为什么我无法创建新的 WorkSpace？

解决方法

使用 Amazon 提供的镜像或自定义镜像创建 WorkSpace 可能由于多种原因而失败。请查看 WorkSpace 创建失败的以下常见原因和故障排除步骤：

缺少 IAM 策略

默认情况下，AWS Identity and Access Management (IAM) 用户无权访问 Amazon WorkSpaces 资源和操作。因此，您必须首先创建一个 IAM 策略来明确向用户授予权限。然后，将该策略附加到需要这些权限的 IAM 用户或组。

有关详细信息，请参阅 WorkSpace 的身份和访问管理。

使用加密卷创建 WorkSpace

AWS Key Management Service (AWS KMS) 允许您使用 AWS KMS 密钥（KMS 密钥）加密 WorkSpace 的存储卷。如果 WorkSpace 创建失败，则您可能不具有 AWS KMS 所需的权限。

验证您的 IAM 角色是否具有所需的权限，以及您是否符合使用 AWS KMS 密钥加密 WorkSpace 的先决条件。有关详细信息，请参阅加密的 WorkSpace。

WorkSpace 配额

您可能已达到在账户的特定 AWS 区域创建 WorkSpace 的配额。有关配额以及如何申请增加配额的详细信息，请参阅 Amazon WorkSpaces 配额。

防病毒软件

从自定义镜像创建 WorkSpace 时，防病毒软件可能会引起故障。停用或卸载任何防病毒软件。然后，再次尝试创建新的 WorkSpace。

AD Connector 服务账户密码不正确

首先，重置 AD Connector 账户密码。然后，更新 AWS Directory Service 中的服务账户凭证。再次尝试创建新的 WorkSpace。

AD Connector 安全组已删除或更改

为 WorkSpaces 创建和注册目录时，将创建两个安全组。安全组名称如下所示，您的目录的 ID 将替代 directoryID：

• directoryID_workspacesMembers
• directoryID_controllers

在创建新的 WorkSpace 时，更改任一安全组名称都可能导致 WorkSpace 无法与目录通信。此通信错误可能导致诸如域加入失败之类的问题。

要解决此问题，请更新安全组以允许来自本地域控制器的入站流量通过所需端口（在 Microsoft 网站上）。

C:\ 中已存在用户配置文件

如果从自定义镜像创建 WorkSpace，而新用户的配置文件已存在于该镜像的 C:\ 中，则创建将失败。如果启动与用户的 WorkSpace 的远程桌面协议 (RDP) 会话，并从该 WorkSpace 创建自定义镜像，就会发生这种情况。然后，为该用户部署自定义镜像。

例如，假设您从 user1 启动了与 WorkSpace 的 RDP 会话。然后，使用此 WorkSpace 创建自定义镜像，并将该镜像命名为 Image_1。从 Image_1 创建 WorkSpace 失败，因为从中创建 Image_1 的 WorkSpace 的 C:\ 中已经存在 user1 的用户配置文件。

要解决此问题，请从用于创建镜像的 WorkSpace 的 C:\ 中删除任何其他用户配置文件。确保同时删除注册表中其他用户的任何剩余配置文件。请按照以下步骤操作：

1.    访问用于为自定义包创建镜像的 WorkSpace。

注意： 如果此 WorkSpace 已不存在，请访问从自定义包成功启动的 WorkSpace。

2.    打开开始菜单，然后展开 Windows 系统。打开这台电脑的上下文（右键单击）菜单，然后选择属性

3.    从导航窗格中选择高级系统设置。

4.    在高级选项卡中，对于用户配置文件，选择设置。

5.    重要事项： 仅移除那些属于您的域的用户 (<domain>\UserName)。

选择用户配置文件，然后选择删除。

6.    导航到 C:\Users 文件夹，确认用户文件夹已删除。应保留 Administrator 和 Public 文件夹。

注意： C:\ 盘默认情况下是隐藏的。打开文件资源管理器，然后在地址栏中输入 C:\ 以显示文件夹。

7.    验证已删除的用户的安全标识符 (SID) 是否已从注册表中移除。打开“开始”菜单，然后输入 cmd 打开命令提示符。运行以下命令：

wmic useraccount get name,sid

8.    记下已删除用户的 SID。

9.    打开“开始”菜单，然后输入 regedit 打开注册表编辑器。导航到以下位置： HKLM:\Software\Microsoft\Windows NT\CurrentVersion\ProfileList

如果在步骤 8 中看不到带有 SID 的注册表项，则无需采取进一步操作。如果找到带有 SID 的注册表项，则继续执行下一步。

10.    删除注册表项，然后在以下注册表位置查找 SID： HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileGuid\

如果在步骤 8 中看不到带有 SID 的注册表项，则无需采取进一步操作。如果找到带有 SID 的注册表项，请删除该项。

您现在可以为您的自定义包创建此 WorkSpace 的镜像，该镜像将为在此过程中删除的用户成功启动。

域加入错误

当创建目录或 AD Connector 时，可选择两个子网来实现高可用性。目录与 WorkSpace 子网之间的通信可能由于 VPN 问题或防火墙阻塞必要端口而失败。要解决域加入错误，请参阅如何解决无法加入域的 WorkSpace 问题？

相关信息

如何解决 WorkSpace 镜像创建问题？