本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
排解 WorkSpaces 問題
下列資訊可協助您疑難排解 WorkSpaces.
啟用進階記錄
若要協助疑難排解使用者可能遇到的問題,您可以在任何 Amazon 用 WorkSpaces 戶端上啟用進階記錄。
進階記錄會產生包含診斷資訊和偵錯層級詳細資料 (包括詳細效能資料) 的日誌。對於 1.0+ 和 2.0 多個用戶端,這些進階記錄檔案會自動上傳到中的資料庫。 AWS
注意
若要 AWS 檢閱進階記錄檔案,並取得 WorkSpaces 客戶問題的技術支援,請連絡 AWS Support。如需詳細資訊,請參閱 AWS Support 中心
若要啟用 Web Access 的進階記錄
打開您的 Amazon WorkSpaces 網絡訪問客戶端。
在 WorkSpaces 登入頁面頂端,選擇 [診斷記錄]。
在快顯對話方塊中,確定已啟用診斷記錄。
針對日誌層級,選擇進階記錄。
若要在 Google Chrome、Microsoft Edge 和 Firefox 中存取日誌檔案
在瀏覽器上開啟內容 (滑鼠右鍵) 功能表,或在鍵盤上按 Ctrl+Shift+I (或對於 Mac,按 command+option+I),以開啟開發人員工具面板。
在開發人員工具面板中,選擇控制台索引標籤以尋找日誌檔案。
若要在 Safari 中存取日誌檔案
依序選擇 Safari、設定。
在設定視窗上,選擇進階索引標籤。
選擇在功能表列中顯示開發功能表。
從功能表列的開發索引標籤中,選擇開發 > 顯示 Web Inspector。
在 Safari Web Inspector 面板中,選擇主控台索引標籤以尋找日誌檔案。
Windows 用戶端
Windows 用戶端日誌會儲存在下列位置:
%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs
若要為 Windows 用戶端啟用進階記錄
-
關閉 Amazon WorkSpaces 客戶端。
-
開啟命令提示應用程式。
-
使用
-l3旗標啟動 WorkSpaces 用戶端。c:cd "C:\Program Files\Amazon Web Services, Inc\Amazon WorkSpaces"workspaces.exe -l3注意
如果 WorkSpaces 為一個使用者而非所有使用者安裝,請使用下列命令:
c:cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"workspaces.exe -l3
macOS 用戶端
macOS 用戶端日誌會儲存在下列位置:
~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs
若要為 macOS 用戶端啟用進階記錄
-
關閉 Amazon WorkSpaces 客戶端。
-
開啟終端機。
-
執行下列命令。
open -a workspaces --args -l3
Android 用戶端
若要為 Android 用戶端啟用進階記錄
-
關閉 Amazon WorkSpaces 客戶端。
-
開啟 Android 用戶端功能表。
-
選取支援。
-
選取記錄設定。
-
選取啟用進階記錄。
若要在啟用進階記錄後擷取 Android 用戶端的日誌:
選取擷取日誌以在本機儲存壓縮的日誌。
Linux 用戶端
Linux 用戶端日誌會儲存在下列位置:
~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs
若要為 Linux 用戶端啟用進階記錄
-
關閉 Amazon WorkSpaces 客戶端。
-
開啟終端機。
-
執行下列命令。
/opt/workspacesclient/workspacesclient -l3
Windows 用戶端
Windows 用戶端日誌會儲存在下列位置:
%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs
若要為 Windows 用戶端啟用進階記錄
-
關閉 Amazon WorkSpaces 客戶端。
-
開啟命令提示應用程式。
-
使用
-l3旗標啟動 WorkSpaces 用戶端。c:cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"workspaces.exe -l3注意
如果 WorkSpaces 為一個使用者而非所有使用者安裝,請使用下列命令:
c:cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"workspaces.exe -l3
macOS 用戶端
macOS 用戶端日誌會儲存在下列位置:
~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs
若要為 macOS 用戶端啟用進階記錄
-
關閉 Amazon WorkSpaces 客戶端。
-
開啟終端機。
-
執行下列命令。
open -a workspaces --args -l3
Android 用戶端
若要為 Android 用戶端啟用進階記錄
-
關閉 Amazon WorkSpaces 客戶端。
-
開啟 Android 用戶端功能表。
-
選取支援。
-
選取記錄設定。
-
選取啟用進階記錄。
若要在啟用進階記錄後擷取 Android 用戶端的日誌:
選取擷取日誌以在本機儲存壓縮的日誌。
Linux 用戶端
Linux 用戶端日誌會儲存在下列位置:
~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs
若要為 Linux 用戶端啟用進階記錄
-
關閉 Amazon WorkSpaces 客戶端。
-
開啟終端機。
-
執行下列命令。
/opt/workspacesclient/workspacesclient -l3
-
開啟用 WorkSpaces 戶端。
-
選擇用戶端應用程式右上角的齒輪圖示。
-
選擇 Advanced Settings (進階設定)。
-
選取啟用進階記錄核取方塊。
-
選擇儲存。
Windows 用戶端日誌會儲存在下列位置:
%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs
macOS 用戶端日誌會儲存在下列位置:
~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0
對特定問題進行疑難排解
下列資訊可協助您疑難排解 WorkSpaces.
