***
生成会话脚本日志的事件。事件值为:`SessionStart` 和 `SessionTermination`。
以下示例文件夹结构适用于从 test-stack 和 test-fleet 启动的流式传输会话。该会话使用来自美国西部(俄勒冈)地区的用户 AWS 账户 ID `testuser@mydomain.com` 和 ID 的设置组`test-stack`的 API (`us-west-2`):`123456789012`
```
wspool-logs-us-west-2-1234567890123-abcdefg/test-stack/test-fleet/custom/a0bcb1da11f480d9b5b3e90f91243143eac04cfccfbdc777e740fab628a1cd13/05yd1391-4805-3da6-f498-76f5x6746016/SessionScriptsLogs/SessionStart/
```
此示例文件夹结构包含一个用于用户上下文会话启动脚本的日志文件,以及一个用于系统上下文会话启动脚本的日志文件(如果适用)。
# 监控 WorkSpaces Pools
监控是维护 WorkSpaces Pools 的可靠性、可用性和性能的重要环节。
**Topics**
+ [WorkSpaces 池指标和维度](monitoring-with-cloudwatch.md)
# WorkSpaces 池指标和维度
亚马逊 WorkSpaces 向亚马逊发送以下 WorkSpaces 池指标和维度信息 CloudWatch。
WorkSpaces 池每分钟发送 CloudWatch 一次指标。`AWS/Workspaces` 命名空间包括以下指标。
## 池使用情况指标
| 指标 | 说明 |
| --- | --- |
| ActiveUserSessionCapacity | 当前用于流式传输会话的用户会话数。 单位:计数 有效统计数据:Average、Minimum、Maximum |
| ActualUserSessionCapacity | 可用于流式传输或当前正在流式传输的池会话总数。 ActualUserSessionCapacity = AvailableUserSessionCapacity + ActiveUserSessionCapacity
单位:计数 有效统计数据:Average、Minimum、Maximum |
| AvailableUserSessionCapacity | 当前可供用户流式传输的空闲池会话数量。 AvailableUserSessionCapacity = ActualUserSessionCapacity - ActiveUserSessionCapacity
单位:计数 有效统计数据:Average、Minimum、Maximum |
| PendingUserSessionCapacity | 正在为您的池预置的会话数量。表示预置完成后池可以支持的额外流式传输会话数。 单位:计数 有效统计数据:Average、Minimum、Maximum |
| UserSessionsCapacityUtilization | 使用以下公式计算池中正在使用的会话百分比。 UserSessionCapacityUtilization = (ActiveUserSessionCapacity / ActualUserSessionCapacity) * 100
监控此指标有助于做出关于增加或减少池所需容量值的决定。 单位:百分比 有效统计数据:Average、Minimum、Maximum |
| DesiredUserSessionCapacity | 正在运行或待处理的总会话数。该值表示池可以在稳定状态下支持的总并发流式传输会话数。 DesiredUserSessionCapacity = ActualUserSessionCapacity + PendingUserSessionCapacity
单位:计数 有效统计数据:Average、Minimum、Maximum |
| InsufficientCapacityError | 因缺少容量而被拒绝的会话请求的数量。 您可以设置告警,使用此指标来通知等待流式传输会话的用户。 单位:计数 有效统计数据:Average、Minimum、Maximum、Sum |
# 为 WorkSpaces 池启用和管理永久存储
WorkSpaces Pools 支持用于永久存储的主文件夹。作为 WorkSpaces 池管理员,您必须了解如何执行以下任务才能为用户启用和管理永久存储。
**Topics**
+ [为 P WorkSpaces ools 用户启用和管理主文件夹](#home-folders)
## 为 P WorkSpaces ools 用户启用和管理主文件夹
为 WorkSpaces 池启用主文件夹后,用户可以在直播会话期间访问永久存储文件夹。您的用户不必进行任何额外配置即可访问其主文件夹。用户存储在其主文件夹中的数据会自动备份到您的 Amazon Web Services 账户的 Amazon Simple Storage Service(Amazon S3)存储桶中,并且可以在后续会话中供这些用户使用。
使用 Amazon S3 的 SSL 端点对文件和文件夹进行传输中加密。使用 Amazon S3 托管的加密密钥对文件和文件夹进行静态加密。
主文件夹存储 WorkSpaces 在以下默认位置的 WorkSpaces 池中:
+ 对于单会话, non-domain-joinedWindows WorkSpaces:`C:\Users\PhotonUser\My Files\Home Folder`
+ 已加入域名的 Windows: WorkSpaces`C:\Users\%username%\My Files\Home Folder`
作为管理员,如果您要将应用程序配置为保存到此主文件夹,请使用适用的路径。在某些情况下,您的用户可能无法找到其主文件夹,因为有些应用程序无法识别将主文件夹显示为文件浏览器中的顶级文件夹的重定向。如果是这种情况,您的用户可以通过浏览到文件浏览器中的相同目录来访问其主文件夹。
**Topics**
+ [与计算密集型应用程序关联的文件和目录](#storage-solutions-files-directories-associated-with-compute-intensive-applications)
