WorkSpaces 問題のトラブルシューティング - Amazon WorkSpaces

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

WorkSpaces 問題のトラブルシューティング

以下の情報は、 に関する問題のトラブルシューティングに役立ちます WorkSpaces。

高度なログ記録の有効化

ユーザーが経験する可能性のある問題のトラブルシューティングに役立つように、任意の Amazon WorkSpaces クライアントで高度なログ記録を有効にできます。

高度なログ記録では、診断情報とデバッグレベルの詳細 (詳細なパフォーマンスデータなど) を含むログファイルが生成されます。1.0 以降および 2.0 以降のクライアントの場合、これらの高度なログファイルは のデータベースに自動的にアップロードされます AWS。

注記

高度なログファイル AWS の確認や、 WorkSpaces クライアントに関する問題のテクニカルサポートを受けるには、 にお問い合わせください AWS Support。詳細については、AWS Support センターを参照してください。

Web Access で高度なログ記録を有効にするには
  1. Amazon WorkSpaces Web Access クライアントを開きます。

  2. WorkSpaces サインインページの上部で、診断ログ を選択します。

  3. ポップアップダイアログボックスで、[診断ログ] が有効になっていることを確認します。

  4. [ログレベル][高度なログ記録] を選択します。

Google Chrome、Microsoft Edge、および Firefox でログファイルにアクセスするには
  1. ブラウザでコンテキスト (右クリック) メニューを開くか、キーボードの Ctrl + Shift + I (Mac の場合は command + option + I) を押して、開発者ツールパネルを開きます。

  2. 開発者ツールパネルで、[コンソール] タブを選択してログファイルを見つけます。

Safari でログファイルにアクセスするには
  1. [Safari][設定] の順に選択します。

  2. [設定] セクションで、[詳細] を選択します。

  3. [メニューバーに "開発" メニューを表示] を選択します。

  4. メニューバーの [開発] タブから、[開発] > [Web インスペクターを表示] を選択します。

  5. Safari の [Web インスペクター] パネルで、[コンソール] タブを選択してログファイルを見つけます。

Windows クライアント

    Windows クライアントのログは、次の場所に保存されています。

    %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs

    Windows クライアントで高度なログ記録を有効にするには
    1. Amazon WorkSpaces クライアントを閉じます。

    2. コマンドプロンプトアプリを開きます。

    3. -l3 フラグを使用して WorkSpaces クライアントを起動します。

      c:

      cd "C:\Program Files\Amazon Web Services, Inc\Amazon WorkSpaces"

      workspaces.exe -l3

      注記

      WorkSpaces がすべてのユーザーではなく 1 人のユーザーにインストールされている場合は、次のコマンドを使用します。

      c:

      cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"

      workspaces.exe -l3

    macOS クライアント

      macOS クライアントのログは次の場所に保存されます。

      ~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs

      macOS クライアントで高度なログ記録を有効にするには
      1. Amazon WorkSpaces クライアントを閉じます。

      2. ターミナルを開きます。

      3. 以下のコマンドを実行します。

        open -a workspaces --args -l3

      Android クライアント
        Android くらいで高度なログ記録を有効にするには
        1. Amazon WorkSpaces クライアントを閉じます。

        2. Android クライアントメニューを開きます。

        3. [Support] (サポート) を選択します。

        4. [Logging settings] (ログ記録設定) を選択します。

        5. [Enable advanced logging] (高度なログ記録の有効化) を選択します。

        高度なログを有効にした後に Android クライアントのログを取得するには
        • [Extract log] (ログの抽出) をクリックして、圧縮したログをローカルに保存します。

        Linux クライアント

          Linux クライアントのログは、次の場所に保存されます。

          ~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs

          Linux クライアントで高度なログ記録を有効にするには
          1. Amazon WorkSpaces クライアントを閉じます。

          2. ターミナルを開きます。

          3. 以下のコマンドを実行します。

            /opt/workspacesclient/workspacesclient -l3

          Windows クライアント

            Windows クライアントのログは、次の場所に保存されています。

            %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs

            Windows クライアントで高度なログ記録を有効にするには
            1. Amazon WorkSpaces クライアントを閉じます。

            2. コマンドプロンプトアプリを開きます。

            3. -l3 フラグを使用して WorkSpaces クライアントを起動します。

              c:

              cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"

              workspaces.exe -l3

              注記

              WorkSpaces がすべてのユーザーではなく 1 人のユーザーにインストールされている場合は、次のコマンドを使用します。

              c:

              cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"

              workspaces.exe -l3

            macOS クライアント

              macOS クライアントのログは次の場所に保存されます。

              ~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs

              macOS クライアントで高度なログ記録を有効にするには
              1. Amazon WorkSpaces クライアントを閉じます。

              2. ターミナルを開きます。

              3. 以下のコマンドを実行します。

                open -a workspaces --args -l3

              Android クライアント
                Android くらいで高度なログ記録を有効にするには
                1. Amazon WorkSpaces クライアントを閉じます。

                2. Android クライアントメニューを開きます。

                3. [Support] (サポート) を選択します。

                4. [Logging settings] (ログ記録設定) を選択します。

                5. [Enable advanced logging] (高度なログ記録の有効化) を選択します。

                高度なログを有効にした後に Android クライアントのログを取得するには
                • [Extract log] (ログの抽出) をクリックして、圧縮したログをローカルに保存します。

                Linux クライアント

                  Linux クライアントのログは、次の場所に保存されます。

                  ~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs

                  Linux クライアントで高度なログ記録を有効にするには
                  1. Amazon WorkSpaces クライアントを閉じます。

                  2. ターミナルを開きます。

                  3. 次のコマンドを実行します。

                    /opt/workspacesclient/workspacesclient -l3

                  1. WorkSpaces クライアントを開きます。

                  2. クライアントアプリケーションの右上隅にある歯車アイコンを選択します。

                  3. [Advanced Settings (詳細設定)] を選択します。

                  4. [Enable Advanced Logging (高度なログ記録を有効にする)] チェックボックスをオンにします。

                  5. [Save] (保存) を選択します。

                  Windows クライアントのログは、次の場所に保存されています。

                  %LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs

                  macOS クライアントのログは次の場所に保存されます。

                  ~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0

                  固有の問題のトラブルシューティング

                  以下の情報は、 に関する特定の問題のトラブルシューティングに役立ちます WorkSpaces。

                  問題

                  ユーザー名に無効な文字 WorkSpace があるため、Amazon Linux を作成できません

                  Amazon Linux の場合 WorkSpaces、ユーザー名:

                  • 最大 20 文字を含めることができます。

                  • UTF-8 で表現可能な文字、スペース、および数字を含めることができます。

                  • 次の特殊文字を含めることができます: _.-#

                  • ダッシュ記号 (-) をユーザー名の 1 文字目として使用することはできません。

                  注記

                  これらの制限は Windows には適用されません WorkSpaces。Windows では、ユーザー名のすべての文字に対して @ および - 記号 WorkSpaces がサポートされています。

                  Amazon Linux のシェルを変更しました WorkSpace が、PCoIP セッションをプロビジョニングできません

                  Linux のデフォルトシェルを上書きするには WorkSpaces、「」を参照してくださいAmazon Linux のデフォルトシェルを上書きする WorkSpaces

                  Amazon Linux WorkSpaces が起動しない

                  2020 年 7 月 20 日以降、Amazon Linux WorkSpaces は新しいライセンス証明書を使用します。これらの新しい証明書は、PCoIP エージェントの 2.14.1.1、2.14.7、2.14.9、および 20.10.6以降のバージョンでのみ互換性があります。

                  サポートされていないバージョンの PCoIP エージェントを使用している場合は、最新のバージョン (20.10.6) にアップグレードする必要があります。このバージョンでは、新しい証明書と互換性のある最新の修正とパフォーマンスが向上できます。7 月 20 日までにこれらのアップグレードを行わないと、Linux のセッションプロビジョニング WorkSpaces は失敗し、エンドユーザーは に接続できなくなります WorkSpaces。

