足必要的 端口要求

        我的用户收到消息“WorkSpace 状态:不正常。我们无法将您连接到您的 WorkSpace。请过几分钟再试。”

        此错误通常表示 SkyLightWorkSpacesConfigService 服务未响应运行状况检查。

        如果您刚刚重启或启动 WorkSpace,请等待几分钟,然后重试。

        如果 WorkSpace 已运行一段时间,并且您仍看到此错误,请使用 RDP 连接以验证 SkyLightWorkSpacesConfigService 服务:

        • 正在运行。

        • 设置为自动启动。

        • 可以通过管理界面 (eth0) 进行通信。

        • 未被任何第三方防病毒软件阻止。

        我的用户收到消息“This device is not authorized to access the WorkSpace. 请联系您的管理员寻求帮助。”

        此错误表示已在 目录上配置 IP 访问控制组WorkSpace,但客户端 IP 地址未列入白名单。

        检查您的目录上的设置。确认用户所连接的公有 IP 地址允许访问 WorkSpace。

        我的用户收到消息“No network. 网络连接丢失。请检查您的网络连接或联系您的管理员寻求帮助。” 尝试连接到 WSP 时WorkSpace

        如果发生此错误并且您的用户没有连接问题,请确保端口 495 在您的网络防火墙上处于打开状态。对于使用 WorkSpaces 的 WorkSpaces Streaming Protocol (WSP),用于流式传输客户端会话的端口已从 4172 更改为 495。

        客户端会向我的用户提供网络错误,但他们可以在其设备上使用其他启用网络的应用程序WorkSpaces

        客户端应用程序依赖于对 AWS 云中资源的访问,并且需要可提供至少 1 Mbps 下载带宽的连接。WorkSpaces如果设备是间歇性地连接到网络,WorkSpaces 客户端应用程序就可能报告网络问题。

        Amazon WorkSpaces从 2018 年 5 月开始, 强制使用 Amazon Trust Services 颁发的数字证书。在 支持的操作系统上,Amazon Trust Services 已经是受信任的根 CA。Amazon WorkSpaces. 如果操作系统的根 CA 列表不是最新的,则设备无法连接到 WorkSpaces,并且客户端会给出网络错误。

        识别由于证书失败造成的连接问题

        • PCoIP zero clients — 将显示以下错误消息。

          Failed to connect. The server provided a certificate that is invalid. See below for details:
          - The supplied certificate is invalid due to timestamp
          - The supplied certificate is not rooted in the devices local certificate store
        • 其他客户端 — 运行状况检查失败,出现 Internet. 红色警告三角形。

        Windows 客户端应用程序

        使用以下解决方案之一处理证书故障。

        解决方案 1:更新客户端应用程序

        Amazon WorkSpaces Client Downloads 下载并安装最新的 Windows 客户端应用程序。在安装过程中,客户端应用程序确保由 Amazon Trust Services 发布了您的操作系统信任证书。

        解决方案 2:将 Amazon Trust Services 添加到本地根 CA 列表

        1. 打开 https://www.amazontrust.com/repository/.

        2. 下载 DER 格式的 Starfield 证书 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。

        3. 打开 Microsoft 管理控制台。(从命令提示符中,运行 mmc.)

        4. 依次选择 File (文件)Add/Remove Snap-in (添加/删除管理单元)Certificates (证书)Add (添加).

        5. Certificates snap-in (证书管理单元) 页面上,选择 Computer account (计算机账户),然后选择 Next (下一步). 保留默认值 Local computer (本地计算机). 选择 Finish. 选择确定.

        6. 展开 Certificates (Local Computer) (证书 (本地计算机)),然后选择 Trusted Root Certification Authorities (受信任的根证书颁发机构). 依次选择 Action (操作)All Tasks (所有任务)Import (导入).

        7. 按照向导的说明,导入下载的证书。

        8. 退出并重新启动 WorkSpaces 客户端应用程序。

        解决方案 3:使用组策略部署 Amazon Trust Services 作为可信 CA

        使用组策略将 Starfield 证书添加到域的受信任根 CAs。有关更多信息,请参阅使用策略来分配证书.