+ [为 P WorkSpaces ools 用户启用主文件夹](#enable-home-folders)
+ [管理您的主文件夹](#home-folders-admin)
### 与计算密集型应用程序关联的文件和目录
在 P WorkSpaces ools 流式传输会话期间,将与计算密集型应用程序关联的大型文件和目录保存到永久存储所需的时间可能比保存基本生产应用程序所需的文件和目录更长。例如,与保存执行单次写入操作的应用程序创建的文件相比,应用程序保存大量数据或频繁修改相同文件所需的时间可能更长。保存许多小文件也可能需要更长时间。
如果您的用户保存与计算密集型应用程序相关的文件和目录,并且 WorkSpaces 池永久存储选项的性能不如预期,我们建议您使用服务器消息块 (SMB) 解决方案,例如 FSx 适用于 Windows 的 Amazon 文件服务器或文件网关。 AWS Storage Gateway 以下是与更适合与这些 SMB 解决方案一起使用的计算密集型应用程序关联的文件和目录示例:
+ 集成开发环境的工作区文件夹 (IDEs)
+ 本地数据库文件
+ 图形仿真应用程序创建的暂存空间文件夹
有关更多信息,请参阅《AWS Storage Gateway 用户指南》**中的[文件网关](https://docs.aws.amazon.com/storagegateway/latest/userguide/StorageGatewayConcepts.html#file-gateway-concepts)。
### 为 P WorkSpaces ools 用户启用主文件夹
在启用主文件夹之前,您必须执行以下操作:
+ 检查您是否拥有执行亚马逊 S3 操作的正确 AWS Identity and Access Management (IAM) 权限。
+ 使用根据 2017 年 5 月 18 日当天或之后发布 AWS 的基本图像创建的图像。
+ 通过配置 Internet 访问或 Amazon S3 的 VPC 端点,启用从您的虚拟私有云(VPC)到 Amazon S3 的网络连接。有关更多信息,请参阅[WorkSpaces Pools 的网络和访问权限](managing-network.md)和[将 Amazon S3 VPC 终端节点用于 WorkSpaces 池功能](managing-network-vpce-iam-policy.md)。
可以在创建目录时启用或禁用主文件夹(参见[配置 SAML 2.0 并创建 WorkSpaces 池目录](create-directory-pools.md)),也可以在创建目录之后使用 for P WorkSpaces ools 启用或禁 AWS 管理控制台 用主文件夹。对于每个 AWS 区域,主文件夹由 Amazon S3 存储桶提供支持。
首次为某个区域的 WorkSpaces 池目录启用主文件夹时, AWS 该服务会在同一区域的账户中创建一个 Amazon S3 存储桶。这个存储桶用于存储该区域中所有用户和所有目录的主文件夹的内容。有关更多信息,请参阅 [Amazon S3 存储桶存储](#home-folders-s3)。
**在创建目录时启用主文件夹**
+ 按照[配置 SAML 2.0 并创建 WorkSpaces 池目录](create-directory-pools.md)中的步骤操作,并确保选中了 **Enable Home Folders (启用主文件夹)**。
**为现有目录启用主文件夹**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在左侧导航窗格中,选择**目录**,然后选择要为其启用主文件夹的目录。
1. 在目录列表下方,选择**存储**并选择**启用主文件夹**。
1. 在 **Enable Home Folders (启用主文件夹)** 对话框中,选择 **Enable (启用)**。
### 管理您的主文件夹
**Topics**
+ [禁用主文件夹](#home-folders-admin-disabling)
+ [Amazon S3 存储桶存储](#home-folders-s3)
+ [主文件夹内容同步](#home-folders-content-synchronization)
+ [主文件夹格式](#home-folders-admin-folders)
+ [其他资源](#home-folders-admin-additional)
#### 禁用主文件夹
您可以禁用目录的主文件夹(已存储在主文件夹中的用户内容不会丢失)。禁用目录的主文件夹会产生以下影响:
+ 连接到目录的活动流式传输会话的用户将收到一条错误消息,告知他们无法再将内容存储在其主文件夹中。
+ 使用已禁用主文件夹的目录的任何新会话都不会显示主文件夹。
+ 为一个目录禁用主文件夹不会为其他目录禁用主文件夹。
+ 即使禁用了所有目录的主文件夹,P WorkSpaces ools 也不会删除用户内容。
要还原对目录主文件夹的访问,请按照此主题中前述的步骤重新启用主文件夹。
**在创建目录时禁用主文件夹**
+ 按照[配置 SAML 2.0 并创建 WorkSpaces 池目录](create-directory-pools.md)中的步骤操作,并确保清除了 **Enable Home Folders (启用主文件夹)** 选项。
**为现有目录禁用主文件夹**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在左侧导航窗格中,选择**目录**,然后选择要为其启用主文件夹的目录。
1. 在目录列表下方,选择**存储**并清除**启用主文件夹**。
1. 在 **Disable Home Folders (禁用主文件夹)** 对话框中,键入 `CONFIRM`(区分大小写)来确认您的选择,然后选择 **Disable (禁用)**。
#### Amazon S3 存储桶存储
WorkSpaces 池使用在您的账户中创建的 Amazon S3 存储桶管理存储在主文件夹中的用户内容。对于每个 AWS 区域,P WorkSpaces ools 都会在您的账户中创建一个存储桶。从该区域中目录的流式传输会话生成的所有用户内容都存储在该存储桶中。存储桶完全由服务托管,管理员不必输入任何内容或进行任何配置。存储桶以特定格式命名,如下所述:
```
wspool-home-folder---
```
哪里``是创建目录的 AWS 区域代码,``是您的 Amazon Web Services 账户 ID,*>random-identifier<*也是该 WorkSpaces 服务生成的随机标识号。存储桶名称的第一部分 `wspool-home-folder-` 不随账户或区域而改变。
例如,如果您为账号 123456789012 在美国西部(俄勒冈州)(us-west-2)区域中的目录启用主文件夹,则此服务会在该区域中创建一个具有所示名称的 Amazon S3 存储桶。只有具有足够权限的管理员才能删除此存储桶。
```
wspool-home-folder-us-west-2-123456789012
```
如上文所述,对目录禁用主文件夹不会删除存储在 Amazon S3 存储桶中的任何用户内容。要永久删除用户内容,必须由具备足够访问权限的管理员在 Amazon S3 控制台中进行。 WorkSpaces Pools 添加了防止意外删除存储桶的存储桶策略。
#### 主文件夹内容同步
启用主文件夹后,P WorkSpaces ools 会为每个用户创建一个用于存储其内容的唯一文件夹。创建该文件夹作为唯一的 Amazon S3 前缀,该前缀使用 Amazon Web Services 账户和区域的 S3 存储桶中的用户名哈希。P WorkSpaces ools 在 Amazon S3 中创建主文件夹后,它会将该文件夹中访问的内容从 S3 存储桶复制到 WorkSpace。这使用户能够在直播会话期间从 WorkSpace 池 WorkSpace中快速访问其主文件夹内容。您对用户在 S3 存储桶中的主文件夹内容所做的更改以及用户对 WorkSpace 池中的主文件夹内容所做的更改将 WorkSpace 在 Amazon S3 和 WorkSpaces 池之间同步,如下所示。
1. 在用户的 P WorkSpaces ools 直播会话开始时,P WorkSpaces ools 会对存储在您的 Amazon Web Services 账户和区域的 Amazon S3 存储桶中的该用户的主文件夹文件进行分类。
1. 用户的主文件夹内容也存储在他们从 WorkSpace 中进行流式传输的 “资源 WorkSpaces 池” 中。当用户访问其在上的主文件夹时 WorkSpace,将显示已编目文件的列表。
1. WorkSpaces WorkSpace 只有当用户在流式传输会话期间使用流媒体应用程序打开文件后,池才会将文件从 S3 存储桶下载到。
1. P WorkSpaces ools 将文件下载到之后 WorkSpace,将在访问文件后进行同步
1. 如果用户在流式传输会话期间更改了文件,P WorkSpaces ools 会定期或在流式传输会话结束时 WorkSpace 将文件的新版本从上传到 S3 存储桶。但是,在流式传输会话期间,不会再次从 S3 存储桶下载该文件。
以下各部分介绍了在 Amazon S3 中添加、替换或删除用户的主文件夹文件时的同步行为。
**Topics**
+ [同步您添加到 Amazon S3 中用户主文件夹中的文件](#home-folders-content-synchronization-content-added-to-user-home-folder-in-S3)
+ [同步您替换的 Amazon S3 中用户主文件夹中的文件](#home-folders-content-synchronization-content-replaced-in-user-home-folder-S3)
+ [同步您从 Amazon S3 中的用户主文件夹中删除的文件](#home-folders-content-synchronization-content-removed-from-user-home-folder-S3)
##### 同步您添加到 Amazon S3 中用户主文件夹中的文件
如果您将新文件添加到 S3 存储桶中用户的主文件夹,P WorkSpaces ools 会在几分钟内对该文件进行编目并将其显示在用户主文件夹中的文件列表中。但是, WorkSpace 直到用户在流式传输会话期间使用应用程序打开文件后,才会将文件从 S3 存储桶下载到。
##### 同步您替换的 Amazon S3 中用户主文件夹中的文件
如果用户在直播会话期间打开 WorkSpace 池中其主文件夹 WorkSpace 中的文件,并且在该用户处于活动状态的流式传输会话期间,您将 S3 存储桶中其主文件夹中的相同文件替换为新版本,则该文件的新版本不会立即下载到 WorkSpace。只有在用户启动新的流式传输会话并再次打开文件后, WorkSpace 才会从 S3 存储桶下载到新版本。
##### 同步您从 Amazon S3 中的用户主文件夹中删除的文件
如果用户在直播会话期间打开 WorkSpace 池中其主文件夹 WorkSpace 中的文件,并且在该用户处于活动状态的流式传输会话期间将该文件从 S3 存储桶中的主文件夹中移除,则在用户执行以下任一操作 WorkSpace 后,该文件将从中删除:
+ 再次打开主文件夹
+ 刷新主文件夹
#### 主文件夹格式
用户文件夹的层次结构视用户启动流式传输会话的方式而定,如以下章节所述。
##### SAML 2.0
对于使用 SAML 联合创建的会话,用户文件夹的结构如下:
```
bucket-name/user/federated/user-id-SHA-256-hash/
```
在本例中,`user-id-SHA-256-hash` 是文件夹名称 (使用在 SAML 联合请求中传递的 `NameID` SAML 属性值生成的小写 SHA-256 哈希十六进制字符串创建)。要区分隶属两个不同的域的同名用户,请在发送 SAML 请求时使用 `domainname\username` 格式的 `NameID`。有关更多信息,请参阅 [配置 SAML 2.0 并创建 WorkSpaces 池目录](create-directory-pools.md)。
下面的示例文件夹结构适用于使用 SAML 联合且 `NameID` 为 SAMPLEDOMAIN\$1testuser、账户 ID 为 123456789012、区域为美国西部(俄勒冈)的会话访问:
```
