排查 WorkSpaces 个人版问题
以下信息可帮助您排查与 WorkSpace 相关的问题。
启用高级日志记录
为了帮助排查用户可能遇到的问题,您可以在任何 Amazon WorkSpaces 客户端上启用高级日志记录。
高级日志记录将生成包含诊断信息和调试级别详细信息(包括详细的性能数据)的日志文件。对于 1.0+ 和 2.0+ 客户端,这些高级日志记录文件会自动上传到 AWS 中的数据库。
注意
要获取高级日志记录文件的 AWS 审查并获得有关 WorkSpaces 客户端问题的技术支持,请联系 AWS 支持。有关更多信息,请参阅 AWS 支持 中心
为 Web Access 启用高级日志记录
打开您的 Amazon WorkSpaces Web Access 客户端。
在 WorkSpaces 登录页面的顶部,选择诊断日志记录。
在弹出对话框中,确保已启用诊断日志记录。
对于日志级别,请选择高级日志记录。
在 Google Chrome、Microsoft Edge 和 Firefox 中访问日志文件
打开浏览器上的上下文(右键单击)菜单或按键盘上的 Ctrl + Shift + I(或者对于 Mac,按 command + option + I),打开开发人员工具面板。
在开发人员工具面板中,选择控制台选项卡以查找日志文件。
在 Safari 中访问日志文件
依次选择 Safari、设置。
在设置窗口中,选择高级选项卡。
在菜单栏中选择“显示开发”菜单。
从菜单栏的开发选项卡中,选择开发 > 显示 Web 检查器。
在 Safari Web 检查器面板中,选择控制台选项卡以查找日志文件。
Windows 客户端
Windows 客户端日志存储在以下位置:
%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs
为 Windows 客户端启用高级日志记录
-
关闭 Amazon WorkSpaces 客户端。
-
打开命令提示符应用程序。
-
使用
-l3标志启动 WorkSpaces 客户端。c:cd "C:\Program Files\Amazon Web Services, Inc\Amazon WorkSpaces"workspaces.exe -l3注意
如果 WorkSpaces 是为一个用户而不是所有用户安装的,请使用以下命令:
c:cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"workspaces.exe -l3
macOS 客户端
macOS 客户端日志存储在以下位置:
~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs
为 macOS 客户端启用高级日志记录
-
关闭 Amazon WorkSpaces 客户端。
-
打开终端。
-
运行以下命令。
open -a workspaces --args -l3
Android 客户端
为 Android 客户端启用高级日志记录
-
关闭 Amazon WorkSpaces 客户端。
-
打开 Android 客户端菜单。
-
选择支持。
-
选择日志记录设置。
-
选择启用高级日志记录。
要在启用高级日志记录后检索 Android 客户端的日志,请执行以下操作:
选择提取日志,将压缩后的日志保存在本地。
Linux 客户端
Linux 客户端日志存储在以下位置:
~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs
为 Linux 客户端启用高级日志记录
-
关闭 Amazon WorkSpaces 客户端。
-
打开终端。
-
运行以下命令。
/opt/workspacesclient/workspacesclient -l3
Windows 客户端
Windows 客户端日志存储在以下位置:
%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\logs
为 Windows 客户端启用高级日志记录
-
关闭 Amazon WorkSpaces 客户端。
-
打开命令提示符应用程序。
-
使用
-l3标志启动 WorkSpaces 客户端。c:cd "C:\Program Files (x86)\Amazon Web Services, Inc\Amazon WorkSpaces"workspaces.exe -l3注意
如果 WorkSpaces 是为一个用户而不是所有用户安装的,请使用以下命令:
c:cd "%LocalAppData%\Programs\Amazon Web Services, Inc\Amazon WorkSpaces"workspaces.exe -l3
macOS 客户端
macOS 客户端日志存储在以下位置:
~/Library/"Application Support"/"Amazon Web Services"/"Amazon WorkSpaces"/logs
为 macOS 客户端启用高级日志记录
-
关闭 Amazon WorkSpaces 客户端。
-
打开终端。
-
运行以下命令。
open -a workspaces --args -l3
Android 客户端
为 Android 客户端启用高级日志记录
-
关闭 Amazon WorkSpaces 客户端。
-
打开 Android 客户端菜单。
-
选择支持。
-
选择日志记录设置。
-
选择启用高级日志记录。
要在启用高级日志记录后检索 Android 客户端的日志,请执行以下操作:
选择提取日志,将压缩后的日志保存在本地。
Linux 客户端
Linux 客户端日志存储在以下位置:
~/.local/share/Amazon Web Services/Amazon WorkSpaces/logs
为 Linux 客户端启用高级日志记录
-
关闭 Amazon WorkSpaces 客户端。
-
打开终端。
-
运行以下命令。
/opt/workspacesclient/workspacesclient -l3
-
打开 WorkSpaces 客户端。
-
选择客户端应用程序右上角的齿轮图标。
-
选择 Advanced Settings (高级设置)。
-
选中 Enable Advanced Logging (启用高级日志记录) 复选框。
-
选择 Save。
Windows 客户端日志存储在以下位置:
%LOCALAPPDATA%\Amazon Web Services\Amazon WorkSpaces\1.0\Logs
macOS 客户端日志存储在以下位置:
~/Library/Logs/Amazon Web Services/Amazon WorkSpaces/1.0
排查特定问题
以下信息可帮助您排查与 WorkSpace 相关的特定问题。
事务
Amazon WorkSpaces 客户端显示一个灰色的“正在加载...”屏幕一段时间,然后返回登录屏幕。不显示其他错误消息。
我的用户在尝试连接到 WSP WorkSpace 时收到消息 “无网络。网络连接中断。请检查网络连接 或联系您的管理员以寻求帮助。”
我的用户在联合到 IdP 后尝试登录 WorkSpaces 客户端应用程序时,会收到消息“出现错误:启动 WorkSpace 时发生了错误”。
我的用户无法使用基于证书的身份验证登录,当他们连接到桌面会话时,系统会在 WorkSpaces 客户端或 Windows 登录屏幕上提示他们输入密码。
我的用户可以使用 WorkSpaces 客户端重置密码,而忽略 AWS Managed Microsoft AD 上配置的精细密码策略(FFGP)设置。
我的用户在尝试使用 Web Access 访问 Windows/Linux WorkSpace 时收到错误消息“此操作系统/平台无权访问您的 WorkSpace”
我无法创建 Amazon Linux WorkSpace,因为用户名中存在无效字符
对于 Amazon Linux WorkSpaces,用户名:
-
最多可包含 20 个字符
-
可以包含能够以 UTF-8 表示的字母、空格和数字
-
可包含以下特殊字符:_ .-#
-
不能以短划线符号 (-) 作为用户名的开头第一个字符
注意
这些限制不适用于 Windows WorkSpaces。对于用户名中的所有字符,Windows WorkSpaces 支持 @ 和 - 符号。
我更改了 Amazon Linux WorkSpace 的 shell,现在无法预配置 PCoIP 会话