        PCoIP 零客户端

        要使用固件版本 6.0 或更高版本直接连接到WorkSpace,请下载并安装 Amazon Trust Services 颁发的证书。

        添加 Amazon Trust Services 作为可信根 CA

        1. 打开 https://certs.secureserver.net/repository/.

        2. Starfield Certificate Chain (Starfield 证书链) 下下载具有指纹 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C8 67 75 21 FB 5F B6 58 的证书。

        3. 上传证书至 zero 客户端。有关更多信息,请参阅 Teradici 文档中的上传证书

        其他客户端应用程序

        Amazon Trust Services. 添加 Starfield 证书 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。有关如何添加根 CA 的更多信息,请参阅以下文档:

        我的 WorkSpace 用户看到以下错误消息:“设备无法连接到注册服务。请检查网络设置。”

        当出现注册服务故障时,您的 WorkSpace 用户可能会在 Connection Health Check (连接运行状况检查) 页面上看到以下错误消息:“您的设备无法连接到 WorkSpaces 注册服务。您无法向 WorkSpaces 注册您的设备。 Please check your network settings.”

        此错误在 WorkSpaces 客户端应用程序无法访问注册服务时发生。通常,在删除 WorkSpaces 目录后会出现此情况。要纠正此错误,请确保注册代码有效并与 AWS 云中一个正在运行的目录相对应。

        我的 PCoIP 零客户端用户收到错误“提供的证书由于时间戳而无效”

        如果在 Teradici 中未启用网络时间协议 (NTP),则 PCoIP 零客户端用户可能会收到证书失败错误。要设置 NTP,请参阅为 PCoIP 设置 WorkSpaces 零客户端.

        我的用户跳过了更新其 Windows 或 macOS 客户端应用程序的过程,并且没有收到安装最新版本的提示

        当用户跳过对 Amazon WorkSpaces Windows 客户端应用程序的更新时,将设置 SkipThisVersion 注册表项,并且在发布客户端的新版本时不再提示他们更新其客户端。要更新到最新版本,您可以编辑注册表,如 中的WorkSpaces将 Windows 客户端应用程序更新到较新版本中所述。Amazon WorkSpaces 用户指南您还可以运行以下 PowerShell 命令:

        Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces\WinSparkle" -Name "SkipThisVersion"

        当用户跳过对 Amazon WorkSpaces macOS 客户端应用程序的更新时,将设置 SUSkippedVersion 首选项,并且在发布客户端的新版本时不再提示他们更新其客户端。要更新到最新版本,您可以按 中的WorkSpaces将 macOS 客户端应用程序更新到较新版本中所述重置此首选项。Amazon WorkSpaces 用户指南

        我的用户没有收到邀请电子邮件或密码重置电子邮件

        用户不会自动收到使用 AD Connector 或受信任域创建的 WorkSpaces 的欢迎或密码重置电子邮件。

        要手动向这些用户发送欢迎电子邮件,请参阅 发送邀请电子邮件.

        要重置用户密码,请参阅为 设置 Active Directory 管理工具Amazon WorkSpaces.

        我的用户在客户端登录屏幕上看不到“忘记密码?”选项

        如果您使用的是 AD Connector 或受信任域,您的用户将无法重置自己的密码。( 客户端应用程序登录屏幕上的 Forgot password? (忘记密码?)WorkSpaces 选项将不可用。) 有关如何重置用户密码的信息,请参阅为 设置 Active Directory 管理工具Amazon WorkSpaces

        当我尝试在 Windows WorkSpace 上安装应用程序时,收到消息“系统管理员已设置策略以阻止此安装”

        您可以通过修改 Windows 安装程序组策略设置来解决此问题。要将此策略部署到目录中的多个WorkSpaces,请将此设置应用于从加入域的 EC2 实例链接到 WorkSpaces 组织单位 (OU) 的组策略对象。如果您使用 AD Connector,则可以从域控制器进行这些更改。有关使用 Active Directory 管理工具处理组策略对象的更多信息,请参阅 https://docs.amazonaws.cn/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html 中的安装 Active Directory 管理工具AWS Directory Service Administration Guide。