wspool-home-folder-us-west-2-123456789012/user/federated/8dd9a642f511609454d344d53cb861a71190e44fed2B8aF9fde0C507012a9901
```
当 NameID 字符串的部分或全部大写时(如示例中的域名所示),P WorkSpaces oo *SAMPLEDOMAIN* ls 会根据字符串中使用的大小写生成哈希值。使用此示例,SAMPLEDOMAIN\$1 testuser 的哈希值为 8 DD9 A642F511609454D344D53 CB861 A71190E44 FED2 B8 C507012A9901。AF9 FDE0在该用户的文件夹中,此值显示为小写,如下所示:8dd9a642f511609454d344d53cb861a71190e44fed2B8aF9fde0C507012a9901。
您可以通过网站或网上提供的开源编码库生成 `NameID` 的 SHA-256 哈希值,并据此确定特定用户的文件夹。
#### 其他资源
有关管理 Amazon S3 存储桶和最佳实践的更多信息,请参阅《Amazon Simple Storage Service 用户指南》**中的以下主题:
+ 您可以使用 Amazon S3 策略为用户提供对用户数据的离线访问。有关更多信息,请参阅《IAM 用户指南》**中的 [Amazon S3:允许 IAM 用户以编程方式和在控制台中访问其 S3 主目录](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_s3_home-directory-console.html)。
+ 您可以为存储在池使用的 Amazon S3 存储桶中的内容启用文件版本控制。 WorkSpaces 有关详细信息,请参阅[使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)。
# 为您的 P WorkSpaces ools 用户启用应用程序设置持久性
WorkSpaces 池支持基于 Windows 的目录的永久应用程序设置。这意味着,用户的应用程序自定义项和 Windows 设置将在每个流式传输会话之后自动保存,并在下一个会话期间应用。用户可配置的持久性应用程序设置的示例包括但不限于:浏览器收藏夹、设置、网页会话、应用程序连接配置文件、插件和 UI 自定义项。这些设置将保存到您账户中的亚马逊简单存储服务 (Amazon S3) 存储桶中,该存储段位于 AWS 启用了应用程序设置持久性的区域内。它们可在每个 P WorkSpaces ools 直播会话中使用。
**注意**
可能会对存储在 S3 存储桶中的数据收取标准 Amazon S3 费用。有关更多信息,请参阅 [Amazon S3 定价](https://aws.amazon.com/s3/pricing/)。
**Topics**
+ [应用程序设置持久性如何工作](how-it-works-app-settings-persistence.md)
+ [启用应用程序设置持久性](enabling-app-settings-persistence.md)
+ [管理 VHDs 用户的应用程序设置](administer-app-settings-vhds.md)
# 应用程序设置持久性如何工作
持久性应用程序设置将保存到一个虚拟硬盘 (VHD) 文件中。当用户首次从启用了应用程序设置持久性的目录流式传输应用程序时,将创建此文件。如果与目录关联的 WorkSpace 池基于包含默认应用程序和 Windows 设置的映像,则默认设置将用于用户的第一个流式传输会话。
当流式传输会话结束时,VHD 将卸载并上传到您账户的 Amazon S3 存储桶中。存储桶是在您首次为某个 AWS 区域中的目录启用永久性应用程序设置时创建的。存储桶是您的 AWS 账户和地区所独有的。VHD 在传输过程中使用 Amazon S3 SSL 终端节点进行加密,静态使用[AWS 托管 CMKs](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)进行加密。
VHD 安装 WorkSpace 在两者兼`C:\Users\%username%`而`D:\%username%`有之。如果您未加入 WorkSpace Active Directory 域,则 Windows 用户名为 PhotonUser。如果您 WorkSpace 已加入 Active Directory 域,则 Windows 用户名就是登录用户的用户名。
应用程序设置持久性无法跨不同的操作系统版本工作。例如,如果您为使用 Windows Server 2019 映像的 WorkSpace 池启用应用程序设置持久性,如果您更新 WorkSpace 池以使用运行其他操作系统的映像(例如 Windows Server 2022),则不会为该目录的用户保存先前流式传输会话的设置。相反,在更新 WorkSpace 池以使用新映像后,当用户从启动流式传输会话时 WorkSpace,会创建一个新的 Windows 用户配置文件。但是,如果对映像上的同一操作系统应用更新,则会保存之前的流式传输会话中的用户自定义项和设置。将同一操作系统的更新应用于映像时,当用户从启动流式传输会话时,将使用相同的 Windows 用户配置文件 WorkSpace。
**重要**
WorkSpaces 只有在加入[微软 Active Directory 域时,Poo WorkSpace ls 才支持依赖微软数据保护 API](https://docs.microsoft.com/en-us/windows/desktop/seccng/cng-dpapi) 的应用程序。如果未加入 A WorkSpace ctive Directory 域 PhotonUser,则每个域的 Windows 用户不同 WorkSpace。由于 DPAPI 安全模型的运行方式,用户的密码不会为在此情况下使用 DPAPI 的应用程序保留。如果 WorkSpaces已加入 Active Directory 域并且用户是域用户,则 Windows 用户名就是登录用户的用户名,使用 DPAPI 的应用程序的用户密码将保留。
WorkSpaces Pools 会自动保存此路径中的所有文件和文件夹,但以下文件夹除外:
+ 联系人
+ 桌面
+ Documents
+ Downloads
+ 链接
+ 图片