                  PCoIP エージェントを最新バージョンにアップグレードするには
                  1. https://console.aws.amazon.com/workspaces/ で WorkSpaces コンソールを開きます。

                  2. ナビゲーションペインで、 を選択しますWorkSpaces

                  3. Linux を選択し WorkSpace、アクション 、再起動 を選択して再起動 WorkSpacesします。 WorkSpace ステータスが の場合はSTOPPEDアクション 、最初に開始 WorkSpaces を選択し、ステータスが になるまで待ってからAVAILABLE再起動する必要があります。

                  4. WorkSpace が再起動し、ステータスが になったらAVAILABLE、このアップグレードの実行ADMIN_MAINTENANCE中に のステータス WorkSpace を に変更することをお勧めします。完了したら、 のステータスを WorkSpace に変更しますAVAILABLEADMIN_MAINTENANCE モードの詳細については、「手動メンテナンス」を参照してください。

                    のステータスを WorkSpace に変更するにはADMIN_MAINTENANCE、次の手順を実行します。

                    1. WorkSpace を選択し、アクション の変更 WorkSpaceを選択します。

                    2. [Modify State (状態の変更)] を選択します。

                    3. [想定される状態] で、[ADMIN_MAINTENANCE] を選択します。

                    4. [Modify] を選択します。

                  5. SSH WorkSpace を使用して Linux に接続します。詳細については、「Linux の SSH 接続を有効にする WorkSpaces」を参照してください。

                  6. PCoIP エージェントを更新するには、次のコマンドを実行します。

                    sudo yum --enablerepo=pcoip-stable install pcoip-agent-standard-20.10.6
                  7. エージェントのバージョンを確認し、更新が成功したことを確認するには、次のコマンドを実行します。

                    rpm -q pcoip-agent-standard

                    検証コマンドは、次の結果を生成する必要があります。

                    pcoip-agent-standard-20.10.6-1.el7.x86_64
                  8. から切断し WorkSpace 、再度再起動します。

                  9. で のステータス WorkSpace を ADMIN_MAINTENANCE に設定する場合はステップ 4、 を繰り返しステップ 4、目的の状態を に設定しますAVAILABLE

                  PCoIP エージェントのアップグレード後も Linux の起動に WorkSpace 失敗する場合は、 AWS サポートにお問い合わせください。

                  接続されたディレクトリ WorkSpaces での の起動が失敗することが多い

                  オンプレミスのディレクトリの 2 つの DNS サーバーまたはドメインコントローラーが、ディレクトリに接続したときに指定した各サブネットからアクセス可能であることを確認します。各サブネットでAmazon EC2 インスタンスを起動し、2 つの DNS サーバーの IP アドレスを使用してディレクトリにインスタンスを結合することで、この接続を確認できます。

                  内部エラーで起動が WorkSpaces 失敗する

                  サブネットが、サブネット内で起動されたインスタンスに IPv6 アドレスを自動的に割り当てるように設定されているかどうかを確認します。この設定を確認するには、Amazon VPC コンソールを開き、サブネットを選択し、[Subnet Actions] を選択して、次に [Modify auto-assign IP settings] を選択します。この設定が有効になっている場合、パフォーマンスバンドルまたはグラフィックスバンドル WorkSpaces を使用して を起動することはできません。代わりに、この設定を無効にし、インスタンスを起動するときに IPv6 アドレスを手動で指定します。

                  ディレクトリを登録しようとすると、登録が失敗し、ディレクトリが ERROR 状態のままになります

                  この問題は、マルチリージョンレプリケーション用に設定された AWS Managed Microsoft AD ディレクトリを登録しようとしている場合に発生する可能性があります。プライマリリージョンのディレクトリは Amazon で使用するために正常に登録できますが WorkSpaces、レプリケートされたリージョンにディレクトリを登録しようとすると失敗します。 AWS Managed Microsoft AD によるマルチリージョンレプリケーションは、レプリケートされたリージョン WorkSpaces 内の Amazon での使用はサポートされていません。

                  ユーザーがインタラクティブなログオンバナー WorkSpace で Windows に接続できない

                  インタラクティブログオンメッセージを実装してログオンバナーを表示している場合、ユーザーは Windows にアクセスできなくなります WorkSpaces。インタラクティブログオンメッセージグループポリシー設定は、現在 PCoIP WorkSpacesではサポートされていません。 WorkSpaces グループポリシーが適用されていない組織単位 (OU) に Interactive logon: Message text for users attempting to log on を移動します。ログオンメッセージは WSP でサポートされており WorkSpaces、ユーザーはログオンバナーを受け入れた後に再度ログインする必要があります。

                  ユーザーが Windows に接続できない WorkSpace

                  ユーザーが Windows に接続しようとすると、次のエラーが表示されます WorkSpaces。

                  "An error occurred while launching your WorkSpace. Please try again."

                  このエラー WorkSpace は、 が PCoIP を使用して Windows デスクトップをロードできない場合によく発生します。以下をチェックしてください:

                  • このメッセージは、Windows 向けの PCoIP Standard Agent サービスが実行されていない場合に表示されます。RDP を使用して接続し、サービスが実行されていること、サービスが自動的に開始されるように設定されていること、および管理インターフェイス (eth0) 経由で通信できることを確認します。

                  • PCoIP エージェントをアンインストールした場合は、Amazon WorkSpaces コンソール WorkSpace から を再起動して自動的に再インストールします。

                  • また、WorkSpacesセキュリティグループがアウトバウンドトラフィックを制限するように変更された場合、長時間の遅延後に Amazon WorkSpaces クライアントでこのエラーが表示されることがあります。送信トラフィックを制限すると、Windows はディレクトリコントローラーと通信してログインできなくなります。セキュリティグループが、プライマリネットワークインターフェイスを介して、必要なすべてのポートでディレクトリコントローラーとの通信 WorkSpaces を に許可していることを確認します。

                  このエラーの別の原因として、ユーザー権利の割り当てグループポリシーに関連がある場合があります。次のグループポリシーが正しく設定されていない場合、ユーザーは Windows にアクセスできなくなります WorkSpaces。

                  コンピュータ構成\Windows Settings\Security Settings\Local Policies\User Rights Assignment

                  • 正しくないポリシー:

                    ポリシー: ネットワークからこのコンピュータにアクセスする

                    設定: ドメイン名\ドメインコンピュータ

                    優先される GPO: ファイルアクセスを許可する

                  • 正しいポリシー:

                    ポリシー: ネットワークからこのコンピュータにアクセスする

                    設定: ドメイン名\ドメインユーザー

                    優先される GPO: ファイルアクセスを許可する

                  注記

                  このポリシー設定は、ドメインコンピュータの代わりにドメインユーザーに適用する必要があります。

                  詳細については、Microsoft Windows のドキュメントの「ネットワークセキュリティポリシーの設定からこのコンピュータにアクセスする」および「セキュリティポリシー設定を構成する」を参照してください。

                  ユーザーが WorkSpaces Web Access WorkSpaces から にログオンしようとすると問題が発生する

                  Amazon WorkSpaces は、ユーザーが Web Access クライアントから正常にログオンできるように、特定のログオン画面設定に依存しています。

                  Web Access ユーザーが にログオンできるようにするには WorkSpaces、グループポリシー設定と 3 つのセキュリティポリシー設定を設定する必要があります。これらの設定が正しく設定されていない場合、ユーザーが にログオンしようとすると、ログオン時間が長くなり、画面が黒くなることがあります WorkSpaces。これらの設定を構成するには、「Amazon WorkSpaces Web Access の有効化と設定」を参照してください。

                  重要

                  2020 年 10 月 1 日以降、お客様は Amazon WorkSpaces Web Access クライアントを使用して Windows 7 カスタム WorkSpaces または Windows 7 Bring Your Own License (BYOL) に接続できなくなります WorkSpaces。

