Ошибка установки групповой политики 1274

40

Я пытаюсь развернуть MSI через групповую политику в Active Directory. Но вот ошибки, которые я получаю в журнале системных событий после входа в систему:

  • Назначение приложения XStandard из установки политики не удалось. Ошибка была: %% 1274
  • Не удалось удалить назначение приложения XStandard из установки политики. Ошибка была: %% 2
  • Не удалось применить изменения к настройкам установки программного обеспечения. Установка программного обеспечения, развернутого через групповую политику для этого пользователя, была отложена до следующего входа в систему, поскольку изменения должны быть применены до входа пользователя в систему. Ошибка была: %% 1274
  • При установке программного обеспечения на стороне клиента групповой политики не удалось применить один или несколько параметров, поскольку изменения должны быть обработаны до запуска системы или входа пользователя. Система будет ожидать завершения обработки групповой политики до следующего запуска или входа в систему для этого пользователя, что может привести к снижению производительности при запуске и загрузке.

Когда я перезагружаюсь и снова вхожу в систему, я просто получаю те же сообщения о необходимости выполнить обновление до следующего входа в систему. Я на 32-битном ноутбуке с Windows Vista. Я довольно новичок в развертывании с помощью групповой политики, так какая другая информация будет полезна при определении проблемы? Я попробовал другой MSI с теми же результатами. Я могу установить MSI с помощью командной строки и msiexec при входе в компьютер, поэтому я знаю, что MSI работает нормально, по крайней мере.

Дэвид Томас Гарсия
источник

Ответы:

56

Вы видите страшное бедствие асинхронной обработки политики. Это не «функция» (и была отключена по умолчанию в Windows 2000, но включена по умолчанию в Windows XP и выше) и вызывает именно то, что вы видите - недетерминированное поведение при обработке некоторых типов настроек объекта групповой политики.

В объект групповой политики, который применяется к этому компьютеру, добавьте следующий параметр:

  • Настройки компьютера
    • Административные шаблоны
      • система
        • Вход в систему
          • Всегда ждать сети при запуске компьютера и входе в систему - Включено

После того, как вы установите это (и разрешите репликации объекта групповой политики, если вы находитесь в среде с несколькими DC), выполните «gpupdate / force / boot» на соответствующем ПК. Он перезагрузится, и вы должны увидеть, как происходит установка программного обеспечения.

«Всегда ждать сеть при запуске компьютера и входе в систему» ​​немного замедляет запуск и вход в систему, потому что все расширения GPO разрешены для обработки, но положительным моментом является то, что все расширения GPO разрешены для обработки.

Эван Андерсон
источник
Я столкнулся с приведенным выше кодом ошибки в исходном вопросе. После применения вашего исправления я попал в «Ошибка 1612. Источник установки для этого продукта недоступен. Убедитесь, что источник существует и вы можете получить к нему доступ ». Он существует, и я могу получить к нему доступ. Есть идеи, как решить эту проблему? (пробовал gpupdate /force /boot)? Требуется ли специальное разрешение на точку распространения?
причины
1
Предоставление «доменным компьютерам» доступа на чтение к точке распространения сделало свое дело.
причины
14

Я попробовал ждать всегда в сети при запуске компьютера и входе в систему - Включено настройки от ответа по @Evan Андерсон, но это не было , пока я не добавил эту установку ниже, а что позволило программное обеспечение для установки. Не уверен, было ли это сочетание обеих настроек или нет. Это работает сейчас, поэтому я оставляю обе настройки.

В групповой политике, применяемой к этим рабочим станциям, перейдите к:

Конфигурация компьютера> Политики> Административные шаблоны> Система> Групповая политика

Включите Указать время ожидания при обработке политики запуска . Установить количество времени ожидания (в секундах) : = 120

120 может быть излишним, но это сработало для меня. Другие форумы предлагали установить это значение до 30 секунд. Даже если 30 секунд по умолчанию (если политика не установлена), принудительное использование 30 секунд для них работает.

