Amazon WorkSpaces
管理指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

排查 Amazon WorkSpaces 问题

以下信息可帮助您排除与 WorkSpace 相关的问题。

启用高级日志记录

您可以在任何 WorkSpaces 客户端上启用高级登录,以帮助排查您的用户在使用客户端时可能遇到的问题。启用高级日志记录:

  1. 打开 WorkSpaces 客户端。

  2. 选择客户端应用程序右上角的齿轮图标。

  3. 选择 Advanced Settings (高级设置)

  4. 选中 Enable Advanced Logging (启用高级日志记录) 复选框。

  5. 选择 Save

在禁用高级日志记录之前,将为每个后续客户端会话启用高级日志记录。

高级日志记录将生成包含诊断信息和调试级别详细信息(包括详细的性能数据)的日志文件。这些文件会自动上传到 AWS 中的数据库存储。

注意

要让 AWS 审查由高级日志记录生成的日志文件,以及接收您的 WorkSpaces 客户端的技术支持问题,请联系 AWS Support。有关更多信息,请参阅 AWS 支持中心

排查特定问题

以下信息可帮助您排查与 WorkSpace 相关的特定问题。

我无法创建 Amazon Linux WorkSpace,因为用户名中存在无效字符

对于 Amazon Linux WorkSpaces,用户名只能包含 20 个可用 UTF-8 格式表示的字母、空格和数字,以及以下特殊字符:

_.-#

此外,您不能使用破折号 (-) 作为用户名的第一个字符。

注意

这些限制不适用于 Windows WorkSpaces。对于用户名中的所有字符,Windows WorkSpaces 支持 @ 和 - 符号。

我更改了 Amazon Linux WorkSpace 的 shell,现在我无法预配置 PCoIP 会话

要覆盖 Linux WorkSpaces 的默认 shell,请参阅 覆盖 Amazon Linux WorkSpace 的默认 Shell

经常无法在我连接的目录中启动 WorkSpace

验证是否可从您连接到目录时所指定的每个子网访问本地目录中的两个 DNS 服务器或域控制器。您可以通过在每个子网中启动一个 EC2 实例并将该实例加入您的目录中,然后使用两个 DNS 服务器的 IP 地址来验证此连接。

启动 WorkSpace 失败,出现内部错误

检查您的子网是否配置为自动将 IPv6 地址分配给在子网中启动的实例。要检查此设置,请打开 Amazon VPC 控制台,选择子网,然后依次选择 Subnet Actions (子网操作)Modify auto-assign IP settings (修改自动分配 IP 设置)。如果此设置启用,则无法使用性能或图形服务包启动 WorkSpace。解决办法是,在启动实例时,禁用此设置并手动指定 IPv6 地址。

我的用户无法连接到 Windows WorkSpace,系统显示了一个交互式登录横幅

实施交互式登录消息以显示登录横幅的目的是阻止用户访问其 Windows WorkSpace。Amazon WorkSpaces 目前不支持交互式登录消息的组策略设置。

我的用户在尝试从 WorkSpaces Web Access 登录 BYOL WorkSpaces 时遇到问题

BYOL WorkSpaces 依靠特定登录屏幕配置来让用户能够从 Web Access 客户端成功登录。要使 Web Access 用户能够登录其 BYOL WorkSpaces,您必须配置“Group Policy (组策略)”设置和“Local Security Policy (本地安全策略)”设置。如果未正确配置这两个设置,用户可能会在尝试登录其 BYOL WorkSpaces 时遇到长时间登录或黑屏。要配置这两个设置,请按照以下步骤操作。

支持 WorkSpaces 登录代理切换用户

在大多数情况下,当某个用户尝试登录 WorkSpace 时,用户名字段将预填充该用户的名称。但是,如果管理员建立到 WorkSpace 的 RDP 连接来执行维护任务,则用户名字段将改为填充管理员的名称。要解决此问题,请禁用 Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换) 组策略设置。执行此操作后,WorkSpaces 登录代理可以使用 Switch User (切换用户) 按钮来使用正确名称填充用户名字段。

  1. 通过以管理员身份打开命令提示符,输入 gpedit.msc,然后按 Enter 来打开本地组策略编辑器。

  2. 在控制台树中,依次选择 Local Computer Policy (本地计算机配置)Computer Configuration (计算机配置)Administrative Templates (管理模板)System (系统)Logon (登录)

