故障排除 WorkSpaces 问题 - 亚马逊 WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

故障排除 WorkSpaces 问题

以下信息可帮助您解决与相关的问题 WorkSpaces.

启用高级日志记录

为了帮助解决用户可能遇到的问题,您可以在任何 Amazon 上启用高级登录 WorkSpaces 客户端。

高级日志记录将生成包含诊断信息和调试级别详细信息(包括详细的性能数据)的日志文件。对于 1.0+ 和 2.0+ 客户端,这些高级日志文件会自动上传到数据库中Amazon.

注意

要有Amazon查看高级日志记录生成的日志文件,并就您的问题获得技术支持 WorkSpaces 客户,联系人AmazonSupport。有关更多信息,请参阅 Amazon 支持中心

Windows 客户端

    Windows 客户端日志存储在以下位置:

    %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs

    为 Windows 客户端启用高级日志记录

    1. 关闭Amazon WorkSpaces 客户端。

    2. 打开命令提示符应用程序。

    3. 启动 WorkSpaces 客户与-l3flags。

      c:

      cd "C:\Program Files\Amazon Web Services, Inc\Amazon WorkSpaces"

      workspaces.exe -l3

      注意

      如果 WorkSpaces 是为一个用户而不是所有用户安装的,请使用以下命令:

      c:

      cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"

      workspaces.exe -l3

    macOS 客户端

      macOS 客户端日志存储在以下位置:

      ~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs

      为 macOS 客户端启用高级日志记录

      1. 关闭Amazon WorkSpaces 客户端。

      2. 打开终端。

      3. 运行以下命令。

        open -a workspaces --args -l3

      Android

        为 Android 客户端启用高级日志记录

        1. 关闭Amazon WorkSpaces 客户端。

        2. 打开安卓客户端菜单。

        3. Select支持.

        4. Select日志记录.

        5. Select启用高级日志记录.

        要在启用高级日志后检索 Android 客户端的日志,请执行以下操作:

        • SelectEXTRAC在本地保存压缩日志。

        Linux 客户端

          Linux 客户端日志存储在以下位置:

          ~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs

          为 Linux 客户端启用高级日志记录

          1. 关闭Amazon WorkSpaces 客户端。

          2. 打开终端。

          3. 运行以下命令。

            /opt/workspacesclient/workspacesclient -l3

          Windows 客户端

            Windows 客户端日志存储在以下位置:

            %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs

            为 Windows 客户端启用高级日志记录

            1. 关闭Amazon WorkSpaces 客户端。

            2. 打开命令提示符应用程序。

            3. 启动 WorkSpaces 客户与-l3flags。

              c:

              cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"

              workspaces.exe -l3

              注意

              如果 WorkSpaces 是为一个用户而不是所有用户安装的,请使用以下命令:

              c:

              cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"

              workspaces.exe -l3

            macOS 客户端

              macOS 客户端日志存储在以下位置:

              ~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs

              为 macOS 客户端启用高级日志记录

              1. 关闭Amazon WorkSpaces 客户端。

              2. 打开终端。

              3. 运行以下命令。

                open -a workspaces --args -l3

              Android

                为 Android 客户端启用高级日志记录

                1. 关闭Amazon WorkSpaces 客户端。

                2. 打开安卓客户端菜单。

                3. Select支持.

                4. Select日志记录.

                5. Select启用高级日志记录.

                要在启用高级日志后检索 Android 客户端的日志,请执行以下操作:

                • SelectEXTRAC在本地保存压缩日志。

                Linux 客户端

                  Linux 客户端日志存储在以下位置:

                  ~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs

                  为 Linux 客户端启用高级日志记录

                  1. 关闭Amazon WorkSpaces 客户端。

                  2. 打开终端。

                  3. 运行以下命令。

                    /opt/workspacesclient/workspacesclient -l3

                  1. 打开 WorkSpaces 客户端。

                  2. 选择客户端应用程序右上角的齿轮图标。

                  3. 选择 Advanced Settings (高级设置)

                  4. 选中 Enable Advanced Logging (启用高级日志记录) 复选框。

                  5. 选择Save(保存)。

                  Windows 客户端日志存储在以下位置:

                  %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs

                  macOS 客户端日志存储在以下位置:

                  ~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0

                  对特定问题进行故障排除

                  以下信息可帮助您解决与相关的问题 WorkSpaces.

                  问题

                  我无法创建亚马逊 Linx Linx WorkSpace 因为用户名中有无效字符

                  对于 Amazon L WorkSpaces,用户名:

                  • 最多可包含 20 个字符

                  • 可以包含能够以 UTF-8 表示的字母、空格和数字

                  • 可包含以下特殊字符:_ .-#

                  • 不能以短划线符号 (-) 作为用户名的开头第一个字符

                  注意

                  这些限制不适用于 Windows WorkSpaces. Windows WorkSpaces 支持用户名中所有字符的 @ 和-符号。

                  我更换了亚马逊 Linux 的外壳 WorkSpace 现在我无法配置 PCoIP 会话

                  替换 Linux 的默认外壳 WorkSpaces,请参阅覆盖亚马逊 Linux WorkSpaces 的默认外壳.

                  我的 Linux WorkSpaces无法start

                  从 2020 年 7 月 20 日起,亚马逊 Linx WorkSpaces 将使用新的许可证证书。这些新证书仅与 PCoIP 代理的 2.14.1.1、2.14.7、2.14.9 和 20.10.6 或更高版本兼容。

                  如果您使用的是不支持的 PCoIP 代理版本,则必须将其升级到最新版本 (20.10.6),该版本具有与新证书兼容的最新修复和性能改进。如果你没有在 7 月 20 日之前进行这些升级,请为你的 Linux 配置会话 WorkSpaces 将失效,并且您的最终用户将无法连接到他们的 WorkSpaces.