問題
- 我無法創建 Amazon Linux, WorkSpace 因為用戶名中有無效字符
- 我改變了 Amazon Linux WorkSpace 的外殼,現在我無法佈建 PCoIP 工作階段
- 我的 Amazon Linux WorkSpaces 無法啟動
- WorkSpaces 在我的連接目錄中啟動經常失敗
- 啟動 WorkSpaces 失敗並出現內部錯誤
- 當我嘗試註冊目錄時,註冊失敗並使目錄處於 ERROR 狀態
- 我的使用者無法使用互動式登入橫幅連線到 Windows WorkSpace
- 我的使用者無法連線到視窗 WorkSpace
- 我的使用者在嘗試 WorkSpaces 從 WorkSpaces Web 存取登入時遇到問題
- Amazon WorkSpaces 客戶端在返回登錄屏幕之前顯示一段時間灰色的「正在加載...」屏幕。不會顯示其他錯誤訊息。
- 我的使用者收到訊息「WorkSpace 狀態:不良狀態。我們無法將您連接到您的 WorkSpace. 請過幾分鐘後再試。」
- 我的使用者收到訊息「此裝置未獲授權存取 WorkSpace. 請聯絡管理員以尋求協助。」
- 我的使用者收到訊息:「沒有網路。網路連線中斷。請檢查您的網路連線或聯絡您的管理員尋求協助。」 當嘗試連接到 WSP 時 WorkSpace
- WorkSpaces 客戶端給我的用戶一個網絡錯誤,但他們可以在他們的設備上使用其他具有網絡功能的應用程序
- 我的 WorkSpace 使用者會看到下列錯誤訊息:「裝置無法連線至註冊服務。請檢查您的網路設定。」
- 我的 PCoIP 零客戶端使用者會收到錯誤訊息「提供的憑證因為時間戳記而無效」
- USB 印表機和其他 USB 周邊設備不適用於 PCoIP 零客戶端
- 我的使用者略過了更新其 Windows 或 macOS 用戶端應用程式,但沒收到安裝最新版本的提示
- 我的使用者無法在其 Chromebook 上安裝 Android 用戶端應用程式
- 我的使用者並未收到邀請電子郵件或密碼重設電子郵件
- 我的使用者在用戶端登入畫面上看不到「忘記密碼?」選項
- 當我嘗試在 Windows 上安裝應用程序時,收到消息「系統管理員已設置策略以阻止此安裝」 WorkSpace
- 我的目錄 WorkSpaces 中沒有可以連接到互聯網
- 我失去 WorkSpace 了互聯網接入
- 當我嘗試連線到內部部署目錄時,收到「DNS 無法使用」錯誤
- 當我嘗試連線到內部部署目錄時,收到「偵測到連線問題」錯誤
- 當我嘗試連線到內部部署目錄時,收到「SRV 記錄」錯誤
- 我的窗戶 WorkSpace 在閒置時進入睡眠狀態
- 我的一個 WorkSpaces 有狀態 UNHEALTHY
- 我 WorkSpace 意外崩潰或重新啟動
- 相同的使用者名稱有多個 WorkSpace,但使用者只能登入其中一個 WorkSpaces
- 我在 Amazon 上使用 Docker 時遇到問題 WorkSpaces
- 我收到一些 API 調用的 ThrottlingException 錯誤
- 當我讓它在後台運行時,我一 WorkSpace 直斷開連接
- SAML 2.0 聯合並未運作。我的使用者沒有授權串流他們的 WorkSpaces 桌面。
- 我的使用者每隔 60 分鐘就會從 WorkSpaces 工作階段中斷連線。
- 當我的使用者使用 SAML 2.0 身分識別提供者 (IdP) 起始的流程進行聯合時,使用者會收到重新導向 URI 錯誤,或者每次我的使用者在聯合至 IdP 後嘗試從用 WorkSpaces 戶端登入時啟動用戶端應用程式的其他執行個體。
- 我的使用者在聯合 IdP 之後嘗試登入用 WorkSpaces 戶端應用程式時,會收到「發生錯誤:啟動您的時候發生錯誤 WorkSpace」訊息。
- 我的使用者在聯合 IdP 後嘗試登入用 WorkSpaces 戶端應用程式時,會收到「無法驗證標籤」訊息。
- 我的使用者收到「用戶端和伺服器無法通訊,因為其沒有通用的演算法」訊息。
- 我的麥克風或網路攝影機無法在 Windows 上運作 WorkSpaces。
- 我的使用者無法使用憑證型驗證登入,當他們連線至桌面工作階段時,系統會在用 WorkSpaces 戶端或 Windows 登入畫面上提示輸入密碼。
- 我正在嘗試做一些需要 Windows 安裝媒體但 WorkSpaces 不提供它的事情。
- 我想要 WorkSpaces 使用在不支援的 WorkSpaces 區域中建立的現有 AWS 受管目錄來啟動。
- 我想在 Amazon Linux 2 上更新 Firefox。
- 我的用戶可以使用 WorkSpaces 客戶端重置其密碼,而忽略配置的細粒密碼策略(FFGP)設置。 AWS Managed Microsoft AD
我無法創建 Amazon Linux, WorkSpace 因為用戶名中有無效字符
對於 Amazon Linux WorkSpaces,使用者名稱:
-
最多可包含 20 個字元
-
可包含可以 UTF-8 表示的英文字母、空格和數字
-
可包含下列特殊字元:_.-#
-
不能以連字號 (-) 開頭作為使用者名稱的第一個字元
注意
這些限制不適用於視窗 WorkSpaces。Windows WorkSpaces 支援使用者名稱中所有字元的 @ 和-符號。
我改變了 Amazon Linux WorkSpace 的外殼,現在我無法佈建 PCoIP 工作階段
若要覆寫 Linux 的預設外殼 WorkSpaces,請參閱覆蓋 Amazon Linux 的默認外殼 WorkSpaces。
我的 Amazon Linux WorkSpaces 無法啟動
自 2020 年 7 月 20 日起,Amazon Linux WorkSpaces 將使用新的許可證書。這些新憑證僅與 PCoIP 代理程式的 2.14.1.1、2.14.7、2.14.9 及 20.10.6 版或更新版本相容。
如果您使用不受支援的 PCoIP 代理程式版本,則必須將其升級至最新版本 (20.10.6),其中包含與新憑證相容的最新修正程式和效能改進。如果您未在 7 月 20 日前進行這些升級,則 Linux 的工作階段佈建 WorkSpaces 將會失敗,且您的最終使用者將無法連線到他們的 WorkSpaces。
若要將 PCoIP 代理升級到最新版本
-
請在以下位置開啟 WorkSpaces 主控台。
https://console.aws.amazon.com/workspaces/ -
在導覽窗格中,選擇 WorkSpaces。
-
選取您的 Linux WorkSpace,然後選擇「動作」、「重新開機」來重新開機 WorkSpaces。如果 WorkSpace 狀態為
STOPPED,您必須 WorkSpaces先選擇 [動作]、[啟動],然後等到狀態為止,AVAILABLE才能重新開機。 -
重新開機 WorkSpace 且其狀態為之後
AVAILABLE,建議您在執行此升級ADMIN_MAINTENANCE時 WorkSpace 將的狀態變更為。完成后,請將的狀態變更 WorkSpace 為AVAILABLE。如需有關ADMIN_MAINTENANCE模式的詳細資訊,請參閱手動維護。若要將狀態變更 WorkSpace 為
ADMIN_MAINTENANCE,請執行下列操作:-
選取, WorkSpace 然後選擇「動作」、「修改」 WorkSpace。
-
選擇修改狀態。
-
針對預期狀態,選取 ADMIN_MAINTENANCE。
-
選擇 Modify (修改)。
-
-
WorkSpace 透過安全殼層 Connect 到您的 Linux。如需詳細資訊,請參閱 為您的 Linux 啟用安全殼層連線 WorkSpaces。
-
若要更新 PCoIP 代理程式,請執行下列命令:
sudo yum --enablerepo=pcoip-stable install pcoip-agent-standard-20.10.6 -
若要驗證代理程式版本並確認更新成功,請執行下列命令:
rpm -q pcoip-agent-standard驗證命令應產生以下結果:
pcoip-agent-standard-20.10.6-1.el7.x86_64 -
斷開連接 WorkSpace 並重新啟動。
-
如果將狀態設定 WorkSpace 為
ADMIN_MAINTENANCEin步驟 4,請重複步驟 4並將 [預期狀態] 設定為AVAILABLE。
如果您的 Linux 在升級 PCoIP 代理程式之後 WorkSpace 仍無法啟動,請連絡 AWS Support 部門。
WorkSpaces 在我的連接目錄中啟動經常失敗
確認當您連線到內部部署目錄時,可從指定的每個子網路存取該目錄中的兩個 DNS 伺服器或網域控制站。在每個子網路中啟動 Amazon EC2 執行個體,並使用這兩個 DNS 伺服器的 IP 地址將執行個體加入您的目錄,即可驗證此連線能力。
啟動 WorkSpaces 失敗並出現內部錯誤
檢查您的子網路是否設定為自動指派 IPv6 位址給子網路中啟動的執行個體。若要檢查此設定,請開啟 Amazon VPC 主控台,選取您的子網路,然後選擇子網路動作、修改自動指派 IP 設定。如果啟用此設定,您將無法 WorkSpaces 使用「效能」或「圖形」套裝軟體啟動。請改為停用此設定,並在啟動執行個體時手動指定 IPv6 位址。
當我嘗試註冊目錄時,註冊失敗並使目錄處於 ERROR 狀態
如果您嘗試註冊已設定多區域複寫的 AWS 受管理 Microsoft AD 目錄,就可能會發生這個問題。雖然主要區域中的目錄可以成功註冊以與 Amazon 搭配使用 WorkSpaces,但嘗試在複寫區域中註冊目錄失敗。不支援使用 AWS 受管 Microsoft AD 進行多區域複寫,不支援在複寫區域 WorkSpaces 內與 Amazon 搭配使用。
我的使用者無法使用互動式登入橫幅連線到 Windows WorkSpace
如果已實作互動式登入訊息來顯示登入橫幅,這會防止使用者存取其 Windows WorkSpaces。互動式登入訊息群組原則設定目前不受支援 WorkSpaces。移 WorkSpaces 至未套用Interactive logon: Message text for users attempting to log on群組原則的組織單位 (OU)。
我的使用者無法連線到視窗 WorkSpace
我的使用者在嘗試連線至其 Windows 時收到下列錯誤 WorkSpaces:
"An error occurred while launching your WorkSpace. Please try again."
