我尝试创建 Amazon WorkSpaces Personal WorkSpace,但是此过程失败了。
解决方法
IAM 策略不存在或无效
默认情况下,AWS Identity and Access Management(IAM)身份没有 WorkSpaces 资源和操作权限。要向 WorkSpaces 资源授予权限,请创建 IAM 策略,明确向某个用户或群组授予权限。然后,将该策略附加到需要这些权限的 IAM 用户或群组。
有关更多信息,请参阅 Identity and access management for WorkSpaces。
WorkSpaces 具有需要权限的加密卷
您可以使用 AWS Key Management Service(AWS KMS)密钥来加密 WorkSpace 的存储卷。如果 WorkSpace 创建失败,那么您可能没有所需的 AWS KMS 权限。
验证您的 IAM 角色是否拥有所需的 AWS KMS 权限,以及您是否符合使用 AWS KMS 密钥加密 WorkSpace 的先决条件。有关更多信息,请参阅 Encrypted WorkSpaces in WorkSpaces Personal。
达到了 WorkSpaces 配额
您可能在您的 AWS 账户上已经达到了在某个特定 AWS 区域创建 WorkSpaces 的 WorkSpaces 配额。
防病毒软件导致故障
如果您使用自定义映像创建 Workspace,则防病毒软件可能会导致故障。停用或卸载所有防病毒软件。然后,尝试创建一个新的个人 WorkSpace。
AD Connector 服务账户密码不正确
如果您为 AWS Directory Service 使用 AD Connector,则要重置 AD Connector 密码。在重置 AD Connector 密码后,在 Directory Service 中更新您的 AD Connector 服务账户凭证。然后,尝试创建一个新的个人 WorkSpace。
在 AD Connector 上设置的 DNS IP 地址不正确
如果您的 Active Directory DNS IP 地址发生变化,请为您的 AD Connector 更新 DNS 地址。在更新 DNS 地址后,尝试创建一个新的个人 WorkSpace。
AD Connector 安全组已被删除或更改
当您为 WorkSpaces 创建和注册目录时,会创建两个安全组。安全组名称为 directoryID_workspacesMembers 和 directoryID_controllers。“directoryID”代表您目录的 ID。
如果您更改任一安全组名称,那么当您创建新的 WorkSpace 时,WorkSpace 可能无法与该目录通信。此通信错误可能会导致诸如域加入失败之类的问题。
要解决此问题,请更新安全组以允许来自本地域控制器的入站流量通过所需端口。有关更多信息,请参阅微软网站上的 Active Directory and Active Directory domain services port requirements。
C:\ 盘中已经存在用户配置文件
当符合以下情况时,Workspace 创建会失败:
- C:\Users 目录中已经存在该用户的配置文件。
- 您启动与该用户的 WorkSpace 的远程桌面协议(RDP)会话,并从该 WorkSpace 创建自定义映像。
例如,您从 user1 启动了与 WorkSpace 的 RDP 会话。然后,使用此 WorkSpace 创建自定义映像,并将该映像命名为 Image_1。从 Image_1 创建 WorkSpace 失败,因为在您创建了 Image_1 的 Workspace C:\Users 目录中已经存在 user1 的用户配置文件。
要解决此问题,请完成以下步骤以删除 C:\Users 中的其他用户配置文件:
**注意:**请务必还要删除注册表中其他用户的安全标识符和键。
-
访问用于为自定义捆绑包创建映像的 WorkSpace。
**注意:**如果此 WorkSpace 已不存在,请访问从自定义捆绑包成功启动的 WorkSpace。
-
打开开始菜单,然后展开 Windows 系统。
-
打开这台电脑的上下文(右键单击)菜单,然后选择属性。
-
在导航窗格中,选择高级系统设置。
-
在高级选项卡中,对于用户配置文件,选择设置。
-
选择用户配置文件,然后选择删除。
**重要说明:**仅删除属于您的域(domain\UserName)的用户。
-
导航到 C:\Users 文件夹,确认已删除用户文件夹。保留“管理员”和“公用”文件夹。
**注意:**C:\ 盘默认情况下是隐藏的。打开文件资源管理器,然后在地址栏中输入 C:\ 以显示文件夹。
-
验证是否已从注册表中删除了该用户的安全标识符 (SID)。打开开始菜单,然后输入 cmd 打开命令提示符。
-
运行以下命令:
wmic useraccount get name,sid
-
记下已删除用户的 SID。
-
打开开始菜单,然后输入 regedit 打开注册表编辑器。
-
在以下注册表位置查找 SID: HKLM:\Software\Microsoft\Windows NT\CurrentVersion\ProfileList\。
如果您没有看到带有已删除用户 SID 的键,则无需采取进一步操作。如果找到带有 SID 的键,则继续执行下一步。
-
删除该键,然后在以下注册表位置查找 SID: HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileGuid\。
如果您没有看到带有已删除用户 SID 的键,则无需采取进一步操作。如果找到带有 SID 的键,请删除该键。
-
要确认所有用户配置文件均已删除,请运行映像检查程序。
现在,您可以为已成功为您删除的用户启动的自定义捆绑包创建 WorkSpace 的映像。
存在域加入错误
当创建目录或 AD Connector 时,可选择两个子网来提高可用性。由于 VPN 问题或防火墙封锁了所需端口,目录和 WorkSpaces 子网之间的通信可能会失败。要解决域加入错误,请参阅如何对无法加入域的工作区进行故障排除?
您选择了错误的捆绑包或目录
当您在 WorkSpaces Personal 中启动 Amazon WorkSpaces 自带许可证(BYOL)时,必须选择自定义捆绑包。您还必须为 WorkSpaces 注册一个专用的目录。
如果您已经注册了目录,则可以为 Microsoft Active Directory 或 AD Connector 目录设置新的 AWS Directory Service。您也可以注销目录并为专用的 WorkSpaces 重新注册。有关更多信息,请参阅Register an existing AWS Directory Service directory with WorkSpaces Personal。
相关信息
如何解决 WorkSpace 创建问题?