        以下过程说明如何为 Amazon WorkSpaces 组策略对象配置 Windows 安装程序设置。

        1. 确保域中安装了最新的 Amazon WorkSpaces 组策略管理模板

        2. 在 Windows WorkSpace 客户端上打开组策略管理工具,然后导航到 WorkSpaces 计算机账户的 WorkSpaces 组策略对象并选择该对象。从主菜单中,依次选择 Action (操作)Edit (编辑).

        3. 在组策略管理编辑器中,依次选择计算机配置策略管理模板经典管理模板Windows 组件Windows 安装程序.

        4. 打开 Turn Off Windows Installer (关闭 Windows 安装程序) 设置。

        5. Turn Off Windows Installer (关闭 Windows 安装程序) 对话框中,将 Not Configured (未配置) 更改为 Enabled (已启用),然后将 Disable Windows Installer (禁用 Windows 安装程序) 设置为 Never (从不).

        6. 选择确定.

        7. 要应用组策略更改,请执行下列操作之一:

          • 重启 WorkSpace(在 Amazon WorkSpaces 控制台中,选择 WorkSpace,然后选择 Actions (操作)Reboot WorkSpaces (重启重启 ))。

          • 从管理命令提示符下,输入 gpupdate /force.

        我的目录中的任何 WorkSpaces 都无法连接到 Internet

        默认情况下,WorkSpaces 无法与 Internet 通信。您必须显式提供 Internet 访问。有关更多信息,请参阅 从您的 WorkSpace 提供 Internet 访问.

        我的 WorkSpace 已失去 Internet 访问权限

        如果您的 WorkSpace已失去对 Internet 的访问权限,并且您无法使用 RDP 连接到 WorkSpace,则此问题可能是由于 的公有 IP 地址丢失而导致的。WorkSpace 如果您在目录级别启用了弹性 IP 地址自动分配,则会在 启动时为其分配弹性 IP 地址(来自 Amazon 提供的池)。WorkSpace但是,如果您将您拥有的弹性 IP 地址与 WorkSpace 关联,并在以后将该弹性 IP 地址与 WorkSpace 取消关联,则 WorkSpace 会失去其公有 IP 地址,并且不会自动从 Amazon 提供的池中获取新的地址。

        要将 Amazon 提供的池中的新公有 IP 地址与WorkSpace关联,您必须重新生成WorkSpace。 如果您不想重建 WorkSpace,则必须将您拥有的另一个弹性 IP 地址与 WorkSpace 关联。

        我们建议您不要在WorkSpace启动后修改WorkSpace的弹性网络接口。将弹性 IP 地址分配给WorkSpace之后,WorkSpace将保留相同的公有 IP 地址(除非重建WorkSpace,在这种情况下,它将获取新的公有 IP 地址)。

        当我尝试连接我的本地目录时收到一条“DNS unavailable”错误

        在连接您的本地目录时,您收到类似于以下内容的错误消息。

        DNS unavailable (TCP port 53) for IP: dns-ip-address

        AD Connector 必须能够通过 TCP 和 UDP 经由端口 53 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。

        在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误

        在连接您的本地目录时,您收到类似于以下内容的错误消息。

        Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address
        Kerberos/authentication unavailable (TCP port 88) for IP: ip-address
        Please ensure that the listed ports are available and retry the operation.

