Amazon WorkSpaces
管理ガイド

Amazon WorkSpaces に関するトラブルシューティング

以下の情報は、WorkSpaces の問題のトラブルシューティングに役立ちます。

高度なログ記録の有効化

任意の WorkSpaces クライアントに対して高度なログ記録を有効にして、ユーザーがクライアントを使用しているときに発生する可能性のある問題のトラブルシューティングに役立てることができます。高度なログ記録を有効にするには:

  1. WorkSpaces クライアントを開きます。

  2. クライアントアプリケーションの右上隅にある歯車アイコンを選択します。

  3. [Advanced Settings (詳細設定)] を選択します。

  4. [Enable Advanced Logging (高度なログ記録を有効にする)] チェックボックスをオンにします。

  5. [Save] を選択します。

高度なログ記録は、無効にされるまで、以降の各クライアントセッションに対して有効になります。

高度なログ記録では、診断情報とデバッグレベルの詳細 (詳細なパフォーマンスデータなど) を含むログファイルが生成されます。これらのファイルは AWS のデータベースに自動的にアップロードされます。

注記

高度なログ記録によって生成されたログファイルの確認や WorkSpaces クライアントの問題に関する技術サポートを AWS に依頼するには、AWS サポートまでお問い合わせください。詳細については、「AWS サポートセンター」を参照してください。

固有の問題のトラブルシューティング

以下の情報は、WorkSpaces に固有の問題のトラブルシューティングに役立ちます。

問題点

ユーザー名に無効な文字があるため Amazon Linux WorkSpace を作成できません

Amazon Linux WorkSpaces の場合、ユーザー名には、文字、スペース、UTF-8 で表現できる数字、および以下の特殊文字を最大 20 文字まで使用できます。

_.-#

さらに、ダッシュ記号 (-) をユーザー名の 1 文字目として使用することはできません。

注記

これらの制限は、Windows WorkSpaces には適用されません。Windows WorkSpaces では、ユーザー名のすべての文字で @ および - 記号をサポートしています。

Amazon Linux WorkSpace のシェルを変更しましたが、PCoIP セッションをプロビジョニングできません

Linux WorkSpaces のデフォルトシェルを上書きするには、「Amazon Linux WorkSpaces のデフォルトシェルを上書きする」を参照してください。

接続したディレクトリの WorkSpaces の起動にたびたび失敗する

オンプレミスのディレクトリの 2 つの DNS サーバーまたはドメインコントローラーが、ディレクトリに接続したときに指定した各サブネットからアクセス可能であることを確認します。各サブネットで EC2 インスタンスを起動し、2 つの DNS サーバーの IP アドレスを使用してディレクトリにインスタンスを結合することで、この接続を確認できます。

内部エラーにより WorkSpaces の起動に失敗する

サブネットが、サブネット内で起動されたインスタンスに IPv6 アドレスを自動的に割り当てるように設定されているかどうかを確認します。この設定を確認するには、Amazon VPC コンソールを開き、サブネットを選択し、[Subnet Actions (サブネットのアクション)] を選択して、次に [Modify auto-assign IP settings (自動割り当て IP 設定の変更)] を選択します。この設定を有効にすると、Performance バンドルまたは Graphics バンドルを使用して WorkSpace を起動することはできません。代わりに、この設定を無効にし、インスタンスを起動するときに IPv6 アドレスを手動で指定します。

ユーザーがインタラクティブなログオンバナーで Windows WorkSpace に接続できない

ログオンバナーを表示するためにインタラクティブなログオンメッセージを実装すると、ユーザーは自分の Windows WorkSpaces にアクセスできなくなります。現在、インタラクティブのログオンメッセージのグループポリシー設定は Amazon WorkSpaces でサポートされていません。

ユーザーが WorkSpaces Web Access から BYOL WorkSpaces にログオンしようとすると問題が発生する

BYOL WorkSpaces では、ユーザーが Web Access クライアントから正常にログオンできるように、専用のログオン画面設定を使用しています。Web Access ユーザーが BYOL WorkSpaces にログオンできるようにするには、グループポリシー設定とローカルセキュリティポリシー設定を構成する必要があります。この 2 つの設定が正しく設定されていないと、ログオン時間が長くなったり、BYOL WorkSpaces にログオンする際にブラックスクリーンがユーザーに表示されたりする場合があります。この設定を行うには、次のステップに従います。