要覆盖 Linux WorkSpaces 的默认 shell,请参阅 覆盖 Amazon Linux WorkSpaces 的默认 shell。
我的 Amazon Linux WorkSpaces 无法启动
从 2020 年 7 月 20 日起,Amazon Linux WorkSpaces 将使用新的许可证书。这些新证书仅与 PCoIP 代理的 2.14.1.1、2.14.7、2.14.9 和 20.10.6 或更高版本兼容。
如果您使用的 PCoIP 代理版本不受支持,则必须将其升级到最新版本 (20.10.6),该版本包含与新证书兼容的最新修复和性能改进。如果您不在 7 月 20 日之前进行这些升级,则您的 Linux WorkSpaces 会话预配置将失败,您的最终用户将无法连接到 WorkSpaces。
将您的 PCoIP 代理升级到最新版本
-
打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/v2/home
。 -
在导航窗格中,选择 WorkSpaces。
-
选择您的 Linux WorkSpace,然后选择操作、重启 WorkSpaces,来重启它。如果 WorkSpace 状态为
STOPPED,则必须先选择操作、启动 WorkSpaces,然后等到其状态变为AVAILABLE后才能重启它。 -
在您的 WorkSpace 重启且其状态变为
AVAILABLE之后,建议您在执行此升级时将 WorkSpace 的状态更改为ADMIN_MAINTENANCE。完成后,将 WorkSpace 的状态更改为AVAILABLE。有关ADMIN_MAINTENANCE模式的更多信息,请参阅手动维护。要将 WorkSpace 的状态更改为
ADMIN_MAINTENANCE,请执行以下操作:-
选择 WorkSpace,然后依次选择 Actions 和 Modify WorkSpace。
-
选择 Modify State。
-
对于预期状态,请选择 ADMIN_MAINTENANCE。
-
选择 Modify(修改)。
-
-
通过 SSH 连接到 Linux WorkPace。有关更多信息,请参阅 为 WorkSpaces 个人版的 Linux WorkSpaces 启用 SSH 连接。
-
要更新 PCoIP 代理,请运行以下命令:
sudo yum --enablerepo=pcoip-stable install pcoip-agent-standard-20.10.6 -
要验证代理版本并确认更新成功,请运行以下命令:
rpm -q pcoip-agent-standard验证命令应产生以下结果:
pcoip-agent-standard-20.10.6-1.el7.x86_64 -
断开与 WorkSpace 的连接,然后再次重启它。
-
如果您在步骤 4 中将 WorkSpace 的状态设置为
ADMIN_MAINTENANCE,请重复步骤 4,并将预期状态设置为AVAILABLE。
如果升级 PCoIP 代理后 Linux WorkSpace 仍然无法启动,请联系 AWS Support。
经常无法在我连接的目录中启动 WorkSpace
验证是否可从您连接到目录时所指定的每个子网访问本地目录中的两个 DNS 服务器或域控制器。您可以通过在每个子网中启动一个 Amazon EC2 实例并将该实例加入您的目录中,然后使用两个 DNS 服务器的 IP 地址来验证此连接。
启动 WorkSpace 失败,出现内部错误
检查您的子网是否配置为自动将 IPv6 地址分配给在子网中启动的实例。要检查此设置,请打开 Amazon VPC 控制台,选择子网,然后依次选择子网操作、修改自动分配 IP 设置。如果此设置启用,则无法使用性能或图形服务包启动 WorkSpace。解决办法是,在启动实例时,禁用此设置并手动指定 IPv6 地址。
当我尝试注册目录时,注册失败并使该目录处于 ERROR 状态
如果您尝试注册已配置为用于多区域复制的 AWS Managed Microsoft AD 目录,则可能会出现此问题。尽管可以成功注册主区域中的目录以用于 Amazon WorkSpaces,但尝试在复制区域中注册该目录会失败。复制区域内的 Amazon WorkSpaces 不支持使用 AWS Managed Microsoft AD 进行多区域复制。
我的用户无法连接到 Windows WorkSpace,系统显示了一个交互式登录横幅
如果实施了交互式登录消息以显示登录横幅,则会阻止用户访问其 Windows WorkSpace。PCoIP WorkSpaces 目前不支持交互式登录消息的组策略设置。将 WorkSpace 移动到未应用 Interactive logon: Message text for users attempting to log on 组策略的组织单位 (OU)。DCV WorkSpaces 支持登录消息,用户在接受登录横幅后必须重新登录。
我的用户无法连接到 Windows WorkSpace
我的用户在尝试连接到他们的 Windows WorkSpaces 时收到以下错误:
"An error occurred while launching your WorkSpace. Please try again."
当 WorkSpace 无法使用 PCoIP 加载 Windows 桌面时,通常会发生此错误。请检查以下事项:
-
如果 Windows 的 PCoIP 标准代理服务未运行,则会显示此消息。使用 RDP 进行连接
,以验证服务是否正在运行,是否设置为自动启动,以及是否可以通过管理界面 (eth0) 进行通信。
-
如果卸载了 PCoIP 代理,请通过 Amazon WorkSpaces 控制台重启 WorkSpace 以自动重新安装它。
-
如果修改了 WorkSpaces 安全组以限制出站流量,则经过长时间的延迟,您也可能会在 Amazon WorkSpaces 客户端上收到此错误。限制出站流量会阻止 Windows 与您的目录控制器通信而导致无法进行登录。验证您的安全组是否允许 WorkSpace 通过主网络接口与所有必需端口上的目录控制器进行通信。
此错误的另一个原因与用户权限分配组策略有关。如果以下组策略配置不正确,它会阻止用户访问其 Windows WorkSpaces:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment (计算机配置\Windows 设置\安全设置\本地策略\用户权限分配
-
不正确的策略:
策略:Access this computer from the network (从网络访问此计算机)
设置:
域名\域计算机获胜 GPO:允许文件访问
-
正确的策略:
策略:Access this computer from the network (从网络访问此计算机)
设置:
域名\域用户获胜 GPO:允许文件访问
注意
此策略设置应该应用于 Domain Users (域用户) 而不是 Domain Computers (域计算机)。
有关更多信息,请参阅 Microsoft Windows 文档中的从网络访问此计算机 - 安全策略设置
我的用户在尝试从 WorkSpaces Web Access 登录 WorkSpaces 时遇到问题
Amazon WorkSpaces 依靠特定登录屏幕配置来让用户能够从 Web Access 客户端成功登录。
要使 Web 访问用户能够登录其 WorkSpaces,您必须配置“Group Policy (组策略)”设置和三个“Security Policy (安全策略)”设置。如果未正确配置这些设置,用户可能会在尝试登录其 WorkSpaces 时遇到长时间登录或黑屏。要配置这些设置,请参阅 为 WorkSpaces 个人版启用和配置 WorkSpaces Web Access。
重要
自 2020 年 10 月 1 日起,客户将无法再使用 Amazon WorkSpaces Web Access 客户端连接到 Windows 7 自定义 WorkSpaces 或 Windows 7 自带许可 (BYOL) WorkSpaces。
Amazon WorkSpaces 客户端显示一个灰色的“正在加载...”屏幕一段时间,然后返回登录屏幕。不显示其他错误消息。
