Workflow Manager 1.0 の既知の問題
発行: 2016年5月
このセクションでは、Workflow Manager 1.0 の既知の問題について説明します。
サーバーの管理者グループに別のドメインのアカウントが含まれていると、構成が失敗する
サーバーの管理者グループに解決できない SID が含まれていると、構成が失敗する
Add-WFHost コマンドレットがドメイン間で機能しない
ワークフロー スコープのアクセス許可が BUILTIN\Administrators に設定されている場合、クライアント アプリケーションは管理者特権でのアクセス許可を使用して実行される必要があります。
サーバーの管理者グループに別のドメインのアカウントが含まれていると、構成が失敗する
ファームが構成されると、ファーム サーバーの管理者グループが列挙され、構成を行うユーザーに管理者アクセス許可があるかどうかが判断されます。管理者グループに、呼び出し元のユーザーと異なるドメインのアカウントが含まれている場合、この列挙は失敗します。この問題の回避策は次のようになります。
管理者グループから余分なアカウントを削除します。
構成を実行します。
構成が完了したら、アカウントを戻します。
サーバーの管理者グループに解決できない SID が含まれていると、構成が失敗する
ファームが構成されると、ファーム サーバーの管理者グループが列挙され、構成を行うユーザーに管理者アクセス許可があるかどうかが判断されます。管理者グループに解決できないセキュリティ識別子 (SID) が含まれている場合、この列挙は失敗します。回避策は、解決できないアカウントを管理者グループから削除することです。
Add-WFHost コマンドレットがドメイン間で機能しない
自動生成された証明書を使用するときには、Add-WFHost コマンドレットで複数のドメインを処理することはできません。ただし、Add-SBHost コマンドレットはこのシナリオで使用できます。
ワークフロー スコープのアクセス許可が BUILTIN\Administrators に設定されている場合、クライアント アプリケーションは管理者特権でのアクセス許可を使用して実行される必要があります。
ワークフロー スコープのアクセス許可が BUILTIN\Administrators に設定されているときに (これが既定の設定です)、クライアント アプリケーションが管理者特権でのアクセス許可を使用して実行されていない場合、次のような例外がスローされます。
呼び出し元にこの操作に必要なアクセス許可がありません。付与されたアクセス許可:ありません。必要なアクセス許可:WriteScope.サーバーから受け取った HTTP ヘッダー - ActivityId:AC318A5F-7B96-4DA1-A632-F175372BB8E1.NodeId:コンピューター名スコープ: /ExternalVariableSampleScopeクライアント ActivityId:4DD1EBC2-54C6-46ED-BD87-5CFE7BFFDDF4
これは、ユーザーが Windows が Administrators グループに属しているかどうかに関係なく、ユーザーが昇格されたプロセスで実行されていない限り、Windows が現在のユーザーに Admin トークンを付与しないためです。
この問題を解決するには、2 つの選択肢があります。
管理者特権でのアクセス許可を使用してクライアント アプリケーションを実行します。
スコープの p:microsoft.workflow.client.security.windowssecurityconfiguration.WorkflowAdminGroupName を BUILTIN\Users などのユーザーが属する別の非 Administor グループに更新します。これを行う方法の 1 つに次の PowerShell スクリプトを実行する方法があります。
$sec = New-Object Microsoft.Workflow.Client.Security.WindowsSecurityConfiguration("All Users") $sec.WorkflowAdminGroupName = "Users"