+ Saved Games
+ Searches
+ 视频
在这些文件夹之外创建的文件和文件夹将保存在 VHD 中并同步到 Amazon S3。对于池,默认 VHD 最大大小为 5 GB。保存的 VHD 的大小是它所包含的文件和文件夹的总大小。 WorkSpaces 池会自动为用户保存`HKEY_CURRENT_USER`注册表配置单元。对于新用户(Amazon S3 中不存在个人资料的用户),P WorkSpaces ools 使用默认配置文件创建初始配置文件。此配置文件是在映像生成器的以下位置创建的:`C:\users\default`。
**注意**
必须先将整个 VHD 下载到, WorkSpace 然后才能开始直播会话。因此,包含大量数据的 VHD 可能会使流式传输会话的开始时间延迟。有关更多信息,请参阅 [启用应用程序设置持久性的最佳实践](enabling-app-settings-persistence.md#best-practices-app-settings-persistence)。
启用应用程序设置持久性时,您必须指定一个设置组。设置组决定哪些已保存的应用程序设置用于此目录中的流式传输会话。 WorkSpaces 池为设置组创建一个新的 VHD 文件,该文件单独存储在您 AWS 账户的 S3 存储桶中。如果该设置组在各目录之间共享,将在每个目录中使用相同的应用程序设置。如果目录需要自己的应用程序设置,请为目录指定一个唯一的设置组。
# 启用应用程序设置持久性
**Topics**
+ [启用应用程序设置持久性的先决条件](#prerequisites-app-settings-persistence)
+ [启用应用程序设置持久性的最佳实践](#best-practices-app-settings-persistence)
+ [如何启用应用程序设置持久性](#howto-enable-app-settings-persistence)
## 启用应用程序设置持久性的先决条件
要启用应用程序设置持久性,您必须先执行以下操作:
+ 使用根据 2017 年 12 月 7 日当天或之后发布 AWS 的基本图像创建的图像。
+ 通过配置 Internet 访问或 Amazon S3 的 VPC 端点,启用从您的虚拟私有云(VPC)到 Amazon S3 的网络连接。有关更多信息,请参阅 [WorkSpaces Pools 的网络和访问权限](managing-network.md)中的*主文件夹和 VPC 端点* 部分。
## 启用应用程序设置持久性的最佳实践
要在不向您的提供互联网访问权限的情况下实现应用程序设置的持久性 WorkSpaces,请使用 VPC 终端节点。此终端节点必须位于您的 in P WorkSpaces ools 所连接的 VPC WorkSpaces 中。您必须附加自定义策略才能允许 WorkSpaces 池访问终端节点。有关如何创建自定义策略的信息,请参阅[WorkSpaces Pools 的网络和访问权限](managing-network.md)中的“主文件夹和 VPC 端点”**部分。有关私有 Amazon S3 端点的更多信息,请参阅《Amazon VPC 用户指南》**中的 [VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)和 [Amazon S3 的端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html)。
## 如何启用应用程序设置持久性
您可以在创建目录时或在使用 WorkSpaces 控制台创建目录之后启用或禁用应用程序设置的持久性。对于每个 AWS 区域,持久性应用程序设置存储在您账户的 S3 存储桶中。
首次为某个区域中的目录启用应用程序设置持久性时,P WorkSpaces ools 会在同一 AWS 区域的 AWS 账户中创建一个 S3 存储桶。同一个存储桶存储该 AWS 区域中所有用户和所有目录的应用程序设置 VHD 文件。有关更多信息,请参阅[管理 VHDs 用户的应用程序设置](administer-app-settings-vhds.md)中的 *Amazon S3 存储桶设置*。
**在创建目录期间启用应用程序设置持久性**
+ 按照[配置 SAML 2.0 并创建 WorkSpaces 池目录](create-directory-pools.md)中的步骤操作,并确保选中了 **Enable Application Settings Persistence (启用应用程序设置持久性)**。
**为现有目录启用应用程序设置持久性**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在左侧导航窗格中,选择**池**,然后选择要为其启用应用程序持久性的池。
1. 在该页面的**设置**部分,选择**编辑**。
1. 在该页面的**应用程序持久性**部分,选择**启用应用程序设置持久性**。
1. 选择**保存更改**。
新的流式传输会话现在便已启用应用程序设置持久性。
# 管理 VHDs 用户的应用程序设置
**Topics**
+ [Amazon S3 存储桶存储](#app-persistence-s3-buckets)
+ [重置用户的应用程序设置](#app-persistence-s3-reset)
+ [启用 Amazon S3 对象版本控制和恢复用户的应用程序设置](#app-persistence-enable-versions-revert-settings)
+ [增加应用程序设置 VHD 的大小](#app-persistence-increase-VHD-size)
## Amazon S3 存储桶存储
启用应用程序设置持久性后,用户的应用程序自定义和 Windows 设置将自动保存到虚拟硬盘 (VHD) 文件中,该文件存储在您的 AWS 账户中创建的 Amazon S3 存储桶中。对于每个 AWS 区域,P WorkSpaces ools 都会在您的账户中创建一个存储桶,该存储桶对于您的账户和该地区都是唯一的。用户所配置的所有应用程序设置都将存储在该区域的这个存储桶中。