                  Amazon WorkSpaces クライアントは、ログイン画面に戻る前にしばらくの間、灰色の「ロード中」画面を表示します。他のエラーメッセージは表示されない。

                  この動作は通常、 WorkSpaces クライアントがポート 443 経由で認証できるが、ポート 4172 (PCoIP) またはポート 4195 (WSP) 経由でストリーミング接続を確立できないことを示します。この状況は、ネットワークの前提条件が満たされていない場合に発生する可能性があります。クライアント側の問題により、クライアントでのネットワークチェックが失敗することがよくあります。どのヘルスチェックが失敗しているかを確認するには、ネットワークチェックアイコン (通常、2.0+ クライアントのログイン画面の右下隅に感嘆符が付いた赤い三角形、または 3.0+ クライアントの右上隅にあるネットワークアイコン Network icon ) を選択します。

                  注記

                  この問題の最も一般的な原因は、クライアント側のファイアウォールまたはプロキシがポート 4172 または 4195 (TCP および UDP) 経由のアクセスを防止していることです。このヘルスチェックが失敗した場合は、ローカルのファイアウォール設定を確認してください。

                  ネットワークチェックに合格すると、 のネットワーク設定に問題がある可能性があります WorkSpace。たとえば、Windows ファイアウォールの規則により、管理インターフェイス上のポート UDP 4172 または 4195 がブロックされる場合があります。リモートデスクトッププロトコル (RDP) クライアント WorkSpace を使用して に接続し、 WorkSpace が必要なポート要件を満たしていることを確認します。

                  ユーザーにWorkSpace 「ステータス: 異常」というメッセージが表示されます。に接続できませんでした WorkSpace。Please try again in a few minutes.」というメッセージが表示される。

                  このエラーは通常、 SkyLightWorkSpacesConfigService サービスがヘルスチェックに応答していないことを示します。

                  を再起動または開始したばかりの場合は WorkSpace、数分待ってからもう一度試してください。

                  WorkSpace がしばらく実行されていてもこのエラーが表示される場合は、RDP を使用して接続し、 SkyLightWorkSpacesConfigService サービスが次のことを確認します。

                  • 実行中である。

                  • 自動的に開始するように設定されている。

                  • 管理インターフェイス (eth0) を介して通信できる。

                  • サードパーティー製のウイルス対策ソフトウェアによってブロックされていない。

                  ユーザーに「このデバイスは へのアクセスを許可されていません WorkSpace。Please contact your administrator for assistance.」というメッセージが表示される。

                  このエラーは、IP アクセスコントロールグループが WorkSpace ディレクトリに設定されているが、クライアントの IP アドレスが許可リストに登録されていないことを示します。

                  ディレクトリの設定を確認します。ユーザーが接続しているパブリック IP アドレスが へのアクセスを許可していることを確認します WorkSpace。

                  ユーザーが WSP WorkSpace に接続しようとすると、「ネットワークがありません。ネットワーク接続が失われました ネットワーク接続を確認するか、管理者に問い合わせてください。」 WSP に接続しようとする場合 WorkSpace

                  このエラーが発生したが、ユーザーに接続の問題が発生していない場合は、ネットワークのファイアウォールでポート 4195 が開いていることを確認してください。 WorkSpaces ストリーミングプロトコル (WSP) WorkSpaces を使用する場合、クライアントセッションのストリーミングに使用されるポートが 4172 から 4195 に変更されました。

                  WorkSpaces クライアントはユーザーにネットワークエラーを与えますが、デバイスで他のネットワーク対応アプリケーションを使用できます

                  WorkSpaces クライアントアプリケーションは AWSクラウド内のリソースへのアクセスに依存しており、少なくとも 1 Mbps のダウンロード帯域幅を提供する接続が必要です。デバイスにネットワークへの断続的な接続がある場合、 WorkSpaces クライアントアプリケーションはネットワークの問題を報告する可能性があります。

                  WorkSpaces は、2018 年 5 月の時点で Amazon Trust Services によって発行されたデジタル証明書の使用を強制します。Amazon Trust Services は、 でサポートされているオペレーティングシステムで既に信頼されたルート CA です WorkSpaces。オペレーティングシステムのルート CA リストが最新でない場合、デバイスは に接続できず WorkSpaces 、クライアントはネットワークエラーを表示します。

                  証明書の失敗による接続の問題を認識するには
                  • PCoIP ゼロクライアント - 次のエラーメッセージが表示されます。

                    Failed to connect. The server provided a certificate that is invalid. See below for details:
                    - The supplied certificate is invalid due to timestamp
                    - The supplied certificate is not rooted in the devices local certificate store
                  • その他のクライアント – ヘルスチェックは、インターネットの赤い三角形の警告が表示されて失敗します。

                  Windows クライアントアプリケーション

                  証明書が失敗した場合は、次のいずれかの解決策を使用します。

                  解決策 1: クライアントアプリケーションを更新する

                  https://clients.amazonworkspaces.com/. から最新の Windows 。クライアントアプリケーションは、インストール中に、Amazon Trust Services によって発行された証明書をオペレーティングシステムが信頼するようにします。

                  解決策 2: Amazon Trust Services をローカルのルート CA リストに追加する
                  1. https://www.amazontrust.com/repository/ を開きます。

                  2. DER 形式の Starfield 証明書 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92) をダウンロードします。

                  3. Microsoft マネジメントコンソールを開きます。 (コマンドプロンプトから、mmc を実行します。)

                  4. [ファイル]、[スナップインの追加と削除]、[証明書]、[追加] の順に選択します。

                  5. [証明書スナップイン] ページで、[コンピュータ アカウント] を選択し、[次へ] を選択します。デフォルトの [ ローカル コンピュータ] のままにします。[Finish] を選択します。[OK] をクリックします。

                  6. [証明書 (ローカル コンピュータ)] を展開し、[信頼されたルート証明機関] を選択します。[アクション]、[すべてのタスク]、[インポート] の順に選択します。

                  7. ウィザードに従って、ダウンロードした証明書をインポートします。

                  8. WorkSpaces クライアントアプリケーションを終了して再起動します。

                  解決策 3: グループポリシーを使用して Amazon Trust Services を信頼された CA としてデプロイする

                  グループポリシーを使用して、ドメインの信頼されたルート CA に Starfield 証明書を追加します。詳細については、「Use Policy to Distribute Certificates」を参照してください。

                  PCoIP ゼロクライアント

                  ファームウェアバージョン 6.0 以降 WorkSpace を使用して に直接接続するには、Amazon Trust Services によって発行された証明書をダウンロードしてインストールします。

                  Amazon Trust Services を信頼されたルート CA として追加するには
                  1. https://certs.secureserver.net/repository/ を開きます。

                  2. [Starfield Certificate Chain] で、サムプリント 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C8 67 75 21 FB 5F B6 58 の証明書をダウンロードします。

                  3. 証明書をゼロクライアントにアップロードします。詳細については、Teradici ドキュメントの「Uploading Certificates」を参照してください。

                  その他のクライアントアプリケーション

                  Amazon Trust Services から、Starfield 証明書 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92) を追加します。ルート CA の追加方法の詳細については、以下のドキュメントを参照してください。

                  WorkSpace ユーザーに「デバイスは登録サービスに接続できません。ネットワーク設定を確認してください」というエラーが表示されます。

                  登録サービスの障害が発生すると、 WorkSpace 接続ヘルスチェックページに「デバイスが WorkSpaces 登録サービスに接続できない」というエラーメッセージが表示されることがあります。デバイスを に登録することはできません WorkSpaces。ネットワーク設定を確認してください」というエラーメッセージが表示されることがあります。

                  このエラーは、 WorkSpaces クライアントアプリケーションが登録サービスに到達できない場合に発生します。通常、これは WorkSpaces ディレクトリが削除されたときに発生します。このエラーを解決するには、登録コードが有効で、 AWS クラウドで実行中のディレクトリに対応していることを確認してください。

