Solução geral de problemas - WorkSpaces Aplicativos da Amazon
A federação de SAML não está funcionando. O usuário não está autorizado a visualizar os WorkSpaces aplicativos de aplicativos.Depois da federação de um portal do ADFS, minha sessão de streaming não inicia. Estou recebendo o erro "Sorry connection went down".Recebo um erro de URI de redirecionamento inválido.Meus criadores de imagem e as frotas nunca atingem o estado de execução. Meu servidores DNS estão em um diretório do Simple AD.Eu habilitei a persistência de configurações de aplicativo para meus usuários, mas as configurações de aplicativo persistentes não foram salvas ou carregadas.Habilitei a persistência das configurações de aplicações para os meus usuários, mas as senhas dos meus usuários não estão persistindo entre sessões em determinadas aplicações de streaming.Dados do Google Chrome dados preenchem o arquivo VHD que contém as configurações do aplicativo persistente dos meus usuários. Isso está impedindo que suas configurações persistam. Como posso gerenciar o perfil Chrome?Eu configurei um domínio personalizado para minhas sessões de streaming de WorkSpaces aplicativos incorporados, mas meu streaming de WorkSpaces aplicativos URLs não está sendo redirecionado para meu domínio personalizado.Eu lancei um aplicativo em uma frota de WorkSpaces aplicativos com cartão inteligente, e há um número limitado de certificados (ou nenhum) disponível para autenticação no aplicativo.O serviço de Propagação de Certificação não está começando na minha frota de aplicativos habilitados para cartões inteligentes WorkSpaces .Não consigo fazer login com meu nome de usuário ou senha do Active Directory após a autenticação SAML.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solução geral de problemas

A seguir estão os problemas gerais que podem ocorrer quando você usa os WorkSpaces aplicativos da Amazon.

Problemas

A federação de SAML não está funcionando. O usuário não está autorizado a visualizar os WorkSpaces aplicativos de aplicativos.

Isso pode ocorrer porque a política em linha incorporada para o perfil do IAM de federação SAML 2.0 não inclui permissões para o ARN da pilha. A função do IAM é assumida pelo usuário federado que está acessando uma pilha de WorkSpaces aplicativos. Edite as permissões da função para incluir o ARN da pilha. Para obter mais informações, consulte Integração WorkSpaces de aplicativos da Amazon com SAML 2.0 e Solução de problemas da federação SAML 2.0 com a AWS no Guia do usuário do IAM.

Depois da federação de um portal do ADFS, minha sessão de streaming não inicia. Estou recebendo o erro "Sorry connection went down".

Defina o Tipo de reivindicação de entrada da regra de reivindicação para o atributo NameID do SAML para UPN e tente a conexão novamente.

Recebo um erro de URI de redirecionamento inválido.

Esse erro ocorre devido a uma URL de estado de retransmissão da pilha de WorkSpaces aplicativos malformada ou inválida. Certifique-se de que o estado de retransmissão configurado em sua configuração de federação seja o mesmo que o estado de retransmissão da pilha exibido nos detalhes da pilha por meio do console de aplicativos. WorkSpaces Se eles forem iguais e o problema persistir, entre em contato AWS Support. Para obter mais informações, consulte Integração WorkSpaces de aplicativos da Amazon com SAML 2.0.

Meus criadores de imagem e as frotas nunca atingem o estado de execução. Meu servidores DNS estão em um diretório do Simple AD.

WorkSpaces Os aplicativos dependem dos servidores DNS em sua VPC para retornar uma resposta de domínio inexistente (NXDOMAIN) para nomes de domínio locais que não existem. Isso permite que a interface de rede WorkSpaces gerenciada por aplicativos se comunique com os servidores de gerenciamento.

Quando você cria um diretório com o Simple AD, AWS Directory Service cria dois controladores de domínio que também funcionam como servidores DNS em seu nome. Como os controladores de domínio não fornecem a resposta NXDOMAIN, eles não podem ser usados com aplicativos. WorkSpaces

Eu habilitei a persistência de configurações de aplicativo para meus usuários, mas as configurações de aplicativo persistentes não foram salvas ou carregadas.

WorkSpaces Os aplicativos salvam automaticamente as configurações do aplicativo que são criadas em determinados locais na instância do Windows. As configurações são salvas somente se o aplicativo as salva em um desses locais. Para ver uma lista dos locais, consulte Como a persistência de configurações de aplicativo funciona. Se sua aplicativo estiver configurada para salvar em C:\Users\%username% e suas configurações de usuários para a aplicativo não forem persistentes entre essas sessões, o ponto de montagem não pode ser criado. Isso evita que as configurações sejam salvas no arquivo VHD que contém as configurações do aplicativo persistente dos usuários.