您无需执行任何配置任务即可管理这些 S3 存储桶;它们完全由 P WorkSpaces ools 服务管理。存储在每个存储桶中的 VHD 文件在传输过程中使用 Amazon S3 的 SSL 终端节点进行加密,静态文件则使用[AWS 托管 CMKs](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)进行加密。存储桶以特定格式命名,如下所述:
```
wspool-app-settings---
```
***region-code***
这是在其中创建具有应用程序设置持久性的目录的 AWS 区域代码。
***account-id-without-hyphens***
您的 AWS 账户 ID。随机标识符确保与该区域中的其他存储桶不发生冲突。存储桶名称的第一部分 `wspool-app-settings` 不随账户或区域而改变。
例如,如果您为账号为 123456789012 WorkSpaces 的美国西部(俄勒冈)区域 (us-west-2) 中的目录启用应用程序设置持久性,则池将在该地区的账户中创建一个名称显示的 Amazon S3 存储桶。只有具有足够权限的管理员才能删除此存储桶。
```
wspool-app-settings-us-west-2-1234567890123-abcdefg
```
禁用应用程序设置持久性不会删除 S3 VHDs 存储桶中存储的任何内容。要永久删除设置 VHDs,您或其他拥有足够权限的管理员必须使用 Amazon S3 控制台或 API 执行此操作。 WorkSpaces Pools 添加了防止意外删除存储桶的存储桶策略。
启用应用程序设置持久性后,将为每个设置组创建一个唯一的文件夹来存储设置 VHD。S3 存储桶中该文件夹的层次结构取决于用户启动流式传输会话的方式,如下面一节所述。
存储在您账户的 S3 存储桶中的设置 VHD 所在的文件夹路径使用以下结构:
```
bucket-name/Windows/prefix/settings-group/access-mode/user-id-SHA-256-hash
```
***bucket-name***
存储用户应用程序设置的 S3 存储桶的名称。该名称格式如本节中前面所述。
***prefix***
Windows 版本特定的前缀。例如,Windows Server 2012 R2 的 v4。
***settings-group***
设置组值。此值将应用于共享相同应用程序设置的一个或多个目录。
***access-mode***
用户的身份方法:`custom`用于 WorkSpaces 池 API 或 CLI、`federated` SAML 以及`userpool`用户池用户。
***user-id-SHA-256-hash***
用户特定的文件夹名称。此名称是使用从用户 ID 生成的小写 SHA-256 哈希十六进制字符串创建的。
以下示例文件夹结构适用于使用 API 或 CLI 访问的直播会话,其用户 ID 为,ID 为`testuser@mydomain.com`,设置组`test-stack`位于美国西部(俄勒冈)区域 (us-west-2): AWS 账户 `123456789012`
```
wspool-app-settings-us-west-2-1234567890123-abcdefg/Windows/v4/test-stack/custom/a0bcb1da11f480d9b5b3e90f91243143eac04cfccfbdc777e740fab628a1cd13
```
您可以通过网站或网上提供的开源编码库生成用户 ID 的小写 SHA-256 哈希值,并据此确定特定用户的文件夹。
## 重置用户的应用程序设置
要重置用户的应用程序设置,您必须从 AWS 账户的 S3 存储桶中找到并删除 VHD 和关联的元数据文件。请确保在用户的活动流式传输会话期间不执行此操作。删除用户的 VHD 和元数据文件后,下次用户从启用了应用程序设置持久性的流媒体实例启动会话时,P WorkSpaces ools 会为该用户创建新的设置 VHD。
**重置用户的应用程序设置**
1. 打开 Amazon S3 控制台,网址为 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。
1. 在 **Bucket name (存储桶名称)** 列表中,选择包含要重置的应用程序设置 VHD 的 S3 存储桶。
1. 找到该 VHD 所在的文件夹。有关如何导航 S3 存储桶文件夹结构的更多信息,请参阅本主题前面的 *Amazon S3 存储桶存储*。
1. 在 **Name (名称)** 列表中,选中该 VHD 和 REG 旁的复选框,选择 **More (更多)**,然后选择 **Delete (删除)**。
1. 在 **Delete objects (删除对象)** 对话框中,验证 VHD 和 REG 已列出,然后选择 **Delete (删除)**。
下次用户从启用了应用程序设置持久性并带有适用设置组的池进行流式传输时,将创建一个新的应用程序设置 VHD。此 VHD 将在会话结束时保存到 S3 存储桶中。
## 启用 Amazon S3 对象版本控制和恢复用户的应用程序设置
当您的用户更改其应用程序设置时,您可以使用 Amazon S3 对象版本控制和生命周期策略来管理这些设置。通过 Amazon S3 对象版本控制,您可以保留、检索和还原设置 VHD 的每个版本。这使您可以从意外用户操作和应用程序故障进行恢复。如果启用了版本控制,每个流式传输会话之后,应用程序设置 VHD 的新版本将同步到 Amazon S3。新版本不会覆盖早期版本,因此如果您的用户设置发生问题,可以恢复到 VHD 的上一个版本。
**注意**
应用程序设置 VHD 的每个版本都将作为一个单独对象保存到 Amazon S3 中,并且需要支付相应费用。
默认情况下在 S3 存储桶中不启用对象版本控制,因此您必须显式启用它。
**为应用程序设置 VHD 启用对象版本控制**
1. 打开 Amazon S3 控制台,网址为 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。
1. 在 **Bucket name (存储桶名称)** 列表中,选择要启用对象版本控制的应用程序设置 VHD 所在的 S3 存储桶。
1. 选择**属性**。
1. 依次选择 **Versioning (版本控制)**、**Enable versioning (启用版本控制)**,然后选择 **Save (保存)**。