此行为通常表示 WorkSpaces 客户端可以通过端口 443 进行身份验证,但无法通过端口 4172(PCoIP)或端口 4195(DCV)建立流连接。当未满足网络先决条件时,可能会发生此情况。客户端的问题通常导致客户端的网络检查失败。要查看哪些运行状况检查失败,请选择网络检查图标(通常是 2.0+ 客户端登录屏幕右下角带有感叹号的红色三角形,或 3.0+ 客户端右上角的网络图标
)。
注意
此问题的最常见原因是客户端防火墙或代理阻止通过端口 4172 或 4195(TCP 和 UDP)进行访问。如果此运行状况检查失败,请检查您的本地防火墙设置。
如果网络检查获得通过,则 WorkSpace 的网络配置可能存在问题。例如,Windows 防火墙规则可能会阻止管理界面上的端口 UDP 4172 或 4195。使用远程桌面协议 (RDP) 客户端连接到 WorkSpace
我的用户收到消息“WorkSpace 状态:不正常。我们无法将您连接到您的 WorkSpace。请过几分钟再试。”
此错误通常表示 SkyLightWorkSpacesConfigService 服务未响应运行状况检查。
如果您刚刚重启或启动了 WorkSpace,请等待几分钟,然后重试。
如果 WorkSpace 已经运行了一段时间,而您仍然看到此错误,请使用 RDP 进行连接
-
正在运行。
-
设置为自动启动。
-
可以通过管理界面 (eth0) 进行通信。
-
未被任何第三方防病毒软件阻止。
我的用户收到消息“此设备未获授权,无法访问 WorkSpace。请联系您的管理员寻求帮助。”
此错误表示可能发生以下情况之一:
-
已在 WorkSpace 目录上配置 IP 访问控制组,但客户端 IP 地址不在允许列表中。
检查您的目录上的设置。确认用户所连接的公有 IP 地址允许访问 WorkSpace。
-
在访问控制下,不允许将设备的操作系统作为可信设备,或者您的设备在使用可信设备选项时未安装正确的证书。通过执行以下操作,将您的设备类型添加为可信设备:
-
打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/v2/home
。 -
在导航窗格中,选择目录。
-
选择您要使用的目录。
-
向下滚动到访问控制选项,然后选择编辑。
-
在可信设备下,对于要允许访问的设备类型,在下拉列表中选择全部允许。如果要仅选择安装了客户端证书的设备,请选择可信设备。
-
如果您在上一步中选择了可信设备,请确保已导入至少一个根证书,并且已在客户端上安装了由根证书颁发机构(CA)颁发的客户端证书。有关创建、部署和导入根证书的更多信息,请参阅将 WorkSpaces 个人版访问限定于受信任设备。
-
选择 Save。
-
-
您的设备类型未获得访问 WorkSpaces 的权限。通过执行以下操作,授予对您的设备类型的访问权限:
-
打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/v2/home
。 -
在导航窗格中,选择目录。
-
选择您要使用的目录。
-
向下滚动到其他平台,然后选择编辑。
-
检查以下一种要授予 WorkSpaces 访问权限的设备类型。
ChromeOS
iOS
Linux
Web Access
零客户端
-
选择 Save。
-
我的用户在尝试连接到 WSP WorkSpace 时收到消息 “无网络。网络连接中断。请检查网络连接 或联系您的管理员以寻求帮助。”
如果出现此错误并且您的用户没有连接问题,请确保网络防火墙上已打开端口 4195。对于使用 DCV 的 WorkSpaces,用于流式传输客户端会话的端口已从 4172 更改为 4195。
我的用户在使用 WorkSpaces 客户端时遇到了网络错误提示,但他们能够在其设备上使用其他网络支持的应用程序
WorkSpaces 客户端应用程序依赖对 AWS 云中资源的访问,需要可提供至少 1 Mbps 下载带宽的连接。如果设备是间歇性地连接到网络,WorkSpaces 客户端应用程序就可能报告网络问题。
从 2018 年 5 月开始,WorkSpaces 强制使用 Amazon Trust Services 颁发的数字证书。在 WorkSpaces 支持的操作系统上,Amazon Trust Services 已经是受信任的根 CA。如果操作系统的根 CA 列表不是最新的,则设备无法连接到 WorkSpaces,客户端会发出网络错误提示。
识别由于证书失败造成的连接问题
-
PCoIP 零客户端 - 将显示以下错误消息。
Failed to connect. The server provided a certificate that is invalid. See below for details: - The supplied certificate is invalid due to timestamp - The supplied certificate is not rooted in the devices local certificate store
-
其他客户端 - 运行状况检查失败,出现互联网红色警告三角形。
Windows 客户端应用程序
使用以下解决方案之一处理证书问题。
解决方案 1:更新客户端应用程序
从 https://clients.amazonworkspaces.com/
解决方案 2:将 Amazon Trust Services 添加到本地根 CA 列表
-
下载 DER 格式的 Starfield 证书 (2b071c59a0a0ae76b0eadb2bad23bad4580b69c3601b630c2eaf0613afa83f92)。
-
打开 Microsoft 管理控制台。(从命令提示符中,运行 mmc。)
-
依次选择文件、添加/删除管理单元、证书和添加。
-
在证书管理单元页面上,选择计算机账户,然后选择下一步。保留默认值本地计算机。选择结束。选择确定。
-
展开证书 (本地计算机),然后选择受信任的根证书颁发机构。依次选择操作、所有任务和导入。
-
按照向导的说明,导入下载的证书。
-
退出并重启 WorkSpace 客户端应用程序。
解决方案 3:使用组策略部署 Amazon Trust Services 作为可信 CA
对于使用组策略的域,将 Starfield 证书添加到信任根 CA。有关更多信息,请参阅使用策略来分配证书
PCoIP 零客户端
要直接连接到使用固件版本 6.0 或更高版本的 WorkSpace,请下载并安装由 Amazon Trust Services 发布的证书。
添加 Amazon Trust Services 作为可信根 CA
-
在 Starfield Certificate Chain (Starfield 证书链) 中下载具有指纹 14 65 FA 20 53 97 B8 76 FA A6 F0 A9 95 8E 55 90 E4 0F CC 7F AA 4F B7 C2 C8 67 75 21 FB 5F B6 58 的证书。
-
上传证书至 zero 客户端。有关更多信息,请参阅 Teradici 文档中的上传证书
。
其他客户端应用程序
从 Amazon Trust Services
-
Android:添加和删除证书
-
Chrome OS:管理 Chrome 设备上的客户端证书
-
macOS 和 iOS:在测试设备上安装 CA 根证书
我的 WorkSpace 用户看到以下错误消息:“设备无法连接到注册服务。请检查网络设置。”
当出现注册服务故障时,您的 WorkSpace 用户可能会在连接状况检查页面上看到以下错误消息:“您的设备无法连接到 WorkSpaces 注册服务。您无法向 WorkSpaces 注册设备。请检查网络设置。”
当 WorkSpaces 客户端应用程序无法访问注册服务时会出现此错误。通常,这是在删除 WorkSpace 目录时出现。要纠正此错误,请确保注册代码有效并与 AWS 云中一个正在运行的目录相对应。
我的 PCoIP 零客户端用户收到错误“提供的证书由于时间戳而无效”
如果在 Teradici 中未启用网络时间协议 (NTP),则 PCoIP 零客户端用户可能会收到证书失败错误。要设置 NTP,请参阅为 WorkSpaces 个人版设置 PCoIP 零客户端。
USB 打印机和其他 USB 外围设备不适用于 PCoIP 零客户端
从 PCoIP 代理的 20.10.4 版本开始,Amazon WorkSpaces 默认禁用通过 Windows 注册表进行的 USB 重定向。当您的用户使用 PCoIP 零客户端设备连接到其 WorkSpaces 时,此注册表设置会影响 USB 外围设备的行为。