  3. 打开 Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换) 设置。

  4. Hide entry points for Fast User Switching (隐藏入口点以快速进行用户切换) 对话框中,选择 Disabled (已禁用),然后选择 OK (确定)

将本地安全策略编辑器配置为隐藏上次登录用户名

默认情况下,将显示上次登录用户的列表,而不是 Switch User (切换用户) 按钮。根据 WorkSpace 的配置,该列表可能不会显示 Other User (其他用户) 磁贴。在发生此情况时,如果填充的用户名不正确,WorkSpaces 登录代理将无法使用正确名称填充该字段。要解决此问题,请启用 Interactive logon: Don't display last signed-in (交互式登录: 不显示上次登录) 本地安全策略设置。

  1. 通过以管理员身份打开命令提示符,输入 secpol.msc,然后按Enter 来打开本地安全策略编辑器。

  2. 在控制台树中,依次选择 Security Settings (安全设置)Local Policies (本地策略)Security Options (安全选项)

  3. 打开以下设置之一:

    • 对于 Windows 7 — 交互式登录: 不显示上次用户名

    • 对于 Windows 10 — 交互式登录: 不显示上次登录

  4. 在设置的 Properties (属性) 对话框中,选择 Enabled (已启用),然后选择 OK (确定)

我的用户没有收到邀请电子邮件或密码重置电子邮件

用户可能不会收到使用 AD Connector 创建的 WorkSpaces 的欢迎或密码重置电子邮件。

要手动向这些用户发送欢迎电子邮件,请参阅 发送邀请电子邮件

要帮助用户重置密码,请参阅 Microsoft Active Directory 文档。

当我尝试在 Windows WorkSpace 上安装应用程序时,我收到消息“系统管理员已设置策略以阻止此安装”

您可以通过修改 Windows 安装程序组策略设置来解决此问题。若要将此策略部署到目录中的多个 WorkSpace,请将此设置应用于从加入域的 EC2 实例链接到 WorkSpace 组织单位 (OU) 的组策略对象。如果您使用 AD Connector,则可以从域控制器进行这些更改。有关使用 Active Directory 管理工具处理组策略对象的更多信息,请参阅 AWS Directory Service Administration Guide 中的安装 Active Directory 管理工具

以下过程说明如何为 Amazon WorkSpaces 组策略对象配置 Windows 安装程序设置。

  1. 确保您的域中安装了最新的 Amazon WorkSpaces 组策略管理模板

  2. 在您的 Windows WorkSpace 客户端上打开组策略管理工具,导航并选择您的 WorkSpace 计算机账户的 WorkSpace 组策略对象。在主菜单中依次选择操作编辑

  3. 在组策略管理编辑器中,依次选择计算机配置策略管理模板经典管理模板Windows 组件Windows 安装程序

  4. 打开 Turn Off Windows Installer (关闭 Windows 安装程序) 设置。

  5. Turn Off Windows Installer (关闭 Windows 安装程序) 对话框中,将 Not Configured (未配置) 更改为 Enabled (已启用),然后将 Disable Windows Installer (禁用 Windows 安装程序) 设置为 Never (从不)

  6. 选择 OK

  7. 要应用组策略更改,请执行下列操作之一:

    • 重新启动 WorkSpace(在 Amazon WorkSpaces 控制台中,选择WorkSpace,然后依次选择 Actions (操作)Reboot WorkSpaces (重启 WorkSpace))。

    • 从管理命令提示符下,输入 gpupdate /force

我的目录中的 WorkSpaces 均无法连接到 Internet

默认情况下,WorkSpaces 无法与 Internet 通信。您必须显式提供 Internet 访问。有关更多信息,请参阅 提供 WorkSpace 的 Internet 访问权限

当我尝试连接我的本地目录时收到一条“DNS unavailable”错误

在连接您的本地目录时,您收到类似于以下内容的错误消息。

DNS unavailable (TCP port 53) for IP: dns-ip-address

AD Connector 必须能够通过 TCP 和 UDP 经由端口 53 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。

在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误

在连接您的本地目录时,您收到类似于以下内容的错误消息。

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address
Kerberos/authentication unavailable (TCP port 88) for IP: ip-address
Please ensure that the listed ports are available and retry the operation.

AD Connector 必须能够通过 TCP 和 UDP 经由以下端口与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信。

  • 88 (Kerberos)

  • 389 (LDAP)

在尝试连接到我的本地目录时,我收到一条“SRV record”错误

在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息。

SRV record for LDAP does not exist for IP: dns-ip-address

SRV record for Kerberos does not exist for IP: dns-ip-address

在连接您的目录时,AD Connector 需要获取 _ldap._tcp.dns-domain-name_kerberos._tcp.dns-domain-name SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您会收到此错误。请确保您的 DNS 服务器包含这些 SRV 记录。有关更多信息,请参阅 Microsoft TechNet 上的 SRV 资源记录

我的 Windows WorkSpace 在空闲时进入睡眠状态

要解决此问题,请连接到 WorkSpace 并通过使用以下过程将电源计划更改为 High performance (高性能)

