為什麼我無法建立新的 WorkSpace？

2 分的閱讀內容

我想使用 Amazon WorkSpaces 建立一個新的工作區，但該過程失敗了。

解決方法

由於多種原因，使用 Amazon 提供的映像或自訂映像建立 WorkSpace 可能會失敗。檢閱 WorkSpace 建立失敗的下列常見原因和疑難排解步驟：

缺少 IAM 政策

根據預設，AWS 身分識別與存取管理 (IAM) 使用者沒有 Amazon WorkSpaces 資源和操作的許可。因此，您必須先建立明確授予使用者許可的 IAM 政策。然後，將政策附加到需要這些許可的 IAM 使用者或群組。

如需詳細資訊，請參閱 WorkSpaces 的身分識別與存取管理。

使用加密磁碟區建立 WorkSpaces

AWS 金鑰管理服務 (AWS KMS) 可讓您使用 AWS KMS 金鑰 (KMS 金鑰) 加密 WorkSpaces 的儲存磁碟區。如果 WorkSpace 建立失敗，則您可能沒有 AWS KMS 所需的許可。

確認您的 IAM 角色具有所需的許可，並且符合使用 AWS KMS 金鑰加密 WorkSpaces 的先決條件。如需詳細資訊，請參閱加密的 WorkSpaces。

WorkSpaces 配額

您可能已達到在帳戶上特定 AWS 區域中建立 WorkSpaces 的配額。如需有關配額以及如何申請增加配額的詳細資訊，請參閱 Amazon WorkSpaces 配額。

防毒軟體

從自訂映像檔建立 WorkSpace 時，防毒軟體可能會導致失敗。停用或解除安裝任何防毒軟體。然後，再次嘗試建立新的 WorkSpace。

AD 連接器服務帳戶密碼不正確

首先，重設 AD 連接器帳戶密碼。然後，更新 AWS 目錄服務中的服務帳戶登入資料。再次嘗試建立新的 WorkSpaces 。

AD 連接器安全群組已刪除或變更

為 WorkSpaces 建立並註冊目錄時，會建立兩個安全群組。安全群組名稱如下所示，而您的目錄識別碼取代 directoryID：

directoryID_workspacesMembers
directoryID_controllers

對任一安全群組名稱的變更可能會導致 WorkSpace 在您建立新 WorkSpace 時無法與目錄通訊。此通訊錯誤可能會導致網域加入失敗等問題。

若要修正這個問題，請更新安全群組，以允許所需連接埠 (在 Microsoft 網站上) 上從內部部署網域控制站輸入流量。

使用者設定檔已存在於 C:\

如果您從自訂映像檔建立 WorkSpace，則如果新使用者的設定檔已存在於該映像檔的 C:\ 中，則建立會失敗。如果您對使用者的 WorkSpace 啟動遠端桌面通訊協定 (RDP) 工作階段，並從該 WorkSpace 建立自訂映像，就會發生這種情況。然後，您可以為該使用者部署自訂映像檔。

例如，假設您從 user1 啟動 RDP 工作階段至 WorkSpace。然後，您可以使用此 WorkSpace 建立自訂映像檔，並將該影像命名為 Image_1。從 Image_1 建立 WorkSpace 失敗，因為 user1 的使用者設定檔已經存在於工作區的 C:\ 中，Image_1 則從中建立。

若要修正此問題，請從您用來建立映像檔的 WorkSpace 刪除 C:\ 中的任何其他使用者設定檔。請務必同時移除登錄檔中其他使用者的任何殘留項目。請遵循下列步驟：

1. 存取用於為自訂服務包建立映像的 WorkSpace。

注意：如果此 WorkSpace 不再存在，則存取從自訂服務包成功啟動的 WorkSpace。

2. 開啟「開始」功能表，然後展開「Windows 系統」。打開「本機」的上下文（右鍵單擊）功能表，然後選擇「屬性」

3. 從導航窗格中選擇「高級系統設置」。

4. 從「進階」標籤中，針對「使用者設定檔」選擇「設定」。

5. 重要事項：只移除屬於您網域的使用者 (<domain>\ 使用者名稱)。

選取使用者設定檔，然後選擇「刪除」。

6. 瀏覽至 C:\Users 資料夾，以確認已移除使用者資料夾。系統管理員和公用資料夾應該會保留。

注意： C:\ drive 預設為隱藏狀態。開啟「檔案總管」，然後在網址列中輸入 C:\ 以顯示資料夾。

7. 確認已從登錄中移除已移除使用者的安全性識別碼 (SID)。開啟「開始」功能表，然後輸入** cmd** 以開啟命令提示字元。執行下列命令：

wmic useraccount get name,sid

8. 請注意已移除使用者的** SID**。

9. 開啟「開始」功能表，然後輸入** regedit** 以開啟「登錄編輯程式」。導覽至下列位置： HKLM:\Software\Microsoft\Windows NT\CurrentVersion\ProfileList

如果您在步驟 8 中看不到含 SID 的金鑰，則不需要進一步的動作。如果您找到具有 SID 的金鑰，請繼續執行下一個步驟。

10. 移除金鑰，然後在下列登錄位置中尋找 SID： HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileGuid\

如果您在步驟 8 中看不到含 SID 的金鑰，則不需要進一步的動作。如果您找到一個帶有 SID 的金鑰，然後刪除金鑰。

您現在可以為自訂服務包建立此 WorkSpace 的映像，以便為在此程序中移除的使用者成功啟動。

網域加入錯誤

建立目錄或 AD 連接器時，會選擇兩個子網路以達到高可用性。目錄與 WorkSpace 子網路之間的通訊可能會因為 VPN 問題或防火牆封鎖必要的連接埠而失敗。若要疑難排解網域加入錯誤，請參閱如何疑難排解無法加入網域的 WorkSpace？