                  PCoIP ゼロクライアントユーザーに、「指定された証明書はタイムスタンプのために無効です」というエラーが表示される

                  Teradici でネットワークタイムプロトコル (NTP) が有効になっていない場合、PCoIP ゼロクライアントユーザーに証明書の失敗エラーが表示されることがあります。NTP を設定するには、「WorkSpaces の PCoIP ゼロクライアントをセットアップする」を参照してください。

                  PCoIP ゼロクライアントで USB プリンタと他の USB 周辺機器が動作しない

                  PCoIP エージェントのバージョン 20.10.4 以降、Amazon は Windows レジストリを介した USB リダイレクトをデフォルトで WorkSpaces 無効にします。このレジストリ設定は、ユーザーが PCoIP ゼロクライアントデバイスを使用して に接続している場合の USB 周辺機器の動作に影響します WorkSpaces。

                  WorkSpaces でバージョン 20.10.4 以降の PCoIP エージェントを使用している場合、USB リダイレクトを有効にするまで、USB 周辺機器は PCoIP ゼロクライアントデバイスでは動作しません。

                  注記

                  32 ビット仮想プリンタードライバーを使用している場合は、それらのドライバーを 64 ビット版に更新する必要があります。

                  PCoIP ゼロクライアントデバイスの USB リダイレクトを有効にするには

                  これらのレジストリの変更は、グループポリシー WorkSpaces を通じて にプッシュアウトすることをお勧めします。詳細については、「Teradiciのマニュアル」からエージェントの設定および環境の設定を参照してください。

                  1. 次のレジストリキーの値を 1 (有効) に設定します。

                    KeyPath = HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Teradici\PCoIP \pcoip_admin

                    KeyName = pcoip.enable_usb

                    KeyType = DWORD

                    KeyValue = 1

                  2. 次のレジストリキーの値を 1 (有効) に設定します。

                    KeyPath = HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Teradici\PCoIP \pcoip_admin_defaults

                    KeyName = pcoip.enable_usb

                    KeyType = DWORD

                    KeyValue = 1

                  3. まだログアウトしていない場合は、 からログアウト WorkSpaceしてから再度ログインします。これで USB デバイスが動作するはずです。

                  ユーザーが Windows または macOS クライアントアプリケーションの更新をスキップしても、最新バージョンをインストールするように求められない

                  ユーザーが Amazon WorkSpaces Windows クライアントアプリケーションの更新をスキップすると、SkipThisバージョンレジストリキーが設定され、クライアントの新しいバージョンがリリースされたときにクライアントを更新するように求められなくなります。最新バージョンに更新するには、「Amazon ユーザーガイド」の WorkSpaces 「Windows クライアントアプリケーションを新しいバージョンに更新する」の説明に従ってレジストリを編集できます。 WorkSpaces 次の PowerShell コマンドを実行することもできます。

                  Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces\WinSparkle" -Name "SkipThisVersion"

                  ユーザーが Amazon WorkSpaces macOS クライアントアプリケーションの更新をスキップすると、SUSkippedVersion設定が設定され、クライアントの新しいバージョンがリリースされたときにクライアントを更新するように求められなくなります。最新バージョンに更新するには、「Amazon WorkSpaces ユーザーガイド」の WorkSpaces macOS クライアントアプリケーションを新しいバージョンに更新する」で説明されているように、この設定をリセットできます。

                  ユーザーが Chromebook に Android クライアントアプリケーションをインストールできない

                  バージョン 2.4.13 は、Amazon WorkSpaces Chromebook クライアントアプリケーションの最終リリースです。 Google は Chrome Apps のサポートを段階的に廃止しているため、 WorkSpaces Chromebook クライアントアプリケーションへの更新は行われず、その使用はサポートされていません。

                  Android アプリケーションのインストールをサポートする Chromebook の場合は、代わりに WorkSpaces Android クライアントアプリケーションを使用することをお勧めします。

                  場合によっては、ユーザーの Chromebook で Android アプリケーションのインストールを有効にする必要があります。詳細については、「Chromebook 用の Android のセットアップ」を参照してください。

                  ユーザーに招待 E メールまたはパスワードリセット E メールが届かない

                  AD Connector または信頼 WorkSpaces されたドメインを使用して作成された のウェルカムまたはパスワードリセット E メールは、ユーザーに自動的に送信されません。また、ユーザーが既に Active Directory に存在する場合も、招待メールは自動的に送信されません。

                  これらのユーザーに招待 E メールを手動で送信するには、「招待 E メールの送信」を参照してください 。

                  ユーザーパスワードをリセットするには、「WorkSpaces の Active Directory 管理ツールを設定する」を参照してください。

                  クライアントのログイン画面でユーザーに [パスワードを忘れた場合] が表示されません。

                  AD Connector または信頼できるドメインを使用している場合、ユーザーは自分のパスワードをリセットできません。( WorkSpaces クライアントアプリケーションのログイン画面のパスワードを忘れた場合? オプションは使用できません。) ユーザーパスワードをリセットする方法については、WorkSpaces の Active Directory 管理ツールを設定する を参照してください。

                  Windows にアプリケーションをインストールしようとすると、「システム管理者は、このインストールを防ぐためのポリシーを設定しています」というメッセージが表示されます。 WorkSpace

                  この問題に対処するには、Windows インストーラのグループポリシー設定を変更します。このポリシーをディレクトリ WorkSpaces 内の複数の にデプロイするには、ドメインに参加している EC2 インスタンスから WorkSpaces 組織単位 (OU) にリンクされたグループポリシーオブジェクトにこの設定を適用します。AD Connector を使用している場合は、ドメインコントローラーからこれらの変更を行うことができます。Active Directory 管理ツールを使用してグループポリシーオブジェクトを操作する方法の詳細については、AWS Directory Service 管理ガイドの「Active Directory 管理ツールのインストール」を参照してください。

                  次の手順は、 WorkSpaces グループポリシーオブジェクトの Windows インストーラ設定を構成する方法を示しています。

                  1. 最新のWorkSpaces グループポリシー管理テンプレートがドメインにインストールされていることを確認します。

                  2. Windows WorkSpace クライアントでグループポリシー管理ツールを開き、 WorkSpaces マシンアカウントの WorkSpaces グループポリシーオブジェクトに移動して選択します。メインメニューの [Action]、[Edit] を選択します。

                  3. グループポリシー管理エディタで、[Computer Configuration (コンピュータの構成)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Classic Administrative Templates (従来の管理用テンプレート)]、[Windows Components (Windows コンポーネント)]、[Windows Installer (Windows インストーラ)] の順に選択します。

                  4. [Turn Off Windows Installer (Windows インストーラをオフ)] 設定を開きます。

                  5. [Turn Off Windows Installer (Windows インストーラをオフ)] ダイアログボックスで、[Not Configured (未構成)] を [Enabled (有効)] に変更し、[Disable Windows Installer (Windows インストーラを無効にする] を [Never (しない)] に設定します。

                  6. [OK] をクリックします。

                  7. グループポリシーの変更を適用するには、次のいずれかを実行します。

                    • を再起動します WorkSpace ( WorkSpaces コンソールで を選択し、アクション WorkSpace、再起動 WorkSpaces を選択します)。

                    • 管理コマンドプロンプトから、gpupdate /force と入力します。

                  ディレクトリ WorkSpaces にインターネットに接続できない

                  WorkSpaces デフォルトでは、 はインターネットと通信できません。明示的にインターネットアクセスを許可する必要があります。詳細については、「からのインターネットアクセスを提供する WorkSpace」を参照してください。

                  WorkSpace インターネットアクセスを失った

                  WorkSpace がインターネットにアクセスできなくなり、RDP WorkSpace を使用して に接続できない場合、この問題はおそらく のパブリック IP アドレスが失われたことが原因と考えられます WorkSpace。ディレクトリレベルで Elastic IP アドレスの自動割り当てを有効にしている場合、起動 WorkSpace 時に (Amazon が提供するプールからの) Elastic IP アドレスが に割り当てられます。ただし、所有している Elastic IP アドレスを に関連付けた後 WorkSpace、その Elastic IP アドレスと の関連付けを解除すると WorkSpace、 はパブリック IP アドレスを WorkSpace 失い、Amazon が提供するプールから新しい IP アドレスを自動的に取得しません。