                  将 PCoIP 代理升级到最新版本

                  1. 打开 WorkSpaces 控制台位于https://console.aws.amazon.com/workspaces/.

                  2. 在导航窗格中,选择WorkSpaces.

                  3. 选择您的 Linux WorkSpace,然后通过选择重启它操作,重启 WorkSpaces. 如果 WorkSpace 状态为STOPPED,你必须选择操作,启动 WorkSpaces首先等到其状态为AVAILABLE在你重新启动它之前。

                  4. 在您之后 WorkSpace 已重新启动,其状态为AVAILABLE,我们建议您更改 WorkSpace 到ADMIN_MAINTENANCE在您执行此升级时。完成后,更改的状态 WorkSpace 到AVAILABLE. 有关更多信息ADMIN_MAINTENANCE模式,请参阅手动维护.

                    更改 a 的状态 WorkSpace 到ADMIN_MAINTENANCE,执行以下操作:

                    1. 选择 WorkSpace 然后选择操作,修改 WorkSpace.

                    2. 选择 Modify State

                    3. 对于预期州/省,SLECT管理员_维护.

                    4. 选择 Modify(修改)。

                  5. Connect 您的 Linux。 WorkSpace 通过 SSH。有关更多信息,请参阅 为你的 Linux 启用 SSH 连接 WorkSpaces

                  6. 要更新 PCoIP 代理,请运行以下命令:

                    sudo yum --enablerepo=pcoip-stable install pcoip-agent-standard-20.10.6
                  7. 要验证代理版本并确认更新成功,请运行以下命令:

                    rpm -q pcoip-agent-standard

                    验证命令应生成以下结果:

                    pcoip-agent-standard-20.10.6-1.el7.x86_64
                  8. 断开与 WorkSpace 然后再次重启它。

                  9. 如果您设置的状态 WorkSpace 到ADMIN_MAINTENANCE步骤 4,重复步骤 4并设置预期州/省AVAILABLE.

                  如果您 Linux WorkSpace 升级 PCoIP 代理后仍然无法启动,请联系AmazonSupport。

                  启动 WorkSpaces 在我的连接目录中经常失败

                  验证是否可从您连接到目录时所指定的每个子网访问本地目录中的两个 DNS 服务器或域控制器。您可以通过在每个子网中启动一个 Amazon EC2 实例,然后使用两个 DNS 服务器的 IP 地址将该实例加入您的目录来验证这种连接。

                  启动 WorkSpaces 失败,内部错误

                  检查您的子网是否配置为自动将 IPv6 地址分配给在子网中启动的实例。要检查此设置,请打开 Amazon VPC 控制台,选择您的子网,然后选择子网操作,修改自动分配 IP 设置. 如果启用此设置,则无法启动 WorkSpaces 使用 “性能” 或 “显卡” 套装。解决办法是,在启动实例时,禁用此设置并手动指定 IPv6 地址。

                  当我尝试注册一个目录时,注册失败并使该目录处于错误状态

                  如果你正在尝试注册Amazon为多区域复制配置的托管 Microsoft AD 目录。尽管主区域中的目录可以成功注册使用 Amazon WorkSpaces,尝试在复制的区域中注册该目录失败。使用进行多区域复制Amazon不支持在亚马逊上使用微软托管广告 WorkSpaces 在复制的区域内。

                  我的用户无法连接到 Windows WorkSpace 带有交互式登录横幅

                  如果已实现交互式登录消息以显示登录标语,则会阻止用户访问他们的 Windows WorkSpaces. WorkSpaces 目前不支持交互式登录消息的组策略设置。移动 WorkSpaces 到组织单位 (OU),其中Interactive logon: Message text for users attempting to log on未应用组策略。

                  我的用户无法连接到 Windows WorkSpace

                  我的用户在尝试连接到 Windows 时会收到以下错误 WorkSpaces:

                  "An error occurred while launching your WorkSpace. Please try again."

                  此错误通常发生在 WorkSpace 无法使用 PCoIP 加载 Windows 桌面。请检查以下事项:

                  • 如果 Windows 的 PCoIP 标准代理服务未运行,则会显示此消息。使用 RDP 进行连接,以验证服务是否正在运行,是否设置为自动启动,以及是否可以通过管理界面 (eth0) 进行通信。

                  • 如果 PCoIP 代理已卸载,请重新启动 WorkSpace 通过亚马逊 WorkSpaces 控制台自动重新安装它。

                  • 您也可能在亚马逊上收到此错误 WorkSpaces 客户端在长时间延迟后如果WorkSpaces安全组已修改为限制出站流量。限制出站流量会阻止 Windows 与您的目录控制器通信而导致无法进行登录。验证安全组是否允许 WorkSpaces 与所有目录控制器通信的步骤必需端口在主网络接口上。

                  此错误的另一个原因与用户权限分配组策略有关。如果以下组策略配置不正确,则会使用户无法访问他们的 Windows WorkSpaces:

                  Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment (计算机配置\Windows 设置\安全设置\本地策略\用户权限分配)

                  • 不正确的策略:

                    策略:从网络访问此计算机

                    设置:域名\ 域计算机

                    获胜 GPO:允许文件访问

                  • 正确的策略:

                    策略:从网络访问此计算机

                    设置:域名\ 域用户

                    获胜 GPO:允许文件访问

                  注意

                  此策略设置应该应用于 Domain Users (域用户) 而不是 Domain Computers (域计算机)

                  有关更多信息,请参阅 Microsoft Windows 文档中的从网络访问此计算机 - 安全策略设置配置安全策略设置

                  Amazon WorkSpaces 在返回登录屏幕之前,客户端会显示灰色的 “正在加载...” 屏幕一段时间。不显示其他错误消息。

                  这种行为通常表明 WorkSpaces 客户端可以通过端口 443 进行身份验证,但无法通过端口 4172 (PCoIP) 或端口 4195 (WSP) 建立流式连接。当未满足网络先决条件时,可能会发生此情况。客户端的问题通常会导致客户端中的网络检查失败。要查看哪些运行状况检查失败,请选择网络检查图标(对于超过 2.0 的客户端,通常是登录屏幕右下角带有感叹号的红色三角形)或网络图标 
                        Network icon
                    在 3.0 以上的客户端的右上角)。

                  注意

                  此问题的最常见原因是客户端防火墙或代理阻止通过端口 4172 或 4195(TCP 和 UDP)进行访问。如果此运行状况检查失败,请检查您的本地防火墙设置。

                  如果网络检查通过,则网络配置可能有问题 WorkSpace. 例如,Windows 防火墙规则可能会阻止管理接口上的 UDP 4172 或 4195 端口。Connect 到 WorkSpace 使用远程桌面协议 (RDP) 客户端以验证 WorkSpace 符合必要条件端口要求.

                  我的用户收到了消息”WorkSpace 状态:不正常的。我们无法将您连接到您的 WorkSpace. 请过几分钟再试。”

                  此错误通常表示 SkyLightWorkSpacesConfigService 服务没有响应运行状况检查。

                  如果你刚刚重启或启动你的 WorkSpace,等待几分钟,然后重试。

                  如果 WorkSpace 已经运行了一段时间了,你仍然看到这个错误,使用 RDP 进行连接以验证 SkyLightWorkSpacesConfigService 服务:

                  • 正在运行。

                  • 设置为自动启动。

                  • 可以通过管理界面 (eth0) 进行通信。

                  • 未被任何第三方防病毒软件阻止。

                  我的用户收到消息 “此设备无权访问 WorkSpace. 请联系您的管理员寻求帮助。”

                  这个错误表明IP 访问控制组配置在 WorkSpace 目录,但客户端 IP 地址未列入白名单。

                  检查您的目录上的设置。确认用户连接的公有 IP 地址允许访问 WorkSpace.

                  我的用户收到 “没有网络” 的消息。网络连接丢失。请检查您的网络连接或联系管理员寻求帮助。” 尝试连接到 WSP 时 WorkSpace

                  如果出现此错误并且您的用户没有连接问题,请确保网络防火墙上的端口 4195 处于打开状态。对于 WorkSpaces 使用 WorkSpaces 流协议 (WSP),用于流式传输客户端会话的端口从 4172 更改为 4195。

                  这些区域有: WorkSpaces 客户端给我的用户带来了网络错误,但他们可以在自己的设备上使用其他支持网络的应用程序

                  这些区域有: WorkSpaces 客户端应用程序依赖于对中资源的访问权限Amazon云端,需要提供至少 1 Mbps 下载带宽的连接。如果设备间歇性地连接到网络, WorkSpaces 客户端应用程序可能会报告网络问题。

                  WorkSpaces 自 2018 年 5 月起,强制使用亚马逊信托服务颁发的数字证书。在 WorkSpaces 支持的操作系统上,Amazon Trust Services 已经是受信任的根 CA。如果操作系统的根 CA 列表不是最新的,则设备无法连接到 WorkSpaces 并且客户端给出了网络错误。

                  识别由于证书失败造成的连接问题

                  • PCoIP 零客户端 — 显示以下错误消息。

                    Failed to connect. The server provided a certificate that is invalid. See below for details:
                    - The supplied certificate is invalid due to timestamp
                    - The supplied certificate is not rooted in the devices local certificate store
                  • 其他客户端-运行状况检查失败,并显示红色警告三角形因特网.

                  Windows 客户端应用程序

                  使用以下解决方案之一处理证书故障。

                  解决方案 1:更新客户端应用程序

                  从下载并安装最新 Windows 客户端应用程序 https://clients.amazonworkspaces.awsapps.cn/. 在安装过程中,客户端应用程序确保由 Amazon Trust Services 发布了您的操作系统信任证书。

                  解决方案 2:将 Amazon Trust Services 添加到本地根 CA 列表中

                  1. 打开 https://www.amazontrust.com/repository/

                  2. 下载 DER 格式的 Starfield 证书 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。

                  3. 打开 Microsoft 管理控制台。(从命令提示符中,运行 mmc。)

                  4. 依次选择 File (文件)Add/Remove Snap-in (添加/删除管理单元)Certificates (证书)Add (添加)

                  5. Certificates snap-in (证书管理单元) 页面上,选择 Computer account (计算机账户),然后选择 Next (下一步)。保留默认值 Local computer (本地计算机)。选择 Finish (结束)。选择 OK(确定)。

                  6. 展开 Certificates (Local Computer) (证书 (本地计算机)),然后选择 Trusted Root Certification Authorities (受信任的根证书颁发机构)。依次选择 Action (操作)All Tasks (所有任务)Import (导入)