  1. 从 WorkSpace 中,打开 Control Panel (控制面板),然后选择 Hardware and Sound (硬件和声音)

  2. Power Options (电源选项) 下,选择 Choose a power plan (选择电源计划)

  3. Choose or customize a power plan (选择或自定义电源计划) 窗格中,选择 High performance (高性能) 电源计划。如果此计划不可见,请选择 Show additional plans (显示其他计划) 右侧的箭头以显示它。

如果上述步骤无法解决该问题,请执行以下操作:

  1. Choose or customize a power plan (选择或自定义电源计划) 窗格中,选择 High performance (高性能) 电源计划右侧的 Change plan settings (更改计划设置) 链接,然后选择 Change advanced power settings (更改高级电源设置) 链接。

  2. Power Options (高级选项) 对话框中的设置列表中,选择 Hard disk (硬盘) 左侧的加号以显示相关设置。

  3. 验证 Plugged in (已插入)Turn off hard disk after (在多长时间后关闭硬盘) 值是否大于 On battery (使用电池) 的值(默认值为 20 分钟)。

  4. 选择 PCI Express 左侧的加号,然后为 Link State Power Management (链路状态电源管理) 执行相同的操作。

  5. 验证 Link State Power Management (链路状态电源管理) 设置是否为 Off (关闭)

  6. 选择 OK (确定)(如果您更改了任何设置,则选择 Apply (应用))以关闭对话框。

  7. Change settings for the plan (更改计划的设置) 窗格中,如果您更改了任何设置,请选择 Save changes (保存更改)

我的一个 WorkSpace 显示“Unhealthy”状态

Amazon WorkSpaces 服务会向 WorkSpace 定期发送状态请求。当 WorkSpace 无法响应这些请求时,它将标记为 Unhealthy。导致此问题的常见原因包括:

  • WorkSpace 上的某个应用程序阻塞了网络端口,这阻止 WorkSpace 响应状态请求。

  • CPU 使用率高,阻止了 WorkSpace 及时响应状态请求。

  • WorkSpace 的计算机名称已发生更改。这会阻止 Amazon WorkSpaces 与 WorkSpace 之间建立安全通道。

您可以尝试使用以下方法来纠正这种状况:

  • 从 Amazon WorkSpaces 控制台重启 WorkSpace。

  • 使用以下过程连接到不正常状态的 WorkSpace (此方法仅限于故障排除目的):

    1. 连接到与不正常状态的 WorkSpace 同处一个目录下的运行正常的 WorkSpace。

    2. 从运行正常的 WorkSpace 中,通过远程桌面协议 (RDP) 使用不正常状态 WorkSpace 的 IP 地址连接到该不正常状态的 WorkSpace。根据问题的严重程度,您或许无法连接到不正常状态的 WorkSpace。

    3. 在不正常状态的 WorkSpace 上,确认其满足最低端口要求。

  • 从 Amazon WorkSpaces 控制台重建 WorkSpace。重建 WorkSpace 可能会导致数据丢失,因此该选项应只在所有其他尝试纠正此问题的措施都不成功的情况下使用。

我的一些 API 调用收到了 ThrottlingException 错误

Amazon WorkSpaces API 调用的默认速率是一个恒定速率,为每秒两次 API 调用;允许的最大“突发”速率为每秒五次 API 调用。下表显示了适用于 API 请求的突发速率限制。

发送的请求数 允许的 Net 请求数 详细信息

1

0

5

第一秒(第 1 秒)内允许发出五个请求,最高突发速率为每秒五次调用。

2

2

5

由于在第 1 秒中发出的调用未超过两次,所以五次调用的完整突发容量仍然可用。

3

5

5

由于在第 2 秒中发出的调用只有两次,所以五次调用的完整突发容量仍然可用。

4

2

2

因为在第 3 秒中使用了完整突发容量,所以只有每秒两次调用这一恒定速率可用。

5

3

2

由于没有剩余的突发容量,此时仅允许进行两次调用。这意味着剩余三次 API 调用的其中一次会受到限制。在短暂的延迟后,受到限制的调用将发出响应。

6

0

1

由于第 5 秒中的某次调用在第 6 秒中进行了重试,因此,根据每秒两次调用的恒定速率限制,第 6 秒中仅剩余一次额外调用的容量。

7

0

3

现在,队列中不再有受限制的 API 调用,速率限制将继续增加,直至达到五次调用的突发速率限制。

8

0

5

由于在第 7 秒内没有发出调用,因此允许发送最大数量的请求。

9

0

5

即使在第 8 秒没有发出任何调用,速率限制也不会增加到五次以上。