如果您的 WorkSpaces 使用的是 20.10.4 或更高版本的 PCoIP 代理,则在您启用 USB 重定向之前,USB 外围设备将无法与 PCoIP 零客户端设备配合使用。
注意
如果您使用的是 32 位虚拟打印机驱动程序,则还必须将这些驱动程序更新到 64 位版本。
为 PCoIP 零客户端设备启用 USB 重定向
建议您通过组策略将这些注册表更改推送到 WorkSpaces。有关更多信息,请参阅 Teradici 文档中的配置代理
-
将以下注册表项值设置为 1(已启用):
KeyPath = HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Teradici\PCoIP\pcoip_admin
KeyName = pcoip.enable_usb
KeyType = DWORD
KeyValue = 1
-
将以下注册表项值设置为 1(已启用):
KeyPath = HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Teradici\PCoIP\pcoip_admin_defaults
KeyName = pcoip.enable_usb
KeyType = DWORD
KeyValue = 1
-
如果您尚未这样做,请注销 WorkPace,然后重新登录。您的 USB 设备现在应该可以运行了。
我的用户跳过了更新其 Windows 或 macOS 客户端应用程序的过程,并且没有收到安装最新版本的提示
当用户跳过对 Amazon WorkSpaces Windows 客户端应用程序的更新时,系统将设置 SkipThisVersion 注册表项,并且在发布客户端的新版本时不再提示他们更新其客户端。要更新到最新版本,您可以按照《Amazon WorkSpaces 用户指南中的将 WorkSpaces Windows 客户端应用程序更新到新版本所述,编辑注册表。也可以运行以下 PowerShell 命令:
Remove-ItemProperty -Path "HKCU:\Software\Amazon Web Services. LLC\Amazon WorkSpaces\WinSparkle" -Name "SkipThisVersion"
当用户跳过对 Amazon WorkSpaces macOS 客户端应用程序的更新时,系统将设置 SUSkippedVersion 首选项,并且在发布客户端的新版本时不再提示他们更新其客户端。要更新到最新版本,您可以按照《Amazon WorkSpaces 用户指南中的将 WorkSpaces macOS 客户端应用程序更新到新版本所述,重置该首选项。
我的用户无法在其 Chromebook 上安装 Android 客户端应用程序
Amazon WorkSpaces Chromebook 客户端应用程序的最终版本是 2.4.13 版。由于 Google 正在逐步退出对 Chrome 应用程序的支持
对于支持安装 Android 应用程序的 Chromebook
在某些情况下,您可能需要启用用户的 Chromebook 以安装 Android 应用程序。有关更多信息,请参阅 为 WorkSpaces 个人版 Chromebook 设置 Android。
我的用户没有收到邀请电子邮件或密码重置电子邮件
用户不会自动收到使用 AD Connector 或受信任域创建的 WorkSpaces 的欢迎或密码重置电子邮件。如果用户已经位于 Active Directory 中,系统也不会自动发送邀请电子邮件。
要手动向这些用户发送欢迎电子邮件,请参阅 发送邀请电子邮件。
要重置用户密码,请参阅为 WorkSpaces 个人版设置 Active Directory 管理工具。
我的用户在客户端登录屏幕上看不到“忘记密码?”选项
如果您使用的是 AD Connector 或受信任域,则您的用户将无法重置自己的密码。(WorkSpaces 客户端应用程序登录屏幕上的忘记密码?选项将不可用。) 有关如何重置用户密码的信息,请参阅为 WorkSpaces 个人版设置 Active Directory 管理工具。
当我尝试在 Windows WorkSpace 上安装应用程序时,我收到消息“系统管理员已设置策略以阻止此安装”
您可以通过修改 Windows 安装程序组策略设置来解决此问题。若要将此策略部署到目录中的多个 WorkSpace,请将此设置应用于从加入域的 EC2 实例链接到 WorkSpace 组织单位 (OU) 的组策略对象。如果您使用 AD Connector,则可以从域控制器进行这些更改。有关使用 Active Directory 管理工具处理组策略对象的更多信息,请参阅《AWS Directory Service 管理指南》中的安装 Active Directory 管理工具。
以下过程说明如何为 WorkSpaces 组策略对象配置 Windows 安装程序设置。
-
确保您的域中安装了最新的 WorkSpaces 组策略管理模板。
-
在您的 Windows WorkSpace 客户端上打开组策略管理工具,导航并选择您的 WorkSpace 计算机账户的 WorkSpace 组策略对象。从主菜单中,依次选择 Action (操作) 和 Edit (编辑)。
-
在组策略管理编辑器中,依次选择计算机配置、策略、管理模板、经典管理模板、Windows 组件、Windows 安装程序。
-
打开 Turn Off Windows Installer (关闭 Windows 安装程序) 设置。
-
在 Turn Off Windows Installer (关闭 Windows 安装程序) 对话框中,将 Not Configured (未配置) 更改为 Enabled (已启用),然后将 Disable Windows Installer (禁用 Windows 安装程序) 设置为 Never (从不)。
-
选择确定。
-
要应用组策略更改,请执行下列操作之一:
-
重启 WorkSpace(在 WorkSpace 控制台中,选择“WorkSpace”,然后依次选择操作、重启 WorkSpaces)。
-
从管理命令提示符下,输入 gpupdate /force。
-
我的目录中的 WorkSpaces 均无法连接到 Internet
默认情况下,WorkSpaces 无法与互联网通信。您必须显式提供互联网访问。有关更多信息,请参阅 为 WorkSpaces 个人版提供互联网访问权限。
我的 WorkSpace 已失去对互联网的访问权限
如果您的 WorkSpace 已失去对互联网的访问权限,并且您无法使用 RDP 连接到 WorkSpace
要将 Amazon 提供的池中的新公有 IP 地址与 WorkSpace 关联,您必须重建 WorkSpace。如果您不想重建 WorkSpace,必须将您拥有的另一个弹性 IP 地址与 WorkSpace 关联。
建议您不要在 WorkSpace 启动后修改其弹性网络接口。将弹性 IP 地址分配给 WorkSpace 后,WorkSpace 会保留相同的公有 IP 地址(除非重建 WorkSpace ,在这种情况下,它会获得新的公有 IP 地址)。
当我尝试连接我的本地目录时收到一条“DNS unavailable”错误
在连接您的本地目录时,您收到类似于以下内容的错误消息。
DNS unavailable (TCP port 53) for IP: dns-ip-address
AD Connector 必须能够通过 TCP 和 UDP 经由端口 53 与您的本地 DNS 服务器通信。验证您的安全组和本地防火墙是否允许经由此端口进行 TCP 和 UDP 通信。
在尝试连接到我的本地目录时,我收到一条“Connectivity issues detected”错误
在连接您的本地目录时,您收到类似于以下内容的错误消息。
Connectivity issues detected: LDAP unavailable (TCP port 389) for IP:ip-addressKerberos/authentication unavailable (TCP port 88) for IP:ip-addressPlease ensure that the listed ports are available and retry the operation.