                  7. 按照向导的说明,导入下载的证书。

                  8. 退出并重新启动 WorkSpaces 客户端应用程序。

                  解决方案 3:使用组策略将 Amazon Trust Services 部署为可信 CA

                  对于使用组策略的域,将 Starfield 证书添加到信任根 CA。有关更多信息,请参阅使用策略来分配证书

                  PCoIP 零客户端

                  要直接连接到 WorkSpace 使用固件版本 6.0 或更高版本,下载并安装由 Amazon Trust Services 颁发的证书。

                  添加 Amazon Trust Services 作为可信根 CA

                  1. 打开 https://certs.secureserver.net/repository/

                  2. Starfield Certificate Chain (Starfield 证书链) 中下载具有指纹 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C8 67 75 21 FB 5F B6 58 的证书。

                  3. 上传证书至 zero 客户端。有关更多信息,请参阅 Teradici 文档中的上传证书

                  其他客户端应用程序

                  Amazon Trust Services 添加 Starfield 证书 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。有关如何添加根 CA 的更多信息,请参阅以下文档:

                  我的 WorkSpace 用户看到以下错误消息:“设备无法连接到注册服务。请检查网络设置。”

                  当注册服务出现故障时,您的 WorkSpace 用户可能会在上看到以下错误消息连接Health 检查页面:“您的设备无法连接到 WorkSpaces 注册服务。您将无法使用注册您的设备 WorkSpaces. 请检查网络设置。”

                  此错误发生在 WorkSpaces 客户端应用程序无法访问注册服务。通常,这种情况发生在 WorkSpaces 目录已被删除。要解决此错误,请确保注册码有效且对应于Amazon云。

                  我的 PCoIP 零客户端用户收到错误“提供的证书由于时间戳而无效”

                  如果在 Teradici 中未启用网络时间协议 (NTP),则 PCoIP 零客户端用户可能会收到证书失败错误。要设置 NTP,请参阅为 WorkSpaces 设置 PCoIP 零客户端

                  USB 打印机和其他 USB 外围设备不适用于 PCoIP 零客户端

                  从 PCoIP 代理的 20.10.4 版开始,亚马逊 WorkSpaces 默认情况下通过 Windows 注册表禁用 USB 重定向。当您的用户使用 PCoIP 零客户端设备连接到他们的 USB 外围设备时,此注册表设置会影响 USB 外围设备的行为 WorkSpaces.

                  如果你的 WorkSpaces 正在使用版本 20.10.4 或更高版本的 PCoIP 代理,在启用 USB 重定向之前,USB 外围设备将无法与 PCoIP 零客户端设备配合使用。

                  注意

                  如果您使用的是 32 位虚拟打印机驱动程序,则还必须将这些驱动程序更新到 64 位版本。

                  为 PCoIP 零客户端设备启用 USB 重定向

                  我们建议您将这些注册表更改推送到您的 WorkSpaces 通过组策略。有关更多信息,请参阅 。配置代理可配置设置在 Teradici 文档中。

                  1. 将以下注册表项值设置为 1(已启用):

                    KeyPath =HKEY_LOCAL_MACHINE\ Software\ Policip\ PCoIP\ pcoip_admin

                    KeyName =pcoip.enable_usb

                    KeyType =DWORD

                    KeyValue =1

                  2. 将以下注册表项值设置为 1(已启用):

                    KeyPath =HKEY_LOCAL_MACHINE\ 软件\ 政策\ Teradici\ pcoIP\ pcoip\ pcoip_admin_defaults

                    KeyName =pcoip.enable_usb

                    KeyType =DWORD

                    KeyValue =1

                  3. 如果您尚未执行此操作,请登出 WorkSpace,然后重新登录。你的 USB 设备现在应该可以正常工作了。

                  我的用户跳过了更新其 Windows 或 macOS 客户端应用程序的过程,并且没有收到安装最新版本的提示

                  当用户跳过对亚马逊的更新时 WorkSpaces Windows 客户端应用程序,SkipThisVersion注册表项已设置,当发布新版本的客户端时,不再提示他们更新客户端。要更新到最新版本,您可以按照中的说明编辑注册表更新 WorkSpaces Windows 客户端应用程序升级到较新版本在里面亚马逊 WorkSpaces 用户指南. 您也可以运行以下命令 PowerShell 命令:

                  Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces\WinSparkle" -Name "SkipThisVersion"

                  当用户跳过对亚马逊的更新时 WorkSpaces macOS 客户端应用程序,SUSkippedVersion设置了首选项,发布新版本的客户端后,不再提示他们更新客户端。要更新到最新版本,您可以按照中的说明重置此首选项。更新 WorkSpaces macOS 客户端应用程序升级到较新版本在里面亚马逊 WorkSpaces 用户指南.

                  我的用户没有收到邀请电子邮件或密码重置电子邮件

                  用户不会自动收到以下内容的欢迎电子邮件或密码重置电子邮件 WorkSpaces 使用 AD Connector 或可信域创建的。如果用户已存在于 Active Directory 中,则也不会自动发送邀请电子邮件。

                  要手动向这些用户发送欢迎电子邮件,请参阅 发送邀请电子邮件

                  要重置用户密码,请参阅设置 Active Directory 管理工具 WorkSpaces

                  我的用户在客户端登录屏幕上看不到“忘记密码?”选项

                  如果您使用的是 AD Connector 或可信域,则您的用户将无法重置自己的密码。(忘记密码?选项 WorkSpaces 客户端应用程序登录屏幕将不可用。) 有关如何重置用户密码的信息,请参阅设置 Active Directory 管理工具 WorkSpaces

                  当我尝试在 Windows 上安装应用程序时,我收到消息 “系统管理员已设置策略以阻止此次安装” WorkSpace

                  您可以通过修改 Windows 安装程序组策略设置来解决此问题。将此策略部署到多个 WorkSpaces 在您的目录中,将此设置应用于链接到的组策略对象 WorkSpaces 来自加入域的 EC2 实例的组织单位 (OU)。如果您使用 AD Connector,则可以从域控制器进行这些更改。有关使用 Active Directory 管理工具处理组策略对象的更多信息,请参阅安装活动目录管理工具在里面Amazon Directory Service管理指南.