        AD Connector 必须能够通过 TCP 和 UDP 经由以下端口与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信:

        • 88 (Kerberos)

        • 389 (LDAP)

        在尝试连接到我的本地目录时,我收到一条“SRV record”错误

        在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息。

        SRV record for LDAP does not exist for IP: dns-ip-address
        
        SRV record for Kerberos does not exist for IP: dns-ip-address

        在连接您的目录时,AD Connector 需要获取 _ldap._tcp.dns-domain-name_kerberos._tcp.dns-domain-name SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您会收到此错误。请确保您的 DNS 服务器包含这些 SRV 记录。有关更多信息,请参阅 Microsoft 上的 SRV 资源记录TechNet。

        我的 Windows WorkSpace 在空闲时进入睡眠状态

        要解决此问题,请连接到 WorkSpace 并通过使用以下过程将电源计划更改为 High performance (高性能)

        1. 从 WorkSpace 中,打开 Control Panel (控制面板),然后选择 Hardware and Sound (硬件和声音)

        2. Power Options (电源选项) 下,选择 Choose a power plan (选择电源计划).

        3. Choose or customize a power plan (选择或自定义电源计划) 窗格中,选择 High performance (高性能) 电源计划。如果此计划不可见,请选择 Show additional plans (显示其他计划) 右侧的箭头以显示此计划。

        如果上述步骤无法解决该问题,请执行以下操作:

        1. Choose or customize a power plan (选择或自定义电源计划) 窗格中,选择 High performance (高性能) 电源计划右侧的 Change plan settings (更改计划设置) 链接,然后选择 Change advanced power settings (更改高级电源设置) 链接。

        2. Power Options (电源选项) 对话框的设置列表中,选择 Hard disk (硬盘) 左侧的加号以显示相关设置。

        3. 验证 Pluged in (已插入)Turn off hard disk after (关闭硬盘后) 值是否大于 On battery (电池上) 的值(默认值为 20 分钟)。

        4. 选择 PCI Express 左侧的加号,然后为 Link State Power Management (链路状态电源管理). 执行相同的操作。

        5. 验证 Link State Power Management (链路状态电源管理) 设置是否为 Off (关闭).

        6. 选择 OK (如果您更改了任何设置,则选择 Apply) 以关闭对话框。

        7. Change settings for the plan (更改计划的设置) 窗格中,如果您更改了任何设置,请选择 Save changes (保存更改).

        我的 WorkSpaces 之一的状态为 UNHEALTHY

        服务会定期向 Amazon WorkSpaces 发送状态请求。WorkSpace 当 WorkSpace 无法响应这些请求时,它会标记为 UNHEALTHY。导致此问题的常见原因包括:

        • 上的一个应用程序阻塞了网络端口,因而阻止 WorkSpace 响应状态请求。WorkSpace

        • CPU 使用率高阻止 WorkSpace 及时响应状态请求。

        • 的计算机名称已更改。WorkSpace这可防止在 Amazon WorkSpaces 和 WorkSpace 之间建立安全通道。

        您可以尝试使用以下方法来纠正这种状况:

        • 从 WorkSpace 控制台重启 Amazon WorkSpaces。

        • 使用以下过程连接到运行状况不佳的 WorkSpace,此过程应仅用于故障排除:

          1. 在与运行状况不佳的 WorkSpace 相同的目录中连接到可操作的 WorkSpace。

          2. 从正常运行的 WorkSpace 中,使用远程桌面协议 (RDP) 通过运行状况不佳的 WorkSpace 的 IP 地址连接到运行状况不佳的 WorkSpace。 根据问题的严重程度,您可能无法连接到运行状况不佳的WorkSpace。

          3. 在运行状况不佳的WorkSpace上,确认满足最低端口要求

        • 确保 SkyLightWorkSpacesConfigService 服务可以响应运行状况检查。要解决此问题,请参阅我的用户收到消息“WorkSpace 状态:不正常。我们无法将您连接到您的 WorkSpace。请过几分钟再试。”

        • 从 WorkSpace 控制台重新生成 Amazon WorkSpaces。由于重建 WorkSpace 可能会导致数据丢失,因此,只有在所有其他尝试纠正该问题已失败时,才应使用该选项。

        我的 WorkSpace 意外崩溃或重启

        如果您的 WorkSpace反复崩溃或重启,并且您的错误日志或崩溃转储指向与 spacedeskHookKmode.sysspacedeskHookUmode.dll 相关的问题,或者您收到以下错误消息,则可能需要禁用对 WorkSpace 的 Web 访问:

        The kernel power manager has initiated a shutdown transition.
        Shutdown reason: Kernel API
                    
        The computer has rebooted from a bugcheck.
                    