                  Amazon が提供するプールの新しいパブリック IP アドレスを に関連付けるには WorkSpace、 を再構築 WorkSpaceする必要があります。を再構築しない場合は WorkSpace、所有している別の Elastic IP アドレスを に関連付ける必要があります WorkSpace。

                  の WorkSpace 起動後に の Elastic Network Interface WorkSpaceを変更しないことをお勧めします。Elastic IP アドレスが に割り当てられると WorkSpace、 は同じパブリック IP アドレス WorkSpace を保持します ( WorkSpace が再構築されない限り、新しいパブリック IP アドレスを取得します)。

                  オンプレミスディレクトリに接続しようとすると、「DNS unavailable」というエラーが表示される

                  オンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

                  DNS unavailable (TCP port 53) for IP: dns-ip-address

                  AD Connectorは、ポート 53 上で TCP および UDP によってオンプレミス DNS サーバーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、このポート上の TCP および UDP 通信を許可していることを確認します。

                  オンプレミスディレクトリに接続しようとすると、「Connectivity issues detected」というエラーが表示される

                  オンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

                  Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address
                  Kerberos/authentication unavailable (TCP port 88) for IP: ip-address
                  Please ensure that the listed ports are available and retry the operation.

                  AD Connectorは、以下のポート上で TCP および UDP によってオンプレミスドメインコントローラーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、これらのポート上の TCP および UDP 通信を許可していることを確認します。

                  • 88 (Kerberos)

                  • 389 (LDAP)

                  オンプレミスディレクトリに接続しようとすると、「SRV record」というエラーが表示される

                  オンプレミスディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示されます。

                  SRV record for LDAP does not exist for IP: dns-ip-address
                  
                  SRV record for Kerberos does not exist for IP: dns-ip-address

                  AD Connector は、ディレクトリに接続するときに、_ldap._tcp.dns-domain-name および _kerberos._tcp.dns-domain-name SRV レコードを取得する必要があります。ディレクトリに接続するときに、サービスが指定された DNS サーバーからこれらのレコードを取得できない場合、このエラーが表示されます。DNS サーバーにこれらの SRV レコードが含まれていることを確認します。詳細については、「Microsoft の SRV リソースレコード」を参照してください TechNet。

                  Windows WorkSpace がアイドル状態のままになるとスリープ状態になる

                  この問題を解決するには、 に接続 WorkSpace し、次の手順を使用して電源プランを高パフォーマンスに変更します。

                  1. から WorkSpaceコントロールパネル を開き、ハードウェア を選択するか、ハードウェアとサウンド を選択します (Windows のバージョンによって名前が異なる場合があります)。

                  2. [Power Options (電源オプション)] で [Choose a power plan (電源プランを選択)] を選択します。

                  3. [Choose or customize a power plan] (電力プランの選択あるいはカスタマイズ) ペインで [High performance] (高パフォーマンス) 電力プランを選択し、[Change plan settings] (プラン設定の変更)を選択します。

                    • オプションで、[High performance](高パフォーマンス) 電力プランの選択が無効になっている場合は、[現在利用できない設定を変更する] を選択してから、[高パフォーマンス] 電力プランを選択します。

                    • そのファイルに[高パフォーマンス]プランが非表示になっている場合は、[追加プランを表示]の右側にある矢印を選択して表示するか、もしくは左のナビゲーションで[電源プランを作成する]から[高パフォーマンス]を選択し、電源プランに名前を付けたうえで、[次へ] を選択します。

                  4. [プランの設定を変更する:高パフォーマンス]ページでは、[ディスプレイをオフにする]および(利用可能な場合)[コンピュータをスリープ状態にする]などについて[Never](決してしない)を選択してあることを確認してください。

                  5. 高パフォーマンスプランに変更した場合は、[変更の保存] を選択します。(または新しいプランを作成するのであれば[作成]を選択します)。

                  上記の手順で問題を解決できない場合は、次の操作を行います。

                  1. から WorkSpaceコントロールパネル を開き、ハードウェア を選択するか、ハードウェアとサウンド を選択します (Windows のバージョンによって名前が異なる場合があります)。

                  2. [Power Options (電源オプション)] で [Choose a power plan (電源プランを選択)] を選択します。

                  3. [Choose or customize a power plan] (電力プランの選択あるいはカスタマイズ) ペインで、[High performance] (高パフォーマンス) 電源プランの右側にある [Change plan settings] (プラン設定の変更) リンクを選択して、[Change advanced power settings] (高度な電源設定の変更) リンクを選択します。

                  4. 設定リストの [Power Options (電源オプション)] ダイアログボックスで、[Hard disk (ハードディスク)] の左側にあるプラス記号を選択して関連する設定を表示します。

                  5. [Plugged in (プラグイン)] の [Turn off hard disk after (経過後にハードディスクを切断する)] 値が、[On battery (バッテリー使用時)] よりも大きいことを確認します (デフォルト値は 20 分)。

                  6. [PCI Express] の左側にあるプラス記号を選択し、[Link State Power Management (ステート電力管理リンク)] でも同様の選択を行います。

                  7. [Link State Power Management (ステート電力管理リンク)] 設定が [オフ] であることを確認します。

                  8. [OK] (あるいは、設定を変更した場合には [適用]) を選択して、ダイアログボックスを閉じます。

                  9. 設定を変更した場合には、[Change settings for the plan (プランの設定変更)] ペインで [変更の保存] を選択します。

                  の 1 つの状態 WorkSpaces が UNHEALTHY

                  WorkSpaces サービスは定期的にステータスリクエストを に送信します WorkSpace。 WorkSpace は、これらのリクエストに応答UNHEALTHYできない場合にマークされます。この問題に対する一般的な原因は次のとおりです。

                  • 上のアプリケーション WorkSpace がネットワークポートをブロックしているため、 WorkSpace はステータスリクエストに応答できません。

                  • CPU 使用率が高い WorkSpace と、 がステータスリクエストにタイムリーに応答できなくなります。

                  • のコンピュータ名が変更され WorkSpace ました。これにより、 WorkSpaces と の間で安全なチャネルが確立されなくなります WorkSpace。

                  次の方法を使用して、この状況を修正するよう試みることができます。

                  • WorkSpaces コンソール WorkSpace から を再起動します。

                  • 次の手順 WorkSpace を使用して、異常のある に接続します。これはトラブルシューティングの目的にのみ使用してください。

                    1. 異常のある WorkSpace と同じディレクトリ内の オペレーションに接続します WorkSpace。

                    2. 運用上の から WorkSpace、リモートデスクトッププロトコル (RDP) を使用して、異常のある の IP アドレス WorkSpace を使用して異常のある に接続します WorkSpace。問題の範囲によっては、異常な に接続できない場合があります WorkSpace。

                    3. 異常のある で WorkSpace、最小ポート要件が満たされていることを確認します。

                  • SkyLightWorkSpacesConfigService サービスがヘルスチェックに応答できることを確認します。この問題のトラブルシューティングについては、「ユーザーにWorkSpace 「ステータス: 異常」というメッセージが表示されます。に接続できませんでした WorkSpace。Please try again in a few minutes.」というメッセージが表示される。」を参照してください。

                  • WorkSpaces コンソール WorkSpace から を再構築します。を再構築 WorkSpace するとデータが失われる可能性があるため、このオプションは、問題を修正する他のすべての試行が失敗した場合にのみ使用してください。

                  WorkSpace が予期せずクラッシュまたは再起動している

                  PCoIP 用に WorkSpace 設定された が繰り返しクラッシュまたは再起動し、エラーログまたはクラッシュダンプが spacedeskHookKmode.sysまたは の問題を参照している場合spacedeskHookUmode.dll、または次のエラーメッセージが表示されている場合は、 へのウェブアクセスを無効にする必要がある場合があります WorkSpace。