要使旧版本的应用程序设置过期 VHDs,您可以使用 Amazon S3 生命周期策略。有关信息,请参阅《Amazon Simple Storage Service 用户指南》**中的[如何为 S3 存储桶创建生命周期策略?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-lifecycle.html)
**恢复用户的应用程序设置 VHD**
通过从适用的 S3 存储桶删除 VHD 的较新版本,您可以恢复到用户应用程序设置 VHD 的早期版本。当用户是否具有活动的流式传输会话时,请不要执行此操作。
1. 打开 Amazon S3 控制台,网址为 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。
1. 在 **Bucket name (存储桶名称)** 列表中,选择要恢复到的用户应用程序设置 VHD 版本所在的 S3 存储桶。
1. 找到并选择该 VHD 所在的文件夹。有关如何导航 S3 存储桶文件夹结构的信息,请参阅本主题前面的 *Amazon S3 存储桶存储*。
选择该文件夹时,即会显示设置 VHD 及关联的元数据文件。
1. 要显示 VHD 及元数据文件版本的列表,请选择 **Show (显示)**。
1. 找到要恢复到的 VHD 版本。
1. 在 **Name (名称)** 列表中,选中该 VHD 及关联元数据文件的较新版本旁的复选框,选择 **More (更多)**,然后选择 **Delete (删除)**。
1. 确认要恢复到的应用程序设置 VHD 及关联的元数据文件是这些文件的最新版本。
下次用户从启用了应用程序设置持久性并带有适用设置组的池进行流式传输时,将显示用户设置的已恢复版本。
## 增加应用程序设置 VHD 的大小
对于池,默认 VHD 最大大小为 5 GB。如果用户需要额外的应用程序设置空间,您可以将适用的应用程序设置 VHD 下载到 Windows 计算机以对其进行扩展。然后,将 S3 存储桶中的当前 VHD 替换为更大的一个 VHD。当用户是否具有活动的流式传输会话时,请不要执行此操作。
**注意**
要减小虚拟硬盘(VHD)的物理大小,请在结束会话之前清除回收站。这还能减少上传和下载时间,并改善整体用户体验。
**增加应用程序设置 VHD 的大小**
**注意**
必须先下载完整 VHD,然后用户才能流式传输应用程序。增加应用程序设置 VHD 的大小可能会增加用户启动应用程序流式传输会话所需的时间。
1. 打开 Amazon S3 控制台,网址为 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。
1. 在 **Bucket name (存储桶名称)** 列表中,选择包含要扩展的应用程序设置 VHD 的 S3 存储桶。
1. 找到并选择该 VHD 所在的文件夹。有关如何导航 S3 存储桶文件夹结构的信息,请参阅本主题前面的 [Amazon S3 存储桶存储](#app-persistence-s3-buckets)。
选择该文件夹时,即会显示设置 VHD 及关联的元数据文件。
1. 将 `Profile.vhdx` 文件下载到 Windows 计算机上的一个目录中。下载完成后,请勿关闭您的浏览器,因为稍后您将再次使用浏览器上传扩展的 VHD。
1. 要使用 Diskpart 将 VHD 的大小增加到 7 GB,请以管理员身份打开命令提示符,并键入以下命令。
```
diskpart
```
```
select vdisk file="C:\path\to\application\settings\profile.vhdx"
```
```
expand vdisk maximum=7000
```
1. 然后,键入以下 Diskpart 命令找到和附加该 VHD,并显示卷列表:
```
elect vdisk file="C:\path\to\application\settings\profile.vhdx"
```
```
attach vdisk
```
```
list volume
```
在输出中,记下带有 “AwsEucUsers” 标签的卷号。在下一步中,您将选择此卷,以便可将其扩大。
1. 键入以下命令,其中,`` 是列表卷输出中的编号。
```
select volume
```
1. 键入以下命令:
```
extend
```
1. 键入以下命令,确认 VHD 上该分区的大小是否已按预期增加(在此示例中为 7 GB):
```
diskpart
```
```
select vdisk file="C:\path\to\application\settings\profile.vhdx"
```
```
list volume
```
1. 键入以下命令分离 VHD,以便可将其上传:
```
detach vdisk
```
1. 返回带有 Amazon S3 控制台的浏览器,依次选择**上传**、**添加文件**,然后选择扩大的 VHD。
1. 选择**上传**。
上传 VHD 后,下次用户从启用了应用程序设置持久性并带有适用设置组的池进行流式传输时,可以使用更大的应用程序设置 VHD。
# WorkSpaces Pools 通知代码问题排查
以下是您在设置 Active Directory 并将其与 WorkSpaces 结合使用时可能遇到的域加入问题的通知代码和解决步骤。
**DOMAIN\$1JOIN\$1ERROR\$1ACCESS\$1DENIED**
**消息**:访问被拒绝。
**解决方案**:在目录中指定的服务账户无权创建计算机对象或重用现有对象。验证权限并启动 WorkSpaces Pools。
**DOMAIN\$1JOIN\$1ERROR\$1LOGON\$1FAILURE**
**消息**:用户名或密码不正确。
**解决方案**:目录配置中指定的服务账户具有无效的用户名或密码。更新目录中配置的 AWS Secrets Manager 密钥中的凭证,然后再次启动 WorkSpaces Pools。
**DOMAIN\$1JOIN\$1NERR\$1PASSWORD\$1EXPIRED**
**消息**:此用户的密码已过期。
**解决方案**:AWS Secrets Manager 密钥中服务账户的密码已过期。首先,停止 WorkSpaces Pools。接下来,更改在 WorkSpaces 目录中指定的密钥的密码。