                  以下过程展示如何为 Windows 安装程序设置配置 WorkSpaces 组策略对象。

                  1. 确保您的域中安装了最新的 WorkSpaces 组策略管理模板

                  2. 在 Windows 上打开组策略管理工具 WorkSpace 客户端,然后导航到并选择 WorkSpaces 您的组策略对象 WorkSpaces 计算机帐户。从主菜单中,依次选择 Action (操作)Edit (编辑)

                  3. 在组策略管理编辑器中,依次选择计算机配置策略管理模板经典管理模板Windows 组件Windows 安装程序

                  4. 打开 Turn Off Windows Installer (关闭 Windows 安装程序) 设置。

                  5. Turn Off Windows Installer (关闭 Windows 安装程序) 对话框中,将 Not Configured (未配置) 更改为 Enabled (已启用),然后将 Disable Windows Installer (禁用 Windows 安装程序) 设置为 Never (从不)

                  6. 选择 OK(确定)。

                  7. 要应用组策略更改,请执行下列操作之一:

                    • 重启 WorkSpace (在 WorkSpaces 控制台,选择 WorkSpace,然后选择操作,重启 WorkSpaces)。

                    • 从管理命令提示符下,输入 gpupdate /force

                  否 WorkSpaces 在我的目录里可以连接到互联网

                  WorkSpaces 默认情况下无法与互联网通信。您必须显式提供 Internet 访问。有关更多信息,请参阅 从您的网站提供互联网接入 WorkSpace

                  我的 WorkSpace 已经失去了互联网接入权限

                  如果你的 WorkSpace 已经无法访问互联网,你不能连接到 WorkSpace 通过使用 RDP,这个问题可能是由于的公有 IP 地址丢失造成的 WorkSpace. 如果您启用了弹性 IP 地址的自动分配在目录级别,弹性 IP 地址(来自亚马逊提供的存储池)已分配给您的 WorkSpace 当它启动时。但是,如果您将自己拥有的弹性 IP 地址关联到 WorkSpace,然后你稍后取消该弹性 IP 地址与 WorkSpace, WorkSpace 丢失其公有 IP 地址,也不会自动从亚马逊提供的池中获取新的 IP 地址。

                  将亚马逊提供的池中的新公有 IP 地址关联到 WorkSpace,您必须重建 WorkSpace. 如果您不想重建 WorkSpace,您必须将自己拥有的另一个弹性 IP 地址关联到 WorkSpace.

                  我们建议您不要修改的elastic network interface WorkSpace之后 WorkSpace 启动。将弹性 IP 地址分配给 WorkSpace, WorkSpace 保留相同的公有 IP 地址(除非 WorkSpace 已重建,在这种情况下,它将获取一个新的公共 IP 地址)。

                  当我尝试连接我的本地目录时收到一条“DNS unavailable”错误

                  在连接您的本地目录时,您收到类似于以下内容的错误消息。

                  DNS unavailable (TCP port 53) for IP: dns-ip-address

                  AD Connector 必须能够通过端口 53 通过 TCP 和 UDP 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。

                  在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误

                  在连接您的本地目录时,您收到类似于以下内容的错误消息。

                  Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address
                  Kerberos/authentication unavailable (TCP port 88) for IP: ip-address
                  Please ensure that the listed ports are available and retry the operation.

                  AD Connector 必须能够通过以下端口通过 TCP 和 UDP 与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信:

                  • 88 (Kerberos)

                  • 389 (LDAP)

                  在尝试连接到我的本地目录时,我收到一条“SRV record”错误

                  在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息。

                  SRV record for LDAP does not exist for IP: dns-ip-address
                  
                  SRV record for Kerberos does not exist for IP: dns-ip-address

                  AD Connector 需要获取_ldap._tcp.dns-domain-name_kerberos._tcp.dns-domain-name连接到您的目录时的 SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您会收到此错误。请确保您的 DNS 服务器包含这些 SRV 记录。有关更多信息,请参阅 。SRV 资源记录microso TechNet.

                  我的 Windows WorkSpace 闲置时进入睡眠状态

                  要解决这一问题,请连接到 WorkSpace 并将电源计划更改为高性能执行以下步骤:

                  1. 来自的 WorkSpace,打开控制面板,然后选择硬件或者选择硬件和声音(名称可能有所不同,具体取决于你的 Windows 版本)。

                  2. Power Options (电源选项) 下,选择 Choose a power plan (选择电源计划)

                  3. 在里面选择或自定义电源计划窗格中,选择高性能电力计划,然后选择更改计划设置.

                    • 如果选择了高性能禁用电源计划,选择更改当前不可用的设置,然后选择高性能电力计划。

                    • 如果高性能计划不可见,请选择右侧的箭头显示其他计划来显示它,或者选择创建电力计划在左侧导航中,选择高性能,给电力计划起个名字,然后选择下一页.

                  4. 更改计划的设置:高性能页面,请确保关闭显示屏和(如果有的话)让电脑进入睡眠状态将设置为决不.