                  The kernel power manager has initiated a shutdown transition.
                  Shutdown reason: Kernel API
                  The computer has rebooted from a bugcheck.
                  注記
                  • これらのトラブルシューティング手順は、 WorkSpaces ストリーミングプロトコル (WSP) 用に WorkSpaces 設定された には適用されません。これらは、PCoIP WorkSpaces に設定されている にのみ適用されます。 PCoIP

                  • Web Access を無効にするのは、ユーザーに Web Access の使用を許可しない場合だけです。

                  へのウェブアクセスを無効にするには WorkSpace、 WorkSpaces ディレクトリでウェブアクセスを無効にし、 を再起動する必要があります WorkSpace。

                  同じユーザー名に複数の がありますが WorkSpace、ユーザーは の 1 つのみにログインできます。 WorkSpaces

                  最初にユーザーを削除せずに Active Directory (AD) でユーザーを削除し、そのユーザーを Active Directory に再度追加して WorkSpace そのユーザーの新しい を作成する WorkSpace と、同じユーザー名が同じディレクトリ WorkSpaces に 2 つの を持つようになります。ただし、ユーザーが元の に接続しようとすると WorkSpace、次のエラーが表示されます。

                  "Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."

                  さらに、Amazon WorkSpaces コンソールでユーザー名を検索すると、両方 WorkSpaces がまだ存在する場合でも WorkSpace、新しい のみが返されます。(ユーザー名の代わりに WorkSpace ID を検索 WorkSpace することで、元の を見つけることができます)。

                  この動作は、最初に を削除せずに Active Directory でユーザーの名前を変更した場合にも発生する可能性があります WorkSpace。その後、ユーザー名を元のユーザー名に戻し、その WorkSpace ユーザーの新しいユーザー名を作成すると、同じユーザー名が ディレクトリ WorkSpaces に 2 つ含まれます。

                  この問題は、Active Directory がユーザー名ではなくユーザーのセキュリティ識別子 (SID) を使用してユーザーを一意に識別するために発生します。ユーザーを削除して Active Directory で再作成すると、ユーザー名が同じであっても、そのユーザーに新しい SID が割り当てられます。ユーザー名の検索中、Amazon WorkSpaces コンソールは SID を使用して Active Directory で一致を検索します。また、Amazon WorkSpaces クライアントは SID を使用して、ユーザーが に接続するときにユーザーを識別します WorkSpaces。

                  この問題を解決するには、以下のいずれかの操作を行います。

                  • ユーザーが削除されて Active Directory で再作成されたためにこの問題が発生した場合は、Active Directory のごみ箱機能を有効にすると、削除された元のユーザーオブジェクトを復元できる可能性があります。元のユーザーオブジェクトを復元できる場合は、ユーザーが元の に接続できることを確認してください WorkSpace。可能な場合は、手動でバックアップし、ユーザーデータを新しい から元の に転送した後 WorkSpace (必要に応じて)、新しい WorkSpace を削除 WorkSpaceできます。

                  • 元のユーザーオブジェクトを復元できない場合は、ユーザーの元の を削除します WorkSpace。ユーザーは、 WorkSpace 代わりに新しい に接続して使用できる必要があります。元の から新しい WorkSpace にユーザーデータを手動でバックアップして転送してください WorkSpace。

                    警告

                    の削除 WorkSpace は永続的なアクションであり、元に戻すことはできません。 WorkSpace ユーザーのデータは保持されず、破棄されます。ユーザーデータのバックアップに関するヘルプについては、 AWS サポートにお問い合わせください。

                  Amazon での Docker の使用に問題がある WorkSpaces

                  Windows WorkSpaces

                  ネストされた仮想化 (Docker の使用を含む) は Windows ではサポートされていません WorkSpaces。詳細については、「Docker ドキュメント」を参照してください。

                  Linux WorkSpaces

                  Linux で Docker を使用するには WorkSpaces、Docker で使用される CIDR ブロックが、 に関連付けられた 2 つの Elastic Network Interface (ENIsで使用される CIDR ブロックと重複しないようにしてください WorkSpace。Linux での Docker の使用で問題が発生した場合は WorkSpaces、Docker にお問い合わせください。

                  一部の API コールに ThrottlingException エラーが表示される

                  WorkSpaces API コールのデフォルトの許容レートは 1 秒あたり 2 回の API コールの一定のレートであり、最大許容「バースト」レートは 1 秒あたり 5 回の API コールです。次の表は、API リクエストのバーストレート制限がどのように機能するかを示しています。

                  送信されたリクエストの数 許可されたネットリクエスト 詳細

                  1

                  0

                  5

                  最初の 1 秒(1 秒目)の間は、1 秒あたり最大 5 回の呼び出しのバーストレートまで、5 つのリクエストが許可されます。

                  2

                  2

                  5

                  1 秒目で発行されたコール数が 2 つ以下であるため、5 つのコールのフルバーストキャパシティーを引き続き利用できます。

                  3

                  5

                  5

                  2 秒目で発行された呼び出しは 2 つだけであるため、5 つの呼び出しのフルバーストキャパシティーを引き続き利用できます。

                  4

                  2

                  2

                  バーストキャパシティーが 3 秒目にいっぱいまで使用されたため、1 秒あたり 2 回の呼び出しの一定のレートのみが使用できます。

                  5

                  3

                  2

                  バースト容量が残っていないため、現時点では許可される呼び出しは 2 つだけです。これは、3 つの API コールの 1 つが調整されることを意味します。1 つの調整された呼び出しは、短い遅延後に応答します。

                  6

                  0

                  1

                  5 秒目からの呼び出しの 1 つが 6 秒目で再試行されるため、6 秒目の追加の呼び出しは 1 つだけです。これは、1 秒あたり 2 回の呼び出しが一定のレート制限であるためです。

                  7

                  0

                  3

                  キューに調整された API コールがないため、レート制限はバーストレート制限が 5 回まで引き上げられます。

                  8

                  0

                  5

                  7 秒目には呼び出しが発行されなかったため、リクエストの最大数が許可されます。

                  9

                  0

                  5

                  8 秒目には呼び出しが発行されませんが、レート制限は 5 つを超えることはありません。

                  バックグラウンドで実行させると切断 WorkSpace し続けます

                  Mac ユーザーの場合は、Power Nap 機能がオンになっていないかどうかをチェックしてください。オンになっている場合は、オフにします。Power Nap をオフにするには、ターミナルを開いて、以下のコマンドを実行します。

                  defaults write com.amazon.workspaces NSAppSleepDisabled -bool YES

                  SAML 2.0 フェデレーションが動作していません。ユーザーに WorkSpaces デスクトップをストリーミングする権限がありません。

                  このエラーは、SAML 2.0 フェデレーションの IAM ロール用に埋め込まれているインラインポリシーに、ディレクトリの Amazon リソースネーム (ARN) からストリーミングするためのアクセス許可が含まれていないことが原因で発生する可能性があります。IAM ロールは、 WorkSpaces ディレクトリにアクセスするフェデレーティッドユーザーによって引き受けられます。ロールのアクセス許可を編集してディレクトリ ARN を含め、ユーザーが ディレクトリ WorkSpace に を持っていることを確認します。詳細については、「SAML 2.0 認証」および「 を使用した SAML 2.0 フェデレーションのトラブルシューティング AWS」を参照してください。

                  ユーザーは 60 分ごとに WorkSpaces セッションから切断されます。

                  SAML 2.0 認証を に設定している場合 WorkSpaces、ID プロバイダー (IdP ) によっては、認証レスポンス AWS の一部として IdP が SAML 属性として渡す情報を設定する必要がある場合があります。これには、[Attribute] 要素の設定として、SessionDuration 属性を https://aws.amazon.com/SAML/Attributes/SessionDuration に設定することが含まれます。