WorkSpaces ログオンエージェントを有効にしてユーザーを切り替えるには

ほとんどの場合、ユーザーが WorkSpace にログオンする際、そのユーザーの名前にユーザー名フィールドがあらかじめ設定されています。ただし、管理者が WorkSpace への RDP 接続を確立してメンテナンスタスクを実行する場合、ユーザー名フィールドには管理者の名前が追加されます。この問題を解決するには、グループポリシー設定の [Hide entry points for Fast User Switching] を無効にします。無効にすると、WorkSpaces ログオンエージェントで [Switch User] ボタンを使用して、ユーザー名フィールドに正しい名前を追加することができます。

  1. 管理者としてコマンドプロンプトを開き、gpedit.msc と入力後、Enter キーを押して、ローカルグループポリシーエディタを開きます。

  2. コンソールツリーで、[Local Computer Policy (ローカルコンピュータポリシー)]、[Computer Configuration (コンピュータの構成)]、[Administrative Templates (管理用テンプレート)]、[システム]、[ログオン] の順に選択します。

  3. [Hide entry points for Fast User Switching] 設定を開きます。

  4. [Hide entry points for Fast User Switching] ダイアログボックスで、[無効]、[OK] の順に選択します。

ローカルセキュリティポリシーエディタを使用して、最後にログオンしたユーザー名が非表示になるように設定するには

デフォルトでは、[Switch User] ボタンではなく、最後にログオンしたユーザーのリストが表示されます。WorkSpace の設定によって、このリストは [Other User] タイルに表示されない場合があります。リストが表示されない場合や、あらかじめ設定されたユーザー名が正しくない場合は、WorkSpaces ログオンエージェントを使用してフィールドに正しい名前を追加することはできません。この問題を解決するには、ローカルセキュリティポリシー設定の [Interactive logon: Don't display last signed-in] を有効にします。

  1. ローカルセキュリティポリシーエディタを開くには、管理者としてコマンドプロンプトを開き、secpol.msc と入力後、Enter キーを押します。

  2. コンソールツリーで、[セキュリティ設定]、[ローカルポリシー]、[セキュリティオプション] の順に選択します。

  3. 次のいずれかの設定を開きます。

    • Windows 7 の場合 — Interactive logon: Do not display last user name

    • Windows 10 の場合 — Interactive logon: Don't display last signed-in

  4. 該当する設定の [プロパティ] ダイアログボックスで、[有効]、[OK] の順に選択します。

ユーザーに招待 E メールまたはパスワードリセット E メールが届かない

AD Connector を使用して作成された WorkSpaces のウェルカム E メールまたはパスワードリセット E メールが、ユーザーに届かない場合があります。

これらのユーザーに招待 E メールを手動で送信するには、「招待 E メールの送信」を参照してください 。

ユーザーがパスワードをリセットできるようにするには、Microsoft Active Directory のドキュメントを参照してください。

Windows WorkSpace にアプリケーションをインストールしようとすると、「システム管理者がポリシーを設定してこのインストールを禁止しています」というメッセージが表示される

この問題に対処するには、Windows インストーラのグループポリシー設定を変更します。ディレクトリ内の複数の WorkSpaces にこのポリシーをデプロイするには、ドメイン結合された EC2 インスタンスから WorkSpaces 組織単位 (OU) にリンクされたグループポリシーオブジェクトに、この設定を適用します。AD Connector を使用している場合は、ドメインコントローラーからこれらの変更を行うことができます。Active Directory 管理ツールを使用してグループポリシーオブジェクトを操作する方法の詳細については、AWS Directory Service Administration Guideの「Active Directory 管理ツールのインストール」を参照してください。

次の手順は、Amazon WorkSpaces グループポリシーオブジェクトの Windows インストーラ設定を構成する方法を示しています。

  1. ドメインに Amazon WorkSpaces グループポリシー管理用テンプレート がインストールされていることを確認します。

  2. Windows WorkSpace クライアントでグループポリシーの管理ツールを開き、WorkSpaces コンピュータアカウントの WorkSpaces グループポリシーオブジェクトに移動して選択します。メインメニューの [Action]、[Edit] を選択します。