        注意
        • 仅当您不允许用户使用 Web 访问时,才应禁用 Web 访问。

        • Web Access 仅适用于 PCoIP WorkSpaces。 Web Access 不适用于 WorkSpaces Streaming Protocol (WSP) WorkSpaces。

        要禁用对 WorkSpace的 Web 访问,您必须设置组策略并修改两个注册表设置。有关使用 Active Directory 管理工具处理组策略对象的信息,请参阅 https://docs.amazonaws.cn/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html 中的安装 Active Directory 管理工具AWS Directory Service Administration Guide。

        步骤 1:设置组策略以在目录级别禁用 Web 访问

        您必须从 PCoIP WorkSpace 而不是域控制器进行这些更改,因为 STXHD 托管应用程序服务必须存在。

        1. 编辑 WorkSpaces 使用的安全组以允许 RDP 连接。有关更多信息,请参阅如何使用 RDP 连接到我的 WorkSpace?

        2. 使用 RDP 连接到 WorkSpace。 确保您使用的用户账户对域具有创建和修改 GPOs 的权限。 如果您为 WorkSpace 目录使用 Simple AD,则用户名为 Administrator。 如果您使用的是 Microsoft AD,则管理员用户名为 Admin

        3. 安装 Active Directory 管理工具 (RSAT) 以获取组策略管理编辑器工具。要安装这些工具,请参阅 https://docs.amazonaws.cn/directoryservice/latest/admin-guide/ms_ad_install_ad_tools.html 中的安装 Active Directory 管理工具AWS Directory Service Administration Guide。

          您还可以以管理员身份运行以下 Windows PowerShell 命令来安装这些工具:

          Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
        4. 打开组策略管理编辑器 (gpmc.msc),然后在目录的域控制器级别找到组策略对象 (GPO) 策略。

          注意

          如果支持 WorkSpaces 的域是 AWS 托管的 Microsoft Active Directory,则必须在具有委派权限的域容器下创建并链接 GPO。有关更多信息,请参阅 https://docs.amazonaws.cn/directoryservice/latest/admin-guide/ms_ad_getting_started_what_gets_created.html 中的创建的内容AWS Directory Service Administration Guide。

        5. 选择 Action (操作)Edit (编辑).

        6. 导航到以下设置:

          计算机配置\\策略\\Windows 设置\\安全设置\\系统服务\\STXHD 托管应用程序服务

        7. STXHD Hosted Application Service Properties 对话框的 Security Policy Setting 选项卡上,选中 Define this policy setting 复选框。

        8. Select Service Startup Mode (选择服务启动模式) 下,选择 Disabled (已禁用).

        9. 选择确定.

        10. 在完成注册表编辑(步骤 2)之前,阻止计算机重新启动。

        步骤 2:编辑注册表以禁用 Web 访问

        我们建议您通过 GPO 推送这些注册表更改。

        1. 将以下注册表项值设置为 1(已启用):

          KeyPath = HKEY_LOCAL_MACHINE\\SOFTWARE\\Amazon\\WorkSpacesConfig\\update-webaccess.ps1

          KeyName = RebootCount

          KeyType = DWORD

          KeyValue = 1

        2. 将以下注册表项值设置为 4(已禁用):

          KeyPath = HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\spacedeskHookKmode

          KeyName = 开始

          KeyType = DWORD

          KeyValue = 4

        3. 重启计算机。

        同一用户名有多个WorkSpace,但用户只能登录到WorkSpaces中的一个

        如果在 Active Directory (AD) 中删除用户而未先删除其 WorkSpace,然后将该用户添加回 Active Directory 并为该用户创建新的 WorkSpace,则同一用户名现在将在同一目录中具有两个 WorkSpaces。但是,如果用户尝试连接到其原始WorkSpace,则会收到以下错误:

        "Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."