                  SessionDuration は、再認証が必要となるまでに、ユーザーのフェデレーティッドストリーミングセッションをアクティブにしておくことができる最大時間を指定します。SessionDuration はオプションの属性ですが、これを SAML 認証レスポンスに含めることをお勧めします。この属性を指定しない場合、セッション時間はデフォルトで 60 分に設定されます。

                  この問題を解決するには、SAML 認証レスポンスに SessionDuration 値を含めるように IdP を設定し、必要に応じた値を設定します。詳細については、「ステップ 5: SAML 認証レスポンスのアサーションを作成する」を参照してください。

                  ユーザーが SAML 2.0 ID プロバイダー (IdP) 開始フローを使用してフェデレーションすると、リダイレクト URI エラーが発生します。または、IdP にフェデレーションした後にユーザーがクライアントからサインインしようとするたびに、 WorkSpaces クライアントアプリケーションの追加のインスタンスが開始されます。

                  このエラーが発生するのは、リレーステートの URL が正しい形式でないためです。IdP フェデレーション設定のリレーステートが正しいこと、および WorkSpaces ディレクトリプロパティの IdP フェデレーションに対してユーザーアクセス URL とリレーステートパラメータ名が正しく設定されていることを確認します。それらが有効で、問題が解決しない場合は、 AWS サポートにお問い合わせください。詳細については、「SAML のセットアップ」を参照してください。

                  ユーザーが「Something went wrong: An error occurred while launching your " WorkSpacewhen they attempt to sign in to the WorkSpaces client application after federating to the IdP」というメッセージを受信しました。

                  フェデレーションの SAML 2.0 アサーションを確認します。SAML サブジェクト NameID 値は WorkSpaces ユーザー名と一致する必要があり、通常は Active Directory ユーザーの sAMAccountName 属性と同じです。さらに、 属性が に設定されている PrincipalTag:Email Attribute 要素は、 WorkSpaces ディレクトリで定義されている WorkSpaces ユーザーの E メールアドレスと一致するhttps://aws.amazon.com/SAML/Attributes/PrincipalTag:Email必要があります。詳細については、「SAML のセットアップ」を参照してください。

                  ユーザーが IdP にフェデレーションした後に WorkSpaces クライアントアプリケーションにサインインしようとすると、「タグを検証できません」というメッセージが表示されます。

                  https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email など、フェデレーションの SAML 2.0 アサーションの PrincipalTag 属性値を確認します。タグ値には、_ . : / = + - @ の各文字、英数字、およびスペースの組み合わせを含めることができます。詳細については、「IAM でのタグ付けのルール」および AWS STS「」を参照してください。

                  「The client and the server cannot communicate, because they do not possess a common algorithm」(クライアントとサーバーは共通のアルゴリズムを所有していないため、通信できません) というメッセージがユーザーに表示されます。

                  この問題は、TLS 1.2 を有効にしていない場合に発生する可能性があります。

                  マイクまたはウェブカメラが Windows で動作していません WorkSpaces。

                  [Start] (スタート) メニューを開いてプライバシー設定を確認してください

                  • [Start] (スタート) > [Settings] (設定) > [Privacy] (プライバシー) > [Camera] (カメラ)

                  • [Start] (スタート) > [Settings] (設定)> [Privacy] (プライバシー) > [Microphone] (マイク)

                  オフになっている場合は、オンにします。

                  または、 WorkSpaces 管理者はグループポリシーオブジェクト (GPO) を作成して、必要に応じてマイクやウェブカメラを有効にすることもできます。

                  ユーザーは証明書ベースの認証を使用してログインできず、デスクトップセッションに接続すると、 WorkSpaces クライアントまたは Windows サインオン画面でパスワードの入力を求められます。

                  このセッションでは、証明書ベースの認証が失敗しました。問題が続く場合、証明書ベースの認証が失敗するのは、次のいずれかの問題が原因である可能性があります。

                  • WorkSpaces または クライアントはサポートされていません。証明書ベースの認証は、最新の Windows クライアントアプリケーションを使用する Windows WorkSpaces on WorkSpaces Streaming Protocol (WSP) WorkSpaces バンドルでサポートされています。

                  • WorkSpaces ディレクトリで証明書ベースの認証を有効にした後、 を再起動 WorkSpaces する必要があります。

                  • WorkSpaces が と通信できなかったか AWS Private CA、証明書を発行 AWS Private CA しませんでした。AWS CloudTrail で証明書が発行されたかどうかを確認してください。詳細については、「証明書ベースの認証の管理」を参照してください。

                  • ドメインコントローラーには、スマートカードログオン用のドメインコントローラー証明書がないか、有効期限が切れています。詳細については、「前提条件」のステップ 7「Configure domain controllers with a domain controller certificate to authenticate smart card users」(ドメインコントローラー証明書を使用して、スマートカードユーザーを認証するようにドメインコントローラーを設定する) を参照してください。

                  • 証明書が信頼されていません。詳細については、「前提条件」のステップ 7「Publish the CA to Active Directory」(CA を Active Directory に公開する) を参照してください。ドメインコントローラーcertutil –viewstore –enterprise NTAuthで を実行して、CA が公開されていることを確認します。

                  • キャッシュに証明書はありますが、証明書を無効にしたユーザーの属性が変更されています。証明書の有効期限が切れる (24 時間) 前にキャッシュをクリア AWS Support するには、 にお問い合わせください。詳細については、AWS Support センターを参照してください。

                  • SAML 属性UserPrincipalNameの userPrincipalName 形式が正しくフォーマットされていないか、ユーザーの実際のドメインに解決されません。詳細については、「前提条件」のステップ 1 を参照してください。

                  • SAML アサーションの ObjectSid 属性 (オプション) が、SAML_Subject NameID で指定したユーザーの Active Directory セキュリティ識別子 (SID) と一致しません。SAML フェデレーションの属性マッピングが正しいこと、および SAML ID プロバイダーが Active Directory ユーザーの SID 属性を同期していることを確認してください。

                  • スマートカードログオンのデフォルトの Active Directory 設定を変更したり、スマートカードがスマートカードリーダーから取り外された場合にアクションを実行したりするグループポリシー設定があります。これらの設定により、上記のエラー以外にも予期しない動作が発生する可能性があります。証明書ベースの認証では、仮想スマートカードがインスタンスのオペレーティングシステムに提示され、ログオンの完了後にそれが削除されます。「Primary Group Policy settings for smart cards」(スマートカードのプライマリグループポリシー設定) と「Additional smart card Group Policy settings and registry keys」(その他のスマートカードのグループポリシー設定とレジストリキー) (スマートカード取り出し時の動作を含む) を参照してください。

                  • プライベート CA の CRL ディストリビューションポイントは、オンラインでも、 WorkSpaces またはドメインコントローラーからもアクセスできません。詳細については、「前提条件」のステップ 5 を参照してください。

                  • ドメインまたはフォレストに古い CAs があるかどうかを確認するには、CA PKIVIEW.msc で を実行して確認します。古い CAsを使用して手動で削除します。 PKIVIEW.msc

                  • Active Directory レプリケーションが機能しているかどうか、およびドメインに古いドメインコントローラーがないかどうかを確認するには、 を実行しますrepadmin /replsum

                  その他のトラブルシューティング手順には、 WorkSpaces インスタンスの Windows イベントログの確認が含まれます。ログオンの失敗を確認する一般的なイベントは、Windows セキュリティログの「イベント 4625: アカウントがログオンに失敗しました」です。

                  問題が解決しない場合は、 にお問い合わせください AWS Support。詳細については、AWS Support センターを参照してください。

                  Windows インストールメディアを必要とするが、提供 WorkSpaces していないことをしようとしている。

                  AWSが提供するパブリックバンドルを使用している場合は、必要に応じて Amazon EC2 が提供する Windows Server OS インストールメディア EBS スナップショットを使用できます。