當無法使用 PCoIP 加載 Windows 桌面時,通常會發生此錯誤。 WorkSpace 請檢查以下內容:
-
如果未執行 Windows 服務的 PCoIP 標準代理程式,就會出現此訊息。使用 RDP 連線
以確認服務是否正在執行、已設定為自動啟動,以及可透過管理介面 (eth0) 進行通訊。
-
如果 PCoIP 代理程式已解除安裝,請 WorkSpace 透過 Amazon WorkSpaces 主控台重新啟動,以自動重新安裝。
-
如果將WorkSpaces安全群組修改為限制輸出流量,則在長時間延遲後,您也可能會在 Amazon WorkSpaces 用戶端上收到此錯誤。限制輸出流量可防止 Windows 與您的目錄控制器通訊來進行登入。確認您的安全性群組允許透過主要網路介面與所有必要連接埠上的目錄控制器通訊。 WorkSpaces
此錯誤的另一個原因與使用者權限指派群組政策有關。如果下列群組原則設定不正確,則會阻止使用者存取其 Windows WorkSpaces:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
-
不正確的政策:
政策:從網路存取此電腦
設定:
網域名稱\網域電腦獲勝的 GPO:允許檔案存取
-
正確的政策:
政策:從網路存取此電腦
設定:
網域名稱\網域使用者獲勝的 GPO:允許檔案存取
注意
此政策設定應套用至網域使用者,而非網域電腦。
如需詳細資訊,請參閱 Microsoft Windows 文件中的從網路存取此電腦 - 安全政策設定
我的使用者在嘗試 WorkSpaces 從 WorkSpaces Web 存取登入時遇到問題
Amazon WorkSpaces 依賴特定的登入畫面組態,讓使用者能夠從其 Web 存取用戶端成功登入。
若要讓 Web Access 使用者登入其 WorkSpaces,您必須設定群組原則設定和三個安全性原則設定。如果未正確設定這些設定,使用者在嘗試登入時可能會遇到較長的登入時間或畫面變黑 WorkSpaces。若要進行這些設定,請參閱 啟用和設定 Amazon WorkSpaces 網路存取。
重要
自 2020 年 10 月 1 日起,客戶將無法再使用 Amazon WorkSpaces 網路存取用戶端連線到 Windows 7 自訂版 WorkSpaces 或 Windows 7 自攜授權 (BYOL)。 WorkSpaces
Amazon WorkSpaces 客戶端在返回登錄屏幕之前顯示一段時間灰色的「正在加載...」屏幕。不會顯示其他錯誤訊息。
此行為通常表示 WorkSpaces 用戶端可以透過連接埠 443 進行驗證,但無法透過連接埠 4172 (PCoIP) 或連接埠 4195 (WSP) 建立串流連線。如果不符合網路必要條件,就可能會發生這種情況。用戶端的問題通常會導致用戶端的網路檢查失敗。若要查看哪些運作狀態檢查失敗,請選擇網路檢查圖示 (通常為 2.0+ 用戶端的登入畫面右下角有驚嘆號的紅色三角形,或是 3.0+ 用戶端右上角的網路圖示
)。
注意
此問題的最常見原因是用戶端防火牆或 Proxy 防止透過連接埠 4172 或 4195 (TCP 和 UDP) 進行存取。如果此運作狀態檢查失敗,請檢查您的本機防火牆設定。
如果網路檢查通過,則的網路組態可能有問題 WorkSpace。例如,Windows 防火牆規則可能會封鎖管理介面上的連接埠 UDP 4172 或 4195。 WorkSpace 使用遠端桌面通訊協定 (RDP) 用戶端連線
我的使用者收到訊息「WorkSpace 狀態:不良狀態。我們無法將您連接到您的 WorkSpace. 請過幾分鐘後再試。」
此錯誤通常表示 SkyLightWorkSpacesConfigService 服務沒有回應健康狀態檢查。
如果您剛剛重新啟動或啟動 WorkSpace,請等待幾分鐘,然後再試一次。
如果 WorkSpace 已執行一段時間,但您仍然看到此錯誤,請使用 RDP 連線
-
正在執行。
-
已設定為自動啟動。
-
可透過管理介面 (eth0) 進行通訊。
-
不會被任何第三方防毒軟體封鎖。
我的使用者收到訊息「此裝置未獲授權存取 WorkSpace. 請聯絡管理員以尋求協助。」
此錯誤表示 IP 存取控制群組已在 WorkSpace 目錄上設定,但未列出用戶端 IP 位址。
檢查您目錄上的設定。確認使用者連線的公用 IP 位址是否允許存取 WorkSpace。
我的使用者收到訊息:「沒有網路。網路連線中斷。請檢查您的網路連線或聯絡您的管理員尋求協助。」 當嘗試連接到 WSP 時 WorkSpace
如果發生此錯誤且使用者沒有連線問題,請確定網路防火牆上已開啟連接埠 4195。若要 WorkSpaces 使用 WorkSpaces 串流通訊協定 (WSP),用來串流用戶端工作階段的連接埠已從 4172 變更為 4195。
WorkSpaces 客戶端給我的用戶一個網絡錯誤,但他們可以在他們的設備上使用其他具有網絡功能的應用程序
用 WorkSpaces 戶端應用程式需要存取 AWS雲端中的資源,而且需要至少提供 1 Mbps 下載頻寬的連線。如果裝置與網路間歇性連線,用 WorkSpaces 戶端應用程式可能會回報網路問題。
WorkSpaces 自 2018 年 5 月起,強制使用 Amazon 信任服務發行的數位憑證。在受支援的作業系統上,Amazon 信任服務已經是受信任的根 CA WorkSpaces。如果作業系統的根 CA 清單不是最新的,則裝置無法連線到,而 WorkSpaces 且用戶端會發生網路錯誤。
若要辨識憑證失敗所造成的連線問題
-
PCoIP 零客戶端—下列錯誤訊息會顯示。
Failed to connect. The server provided a certificate that is invalid. See below for details: - The supplied certificate is invalid due to timestamp - The supplied certificate is not rooted in the devices local certificate store
-
其他用戶端—運作狀態檢查失敗並出現網際網路的紅色警告三角形。
Windows 用戶端應用程式
針對憑證失敗,使用下列其中一個解決方案。
解決方案 1:更新用戶端應用程式
從下載並安裝最新的視窗用戶端應用程式 https://clients.amazonworkspaces.com/
解決方案 2:將 Amazon Trust Services 新增至本機根 CA 清單
-
下載 DER 格式的 Starfield 憑證 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。
-
開啟 Microsoft Management Console。(從命令提示,執行 mmc。)
-
選擇 File (檔案)、Add/Remove Snap-in (新增/移除嵌入式管理單元)、Certificates (憑證)、Add (新增)。
-
在 Certificates snap-in (憑證嵌入式管理單元) 頁面中,選取 Computer account (電腦帳戶),然後選擇 Next (下一步)。保留預設值 Local computer (本機電腦)。選擇 Finish (完成)。選擇確定。
-
展開憑證 (本機電腦) 並選取可信任的根憑證授權單位。選擇 Action (動作)、All Tasks (所有任務)、匯入 (Import)。
-
遵循精靈來匯入您下載的憑證。
-
結束並重新啟動用 WorkSpaces 戶端應用程式。
解決方案 3:使用群組政策將 Amazon Trust Services 部署為可信任的 CA