AD Connector 必须能够通过 TCP 和 UDP 经由以下端口与您的本地域控制器通信。验证您的安全组和本地防火墙是否允许经由这些端口进行 TCP 和 UDP 通信:
-
88 (Kerberos)
-
389 (LDAP)
在尝试连接到我的本地目录时,我收到一条“SRV record”错误
在连接您的本地目录时,您收到类似于以下一项或多项内容的错误消息。
SRV record for LDAP does not exist for IP:dns-ip-addressSRV record for Kerberos does not exist for IP:dns-ip-address
在连接您的目录时,AD Connector 需要获取 _ldap._tcp. 和 dns-domain-name_kerberos._tcp. SRV 记录。如果服务无法从您在连接到目录时所指定的 DNS 服务器上获取这些记录,则您会收到此错误。请确保您的 DNS 服务器包含这些 SRV 记录。有关更多信息,请参阅 Microsoft TechNet 上的 SRV 资源记录dns-domain-name
我的 Windows WorkSpace 在空闲时进入睡眠状态
要解决此问题,请连接到 WorkSpace 并通过使用以下过程将电源计划更改为 High performance (高性能):
-
在 WorkSpace 中,打开控制面板,然后选择硬件或选择硬件和声音(名称可能会有所不同,具体取决于您的 Windows 版本)。
-
在 Power Options (电源选项) 下,选择 Choose a power plan (选择电源计划)。
-
在选择或自定义电源计划窗格中,选择高性能电源计划,然后选择更改计划设置。
-
如果高性能电源计划选项被禁用,请选择更改当前不可用的设置,然后选择高性能电源计划。
-
如果看不到高性能计划,请选择显示其他计划右侧的箭头以显示它,或者在左侧导航栏中选择创建电源计划,选择高性能,为电源计划命名,然后选择下一步。
-
-
在更改计划的设置: 高性能页面上,确保将关闭显示屏和(如果可用)将计算机置于睡眠状态设置为从不。
-
如果您对高性能计划进行了任何更改,请选择保存更改(或选择创建,如果要创建新计划的话)。
如果上述步骤无法解决该问题,请执行以下操作:
-
在 WorkSpace 中,打开控制面板,然后选择硬件或选择硬件和声音(名称可能会有所不同,具体取决于您的 Windows 版本)。
-
在 Power Options (电源选项) 下,选择 Choose a power plan (选择电源计划)。
-
在选择或自定义电源计划窗格中,选择高性能电源计划右侧的更改计划设置链接,然后选择更改高级电源设置链接。
-
在 Power Options (高级选项) 对话框中的设置列表中,选择 Hard disk (硬盘) 左侧的加号以显示相关设置。
-
验证 Plugged in (已插入) 的 Turn off hard disk after (在多长时间后关闭硬盘) 值是否大于 On battery (使用电池) 的值(默认值为 20 分钟)。
-
选择 PCI Express 左侧的加号,然后为 Link State Power Management (链路状态电源管理) 执行相同的操作。
-
验证 Link State Power Management (链路状态电源管理) 设置是否为 Off (关闭)。
-
选择 OK (确定)(如果您更改了任何设置,则选择 Apply (应用))以关闭对话框。
-
在 Change settings for the plan (更改计划的设置) 窗格中,如果您更改了任何设置,请选择 Save changes (保存更改)。
我的一个 WorkSpaces 显示 UNHEALTHY 状态
WorkSpaces 服务会向 WorkSpace 定期发送状态请求。当 WorkSpace 无法响应这些请求时,它将标记为 UNHEALTHY。导致此问题的常见原因包括:
-
WorkSpace 上的某个应用程序阻塞了网络端口,这阻止 WorkSpace 响应状态请求。
-
CPU 使用率高,阻止了 WorkSpace 及时响应状态请求。
-
WorkSpace 的计算机名称已发生更改。这会阻止 WorkSpaces 与 WorkSpace 之间建立安全通道。
您可以尝试使用以下方法来纠正这种状况:
-
从 WorkSpaces 控制台重启 WorkSpace。
-
使用以下过程连接到不正常状态的 WorkSpace (此方法仅限于故障排除目的):
-
连接到与不正常状态的 WorkSpace 同处一个目录下的运行正常的 WorkSpace。
-
从运行正常的 WorkSpace 中,通过远程桌面协议 (RDP) 使用不正常状态 WorkSpace 的 IP 地址连接到该不正常状态的 WorkSpace。根据问题的严重程度,您或许无法连接到不正常状态的 WorkSpace。
-
在运行状况不正常的 WorkSpace 上,确认满足最低端口要求。
-
-
确保 SkyLightWorkSpacesConfigService 服务能够响应运行状况检查。要排查此问题,请参阅我的用户收到消息“WorkSpace 状态:不正常。我们无法将您连接到您的 WorkSpace。请过几分钟再试。”。
-
从 WorkSpaces 控制台重建 WorkSpace。重建 WorkSpace 可能会导致数据丢失,因此,该选项应只在所有其他尝试纠正此问题的措施都不成功的情况下使用。
我的 WorkSpace 意外崩溃或重启
如果为 PCoIP 配置的 WorkSpace 反复崩溃或重启,并且您的错误日志或崩溃转储指向与 spacedeskHookKmode.sys 或 spacedeskHookUmode.dll 有关的问题,或者如果您收到以下错误消息,则您可能需要禁用对 WorkSpace 的 Web Access:
The kernel power manager has initiated a shutdown transition. Shutdown reason: Kernel API
The computer has rebooted from a bugcheck.