                  これらのスナップショットから EBS ボリュームを作成し、Amazon EC2 にアタッチして、必要に応じてファイルを WorkSpace に転送します。で BYOL で Windows 10 を使用して WorkSpaces いて、インストールメディアが必要な場合は、独自のインストールメディアを準備する必要があります。詳細については、「インストールメディアを使用した Windows コンポーネントの追加」を参照してください。EBS ボリュームを に直接アタッチすることはできないため WorkSpace、Amazon EC2 インスタンスにアタッチしてファイルをコピーする必要があります。

                  サポートされていない WorkSpaces リージョンで作成された既存の AWS Managed Directory WorkSpaces で を起動したい。

                  で現在サポートされていないリージョンでディレクトリ WorkSpaces を使用して Amazon を起動するには WorkSpaces、以下の手順に従います。

                  注記

                  AWS Command Line Interface コマンドの実行時にエラーが発生した場合は、最新バージョンを使用していることを確認してください AWS CLI 。詳細については、「最新バージョンの AWS CLIを実行していることを確認する」を参照してください。

                  ステップ 1: アカウント内の別の仮想プライベートクラウド (VPC) との VPC ピアリングを作成します。

                  1. 異なるリージョンの VPC との VPC ピアリング接続を作成するには 詳細については、「同じアカウントの異なるリージョンにある VPC を使用して作成する」を参照してください。

                  2. VPC ピアリング接続を承認します。詳細については、「VPC ピアリング接続を承認する」を参照してください。

                  3. VPC ピアリング接続をアクティブ化すると、Amazon VPC コンソール、、 AWS CLIまたは API を使用して VPC ピアリング接続を表示できます。

                  ステップ 2: 両方のリージョンで VPC ピアリングのルートテーブルを更新する

                  ルートテーブルを更新して、IPv4 または IPv6 を介したピア VPC との通信を有効にします。詳細については、「VPC ピアリング接続のルートテーブルを更新する」を参照してください

                  ステップ 3: AD Connector を作成して Amazon を登録する WorkSpaces

                  1. AD Connector の前提条件を確認するには、「AD Connector の前提条件」を参照してください。

                  2. 既存のディレクトリを AD Connector と接続します。詳細については、「AD Connector を作成する」を参照してください。

                  3. AD Connectorのステータスが [アクティブ] に変わったら、AWS Directory Service コンソールを開き、ディレクトリ ID のハイパーリンクを選択します。

                  4. AWS アプリケーションとサービスの場合は、Amazon WorkSpaces を選択して、このディレクトリ WorkSpaces で のアクセスを有効にします。

                  5. ディレクトリを に登録します WorkSpaces。詳細については、「 でディレクトリを登録する WorkSpaces」を参照してください。

                  Amazon Linux 2 で Firefox をアップデートしたいと考えています。

                  ステップ 1: 自動更新が有効になっていることを確認する

                  自動更新が有効になっていることを確認するには、 systemctl status *os-update-mgmt.timer | grep enabledで コマンドを実行します WorkSpace。出力に、enabled という単語を含む行が 2 行あるはずです。

                  ステップ 2: 更新を開始する

                  Firefox は通常、メンテナンスウィンドウ中に、システム内の他のすべてのソフトウェアパッケージ WorkSpaces とともに Amazon Linux 2 で自動的に更新されます。ただし、これは WorkSpaces 使用している のタイプによって異なります。

                  • の場合 AlwaysOn WorkSpaces、毎週のメンテナンスウィンドウは、 のタイムゾーンの日曜日の 00:00 から 4:00 です WorkSpace。

                  • AutoStop WorkSpaces。 の場合、その月の第 3 月曜日から最大 2 週間、メンテナンスウィンドウは毎日 の AWS リージョンのタイムゾーンの午前 0 時から午前 5 時まで開かれます WorkSpace。

                  メンテナンスウィンドウの詳細については、「メンテナンス WorkSpace 」を参照してください。

                  を再起動 WorkSpaceし、15 分後に再接続することで、即時の更新サイクルを開始することもできます。「sudo yum update」と入力して更新を開始することもできます。Firefox 専用の更新を開始するには、「sudo yum install firefox」と入力します。

                  Amazon Linux 2 リポジトリへのアクセスを設定できず、Mozilla によって構築されたバイナリを使用して Firefox をインストールする場合は、Mozilla のサポートで「Mozilla ビルドの Firefox をインストールする」を参照してください。誤って古いバージョンを実行しないように、RPM パッケージ版の Firefox を完全にアンインストールすることをお勧めします。sudo yum remove firefox コマンドを実行して Firefox をアンインストールできます。

                  別のマシンで yumdownloader firefox コマンドを実行して、Amazon Linux 2 リポジトリから必要な RPM パッケージをダウンロードすることもできます。次に、リポジトリを にサイドロードし WorkSpaces、 のような標準YUMコマンドでインストールできますsudo yum install firefox-102.11.0-2.amzn2.0.1.x86_64.rpm

                  注記

                  正確なファイル名は、パッケージのバージョンによって変わります。

                  ステップ 3: Firefox リポジトリが使用されていることを確認する

                  Amazon Linux Extras は、Amazon Linux 2 の Firefox 更新を自動的に提供します WorkSpaces。2023 年 7 月 31 日以降に WorkSpaces 作成された Amazon Linux 2 では、Firefox Extra リポジトリが既に有効になっています。 WorkSpace が Firefox Extra リポジトリを使用していることを確認するには、次のコマンドを実行します。

                  yum repolist | grep amzn2extra-firefox

                  コマンド出力は、Firefox Extra リポジトリが使用されている場合、amzn2extra-firefox/2/x86_64 Amazon Extras repo for firefox 10 と類似したものになります。Firefox Extra リポジトリが使用されていない場合は、空になります。Firefox Extra リポジトリが使用されていない場合は、次のコマンドを使用して手動でアクティブ化を試みることができます。

                  sudo amazon-linux-extras install firefox

                  それでも Firefox Extra リポジトリのアクティブ化に失敗する場合は、インターネット接続を確認し、VPC エンドポイントが設定されていないことを確認してください。YUM リポジトリ WorkSpaces 経由で Amazon Linux 2 の Firefox 更新を引き続き受信するには、 WorkSpaces が Amazon Linux 2 リポジトリに到達できることを確認します。インターネットに接続することなく Amazon Linux 2 リポジトリにアクセスする方法の詳細については、こちらのナレッジセンター記事を参照してください。

                  ユーザーは、 で設定されたきめ細かなパスワードポリシー (FFGP) 設定を無視して、 WorkSpaces クライアントを使用してパスワードをリセットできます AWS Managed Microsoft AD。

                  ユーザーの WorkSpaces クライアントが に関連付けられている場合 AWS Managed Microsoft AD、デフォルトの複雑さ設定を使用してパスワードをリセットする必要があります。

                  デフォルトの複雑さパスワードでは大文字と小文字が区別され、8~64 文字の長さにする必要があります。次の各カテゴリから少なくとも 1 文字を含める必要があります。

                  • 英小文字(a~z)

                  • 英大文字(A~Z)

                  • 番号 (0〜9)

                  • 英数字以外の文字(~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

                  パスワードに、空白、キャリッジリチャータブ、改行、null 文字など、印刷不可能なユニコード文字が含まれていないことを確認します。

                  組織に FFGP を に強制する必要がある場合は WorkSpaces、Active Directory 管理者に連絡して、 WorkSpaces クライアントではなく Active Directory から直接ユーザーのパスワードをリセットしてください。

                  ユーザーに「この OS/プラットフォームは、ウェブアクセス WorkSpace を使用して Windows/Linux にアクセスしようとする WorkSpaceと、 にアクセスする権限がありません」というエラーメッセージが表示される

                  ユーザーが使用しようとしているオペレーティングシステムのバージョンは、 WorkSpaces Web Access と互換性がありません。 WorkSpace ディレクトリのその他のプラットフォーム設定でウェブアクセスを有効にしてください。のウェブアクセスを有効にする方法の詳細については、 WorkSpace「」を参照してくださいAmazon WorkSpaces Web Access の有効化と設定