使用群組政策將 Starfield 憑證新增至網域可信任的根 CA。如需詳細資訊,請參閱使用政策來散發憑證
PCoIP 零客戶端
若要直接連線至 WorkSpace 使用韌體 6.0 版或更新版本,請下載並安裝 Amazon 信任服務發行的憑證。
若要將 Amazon Trust Services 新增為可信任的根 CA
-
下載 Starfield Certificate Chain 之下具有指紋 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C8 67 75 21 FB 5F B6 58 的憑證。
-
將憑證上傳到零客戶端。如需詳細資訊,請參閱 Teradici 文件中的上傳憑證
。
其他用戶端應用程式
從 Amazon Trust Services
-
Android:新增和移除憑證
-
Chrome 作業系統:管理 Chrome 裝置上的用戶端憑證
-
macOS 和 iOS:在測試裝置上安裝 CA 的根憑證
我的 WorkSpace 使用者會看到下列錯誤訊息:「裝置無法連線至註冊服務。請檢查您的網路設定。」
發生註冊服務失敗時,您的 WorkSpace 使用者可能會在 [連線 Health 全狀況檢查] 頁面上看到下列錯誤訊息:「您的裝置無法連線至 WorkSpaces 註冊服務。您將無法註冊您的裝置 WorkSpaces。請檢查您的網路設定。」
當用 WorkSpaces 戶端應用程式無法連線到註冊服務時,就會發生此錯誤。通常,當 WorkSpaces 目錄已被刪除時,會發生這種情況。若要解決此錯誤,請確定註冊碼有效且對應於 AWS 雲端中執行中的目錄。
我的 PCoIP 零客戶端使用者會收到錯誤訊息「提供的憑證因為時間戳記而無效」
如果 Teradici 中未啟用網路時間協定 (NTP),PCoIP 零客戶端使用者可能會收到憑證失敗錯誤。若要設定 NTP,請參閱 為 WorkSpaces 設定 PCoIP 零用戶端。
USB 印表機和其他 USB 周邊設備不適用於 PCoIP 零客戶端
從 PCoIP 代理程式 20.10.4 版開始,Amazon 預設會透過 Windows 登錄 WorkSpaces 停用 USB 重新導向。當您的使用者使用 PCoIP 零用戶端裝置連線至 USB 周邊裝置時,此登錄設定會影響 USB 周邊設備的行為。 WorkSpaces
如果您使用的 WorkSpaces 是 20.10.4 或更新版本的 PCoIP 代理程式,則在您啟用 USB 重新導向之前,USB 周邊裝置將無法與 PCoIP 零用戶端裝置搭配使用。
注意
如果您使用 32 位元的虛擬印表機驅動程式,您也必須將這些驅動程式更新為 64 位元版本。
若要啟用 PCoIP 零客戶端裝置的 USB 重新導向
我們建議您將這些登錄變更推送至您 WorkSpaces 透過群組原則。如需詳細資訊,請參閱 Teradici 文件中的設定代理程式
-
將下列登錄機碼值設為 1 (已啟用):
KeyPath = 本地機器\ 軟體\ 政策\ 原則\ PCoIP\ 管理員
KeyName = pcoip.啟用/usb
KeyType = DWORD
KeyValue = 1
-
將下列登錄機碼值設為 1 (已啟用):
KeyPath = HKY_ 本地機器\ 軟體\ 政策\ 原則\ PCoIP\ pcoip_ admin 預設值
KeyName = pcoip.啟用/usb
KeyType = DWORD
KeyValue = 1
-
如果您尚未這麼做,請登出 WorkSpace,然後重新登入。您的 USB 裝置現在應可運作。
我的使用者略過了更新其 Windows 或 macOS 用戶端應用程式,但沒收到安裝最新版本的提示
當使用者略過 Amazon WorkSpaces Windows 用戶端應用程式的更新時,系統會設定SkipThisVersion登錄機碼,並且在發行新版用戶端時,系統不再提示他們更新其用戶端。若要更新至最新版本,您可以按照 Amazon WorkSpaces 使用者指南中的「將 WorkSpaces Windows 用戶端應用程式更新為較新版本」中所述編輯登錄。您也可以執行下列 PowerShell 命令:
Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces\WinSparkle" -Name "SkipThisVersion"
當使用者略過 Amazon WorkSpaces macOS 用戶端應用程式的更新時,會設定SUSkippedVersion偏好設定,並且在發行新版用戶端時不再提示他們更新用戶端。若要更新至最新版本,您可以按照 Amazon WorkSpaces 使用指南中的「將 WorkSpaces macOS 用戶端應用程式更新為較新版本」中所述重設此偏好設定。
我的使用者無法在其 Chromebook 上安裝 Android 用戶端應用程式
版本 2.4.13 是 Amazon WorkSpaces Chromebook 客戶端應用程序的最終版本。由於谷歌正逐步淘汰對 Chrome 應用程序的支持
對於支持安裝 Android 應用程序的 Chromebook
在某些情況下,您可能需要啟用使用者的 Chromebook 才能安裝 Android 應用程式。如需詳細資訊,請參閱 針對 Chromebook 設定 Android。
我的使用者並未收到邀請電子郵件或密碼重設電子郵件
使用者不會自動收到使用 AD Connector 或信任網域建立 WorkSpaces 的歡迎使用或密碼重設電子郵件。如果使用者已經存在於 Active Directory 中,也不會自動傳送邀請電子郵件。
若要手動傳送歡迎電子郵件給這些使用者,請參閱 傳送邀請電子郵件。
若要重設使用者密碼,請參閱 設定 WorkSpaces 的 Active Directory 管理工具。
我的使用者在用戶端登入畫面上看不到「忘記密碼?」選項
如果您使用 AD Connector 或可信任的網域,使用者將無法重設自己的密碼。(忘記密碼? WorkSpaces 客戶端應用程序登錄屏幕上的選項將不可用。) 如需重設使用者密碼的詳細資訊,請參閱 設定 WorkSpaces 的 Active Directory 管理工具。
當我嘗試在 Windows 上安裝應用程序時,收到消息「系統管理員已設置策略以阻止此安裝」 WorkSpace
您可以修改 Windows 安裝程式群組政策設定來解決此問題。若要將此原則部署到目錄 WorkSpaces 中的多個,請將此設定套用至從加入網域的 EC2 執行個體連結至 WorkSpaces 組織單位 (OU) 的群組原則物件。如果您使用 AD Connector,您可以從網域控制站進行這些變更。如需有關使用 Active Directory 管理工具來處理群組政策物件的詳細資訊,請參閱《AWS Directory Service 管理指南》中的安裝 Active Directory 管理工具。
下列程序顯示如何設定 WorkSpaces 群組原則物件的 Windows 安裝程式設定。
-
請確定您的網域中已安裝最新的WorkSpaces 群組原則系統管理範本。
-
在 Windows WorkSpace 用戶端上開啟 [群組原則管理] 工具,然後瀏覽至 WorkSpaces 電腦帳戶並選取 [ WorkSpaces 群組原則] 物件。從主功能表,依序選擇動作、編輯。
-
在群組政策管理編輯器中,選擇電腦設定、政策、管理範本、傳統管理範本、Windows 元件、Windows Installer。
-
開啟關閉 Windows Installer 設定。
-
在關閉 Windows Installer 對話方塊中,將未設定變更為已啟用,然後將停用 Windows Installer 設為絕不。
-
選擇確定。
-