  3. グループポリシー管理エディタで、[Computer Configuration (コンピュータの構成)]、[Policies (ポリシー)]、[Administrative Templates (管理用テンプレート)]、[Classic Administrative Templates (従来の管理用テンプレート)]、[Windows Components (Windows コンポーネント)]、[Windows Installer (Windows インストーラ)] の順に選択します。

  4. [Turn Off Windows Installer (Windows インストーラをオフ)] 設定を開きます。

  5. [Turn Off Windows Installer (Windows インストーラをオフ)] ダイアログボックスで、[Not Configured (未構成)] を [Enabled (有効)] に変更し、[Disable Windows Installer (Windows インストーラを無効にする] を [Never (しない)] に設定します。

  6. [OK] を選択します。

  7. グループポリシーの変更を適用するには、次のいずれかを実行します。

    • WorkSpace を再起動します (Amazon WorkSpaces コンソールで、 WorkSpace を選択し、[Actions (アクション)]、[Reboot WorkSpaces (WorkSpaces を再起動)] を選択します)。

    • 管理コマンドプロンプトから、gpupdate /force と入力します。

ディレクトリのいずれの WorkSpaces もインターネットに接続できない

WorkSpaces はデフォルトではインターネットと通信することができません。明示的にインターネットアクセスを許可する必要があります。詳細については、「WorkSpace からのインターネットアクセスを提供する」を参照してください。

オンプレミスディレクトリに接続しようとすると、「DNS unavailable」というエラーが表示される

オンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

DNS unavailable (TCP port 53) for IP: dns-ip-address

AD Connector は、ポート 53 上で TCP および UDP によってオンプレミス DNS サーバーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、このポート上の TCP および UDP 通信を許可していることを確認します。

オンプレミスディレクトリに接続しようとすると、「Connectivity issues detected」というエラーが表示される

オンプレミスディレクトリに接続するときに、次のようなエラーメッセージが表示されます。

Connectivity issues detected: LDAP unavailable (TCP port 389) for IP: ip-address
Kerberos/authentication unavailable (TCP port 88) for IP: ip-address
Please ensure that the listed ports are available and retry the operation.

AD Connector は、以下のポート上で TCP および UDP によってオンプレミスドメインコントローラーと通信できる必要があります。セキュリティグループおよびオンプレミスのファイアウォールが、これらのポート上の TCP および UDP 通信を許可していることを確認します。

  • 88 (Kerberos)

  • 389 (LDAP)

オンプレミスディレクトリに接続しようとすると、「SRV record」というエラーが表示される

オンプレミスディレクトリに接続するときに、次のいずれかまたは複数のエラーメッセージが表示されます。

SRV record for LDAP does not exist for IP: dns-ip-address

SRV record for Kerberos does not exist for IP: dns-ip-address

AD Connector は、ディレクトリに接続するときに、_ldap._tcp.dns-domain-name および _kerberos._tcp.dns-domain-name SRV レコードを取得する必要があります。ディレクトリに接続するときに、サービスが指定された DNS サーバーからこれらのレコードを取得できない場合、このエラーが表示されます。DNS サーバーにこれらの SRV レコードが含まれていることを確認します。詳細については、Microsoft TechNet の「SRV リソースレコード」を参照してください。

Windows WorkSpace をアイドル状態のままにすると、スリープ状態になる

この問題を解決するには、WorkSpace に接続し、次の手順を使用して電源プランを [High performance (高パフォーマンス)] に変更します。

  1. WorkSpace で [Control Panel (コントロールパネル)] を開き、[Hardware and Sound (ハードウェアとサウンド)] を選択します。

  2. [Power Options (電源オプション)] で [Choose a power plan (電源プランを選択)] を選択します。

  3. [Choose or customize a power plan (電力プランの選択あるいはカスタマイズ)] ペインで [High performance (高パフォーマンス)] 電力プランを選択します。このプランが表示されない場合は、[Show additional plans (追加プランの表示)] の右側にある矢印を選択して表示します。

上記の手順で問題を解決できない場合は、次の操作を行います。

  1. [Choose or customize a power plan (電力プランの選択あるいはカスタマイズ)] ペインで、[High performance (高パフォーマンス)] 電源プランの右側にある [Change plan settings (プラン設定の変更)] リンクを選択して、[Change advanced power settings (高度な電源設定の変更)] リンクを選択します。

  2. 設定リストの [Power Options (電源オプション)] ダイアログボックスで、[Hard disk (ハードディスク)] の左側にあるプラス記号を選択して関連する設定を表示します。