注意
-
这些故障排查步骤不适用于为 DCV 配置的 WorkSpaces。它们仅适用于为 PCoIP 配置的 WorkSpaces。
-
仅当您不允许用户使用 Web 访问时,才应禁用 Web 访问。
要禁用对 WorkSpace 的 Web Access,您必须在 WorkSpaces 目录中禁用 Web Access 并重启 WorkSpace。
同一用户名具有多个 WorkSpace ,但用户只能登录到其中一个 WorkSpace
如果在 Active Directory (AD) 中删除用户而不先删除其 WorkSpace,然后将该用户添加回 Active Directory 并为该用户创建新的 WorkSpace,则同一个用户名现在将在同一目录中具有两个 WorkSpace。但是,如果用户尝试连接到其原始 WorkSpace,则将收到以下错误:
"Unrecognized user. No WorkSpace found under your username. Contact your administrator to request one."
此外,在 Amazon WorkSpaces 控制台中搜索用户名仅返回新的工作区,即使这两个 WorkSpace 仍然存在。(您可以通过搜索 WorkSpace ID 而不是用户名来查找原始 WorkSpace。)
如果在不首先删除用户的 WorkSpace 的情况下重命名 Active Directory 中的用户,也会发生此行为。如果之后您将其用户名更改回原始用户名并为用户创建新的工作区,则同一用户名将在目录中有两个 WorkSpace。
出现此问题的原因是 Active Directory 使用用户的安全标识符 (SID)(而不是用户名)以唯一标识用户。当删除某个用户并在 Active Directory 中重新创建此用户时,即使用户的用户名保持不变,也会为该用户分配一个新的 SID。在搜索用户名时,Amazon WorkSpaces 控制台使用 SID 搜索 Active Directory 中的匹配项。当 Amazon WorkSpaces 客户端连接到 WorkSpaces 时,该客户端还使用 SID 来标识用户。
要解决此问题,请执行下列操作之一:
-
如果由于在 Active Directory 中删除了用户并在其中重新创建了该用户而发生了此问题,并且在 Active Directory 中启用了回收站功能
,则您可能能够还原原始的已删除的用户对象。如果您能够还原原始用户对象,请确保用户可以连接到其原始 WorkSpace。如果可以,您可以在手动备份并将任何用户数据从新工作区传输到原始工作区之后删除新的 WorkSpace(如果需要)。 -
如果无法还原原始用户对象,请删除用户的原始 WorkSpace。用户应该能够连接到并使用其新的 WorkSpace。请确保手动备份并将所有用户数据从原始 WorkSpace 传输到新 WorkSpace。
警告
删除 WorkSpace 是一项永久性操作,无法撤消。WorkSpace 用户的数据不会保留,而是会销毁。要获取有关备份用户数据的帮助,请联系 AWS Support。
我在 Amazon WorkSpaces 中使用 Docker 时遇到了问题
Windows WorkSpaces
在 Windows WorkSpaces 上不支持嵌套虚拟化(包括使用 Docker)。有关更多信息,请参阅 Docker 文档
Linux WorkSpaces
要在 Linux WorkSpaces 上使用 Docker,请确保 Docker 使用的 CIDR 块不与和 WorkSpace 关联的两个弹性网络接口 (ENI) 中使用的 CIDR 块重叠。如果您在 Linux WorkSpaces 上使用 Docker 时遇到问题,请联系 Docker 寻求帮助。
我的一些 API 调用收到了 ThrottlingException 错误
WorkSpaces API 调用的默认速率是一个恒定速率,为每秒两次 API 调用;允许的最大“突发”速率为每秒五次 API 调用。下表显示了适用于 API 请求的突发速率限制。
| 秒 | 发送的请求数 | 允许的 Net 请求数 | 详细信息 |
|---|---|---|---|
|
1 |
0 |
5 |
第一秒(第 1 秒)内允许发出五个请求,最高突发速率为每秒五次调用。 |
|
2 |
2 |
5 |
由于在第 1 秒中发出的调用未超过两次,所以五次调用的完整突发容量仍然可用。 |
|
3 |
5 |
5 |
由于在第 2 秒中发出的调用只有两次,所以五次调用的完整突发容量仍然可用。 |
|
4 |
2 |
2 |
因为在第 3 秒中使用了完整突发容量,所以只有每秒两次调用这一恒定速率可用。 |
|
5 |
3 |
2 |
由于没有剩余的突发容量,此时仅允许进行两次调用。这意味着剩余三次 API 调用的其中一次会受到限制。在短暂的延迟后,受到限制的调用将发出响应。 |
|
6 |
0 |
1 |
由于第 5 秒中的某次调用在第 6 秒中进行了重试,因此,根据每秒两次调用的恒定速率限制,第 6 秒中仅剩余一次额外调用的容量。 |
|
7 |
0 |
3 |
现在,队列中不再有任何受限制的 API 调用,速率限制继续增加,直至达到五次调用的突发速率限制。 |
|
8 |
0 |
5 |
由于在第 7 秒内没有发出调用,因此允许发送最大数量的请求。 |
|
9 |
0 |
5 |
即使在第 8 秒没有发出任何调用,速率限制也不会增加到五次以上。 |
当我让它在后台运行时,我的 WorkSpace 会一直断开连接
对于 Mac 用户,请查看 Power Nap 功能是否已开启。如果它处于开启状态,请将其关闭。要关闭 Power Nap,请打开终端并运行以下命令:
defaults write com.amazon.workspaces NSAppSleepDisabled -bool YES
SAML 2.0 联合身份验证不起作用。我的用户未获得流式传输其 WorkSpaces 桌面的授权。
出现此问题的原因可能是为 SAML 2.0 联合身份验证 IAM 角色嵌入的内联策略不包含从目录 Amazon 资源名称 (ARN) 进行流式传输的权限。IAM 角色由正访问 WorkSpaces 目录的联合用户代入。编辑角色权限以包含目录 ARN,并确保用户在目录中拥有 WorkSpace。有关更多信息,请参阅 SAML 2.0 身份验证和排查 AWS 中的 SAML 2.0 联合身份验证。
我的用户每隔 60 分钟就会与其 WorkSpaces 会话断开一次。
如果您已配置 SAML 2.0 身份验证来访问 WorkSpaces,根据身份提供者 (IdP),您可能需要配置 IdP 在身份验证响应中将其作为 SAML 属性传递到 AWS 的信息。这包括配置 Attribute (属性) 元素,并将 SessionDuration 属性设置为 https://aws.amazon.com/SAML/Attributes/SessionDuration。
SessionDuration 指定用户的联合流会话在需要重新进行身份验证之前可保持活动状态的最长时间。虽然 SessionDuration 是可选属性,但建议您将它包含在 SAML 身份验证响应中。如果您未指定此属性,则会话持续时间将默认为 60 分钟。