                  5. 如果您对高绩效计划进行了任何更改,请选择保存更改(或者选择Create如果你正在创建一个新计划)。

                  如果上述步骤无法解决该问题,请执行以下操作:

                  1. 来自的 WorkSpace,打开控制面板,然后选择硬件或者选择硬件和声音(名称可能有所不同,具体取决于你的 Windows 版本)。

                  2. Power Options (电源选项) 下,选择 Choose a power plan (选择电源计划)

                  3. Choose or customize a power plan (选择或自定义电源计划) 窗格中,选择 High performance (高性能) 电源计划右侧的 Change plan settings (更改计划设置) 链接,然后选择 Change advanced power settings (更改高级电源设置) 链接。

                  4. Power Options (高级选项) 对话框中的设置列表中,选择 Hard disk (硬盘) 左侧的加号以显示相关设置。

                  5. 验证 Plugged in (已插入)Turn off hard disk after (在多长时间后关闭硬盘) 值是否大于 On battery (使用电池) 的值(默认值为 20 分钟)。

                  6. 选择 PCI Express 左侧的加号,然后为 Link State Power Management (链路状态电源管理) 执行相同的操作。

                  7. 验证 Link State Power Management (链路状态电源管理) 设置是否为 Off (关闭)

                  8. 选择 OK (确定)(如果您更改了任何设置,则选择 Apply (应用))以关闭对话框。

                  9. Change settings for the plan (更改计划的设置) 窗格中,如果您更改了任何设置,请选择 Save changes (保存更改)

                  我的一个 WorkSpaces 的状态为UNHEALTHY

                  这些区域有: WorkSpaces 服务定期向 a 发送状态请求 WorkSpace. 一个 WorkSpace已标记UNHEALTHY当它未能回应这些请求时。导致此问题的常见原因包括:

                  • 上的应用程序 WorkSpace 正在阻塞网络端口,这会阻止 WorkSpace 来自对状态请求的响应。

                  • 高 CPU 利用率阻碍了 WorkSpace 无法及时回应状态请求。

                  • 的计算机名称 WorkSpace 已被更改。这可以防止在两者之间建立安全通道 WorkSpaces 还有 WorkSpace.

                  您可以尝试使用以下方法来纠正这种状况:

                  • 重启 WorkSpace 来自 的 WorkSpaces 控制台。

                  • Connect 不健康的人 WorkSpace 使用以下步骤,该过程应仅用于故障排除:

                    1. Connect 操作系统 WorkSpace 与不健康的人在同一个目录中 WorkSpace.

                    2. 从运营角度来看 WorkSpace,使用远程桌面协议 (RDP) 连接到不健康的服务器 WorkSpace 使用不健康的 IP 地址 WorkSpace. 根据问题的严重程度,您可能无法连接到不健康的设备 WorkSpace.

                    3. 论不健康 WorkSpace,确认最小值端口要求已满足。

                  • 确保 SkyLightWorkSpacesConfigService 服务可以响应运行状况检查。要解决此问题,请参见我的用户收到了消息”WorkSpace 状态:不正常的。我们无法将您连接到您的 WorkSpace. 请过几分钟再试。”.

                  • 重建 WorkSpace 来自 的 WorkSpaces 控制台。因为重建 WorkSpace 可能会导致数据丢失,只有在纠正问题的所有其他尝试均失败时,才应使用此选项。

                  我的 WorkSpace 意外崩溃或重启

                  如果你的 WorkSpace 配置为 PCoIP 会反复崩溃或重启,你的错误日志或崩溃转储指向了以下问题spacedeskHookKmode.sys要么spacedeskHookUmode.dll,或者如果你收到以下错误消息,你可能需要禁用 Web Access WorkSpace:

                  The kernel power manager has initiated a shutdown transition.
                  Shutdown reason: Kernel API
                  The computer has rebooted from a bugcheck.
                  注意
                  • 这些故障排除步骤不适用于 WorkSpaces 配置为 WorkSpaces 流协议 (WSP)。它们仅适用于 WorkSpaces 是为 PCoIP 配置的。

                  • 仅当您不允许用户使用 Web 访问时,才应禁用 Web 访问。

                  要禁用 Web 访问 WorkSpace,则必须设置组策略并修改两个注册表设置。有关使用 Active Directory 管理工具处理组策略对象的信息,请参阅安装活动目录管理工具在里面Amazon Directory Service管理指南.

                  第 1 步:设置组策略以在目录级别禁用 Web 访问

                  您必须通过 PCoIP 进行这些更改 WorkSpace 而不是域控制器,因为必须存在 STXHD 托管应用程序服务。

                  1. 编辑使用的安全组 WorkSpaces 允许 RDP 连接。有关更多信息,请参阅 。我怎样才能连接到我的 WorkSpace 使用 RDP?.

                  2. 使用 RDP 连接到 WorkSpace. 确保您使用的是具有域权限的用户帐户来创建和修改 GPO。如果你使用 Simple AD 作为 WorkSpace 目录,用户名是Administrator. 如果你使用的是 Microsoft AD,则管理员的用户名是Admin.

                  3. 安装 Active Directory 管理工具 (RSAT) 以获取组策略管理编辑器工具。要安装这些工具,请参阅安装活动目录管理工具在里面Amazon Directory Service管理指南.