  3. [Plugged in (プラグイン)] の [Turn off hard disk after (経過後にハードディスクを切断する)] 値が、[On battery (バッテリー使用時)] よりも大きいことを確認します (デフォルト値は 20 分)。

  4. [PCI Express] の左側にあるプラス記号を選択し、[Link State Power Management (ステート電力管理リンク)] でも同様の選択を行います。

  5. [Link State Power Management (ステート電力管理リンク)] 設定が [オフ] であることを確認します。

  6. [OK] (あるいは、設定を変更した場合には [適用]) を選択して、ダイアログボックスを閉じます。

  7. 設定を変更した場合には、[Change settings for the plan (プランの設定変更)] ペインで [変更の保存] を選択します。

WorkSpace の一部のステータスに "Unhealthy" と表示されます

Amazon WorkSpaces サービスは定期的にステータスリクエストを WorkSpace に送信します。このリクエストに応答しない WorkSpace は、"Unhealthy" と表示されます。この問題に対する一般的な原因は次のとおりです。

  • WorkSpace のアプリケーションがネットワークポートをブロックして、WorkSpace によるステータスリクエストへの応答を妨げています。

  • 高 CPU 使用率は、WorkSpace によるステータスリクエストへの応答を一時的に妨ぐことがあります。

  • WorkSpace のコンピュータ名が変更された場合。これにより、Amazon WorkSpaces と WorkSpace の間に確立されるべき安全な交信が妨げられます。

次の方法を使用して、この状況を修正するよう試みることができます。

  • Amazon WorkSpaces コンソールから WorkSpace を再起動します。

  • トラブルシューティングの目的でのみ使用する必要がある次の手順を使用して、不具合のある WorkSpace に接続します。

    1. 不具合のある WorkSpace と同じディレクトリ内の動作している WorkSpace に接続します。

    2. 動作している WorkSpace から、Remote Desktop Protocol(RDP)を使って、不具合のある WorkSpace の IP アドレスから不具合のある WorkSpace に接続します。問題の規模により、不具合のある WorkSpace に接続できない場合もあります。

    3. 不具合のある WorkSpace で最低限のポート要件が満たされていることを確認します。

  • Amazon WorkSpaces コンソールから WorkSpace を再構築します。WorkSpace の再構築ではデータ損失が発生する可能性があるため、その他のすべての問題対処方法が失敗した場合にのみ、このオプションを実行してください。

一部の API コールで ThrottlingException エラーが表示される

Amazon WorkSpaces API コールのデフォルトの許容レートは、1 秒あたり 2 回の API コールの一定のレートで、許可される最大「バースト」レートは 1 秒あたり 5 回の API コールです。次の表は、API リクエストのバーストレート制限がどのように機能するかを示しています。

送信されたリクエストの数 許可されたネットリクエスト 詳細

1

0

5

最初の 1 秒(1 秒目)の間は、1 秒あたり最大 5 回の呼び出しのバーストレートまで、5 つのリクエストが許可されます。

2

2

5

1 秒目で発行されたコール数が 2 つ以下であるため、5 つのコールのフルバーストキャパシティーを引き続き利用できます。

3

5

5

2 秒目で発行された呼び出しは 2 つだけであるため、5 つの呼び出しのフルバーストキャパシティーを引き続き利用できます。

4

2

2

バーストキャパシティーが 3 秒目にいっぱいまで使用されたため、1 秒あたり 2 回の呼び出しの一定のレートのみが使用できます。

5

3

2

バースト容量が残っていないため、現時点では許可される呼び出しは 2 つだけです。これは、3 つの API コールの 1 つが調整されることを意味します。1 つの調整された呼び出しは、短い遅延後に応答します。

6

0

1

5 秒目からの呼び出しの 1 つが 6 秒目で再試行されるため、6 秒目の追加の呼び出しは 1 つだけです。これは、1 秒あたり 2 回の呼び出しが一定のレート制限であるためです。

7

0

3

キューに調整された API コールがないため、レート制限はバーストレート制限が 5 回まで引き上げられます。

8

0

5

7 秒目には呼び出しが発行されなかったため、リクエストの最大数が許可されます。

9

0

5

8 秒目には呼び出しが発行されませんが、レート制限は 5 つを超えることはありません。