然后,启动 WorkSpaces Pools。
**DOMAIN\$1JOIN\$1ERROR\$1DS\$1MACHINE\$1ACCOUNT\$1QUOTA\$1EXCEEDED**
**消息**:您的计算机无法加入域。您超出了允许在此域中创建的最大计算机账户数。请联系您的系统管理员重置或增加此限制。
**解决方案**:在目录上指定的服务账户无权创建计算机对象或重用现有对象。验证权限并启动 WorkSpaces Pools。
**DOMAIN\$1JOIN\$1ERROR\$1INVALID\$1PARAMETER**
**消息**:参数不正确。如果 `LpName` 参数为 NULL 或 `NameType` 参数指定为 `NetSetupUnknown` 或未知名称类型,则会返回此错误。
**解决方案**:当 OU 的可分辨名称错误时,会发生此错误。验证 OU,然后重试。如果继续遇到此错误,请联系 AWS 支持。有关更多信息,请参阅 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
**DOMAIN\$1JOIN\$1ERROR\$1MORE\$1DATA**
**消息**:有更多数据可用。
**解决方案**:当 OU 的可分辨名称错误时,会发生此错误。验证 OU,然后重试。如果继续遇到此错误,请联系 AWS 支持。有关更多信息,请参阅 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
**DOMAIN\$1JOIN\$1ERROR\$1NO\$1SUCH\$1DOMAIN**
**消息**:指定域名不存在或无法访问。
**解决方案**:流实例无法联系您的 Active Directory 域。要确保网络连接,请确认您的 VPC、子网和安全组设置。
**DOMAIN\$1JOIN\$1NERR\$1WORKSTATION\$1NOT\$1STARTED**
**消息**:工作站服务尚未启动。
**解决方案**:启动工作站服务时出错。确保该服务已在您的映像中启用。如果继续遇到此错误,请联系 AWS 支持。有关更多信息,请参阅 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
**DOMAIN\$1JOIN\$1ERROR\$1NOT\$1SUPPORTED**
**消息**:不支持此请求。如果在 `lpServer` 参数中指定了远程计算机而该远程计算机不支持此调用,将返回此错误。
**解决方案**:联系 AWS 支持 以寻求帮助。有关更多信息,请参阅 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
**DOMAIN\$1JOIN\$1ERROR\$1FILE\$1NOT\$1FOUND**
**消息**:系统找不到指定的文件。
**解决方案**:当提供了无效的组织单位 (OU) 可分辨名称时,会发生此错误。可分辨名称必须以 **OU=** 开头。请验证 OU 可分辨名称并重试。
**DOMAIN\$1JOIN\$1INTERNAL\$1SERVICE\$1ERROR**
**消息**:账户已存在。
**解决方法**:此错误可能发生在以下情况中:
+ 如果问题与权限无关,请查看 Netdom 日志中是否存在错误,并确保您提供的 OU 正确无误。
+ 在目录中指定的服务账户无权创建计算机对象或重用现有对象。如果属于这种情况,请验证权限并启动 WorkSpaces Pools。
+ WorkSpaces 创建计算机对象后,将从创建它的 OU 中移动该对象。在这种情况下,将成功创建第一个 WorkSpaces Pools,但使用该计算机对象的任何新 WorkSpaces Pools 都将失败。当 Active Directory 在指定 OU 中搜索计算机对象并检测到域中其他位置存在具有相同名称的对象时,域加入将失败。
+ 在 WorkSpaces 目录中指定的 OU 名称在目录中的逗号前后包含空格。在这种情况下,当 WorkSpaces Pools 尝试重新加入 Active Directory 域时,WorkSpaces 无法正确循环计算机对象,并且无法成功重新加入域。要解决 WorkSpaces Pools 的此问题,请执行以下操作:
1. 停止 WorkSpaces Pools。
1. 编辑 WorkSpaces Pools 的 Active Directory 域设置,以删除 WorkSpaces Pools 加入的目录和目录 OU。
1. 更新 WorkSpaces 目录以指定不包含空格的 OU。
1. 编辑 WorkSpaces Pools 的 Active Directory 域设置,使用更新的目录 OU 指定目录。
要解决 WorkSpaces Pools 的此问题,请执行以下操作:
1. 删除 WorkSpaces Pools。
1. 更新 WorkSpaces 目录以指定不包含空格的 OU。
1. 创建新的 WorkSpaces Pools 并使用更新的目录 OU 指定目录。
**WORKSPACES\$1POOL\$1SESSION\$1RESERVATION\$1ERROR**
**消息**:对于与您的 WorkSpaces Pools 关联的子网,我们目前没有足够的容量来容纳可用区 [us-west-1] 中请求的会话。我们的系统将预置额外的容量。同时,请使用以下可用区之一更改或关联不同的子网:[us-west-2、us-west-3]。
**解决方案**:等待 EC2 有足够的容量或更新目录上其他可用区的子网。
**INSUFFICIENT\$1CAPACITY\$1ERROR\$1WORKSPACES\$1POOL\$1AZ**
**消息**:我们目前在可用区 [] 中没有足够的容量来容纳所请求的会话。我们的系统将预置额外的容量。同时,请使用其他可用区更改另一个子网或将其关联到您的 WorkSpaces Pools。
**解决方案**:等待 Amazon EC2 有足够的容量或更新目录上其他可用区的子网。
**INVALID\$1CUSTOMER\$1SUBNET\$1CIDR\$1BLOCK**
**消息**:您的子网包括使用不可用的 CIDR 范围。请在当前 /18 范围之外更新您的子网。
**解决方案**:等待 EC2 有足够的容量或更新目录上其他可用区的子网。