若要套用群組政策變更,請執行下列其中一項:
-
重新啟動 WorkSpace (在 WorkSpaces 控制台中,選擇 WorkSpace,然後選擇操作,重新啟動 WorkSpaces)。
-
在管理命令提示中輸入 gpupdate /force。
-
我的目錄 WorkSpaces 中沒有可以連接到互聯網
WorkSpaces 默認情況下無法與互聯網通信。您必須明確提供網際網路存取權。如需詳細資訊,請參閱 提供您的網際網路存取 WorkSpace。
我失去 WorkSpace 了互聯網接入
如果您 WorkSpace 無法存取網際網路,而您無法使用 RDP 連線至
若要將來自 Amazon 提供的集區中的新公用 IP 位址與相關聯 WorkSpace,您必須重建. WorkSpace 如果您不想重建 WorkSpace,則必須將您擁有的另一個彈性 IP 地址與 WorkSpace.
我們建議您在啟動 WorkSpace後不要修改 elastic network interface。 WorkSpace 將彈性 IP 位址指派給之後 WorkSpace,會 WorkSpace 保留相同的公用 IP 位址 (除 WorkSpace 非重建,在此情況下,它會取得新的公用 IP 位址)。
當我嘗試連線到內部部署目錄時,收到「DNS 無法使用」錯誤
當您連線到內部部署目錄時,您會收到類似下列的錯誤訊息。
DNS unavailable (TCP port 53) for IP: dns-ip-address
AD Connector 必須能夠經由透過連接埠 53 的 TCP 和 UDP 與您的內部部署 DNS 伺服器通訊。確認您的安全群組和內部部署防火牆允許透過此連接埠的 TCP 和 UDP 通訊。
當我嘗試連線到內部部署目錄時,收到「偵測到連線問題」錯誤
當您連線到內部部署目錄時,您會收到類似下列的錯誤訊息。
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP:ip-addressKerberos/authentication unavailable (TCP port 88) for IP:ip-addressPlease ensure that the listed ports are available and retry the operation.
AD Connector 必須能夠經由透過下列連接埠的 TCP 和 UDP 與您的內部部署網域控制器通訊。確認您的安全群組和內部部署防火牆允許透過這些連接埠的 TCP 和 UDP 通訊:
-
88 (Kerberos)
-
389 (LDAP)
當我嘗試連線到內部部署目錄時,收到「SRV 記錄」錯誤
當您連線到內部部署目錄時,您會收到類似下列一或多個錯誤訊息:
SRV record for LDAP does not exist for IP:dns-ip-addressSRV record for Kerberos does not exist for IP:dns-ip-address
連線到您的目錄時,AD Connector 需要取得 _ldap._tcp. 和 dns-domain-name_kerberos._tcp. SRV 記錄。如果此服務無法從您在連線到目錄時所指定的 DNS 伺服器取得這些記錄,您會收到此錯誤。確定您的 DNS 伺服器包含這些 SRV 記錄。如需詳細資訊,請參閱 Microsoft TechNet 上的 SRV 資源記錄dns-domain-name
我的窗戶 WorkSpace 在閒置時進入睡眠狀態
若要解決此問題,請連線至 WorkSpace 並使用下列程序將電源計劃變更為 [高效能]:
-
從開啟 [控制台],然後選擇 [硬體] 或選擇 [硬體和音效] (名稱可能會有所不同,視您的 Windows 版本而定)。 WorkSpace
-
在電源選項下,選擇選擇電源計畫。
-
在選擇或自訂電源計畫窗格中,選擇高效能電源計畫,然後選擇變更計畫設定。
-
如果停用了選擇高效能電源計畫的選項,請選擇變更目前無法使用的設定,然後選擇高效能電源計畫。
-
如果看不到高效能計畫,請選擇顯示其他計畫右側的箭頭加以顯示,或在左側導覽中選擇建立電源計畫,選擇高效能,為電源計畫命名,然後選擇下一步。
-
-
在變更計畫設定:高效能頁面上,確定關閉顯示器和 (可用的話) 讓電腦進入睡眠狀態設定為絕不。
-
如果您對高效能計畫進行了任何變更,請選擇儲存變更 (如果您要建立新計畫,請選擇建立)。
如果上述步驟無法解決問題,請執行下列操作:
-
從開啟 [控制台],然後選擇 [硬體] 或選擇 [硬體和音效] (名稱可能會有所不同,視您的 Windows 版本而定)。 WorkSpace
-
在電源選項下,選擇選擇電源計畫。
-
在選擇或自訂電源計畫窗格中,選擇高效能電源計畫右側的變更計畫設定連結,然後選擇變更進階電源設定連結。
-
在電源選項對話方塊的設定清單中,選擇硬碟左側的加號以顯示相關設定。
-
確認插電的在下列時間後關閉硬碟值大於使用電池的值 (預設值為 20 分鐘)。
-
選擇 PCI Express 左側的加號,然後對連結狀態電源管理執行相同的操作。
-
確認連結狀態電源管理設定為關閉。
-
選擇確定 (或者您變更了任何設定,則選擇套用) 以關閉對話方塊。
-
在變更計畫設定窗格中,如果您變更了任何設定,請選擇儲存變更。
我的一個 WorkSpaces 有狀態 UNHEALTHY
此 WorkSpaces 服務會定期將狀態要求傳送至 WorkSpace. A WorkSpace 在無法回應這些要求UNHEALTHY時標記。這個問題的常見原因是:
-
上的應用程式 WorkSpace 正在封鎖網路通訊埠,防 WorkSpace 止回應狀態要求。
-
CPU 使用率高會 WorkSpace 阻止及時回應狀態要求。
-
的電腦名稱 WorkSpace 已變更。這樣可以防止在 WorkSpaces 和之間建立安全通道 WorkSpace。
您可以嘗試使用下列方法更正此情況:
-
WorkSpace 從 WorkSpaces 控制台重新啟動。
-
WorkSpace 使用下列程序 Connect 到狀況不良,該程序應該僅用於疑難排解目的:
-
Connect 到與狀 WorkSpace 況不良 WorkSpace相同的目錄中的操作。
-
從操作中 WorkSpace,使用遠程桌面協議(RDP)連接到不健康的 IP 地址 WorkSpace 使用不健康的 IP 地址。 WorkSpace根據問題的程度,您可能無法連接到不健康 WorkSpace的問題。
-
在狀況不良的情況下 WorkSpace,確認符合最低連接埠需求。
-
-
確定 SkyLightWorkSpacesConfigService 服務可以回應健康狀態檢查。若要對此問題進行疑難排解,請參閱 我的使用者收到訊息「WorkSpace 狀態:不良狀態。我們無法將您連接到您的 WorkSpace. 請過幾分鐘後再試。」。
-
WorkSpace 從主 WorkSpaces 控台重建。因為重建 a WorkSpace 可能會造成資料遺失,因此只有在所有其他嘗試修正問題都不成功時,才應使用此選項。
我 WorkSpace 意外崩潰或重新啟動
如果您 WorkSpace 設定的 PCoIP 重複當機或重新開機,而您的錯誤記錄檔或損毀傾印指向spacedeskHookKmode.sys或的問題spacedeskHookUmode.dll,或者如果您收到下列錯誤訊息,您可能需要停用 Web Access: WorkSpace
The kernel power manager has initiated a shutdown transition. Shutdown reason: Kernel API
The computer has rebooted from a bugcheck.