Para resolver esse problema, siga estas etapas:

  1. Na instância de frota, abra o Explorador de arquivos e navegue até o diretório de perfil do usuário em C:\Users\%username%.

  2. Confirme se esse diretório contém um symlink e, em seguida, execute uma das seguintes ações:

    • Se houver um symlink, confirme se ele aponta para D:\%username%.

    • Se não houver um symlink, tente excluir C:\Users\%username%.

      Se você não pode excluir esse diretório, identifique o arquivo no diretório que está impedindo que ele seja excluído e o aplicativo que criou o arquivo. Em seguida, entre em contato com o fornecedor do aplicativo para obter informações sobre como alterar as permissões de arquivo ou mover o arquivo.

      Se você puder excluir esse diretório, entre em contato AWS Support para obter mais orientações para resolver esse problema. Para obter mais informações, consulte o AWS Support Center.

Habilitei a persistência das configurações de aplicações para os meus usuários, mas as senhas dos meus usuários não estão persistindo entre sessões em determinadas aplicações de streaming.

Isso ocorre quando:

  • Os usuários estão fazendo streaming de aplicativos como o Microsoft Outlook, que usa a API do Microsoft Data Protection.

  • A persistência da configuração de aplicativos está habilitada para instâncias de streaming que não estão associadas a domínios do Active Directory.

Nos casos em que uma instância de streaming não está associada a um domínio do Active Directory, o usuário do Windows PhotonUser,, é diferente em cada instância da frota. Devido à maneira como o modelo de segurança da DPAPI funciona, as senhas dos usuários não persistem para aplicativos que usam a DPAPI nesse cenário. Em casos em que instâncias de streaming são associadas a um domínio do Active Directory e o usuário é um usuário de domínio, o nome do usuário do Windows é aquele do usuário conectado e as senhas dos usuários persistem para aplicativos que usam a DPAPI.

Dados do Google Chrome dados preenchem o arquivo VHD que contém as configurações do aplicativo persistente dos meus usuários. Isso está impedindo que suas configurações persistam. Como posso gerenciar o perfil Chrome?

Por padrão, o Google Chrome armazena os dados do usuário e o cache de disco local no perfil de usuário do Windows. Para evitar que os dados de cache do disco local encham o arquivo VHD que contém configurações de aplicativo persistente dos usuários, configure o Chrome para salvar apenas os dados de usuário. Para fazer isso, na instância de frota, abra a linha de comando como um administrador e inicie o Chrome com os parâmetros a seguir para alterar o local do cache do disco:

chrome.exe --disk-cache-dir C:\path-to-unsaved-location\

Executar o Chrome com esses parâmetros impede que o cache de disco seja mantido entre as sessões de WorkSpaces aplicativos.

Eu configurei um domínio personalizado para minhas sessões de streaming de WorkSpaces aplicativos incorporados, mas meu streaming de WorkSpaces aplicativos URLs não está sendo redirecionado para meu domínio personalizado.

Para resolver esse problema, verifique se, ao criar o URL de streaming de WorkSpaces aplicativos, você substituiu o endpoint de WorkSpaces aplicativos pelo seu domínio personalizado. Por padrão, o streaming de WorkSpaces aplicativos URLs é formatado da seguinte forma:

https://appstream2.region.aws.amazon.com/authenticate?parameters=authenticationcode

Para substituir o endpoint padrão de WorkSpaces aplicativos em sua URL de streaming, https://appstream2. region substitua a URL por seu domínio personalizado. Por exemplo, se o seu domínio personalizado for training.example.com, o novo URL de streaming deverá seguir este formato:

https://training.example.com/authenticate?parameters=authenticationcode

Para obter mais informações sobre a configuração de domínios personalizados para sessões de streaming de WorkSpaces aplicativos incorporados, consulte. Requisitos de configuração para uso de domínios personalizados

Eu lancei um aplicativo em uma frota de WorkSpaces aplicativos com cartão inteligente, e há um número limitado de certificados (ou nenhum) disponível para autenticação no aplicativo.

Isso acontece quando a aplicação é inicializada antes que o serviço de propagação de certificado esteja em execução.