要解决此问题,请配置 IdP 以在 SAML 身份验证响应中包含 SessionDuration 值,并根据需要设置该值。有关更多信息,请参阅步骤 5:为 SAML 身份验证响应创建断言。
我的用户在使用 SAML 2.0 身份提供者 (IdP) 启动的流程进行联合身份验证时收到重定向 URI 错误,或者当我的用户在联合到 IdP 后每次尝试从客户端登录时,WorkSpaces 客户端应用程序的另一个实例都会启动。
出现此错误的原因是中继状态 URL 无效。确保您的 IdP 联合身份验证设置中的中继状态正确,并确保在 WorkSpaces 目录属性中为您的 IdP 联合身份验证正确配置了用户访问 URL 和中继状态参数名称。如果它们有效,但问题仍然存在,请联系 AWS Support。有关更多信息,请参阅设置 SAML。
我的用户在联合到 IdP 后尝试登录 WorkSpaces 客户端应用程序时,会收到消息“出现错误:启动 WorkSpace 时发生了错误”。
查看适用于联合身份验证的 SAML 2.0 断言。SAML 主题名称 ID 值必须与 WorkSpaces 用户名匹配,并且通常与 Active Directory 用户的 sAMAccountName 属性相同。此外,将 PrincipalTag:Email 属性设置为 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email 的属性元素必须与 WorkSpaces 目录中定义的 WorkSpaces 用户电子邮件地址相匹配。有关更多信息,请参阅设置 SAML。
我的用户在联合到 IdP 后尝试登录 WorkSpaces 客户端应用程序时会收到消息“无法验证标签”。
查看联合身份验证的 SAML 2.0 断言中的 PrincipalTag 属性值,例如 https://aws.amazon.com/SAML/Attributes/PrincipalTag:Email。标签值可能包括字符 _ . : / = + - @、字母、数字和空格的组合。有关更多信息,请参阅 IAM 和 AWS STS 中标记的规则。
我的用户会收到消息“客户端和服务器无法通信,因为它们没有共同的算法”。
如果您未启用 TLS 1.2,则可能会出现此问题。
我的麦克风或网络摄像头无法在 Windows WorkSpaces 上运行。
打开“开始”菜单,查看您的隐私设置
开始 > 设置 > 隐私 > 相机
开始 > 设置 > 隐私 > 麦克风
如果它们已关闭,请将其打开。
或者,WorkSpaces 管理员可以根据需要创建组策略对象 (GPO) 来启用麦克风和/或网络摄像头。
我的用户无法使用基于证书的身份验证登录,当他们连接到桌面会话时,系统会在 WorkSpaces 客户端或 Windows 登录屏幕上提示他们输入密码。
会话基于证书的身份验证失败。如果问题仍然存在,则基于证书的身份验证失败可能是由以下问题之一导致的:
-
不支持 WorkSpaces 或客户端。使用最新 WorkSpaces Windows 客户端应用程序的 DCV 捆绑包中的 Windows WorkSpaces 支持基于证书的身份验证。
-
在 WorkSpaces 目录上启用基于证书的身份验证后,需要重启 WorkSpaces。
-
WorkSpaces 无法与 AWS 私有 CA 通信或 AWS 私有 CA 未颁发证书。检查 AWS CloudTrail 以确定是否已颁发证书。有关更多信息,请参阅 管理基于证书的身份验证。
-
域控制器没有用于智能卡登录的域控制器证书,或者该证书已过期。有关更多信息,请参阅先决条件中的步骤 7,“使用域控制器证书配置域控制器以对智能卡用户进行身份验证”。
-
该证书不可信。有关更多信息,请参阅先决条件中的步骤 7,“将 CA 发布到 Active Directory”。在域控制器上运行
certutil –viewstore –enterprise NTAuth以确认 CA 已发布。 -
缓存中有一个证书,但是该用户的属性已更改,从而使该证书失效。在证书到期(24 小时)之前,请联系 支持 以清除缓存。有关更多信息,请参阅 支持 中心
。 -
UserPrincipalNameSAML 属性的 userPrincipalName 格式不正确或无法解析为用户的实际域。有关更多信息,请参阅先决条件中的步骤 1。 -
您的 SAML 断言中的(可选)
ObjectSid属性与 SAML_SubjectNameID中指定的用户的 Active Directory 安全标识符 (SID) 不匹配。确认您的 SAML 联合身份验证中的属性映射是正确的,并且您的 SAML 身份提供者正在同步 Active Directory 用户的 SID 属性。 -
有些组策略设置会修改智能卡登录的默认 Active Directory 设置,或者在从智能卡读卡器中移除智能卡时执行操作。除了上面列出的错误之外,这些设置还可能会导致其他意外行为。基于证书的身份验证向实例操作系统提供虚拟智能卡,并在登录完成后将其删除。检查智能卡的主组策略设置
以及其他智能卡组策略设置和注册表项 ,包括智能卡删除行为。 -
Private CA 的 CRL 分发点不在线,也无法从 WorkSpaces 或域控制器访问。有关更多信息,请参阅先决条件中的步骤 5。
-
要检查域或林中是否存在过时的 CA,请在 CA 上运行
PKIVIEW.msc以进行验证。如果存在过时的 CA,请使用PKIVIEW.mscmmc 手动将其删除。 -
要检查 Active Directory 复制是否正常以及域中是否存在过时的域控制器,请运行
repadmin /replsum。
其他故障排除步骤包括查看 WorkSpaces 实例 Windows 事件日志。要检查登录失败的常见事件是 Windows 安全日志中的事件 4625:登录账户失败
如果问题仍存在,请联系 支持。有关更多信息,请参阅 支持 中心
我正在尝试执行一些需要 Windows 安装介质但 WorkSpaces 不提供的操作。
如果您使用的是 AWS 提供的公共捆绑包,则您可以在需要时使用 Amazon EC2 提供的 Windows 服务器操作系统安装介质 EBS 快照。
根据这些快照创建 EBS 卷,将其附加到 Amazon EC2,然后根据需要将文件传输到存放文件的 WorkSpace。如果您在 BYOL on WorkSpaces 上使用 Windows 10 并且需要安装介质,则需要准备自己的安装介质。有关更多信息,请参阅使用安装介质添加 Windows 组件。由于您无法将 EBS 卷直接附加到 WorkSpace,因此,您需要将其附加到 Amazon EC2 实例并复制文件。
我想使用在不支持的 WorkSpaces 区域中创建的现有 AWS 托管目录启动 WorkSpaces。
要在 WorkSpaces 目前不支持的区域中使用目录启动 Amazon WorkSpaces,请按照以下步骤操作。
注意
如果您在运行 AWS Command Line Interface 命令时收到错误,请确保您使用的是最新版 AWS CLI。有关更多信息,请参阅确认您运行的是最新版 AWS CLI。
步骤 1:创建与您账户中另一个 VPC 的虚拟私有云 (VPC) 对等连接