注意
-
這些疑難排解步驟不適用於 WorkSpaces 為 WorkSpaces 串流通訊協定 (WSP) 設定的步驟。它們僅適用於針對 PCoIP 設定的設定。 WorkSpaces
-
只有在您不允許使用者使用 Web Access 時,才應停用 Web Access。
若要停用對的 Web 存取 WorkSpace,您必須停用 WorkSpaces 目錄中的 Web 存取,然後重新開機 WorkSpace。
相同的使用者名稱有多個 WorkSpace,但使用者只能登入其中一個 WorkSpaces
如果您刪除 Active Directory (AD) 中的使用者,而不先刪除他們, WorkSpace 然後再將使用者新增回 Active Directory 並 WorkSpace 為該使用者建立新的使用者,相同的使用者名稱現在會有兩個 WorkSpaces 在相同的目錄中。但是,如果使用者嘗試連線到原始檔案 WorkSpace,他們將會收到下列錯誤:
"Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."
此外,在 Amazon WorkSpaces 主控台中搜尋使用者名稱時,只會傳回新的使用者名稱 WorkSpace,即使兩者 WorkSpaces 仍然存在。(您可以 WorkSpace 通過搜索 WorkSpace ID 而不是用戶名來查找原始文件。)
如果您重新命名 Active Directory 中的使用者,而不先刪除使用者,也可能會發生這種情況 WorkSpace。如果您接著將其使用者名稱變更回原始使用者名稱,並 WorkSpace 為使用者建立新的使用者名稱,則相同的使用者名稱在目錄 WorkSpaces 中會有兩個。
發生這個問題的原因是 Active Directory 使用使用者的安全識別碼 (SID) (而不是使用者名稱) 來唯一識別使用者。若在 Active Directory 中刪除並重建使用者,即使其使用者名稱保持不變,也會指派新的 SID 給使用者。在搜尋使用者名稱期間,Amazon WorkSpaces 主控台會使用 SID 搜尋作用中目錄中的相符項目。Amazon 用 WorkSpaces 戶端也會在使用者連線時使用 SID 來識別使用者 WorkSpaces。
若要解決此問題,請執行下列其中一項:
-
如果因為在 Active Directory 中刪除並重建使用者而發生這個問題,若已啟用 Active Directory 中的資源回收筒功能
,您可能能夠還原原始刪除的使用者物件。如果您能夠還原原始使用者物件,請確定使用者可以連線到原始使用者物件 WorkSpace。如果可以的話,您可以 WorkSpace在手動備份並將任何用戶數據從新數據傳輸 WorkSpace 到原始文件 WorkSpace (如果需要)後刪除新的數據。 -
如果您無法還原原始使用者物件,請刪除使用者的原始物件 WorkSpace。用戶應該能夠連接到並使用他們的新 WorkSpace 的。請務必手動備份任何使用者資料,並將任何使用者資料從原始檔案傳輸 WorkSpace 到新資料 WorkSpace。
警告
刪除 WorkSpace 是永久動作,無法復原。用 WorkSpace 戶的數據不會持續存在並被銷毀。如需備份使用者資料的協助,請聯絡 AWS 支援。
我在 Amazon 上使用 Docker 時遇到問題 WorkSpaces
視窗 WorkSpaces
在 Windows 上不支援巢狀虛擬化 (包括使用泊塢視窗 WorkSpaces)。如需詳細資訊,請參閱 Docker 文件
Linux WorkSpaces
若要在 Linux 上使用泊塢視窗 WorkSpaces,請確定 Docker 所使用的 CIDR 區塊不會與兩個彈性網路介面 (ENI) 中使用的 CIDR 區塊重疊。 WorkSpace如果您在 Linux 上使用 Docker 時遇到問題 WorkSpaces,請聯絡 Docker 尋求協助。
我收到一些 API 調用的 ThrottlingException 錯誤
WorkSpaces API 呼叫的預設允許率是每秒兩次 API 呼叫的固定速率,允許的最大「突發」速率為每秒五個 API 呼叫。下表顯示高載速率限制如何針對 API 請求運作。
| 秒 | 傳送的請求數 | 允許的淨請求 | 詳細資訊 |
|---|---|---|---|
|
1 |
0 |
5 |
在第 1 秒期間,允許五個請求,高達每秒五次呼叫的高載速率上限。 |
|
2 |
2 |
5 |
由於第 1 秒內發出了兩次或更少呼叫,因此仍可使用五次呼叫的完整高載容量。 |
|
3 |
5 |
5 |
由於第 2 秒內只發出了兩次呼叫,因此仍可使用五次呼叫的完整高載容量。 |
|
4 |
2 |
2 |
由於第 3 秒內使用了完整高載容量,因此只能使用每秒兩次呼叫的恆定速率。 |
|
5 |
3 |
2 |
由於沒有剩餘的高載容量,因此此時只允許兩次呼叫。這意味著三個 API 呼叫中的一個遭到限流。一個節流的呼叫將在短暫延遲之後回應。 |
|
6 |
0 |
1 |
由於第 5 秒內的其中一次呼叫會在第 6 秒內重試,所以第 6 內只有一次額外呼叫的容量,因為每秒兩次呼叫的恆定速率限制。 |
|
7 |
0 |
3 |
既然佇列中不再有任何限流的 API 呼叫,速率限制就會持續增加,直到五次呼叫的高載速率限制為止。 |
|
8 |
0 |
5 |
由於第 7 秒內沒有發出任何呼叫,因此允許最大請求數。 |
|
9 |
0 |
5 |
即使在第 8 秒內沒有發出任何呼叫,但速率限制也不會增加到超過五。 |
當我讓它在後台運行時,我一 WorkSpace 直斷開連接
若為 Mac 使用者,檢查「高效小睡」功能是否已開啟。如果已開啟,請將其關閉。若要關閉「高效小睡」,請開啟終端機並執行下列命令:
defaults write com.amazon.workspaces NSAppSleepDisabled -bool YES
SAML 2.0 聯合並未運作。我的使用者沒有授權串流他們的 WorkSpaces 桌面。
若針對 SAML 2.0 聯合 IAM 角色內嵌的內嵌政策不包含從目錄 Amazon Resource Name (ARN) 串流的許可,便可能發生此情況。IAM 角色由存取 WorkSpaces 目錄的聯合身分使用者承擔。編輯角色權限以包含目錄 ARN,並確定使用者在目錄 WorkSpace 中具有。如需詳細資訊,請參閱 SAML 2.0 驗證和 S AML 2.0 聯合使用的疑難排解。 AWS
我的使用者每隔 60 分鐘就會從 WorkSpaces 工作階段中斷連線。
如果您已將 SAML 2.0 驗證設定為 WorkSpaces,視您的身分識別提供者 (IdP) 而定,您可能需要設定 IdP 作為 SAML 屬性傳遞的資訊,做為驗證回 AWS 應的一部分。這包括設定屬性元素,其 SessionDuration 屬性設定為 https://aws.amazon.com/SAML/Attributes/SessionDuration。
