我为什么无法创建新工作区?

上次更新时间:2020 年 4 月 6 日

我想要使用 Amazon WorkSpaces 创建新工作区,但过程失败。为什么会出现这种情况,该怎样解决? 

解决方法

使用 Amazon 提供的映像或自定义映像创建工作区可能会由于各种原因失败。查看下面的常见原因和工作区创建失败排查步骤:

缺少 IAM 策略

默认情况下,AWS Identity and Access Management (IAM) 用户对 Amazon WorkSpaces 资源和操作没有权限。首先,您必须创建一个向用户明确授予权限的 IAM 策略。然后,将该策略附加到需要这些权限的 IAM 用户或组。

有关更多信息,请参阅 Amazon WorkSpaces 的 Identity and Access Management

创建带加密卷的 WorkSpaces

AWS Key Management Service (AWS KMS) 可使您使用客户主密钥加密工作区的存储卷。如果工作区创建失败,您可能不具有 AWS KMS 所需要的权限。

验证您的 IAM 角色具有必要的权限,且您满足使用 AWS KMS CMK 加密您的 WorkSpaces 的先决条件。有关更多信息,请参阅加密的 WorkSpaces

Amazon WorkSpaces 配额

您可能已达到在您的账户上的特定区域创建 WorkSpaces 的配额。有关配额的更多信息及如何请求提高配额,请参阅 Amazon WorkSpaces 配额

杀毒软件

杀毒软件可能会在从自定义映像创建工作区时导致失败。禁用或卸载任何杀毒软件。然后,重新尝试创建新工作区。

不正确的 AD Connector 服务账户密码

首先,重置 AD Connector 账户密码。然后,在 AWS Directory Service 中更新服务账户凭证。重新尝试创建新工作区。

AD Connector 安全组被删除或更改

为 Workspaces 创建并注册目录时,将创建两个安全组。安全组名称如下所示,您的目录 ID 将替代 directoryID

  • directoryID_workspacesMembers
  • directoryID_controllers

当您创建新工作区时,对任一安全组名称进行更改可能会防止工作区与目录通信。此通信错误可能会造成域加入失败之类的问题。

要修复此问题,请更新安全组以允许来自所需端口上的本地域控制器的入站流量。

用户配置文件已存在于 C:\

如果您从自定义映像中创建工作区,当新用户的用户配置文件已存在于 C:\ 时,创建失败。如果您从具有特定用户的工作区启动远程桌面协议 (RDP) 会话,然后再为该用户创建一个名为 Image_1 的自定义映像,则会发生此情况。

示例:您为 user1 创建了一个工作区。您从 user2 处在此工作区中启动 RDP 会话。然后,您从名为 Image_1 的此工作区中为 user2 创建自定义映像。工作区创建失败,因为 user2 的用户配置文件已存在于创建 Image_1 所在工作区的 C:\ 中。

要修复此问题,请从您用于创建映像的工作区的 C:\ 中删除任何其他用户配置文件。确保同时删除注册表中其他用户的任何剩余配置文件。然后执行以下步骤:

1.    访问用于为自定义服务包创建映像的工作区。

注意:如果此工作区不再存在,请访问从自定义服务包成功启动的工作区。

2.    打开开始菜单,然后展开 Windows 系统。打开此 PC 的上下文(右键单击)菜单,然后选择属性

3.    从导航窗格中选择高级系统设置

4.    从高级选项卡中,为用户配置文件选择设置

5.    重要提示:仅删除属于您的域的用户 (<domain>\UserName)。

选择用户配置文件,然后选择删除

6.    导航到 C:\Users 文件夹,以确认用户文件夹已删除。管理员和公有文件夹应保留。

注意:C:\ 盘默认情况下是隐藏的。打开 File Explorer,然后在地址栏中输入 C:\ 以显示文件夹。

7.    验证已删除用户的安全标识符 (SID) 已从注册表中删除。打开“开始”菜单,然后输入 cmd 以打开命令提示符。运行以下命令:

wmic useraccount get name,sid

8.    请注意已删除用户的 SID

9.    打开“开始”菜单,然后输入 regedit 以打开注册表编辑器。导航至以下位置:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList

如果您没有看到带有第 8 步中的 SID 的密钥,则不需要进一步操作。如果您发现了带有 SID 的密钥,则继续下一步。

10.    删除密钥,然后在以下注册表位置查找 SID:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileGuid

如果您没有看到带有第 8 步中的 SID 的密钥,则不需要进一步操作。如果您发现了带 SID 的密钥,则删除该密钥。

您现在可以为您的自定义服务包创建此工作区的映像,此映像将为在此过程中删除的用户成功启动。

域加入错误

当创建目录或 AD Connector 时,将选择两个子网以获得高可用性。目录与工作区子网之间的通信可能会因为 VPN 问题或阻止所需端口的防火墙而发生故障。要排查域加入错误,请参阅为什么我在创建工作区时遇到域加入错误?


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?