        此外,在 Amazon WorkSpaces 控制台中搜索用户名时,仅返回新的 WorkSpace,即使这两个 WorkSpaces 仍然存在。(您可以通过搜索 WorkSpace ID 而不是用户名来查找原始 WorkSpace。)

        如果您重命名 Active Directory 中的用户而不先删除其 WorkSpace,也会出现此行为。 如果您随后将其用户名更改回原始用户名并为用户创建新的 WorkSpace,则同一用户名将在目录中具有两个 WorkSpaces。

        出现此问题的原因是 Active Directory 使用用户的安全标识符 (SID)(而不是用户名)以唯一标识用户。当删除某个用户并在 Active Directory 中重新创建此用户时,即使用户的用户名保持不变,也会为该用户分配一个新的 SID。在搜索用户名时,Amazon WorkSpaces 控制台使用 SID 搜索 Active Directory 中的匹配项。当客户端连接到 Amazon WorkSpaces 时,WorkSpaces 客户端还使用 SID 来标识用户。

        要解决此问题,请执行下列操作之一:

        • 如果由于在 Active Directory 中删除了用户并在其中重新创建了该用户而发生了此问题,并且在 Active Directory 中启用了回收站功能.,则您可能能够还原原始的已删除的用户对象。如果您能够还原原始用户对象,请确保用户可以连接到其原始 WorkSpace。 如果可以,您可以在手动备份并将任何用户数据从新传输到原始WorkSpace(如果需要)后删除新的WorkSpace。WorkSpace

        • 如果您无法还原原始用户对象, 将删除用户的原始 WorkSpace。 用户应该能够连接到并使用其新的 WorkSpace。请务必手动备份用户数据并将其从原始WorkSpace传输到新的WorkSpace。

          警告

          删除WorkSpace是一项永久性操作,无法撤消。用户的数据不会保留,而是会销毁。WorkSpace要获取有关备份用户数据的帮助,请联系 AWS Support。

        我在将 Docker 与 结合使用时遇到问题Amazon WorkSpaces

        WindowsWorkSpaces

        Windows WorkSpaces 不支持嵌套虚拟化(包括使用 Docker)。 有关更多信息,请参阅 Docker 文档

        LinuxWorkSpaces

        要在 Linux WorkSpaces上使用 Docker,请确保 Docker 使用的 CIDR 块不会与与与 ENIsENIWorkSpace) 中使用的 CIDR 块重叠。 如果在 Linux WorkSpaces 上使用 Docker 时遇到问题,请联系 Docker 寻求帮助。

        我的一些 API 调用收到了 ThrottlingException 错误

        Amazon WorkSpaces API 调用的默认速率是一个恒定速率,为每秒两次 API 调用;允许的最大“突发”速率为每秒五次 API 调用。下表显示了适用于 API 请求的突发速率限制。

        发送的请求数 允许的 Net 请求数 详细信息

        1

        0

        5

        第一秒(第 1 秒)内允许发出五个请求,最高突发速率为每秒五次调用。

        2

        2

        5

        由于在第 1 秒中发出的调用未超过两次,所以五次调用的完整突发容量仍然可用。

        3

        5

        5

        由于在第 2 秒中发出的调用只有两次,所以五次调用的完整突发容量仍然可用。

        4

        2

        2

        因为在第 3 秒中使用了完整突发容量,所以只有每秒两次调用这一恒定速率可用。

        5

        3

        2

        由于没有剩余的突发容量,此时仅允许进行两次调用。这意味着剩余三次 API 调用的其中一次会受到限制。在短暂的延迟后,受到限制的调用将发出响应。

        6

        0

        1

        由于第 5 秒中的某次调用在第 6 秒中进行了重试,因此,根据每秒两次调用的恒定速率限制,第 6 秒中仅剩余一次额外调用的容量。

        7

        0

        3

        现在,队列中不再有任何受限制的 API 调用,速率限制继续增加,直至达到五次调用的突发速率限制。

        8

        0

        5

        由于在第 7 秒内没有发出调用,因此允许发送最大数量的请求。

        9

        0

        5

        即使在第 8 秒没有发出任何调用,速率限制也不会增加到五次以上。