SessionDuration 指定在需要重新驗證之前,使用者的聯合串流工作階段可以保持作用中的時間上限。雖然 SessionDuration 是選用屬性,但我們建議您將它包含在 SAML 驗證回應中。如果您未指定此屬性,工作階段持續時間會預設為 60 分鐘。
若要解決此問題,請將 IdP 設定為在 SAML 驗證回應中包含 SessionDuration 值,然後視需要設定此值。如需詳細資訊,請參閱步驟 5:針對 SAML 驗證回應建立聲明。
當我的使用者使用 SAML 2.0 身分識別提供者 (IdP) 起始的流程進行聯合時,使用者會收到重新導向 URI 錯誤,或者每次我的使用者在聯合至 IdP 後嘗試從用 WorkSpaces 戶端登入時啟動用戶端應用程式的其他執行個體。
由於轉送狀態 URL 無效而發生這個錯誤。請確定 IdP 聯合設定中的轉送狀態正確,並且 WorkSpaces 目錄內容中的 IdP 聯盟正確設定使用者存取 URL 和轉送狀態參數名稱。如果有效且問題仍然存在,請連絡 Sup AWS port 部門。如需詳細資訊,請參閱設定 SAML。
我的使用者在聯合 IdP 之後嘗試登入用 WorkSpaces 戶端應用程式時,會收到「發生錯誤:啟動您的時候發生錯誤 WorkSpace」訊息。
檢閱您的聯合適用的 SAML 2.0 聲明。S AML 主體 NameID 值必須與 WorkSpaces 使用者名稱相符,而且通常與使用中目錄使用者的 SAM AccountName 屬性相同。此外,屬性設定為的 A PrincipalTag:Email ttribute 元素https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email必須與 WorkSpaces 目錄中定義的 WorkSpaces 使用者電子郵件地址相符。如需詳細資訊,請參閱設定 SAML。
我的使用者在聯合 IdP 後嘗試登入用 WorkSpaces 戶端應用程式時,會收到「無法驗證標籤」訊息。
檢閱您的聯合的 SAML 2.0 聲明中的 PrincipalTag 屬性值,例如 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email。標籤值可包含字元 _ . : / = + - @、字母、數字和空格的組合。如需詳細資訊,請參閱 IAM 和 AWS STS.
我的使用者收到「用戶端和伺服器無法通訊,因為其沒有通用的演算法」訊息。
如果您未啟用 TLS 1.2,就可能發生這個問題。
我的麥克風或網路攝影機無法在 Windows 上運作 WorkSpaces。
藉由開啟開始功能表來檢查您的隱私權設定
開始 > 設定 > 隱私權 > 相機
開始 > 設定 > 隱私權 > 麥克風
如果已關閉,請將其打開。
或者, WorkSpaces 系統管理員也可以建立群組原則物件 (GPO),以視需要啟用麥克風和/或網路攝影機。
我的使用者無法使用憑證型驗證登入,當他們連線至桌面工作階段時,系統會在用 WorkSpaces 戶端或 Windows 登入畫面上提示輸入密碼。
工作階段的憑證型驗證失敗。如果問題仍然存在,則憑證型驗證失敗可能是由下列其中一個問題所造成:
-
不支援 WorkSpaces 或用戶端。使用最新 WorkSpaces Windows 用戶端應用程式的 Windows WorkSpaces WorkSpaces 串流通訊協定 (WSP) 服務包支援憑證型驗證。
-
在目錄上啟用憑證型驗證之後, WorkSpaces 需要重新開機。 WorkSpaces
-
WorkSpaces 無法與通訊 AWS Private CA,或 AWS Private CA 未簽發憑證。檢查 AWS CloudTrail 以判斷是否已發行憑證。如需詳細資訊,請參閱 管理憑證型驗證。
-
網域控制站沒有用於智慧卡登入的網域控制站憑證,或憑證已過期。如需詳細資訊,請參閱 必要條件 中的步驟 7「使用網域控制站憑證設定網域控制站以驗證智慧卡使用者」。
-
憑證不受信任。如需詳細資訊,請參閱 必要條件 中的步驟 7「將 CA 發佈到 Active Directory」。
certutil –viewstore –enterprise NTAuth在網域控制站上執行,以確認 CA 已發佈。 -
快取中有憑證,但是憑證無效的使用者的屬性已變更。連絡人 AWS Support 以在憑證到期前清除快取 (24 小時)。如需詳細資訊,請參閱 AWS Support 中心
。 -
UserPrincipalNameSAML 屬性的 userPrincipalName 格式未正確格式化或無法解析為使用者的實際網域。如需詳細資訊,請參閱 必要條件 中的步驟 1。 -
SAML 聲明中的 (選用)
ObjectSid屬性與 SAML_SubjectNameID中指定之使用者的 Active Directory 安全識別碼 (SID) 不符。確認您的 SAML 聯合中的屬性對應正確無誤,而且您的 SAML 身分提供者正在同步處理 Active Directory 使用者的 SID 屬性。 -
有些群組政策設定正在修改智慧卡登入的預設 Active Directory 設定,或在智慧卡從讀卡機中移除時採取動作。這些設定可能導致上述錯誤以外的其他非預期行為。憑證型驗證會向執行個體作業系統出示虛擬智慧卡,並在登入完成後將其移除。檢查智慧卡的主要群組政策設定
以及其他智慧卡群組政策設定和登錄機碼 ,包括智慧卡移除行為。 -
私有 CA 的 CRL 發佈點不是線上,也無法從 WorkSpaces 或網域控制站存取。如需詳細資訊,請參閱 必要條件 中的步驟 5。
-
若要檢查網域或樹系中是否有任何過時的 CA,請在 CA
PKIVIEW.msc上執行以驗證。如果有過時的 CA,請使用PKIVIEW.mscmmc 手動刪除它們。 -
若要檢查 Active Directory 複寫是否正常運作,而且網域中沒有過時的網域控制站,請執行
repadmin /replsum。
其他疑難排解步驟包括檢閱 WorkSpaces 執行個體 Windows 事件記錄檔。在 Windows 安全日誌中,要針對登入失敗檢閱的常見事件是事件 4625:帳戶登入失敗
如果問題仍然存在,請聯繫 AWS Support。如需詳細資訊,請參閱 AWS Support 中心
我正在嘗試做一些需要 Windows 安裝媒體但 WorkSpaces 不提供它的事情。
如果您使用 AWS提供的公用服務包,則可以在需要時使用 Amazon EC2 提供的 Windows 伺服器作業系統安裝媒體 EBS 快照。