Para resolver esse problema, use o PowerShell módulo Get-Service para consultar o status do serviço de Propagação de Certificados e verifique se ele está em execução antes de iniciar seu aplicativo.

Por exemplo, o seguinte script não inicializará a aplicação até que o serviço de propagação de certificado esteja em execução:


$logFile = "$Env:TEMP\AS2\Logging\$(Get-Date -Format "yyyy-MM-dd-HH-mm-ss")_applaunch.log"
New-Item -path $logfile -ItemType File -Force | Out-Null

Function Write-Log {
    Param ([string]$message)
    $stamp = Get-Date -Format "yyyy/MM/dd HH:mm:ss"
    $logoutput = "$stamp $message"
    Add-content $logfile -value $logoutput
}

if (Get-Service -Name "CertPropSvc" | Where-Object -Property Status -eq Running) {

    Write-Log "The Certificate Propagation Service is running. Launching Application..."
    try {
        Start-Process -FilePath "Path to Application" -WindowStyle Maximized -ErrorAction Stop
    }
    catch {
        Write-Log "There was an error launching the application: $_"
        
    }
    
}   
else {

    do {
        
        $status = Get-Service "CertPropSvc" | select-object -ExpandProperty Status
        Write-Log "The Certificate Propagation service status is currently $status"
        Start-Sleep -Seconds 2

    
    } until (Get-Service -Name "CertPropSvc" | Where-Object -Property Status -eq Running)
    
    write-log "The Certificate Propagation Service is running. Launching Application..."
    try {
        Start-Process -FilePath "Path to Application" -WindowStyle Maximized -ErrorAction Stop
    }
    catch {
        Write-Log "There was an error launching the application: $_"
        
    }
}

O serviço de Propagação de Certificação não está começando na minha frota de aplicativos habilitados para cartões inteligentes WorkSpaces .

Se o serviço de propagação de certificado não estiver sendo iniciado, o tipo de inicialização do serviço poderá estar definido como Desativado. Para resolver isso, no construtor de imagens de WorkSpaces aplicativos usado para criar a imagem da sua frota, inicie o Microsoft Management Console do Windows Services e certifique-se de que o tipo de inicialização do serviço de Propagação de Certificados não esteja definido como Desativado.

Se o tipo de inicialização não estiver definido como Desativado e o serviço ainda não estiver iniciando em sua frota de WorkSpaces aplicativos, use o PowerShell módulo Start-Service para iniciar o serviço de Propagação de Certificados quando sua instância de frota for iniciada.

Por exemplo, o PowerShell script a seguir iniciará o serviço se detectar que ele está em um estado parado:


$logFile = "C:\AppStream\Logging\$(Get-Date -Format "yyyy-MM-dd-HH-mm-ss")_certpropcheck.log"
New-Item -path $logfile -ItemType File -Force | Out-Null

Function Write-Log {
    Param ([string]$message)
    $stamp = Get-Date -Format "yyyy/MM/dd HH:mm:ss"
    $logoutput = "$stamp $message"
    Add-content $logfile -value $logoutput
}

if (Get-Service -Name "CertPropSvc" | Where-Object -Property Status -eq Running) {

    Write-Log "The Certificate Propagation Service is running. Exiting..."
    Exit
}
else {
    do {

        if (Get-Service -Name "CertPropSvc" | Where-Object -Property Status -eq Stopped) {

            Write-Log "The Certificate Propagation Service is stopped, attepmting to start..."
            try {
                Start-Service -Name "CertPropSvc" -ErrorAction Stop
                
            }
            catch {
                Write-Log "There was a problem starting the service: $_"
                break               
            }

            $status = Get-Service "CertPropSvc" | select-object -ExpandProperty Status
            Write-Log "The Certificate Propagation service status is currently $status"
            

        }
        else {
        
            $status = Get-Service "CertPropSvc" | select-object -ExpandProperty Status
            Write-Log "The Certificate Propagation service status is currently $status"
            break
        }
    
    } until (Get-Service -Name "CertPropSvc" | Where-Object -Property Status -eq Running)
}

Não consigo fazer login com meu nome de usuário ou senha do Active Directory após a autenticação SAML.

O NameID na declaração SAML precisa corresponder ao nome de usuário no Active Directory. Alguns IdPs exigem uma atualização, atualização ou reimplantação após o ajuste de determinados atributos. Se você fizer um ajuste e ele não estiver refletido na captura do SAML, consulte a documentação ou o programa de suporte do seu IdP sobre as etapas específicas necessárias para que a alteração entre em vigor.