                    你也可以通过运行以下 Windows 来安装这些工具 PowerShell 以管理员身份执行命令:

                    Install-WindowsFeature -Name GPMC,RSAT-AD-PowerShell,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,RSAT-DNS-Server
                  4. 打开组策略管理编辑器 (gpmc.msc),并在目录的域控制器级别找到组策略对象 (GPO) 策略。

                    注意

                    如果域名支持 WorkSpaces 是一个Amazon Managed Microsoft AD目录,你不能使用默认域策略来创建你的 GPO。相反,您必须在具有委托权限的域容器下创建并链接 GPO。

                    使用创建目录时Amazon Managed Microsoft AD,Amazon Directory Service创建你的域名域根目录下的组织单位 (OU)。此 OU 的名称基于您在创建目录时输入的 NetBIOS 名称而定。如果您没有指定 NetBIOS 名称,它将默认为您的目录 DNS 名称的第一个部分(例如,在corp.example.com,NetBIOS 的名字是corp)。

                    要创建您的 GPO,而不是选择默认域策略,select你的域名OU(或该 OU 下的任何 OU),打开上下文(右键单击)菜单,然后选择在此域中创建一个 GPO,并将其链接到此处.

                    有关此处的更多信息你的域名OU什么被创建了什么在里面Amazon Directory Service管理指南.

                  5. 选择 Action (操作)Edit (编辑)

                  6. 导航到以下设置:

                    计算机配置\ 策略\ Windows 设置\ 安全设置\ 系统服务\ STXHD 托管应用程序服务

                  7. STXHD Hosted Application Service Properties (STXHD 托管应用程序服务属性) 对话框的 Security Policy Setting (安全策略设置) 选项卡上,选中 Define this policy setting (定义此策略设置) 复选框。

                  8. Select Service Startup Mode (选择服务启动模式) 下,选择 Disabled (已禁用)

                  9. 选择 OK(确定)。

                  10. 在完成注册表编辑(步骤 2)之前,阻止计算机重新启动。

                  第 2 步:编辑注册表以禁用 Web 访问

                  我们建议您通过 GPO 推送这些注册表更改。

                  1. 将以下注册表项值设置为 1(已启用):

                    KeyPath =HKEY_LOCAL_MACHINE\ 软件\ 亚马逊\WorkSpacesConfig\ update-webaccess.ps1

                    KeyName = RebootCount

                    KeyType =DWORD

                    KeyValue =1

                  2. 将以下注册表项值设置为 4(已禁用):

                    KeyPath =HKEY_LOCAL_MACHINE\ 系统\CurrentControlSet\ 服务\spacedeskHookKmode

                    KeyName =启动

                    KeyType =DWORD

                    KeyValue =4

                  3. 重启计算机。

                  同一个用户名有多个用户名 WorkSpace,但用户只能登录其中一个 WorkSpaces

                  如果您在 Active Directory (AD) 中删除用户时没有先将其删除 WorkSpace 然后你将用户添加回 Active Directory 并创建一个新的 WorkSpace 对于该用户,同一个用户名现在将有两个 WorkSpaces 在同一个目录中。但是,如果用户尝试连接到他们的原始版本 WorkSpace,他们将收到以下错误:

                  "Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."

                  此外,在亚马逊中搜索用户名 WorkSpaces 控制台只返回新的 WorkSpace,尽管两者兼而有之 WorkSpaces 仍然存在。(这些章节如下 WorkSpace 通过搜索 WorkSpace ID 而不是用户名。)

                  如果您在 Active Directory 中重命名用户时没有先删除他们的用户,也会出现这种行为 WorkSpace. 如果你随后将他们的用户名改回原来的用户名并创建一个新的 WorkSpace 对于用户来说,同一个用户名会有两个 WorkSpaces 在目录中。

                  出现此问题的原因是 Active Directory 使用用户的安全标识符 (SID)(而不是用户名)以唯一标识用户。当删除某个用户并在 Active Directory 中重新创建此用户时,即使用户的用户名保持不变,也会为该用户分配一个新的 SID。在搜索用户名时,亚马逊 WorkSpaces控制台使用 SID 在 Active Directory 中搜索匹配项。Amazon WorkSpaces 当用户连接到时,客户端还使用 SID 来识别用户 WorkSpaces.

                  要解决此问题,请执行下列操作之一:

                  • 如果由于在 Active Directory 中删除了用户并在其中重新创建了该用户而发生了此问题,并且在 Active Directory 中启用了回收站功能,则您可能能够还原原始的已删除的用户对象。如果你能够恢复原始用户对象,请确保用户可以连接到他们的原始对象 WorkSpace. 如果他们可以,您可以删除新的 WorkSpace手动备份并传输新版本中的所有用户数据后 WorkSpace 改为原样 WorkSpace (如果需要的话)。

                  • 如果你无法恢复原始用户对象,删除用户的原件 WorkSpace. 用户应该能够连接到并使用他们的新 WorkSpace 请改用。请务必手动备份并传输原始数据中的所有用户数据 WorkSpace 改为新 WorkSpace.

                    警告

                    删除集群 WorkSpace 是永久性操作,无法撤消。这些区域有: WorkSpace 用户的数据不会保存并被销毁。如需有关备份用户数据的帮助,请联系AmazonSupport。

                  我在亚马逊上使用 Docker 时遇到了问题 WorkSpaces

                  Windows WorkSpaces

                  Windows 不支持嵌套虚拟化(包括使用 Docker) WorkSpaces. 有关更多信息,请参阅 。Docker 文档.