從這些快照建立 EBS 磁碟區,將其附加到 Amazon EC2,然後視需要將檔案傳輸 WorkSpace 到檔案的位置。如果您在 BYOL 上使用 Windows 10, WorkSpaces 並且需要安裝媒體,則需要準備自己的安裝媒體。如需詳細資訊,請參閱使用安裝媒體新增 Windows 元件。由於您無法直接將 EBS 磁碟區連接到一個 WorkSpace,因此您需要將它附加到 Amazon EC2 執行個體並複製檔案。
我想要 WorkSpaces 使用在不支援的 WorkSpaces 區域中建立的現有 AWS 受管目錄來啟動。
若要 WorkSpaces 使用目前不受支援的區域中的目錄啟動 Amazon WorkSpaces,請按照以下步驟操作。
注意
如果您在執行 AWS Command Line Interface 命令時收到錯誤訊息,請確定您使用的是最新 AWS CLI 版本。如需詳細資訊,請參閱確認您執行的是最新版本的 AWS CLI。
步驟 1:與您帳戶中的其他 VPC 建立虛擬私有雲端 (VPC) 對等互連
與不同區域中的 VPC 建立 VPC 對等互連。如需詳細資訊,請參閱在相同帳戶和不同區域中隨著 VPC 建立。
接受 VPC 對等互連。如需詳細資訊,請參閱接受 VPC 對等互連。
啟用 VPC 對等連線後,您可以使用 Amazon VPC 主控台、或 API 來檢視您的 VPC 對等連線。 AWS CLI
步驟 2:更新兩個區域中 VPC 對等互連的路由表
更新您的路由表,以開啟透過 IPv4 或 IPv6 與對等 VPC 的通訊。如需詳細資訊,請參閱更新 VPC 對等互連的路由表。
第 3 步:創建一個 AD Connector 並註冊 Amazon WorkSpaces
若要檢閱 AD Connector 必要條件,請參閱 AD Connector 必要條件。
使用 AD Connector 連接現有的目錄。如需詳細資訊,請參閱建立 AD Connector。
當 AD Connector 狀態變更為作用中時,請開啟 AWS Directory Service 主控台
,然後選擇目錄 ID 的超連結。 對於 AWS 應用程式和服務,請選擇 Amazon WorkSpaces 以在此目錄 WorkSpaces 上開啟存取權限。
使用註冊目錄 WorkSpaces。如需詳細資訊,請參閱使用註冊目錄 WorkSpaces。
我想在 Amazon Linux 2 上更新 Firefox。
步驟 1:確認已啟用自動更新
若要驗證是否已啟用自動更新,請在上執行指令systemctl status
*os-update-mgmt.timer | grep enabled。 WorkSpace在輸出中,應該有兩行包含 enabled 字詞。
步驟 2:起始更新
火狐通常會在 Amazon Linux 2 中自動更新,以 WorkSpaces 及系統中的所有其他軟件包在維護期間。但是,這取決於 WorkSpaces 您使用的類型。
對於 AlwaysOn WorkSpaces,每週維護時段是在星期日凌晨 00 點到 04h00,在的時區。 WorkSpace
從每月的第三個星期一開始,最多兩週,維護時段的開放時間為每天約 00h00 至 05h00,在該地區的時區 AutoStop WorkSpaces。 AWS WorkSpace
如需維護時段的詳細資訊,請參閱 WorkSpace 維護。
您還可以通過重新啟動 WorkSpace並在 15 分鐘後重新連接來啟動立即更新週期。您也可以輸入 sudo yum update 以起始更新。若只要起始 Firefox 的更新,請輸入 sudo yum install firefox。
如果您無法設定 Amazon Linux 2 儲存庫的存取權,且偏好使用 Mozilla 所建置的二進位檔來安裝 Firefox,請參閱 Mozilla 支援上的從 Mozilla 建置安裝 Firefoxsudo yum remove firefox 將其解除安裝。
您也可以在不同的機器上執行 yumdownloader firefox 命令,從 Amazon Linux 2 儲存庫下載必要的 RPM 套件。然後,將存儲庫側面加載到 WorkSpaces,您可以在其中使用標準YUM命令安裝它們,如sudo yum install
firefox-102.11.0-2.amzn2.0.1.x86_64.rpm.
注意
確切的檔案名稱會根據套件版本而變更。
步驟 3:確認已使用 Firefox 儲存庫
Amazon Linux 附加功能會自動為 Amazon Linux 2 提供火狐更新 WorkSpaces。在 2023 年 7 月 31 日之後 WorkSpaces 創建的 Amazon Linux 2 將已經激活了火狐額外的存儲庫。若要確認您使用的 WorkSpace 是 Firefox 額外儲存庫,請執行以下指令。
yum repolist | grep amzn2extra-firefox
如果使用 Firefox Extra 儲存庫,命令輸出看起來應該類似 amzn2extra-firefox/2/x86_64 Amazon Extras repo for firefox 10。如果未使用 Firefox Extra 儲存庫,則輸出會是空的。如果未使用 Firefox Extra 儲存庫,您可以嘗試使用以下命令手動加以啟用:
sudo amazon-linux-extras install firefox
如果 Firefox Extra 儲存庫啟用仍然失敗,請檢查您的網際網路存取權並確定您的 VPC 端點並未設定。若要繼續 WorkSpaces 透過 YUM 儲存庫接收 Amazon Linux 2 的更新,請確保 WorkSpaces 您能夠連線到 Amazon Linux 2 儲存庫。如需在沒有網際網路存取權的情況下存取 Amazon Linux 2 儲存庫的詳細資訊,請參閱此知識中心文章
我的用戶可以使用 WorkSpaces 客戶端重置其密碼,而忽略配置的細粒密碼策略(FFGP)設置。 AWS Managed Microsoft AD
如果使用者的用 WorkSpaces 戶端與相關聯 AWS Managed Microsoft AD,他們必須使用預設的複雜性設定重設密碼。
預設複雜性密碼區分大小寫,且長度必須介於 8 到 64 個字元 (含) 之間。它必須包含下列每個類別中的至少一個字元:
-
小寫字元 (a-z)
-
大寫字元 (A-Z)
-
數字 (0-9)
-
非英數字元 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
確保密碼不包含不可打印的 unicode 字符,例如空格,換行符,換行符和空字符。
如果您的組織要求您強制執行 FFGP WorkSpaces,請連絡您的 Active Directory 系統管理員,以直接從 Active Directory (而非用 WorkSpaces 戶端) 重設使用者的密碼。