创建与不同区域内的 VPC 之间的 VPC 对等连接。有关更多信息,请参阅在同一账户和不同区域中使用 VPC 创建。
接受 VPC 对等连接。有关更多信息,请参阅接受 VPC 对等连接。
激活 VPC 对等连接后,您可以使用 Amazon VPC 控制台、AWS CLI 或 API 查看 VPC 对等连接。
步骤 2:更新两个区域中 VPC 对等连接的路由表
更新您的路由表以开启通过 IPv4 或 IPv6 与对等 VPC 的通信。有关更多信息,请参阅为 VPC 对等连接更新路由表。
步骤 3:创建 AD Connector 并注册 Amazon WorkSpaces
要查看 AD Connector 先决条件,请参阅 AD Connector 先决条件。
通过 AD Connector 连接现有目录。有关更多信息,请参阅创建 AD Connector。
当 AD Connector 状态更改为活动时,打开 AWS Directory Service 控制台
,然后为您的目录 ID 选择超链接。 对于 AWS 应用程序和服务,选择 Amazon WorkSpaces,以开启对该目录中 WorkSpaces 的访问权限。
在 WorkSpaces 中注册该目录。有关更多信息,请参阅在 WorkSpaces 中注册目录。
我想在 Amazon Linux 2 上更新 Firefox。
步骤 1:检查自动更新是否已启用
要检查是否已启用自动更新,请在您的 WorkSpace 中运行命令 systemctl status
*os-update-mgmt.timer | grep enabled。在输出中,应该有两行显示有 enabled 字样。
步骤 2:启动更新
Firefox 通常会在维护时段内自动更新 Amazon Linux 2 WorkSpaces 以及系统中的所有其他软件包。但是,这取决于您使用的 WorkSpaces 类型。
对于 AlwaysOn WorkSpaces,每周维护时段为 WorkSpace 所在时区的星期日 00:00 到 04:00。
对于 AutoStop WorkSpaces,维护时段自当月第三个星期一开始,最长为两周,每天约 00:00 至 05:00,时区为该 WorkSpace 所在 AWS 区域的时区。
有关维护时段的更多信息,请参阅 WorkSpace 维护。
您也可以通过重启 WorkSpace 并在 15 分钟后重新连接来启动即时更新周期。您也可以通过输入 sudo yum update 来启动更新。要启动仅适用于 Firefox 的更新,请输入 sudo yum install firefox。
如果您无法配置对 Amazon Linux 2 存储库的访问权,并且更喜欢使用 Mozilla 构建的二进制文件安装 Firefox,请参阅 Mozilla 支持页面上的从 Mozilla 版本安装 Firefoxsudo yum remove firefox 将其卸载。
您也可以通过在另一台计算机上运行命令 yumdownloader firefox,从 Amazon Linux 2 存储库下载所需的 RPM 软件包。然后,将存储库侧加载到 WorkSpaces 上,在这里,您可以使用 sudo yum install
firefox-102.11.0-2.amzn2.0.1.x86_64.rpm 等标准 YUM 命令进行安装。
注意
确切的文件名将根据软件包版本而变化。
步骤 3:验证 Firefox 存储库是否已使用
Amazon Linux Extras 会自动为 Amazon Linux 2 WorkSpaces 提供 Firefox 更新。2023 年 7 月 31 日之后创建的 Amazon Linux 2 WorkSpaces 已经激活 Firefox Extra 存储库。要验证您的 WorkSpace 是否正在使用 Firefox Extra 存储库,请运行以下命令。
yum repolist | grep amzn2extra-firefox
如果使用了 Firefox Extra 存储库,则命令输出应类似于 amzn2extra-firefox/2/x86_64 Amazon Extras repo for firefox 10。如果未使用 Firefox Extra 存储库,则它将为空。如果未使用 Firefox Extra 存储库,您可以尝试使用以下命令手动启用它:
sudo amazon-linux-extras install firefox
如果 Firefox Extra 存储库激活仍然失败,请检查您的互联网访问并确保您的 VPC 端点未配置。要继续通过 YUM 存储库接收 Amazon Linux 2 WorkSpaces 的 Firefox 更新,请确保您的 WorkSpaces 能够访问 Amazon Linux 2 存储库。有关在不访问互联网的情况下访问 Amazon Linux 2 存储库的更多信息,请参阅这篇知识中心文章
我的用户可以使用 WorkSpaces 客户端重置密码,而忽略 AWS Managed Microsoft AD 上配置的精细密码策略(FFGP)设置。
如果您用户的 WorkSpaces 客户端与 AWS Managed Microsoft AD 关联,则他们必须使用默认的复杂度设置重置密码。
此默认复杂度密码区分大小写,且长度必须介于 8 到 64 个字符之间。该密码必须包含下列每种类别中的至少一个字符:
-
小写字符 (a-z)
-
大写字符 (A-Z)
-
数字 (0-9)
-
非字母数字字符 (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
确保该密码不包含不可打印的 unicode 字符,例如空格、回车符、换行符和空字符。
如果您的组织要求您对 WorkSpaces 强制执行 FFGP,请联系您的 Active Directory 管理员,让其直接从 Active Directory(而非 WorkSpaces 客户端)重置用户的密码。
我的用户在尝试使用 Web Access 访问 Windows/Linux WorkSpace 时收到错误消息“此操作系统/平台无权访问您的 WorkSpace”
您的用户尝试使用的操作系统版本与 WorkSpaces Web Access 不兼容。确保在 WorkSpace 目录的其他平台设置下启用 Web Access。有关启用 WorkSpace Web Access 的更多信息,请参阅为 WorkSpaces 个人版启用和配置 WorkSpaces Web Access。
我的用户连接到处于停止状态的 AutoStop Workspace 后,他们的 WorkSpace 显示为运行状况不佳
您的用户可能正在使用已知会在从休眠状态恢复时导致网络接口问题的软件。例如,如果 WorkSpace 安装了 NPCAP 1.1 应用程序,请更新到版本 1.2 或更高版本以解决此问题。
登录后,Gnome 在 WorkSpaces Ubuntu 捆绑包上崩溃了
若使用 ubuntu 用户名启动 WorkSpace,将与默认存在的 ubuntu 用户发生冲突。这将导致 Gnome 崩溃,并可能引发其他性能下降问题。为避免此问题,在预置 Ubuntu WorkSpaces 时不要指定 ubuntu 用户名。