                  Linux的 WorkSpaces

                  在 Linux 上使用 Docker WorkSpaces,确保 Docker 使用的 CIDR 区块不会与与之关联的两个弹性网络接口 (ENI) 中使用的 CIDR 区块重叠 WorkSpace. 如果在 Linx 上使用 Docker 时遇到问题 WorkSpaces,请联系 Docker 寻求帮助。

                  我收到 ThrottlingException 我的一些 API 调用出现错误

                  的默认允许费率 WorkSpaces API 调用是每秒两次 API 调用的恒定速率,允许的最大 “突发” 速率为每秒五次 API 调用。下表显示了适用于 API 请求的突发速率限制。

                  发送的请求数 允许网络请求 详细信息

                  1

                  0

                  5

                  第一秒(第 1 秒)内允许发出五个请求,最高突发速率为每秒五次调用。

                  2

                  2

                  5

                  由于在第 1 秒中发出的调用未超过两次,所以五次调用的完整突发容量仍然可用。

                  3

                  5

                  5

                  由于在第 2 秒中发出的调用只有两次,所以五次调用的完整突发容量仍然可用。

                  4

                  2

                  2

                  因为在第 3 秒中使用了完整突发容量,所以只有每秒两次调用这一恒定速率可用。

                  5

                  3

                  2

                  由于没有剩余的突发容量,此时仅允许进行两次调用。这意味着剩余三次 API 调用的其中一次会受到限制。在短暂的延迟后,受到限制的调用将发出响应。

                  6

                  0

                  1

                  由于第 5 秒中的某次调用在第 6 秒中进行了重试,因此,根据每秒两次调用的恒定速率限制,第 6 秒中仅剩余一次额外调用的容量。

                  7

                  0

                  3

                  现在,队列中不再有任何受限制的 API 调用,速率限制继续增加,直至达到五次调用的突发速率限制。

                  8

                  0

                  5

                  由于在第 7 秒内没有发出调用,因此允许发送最大数量的请求。

                  9

                  0

                  5

                  即使在第 8 秒没有发出任何调用,速率限制也不会增加到五次以上。

                  我的 WorkSpace 当我让它在后台运行时会一直断开连接

                  对于 Mac 用户,请查看 Power Nap 功能是否已开启。如果已开启,请将其关闭。要关闭 Power Nap(Power Nap),请打开终端并运行以下命令:

                  defaults write com.amazon.workspaces NSAppSleepDisabled -bool YES

                  SAML 2.0 与联合身份不起作用。我的用户无权直播他们的 WorkSpaces 桌面。

                  这可能是因为为 SAML 2.0 联合 IAM 角色嵌入的内联策略不包含从目录亚马逊资源名称 (ARN) 进行流式传输的权限。IAM 角色由正在访问的联合用户担任 WorkSpaces 目录。编辑角色权限以包含目录 ARN,并确保用户有 WorkSpace 在目录中。有关更多信息,请参阅 。SAML 2.0 身份验证SAML 2.0 与联合的问题排查Amazon.

                  我的用户正在与他们的断开连接 WorkSpaces 每 60 分钟一次。

                  如果您已将 SAML 2.0 身份验证配置为 WorkSpaces,根据您的身份提供商 (IdP),您可能需要配置 IdP 作为 SAML 属性传递给的信息Amazon作为身份验证响应的一部分。这包括配置 Attribute (属性) 元素,并将 SessionDuration 属性设置为 https://aws.amazon.com/SAML/Attributes/SessionDuration

                  SessionDuration指定在需要重新身份验证之前,联合流会话可为用户保持活动的最长时间。虽然 SessionDuration 是可选属性,但我们建议您将它包含在 SAML 身份验证响应中。如果您未指定此属性,则会话持续时间默认为 60 分钟。

                  要解决该问题,请将您的 IdP 配置为包含SessionDurationSAML 身份验证响应中的值并根据需要设置该值。有关更多信息,请参阅 。步骤 5:为 SAML 身份验证响应创建断言.

                  我的用户使用 SAML 2.0 身份提供商 (IdP) 启动的流程或其他实例进行联合时会出现重定向 URI 错误 WorkSpaces 每次我的用户在联合到 IdP 后尝试从客户端登录时,客户端应用程序都会启动。

                  此错误是由于中继状态 URL 无效而发生的。确保 IdP 联合设置中的中继状态是正确的,并且在 IdP 联合中正确配置了用户访问 URL 和中继状态参数名称 WorkSpaces 目录属性。如果它们有效但问题仍然存在,请联系AmazonSupport。有关更多信息,请参阅 。设置 SAML.

                  我的用户收到一条消息:“出了点问题:启动您的时出错 WorkSpace“当他们尝试登录时 WorkSpaces 与 IdP 联合后的客户端应用程序。

                  查看联合身份验证 SAML 2.0 的断言。这些区域有:SAML 主题NameID值必须匹配 WorkSpaces 用户名,通常与samAccountName活动目录用户的属性。此外,属性具有的元素PrincipalTag:Email属性设置为https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email必须匹配 WorkSpaces 用户的电子邮件地址,如中所定义 WorkSpaces 目录。有关更多信息,请参阅 。设置 SAML.

                  我的用户在尝试登录时会收到 “无法验证标签” 的消息 WorkSpaces 与 IdP 联合后的客户端应用程序。

                  查看PrincipalTag联合体的 SAML 2.0 断言中的属性值,例如https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email. 标签值可能包括字符的组合_ . : / = + - @、字母、数字和空格。有关更多信息,请参阅 。在 IAM 和中进行标记的规则Amazon STS.

                  我的用户收到一条消息:“客户端和服务器无法通信,因为他们没有通用算法”

                  如果不启用 TLS 1.2,则可能发生此问题。