Скриншот

Эндрю Баклин
источник
Этот совет увеличил мой успех развертывания с 72% до 100%. Отличный ответ!
Nic
Я не вижу эту политику в редакторе управления групповыми политиками.
Шив
@Shiv, я добавил скриншот для тебя. :-)
Эндрю Баклин
1
@AndrewBucklin Ааа по какой-то причине в моем GPM этот пункт называется «Время ожидания обработки политик при запуске». Слово "указать" не существует.
Шив
6

Это может произойти, если приложение уже установлено, но msiexec не может удалить его. Наиболее распространенным сценарием является предыдущая ручная установка с выбранным «Только для меня» вместо «Все, кто входит в систему на этом компьютере».

Вы можете использовать утилиту очистки установщика Windows ( http://support.microsoft.com/kb/290301 ), чтобы заставить компьютер думать, что приложение больше не присутствует, и тогда оно должно работать.

Максимус Минимус
источник
Спасибо за предложение, но после запуска утилиты я не увидел приложение в списке. Я буду держать эту закладку в будущем, хотя в случае, если это решение других проблем.
Дэвид Томас Гарсия
4

И я просто нашел другую причину этой ошибки. Если на коммутаторе Ethernet, подключенном к проблемной рабочей станции, настроено «Spanning Tree», активация порта коммутатора будет задерживаться при загрузке ПК. Отключение Spanning Tree для порта коммутатора или включение «Spanning Tree Portfast» для порта коммутатора решило эту проблему на нескольких моих рабочих станциях.

Ричард
источник
2

У меня была такая же проблема, но ни одно из исправлений выше не сработало. В конце концов я понял, что другой GPO пытался установить программное обеспечение раньше моего, и он завершался ошибкой с ошибкой %% 1274, потому что сам GPO имел неправильные разрешения. По какой-то причине этот сбой препятствовал установке моего объекта групповой политики, даже если у меня были правильные разрешения. После того, как я отключил другой проблемный объект групповой политики, он правильно установлен.


источник
2

Изменение « Время ожидания при обработке политики запуска » сработало для меня. Это было установлено на 30 секунд, но некоторые рабочие станции все еще отказывали с %% 1274.

Я поднял его до 90 секунд, и они были счастливы.

pbc5501
источник
1

Иногда ваша групповая политика может испортиться. Попробуйте удалить весь раздел реестра HKLM / ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ / Microsoft / Windows / CurrentVersion / Group Policy. Вы, вероятно, найдете все, что от GP снова устанавливается при перезагрузке. Вы можете сделать резервную копию вашего реестра в первую очередь ...


источник
1

Я столкнулся с таким же поведением с парой ноутбуков. Они отлично работали в течение нескольких лет, а затем внезапно не установили никакого нового программного обеспечения через gpo. Использование параметра «Время ожидания при обработке политики запуска», похоже, устранило проблему. Как было сказано ранее, по умолчанию оно должно составлять 30 секунд, но для меня казалось, что ноутбуки вообще не ждали при запуске политики, а просто пропустили. Все ноутбуки были win7x64, DC Server 2008R2 и Server 2012.

hyvokar
источник
1

У нас была такая же проблема. Мы наконец-то выяснили, что наши ноутбуки прошли проверку подлинности RADIUS для WiFi, и установка по сети не может начаться, пока пользователь не войдет в систему с учетными данными AD (поскольку до этого времени не было сетевого подключения для удаленного выполнения установочных файлов). И после того, как пользователь вошел в систему, было слишком поздно, так как установка должна начаться до этого.

Когда клиент подключен через Ethernet, это работает как шарм!

Дан Мунасингхе
источник
0

Проблема решена!

Я входил в клиентские машины как пользователь домена с правами администратора Enterprise / Domain и мог без проблем получить доступ к общей папке, содержащей установочные пакеты MSI. Тем не менее, в какой-то момент он попытался получить к нему доступ через \ IP \ share_path_to_msi_packages_folder с другого компьютера, не входящего в домен, и продолжал получать всплывающее окно с логином. По сути, даже если один разрешает всем доменным и не доменным пользователям / группам или «Все» разрешения на чтение / запись для общей папки, он все равно не будет работать и запросит у меня имя пользователя / пароль, что не позволит локальному клиенту свернуть пакеты, указанные GPO. , Это вызвано тем, что анонимный доступ отключен по умолчанию, После его включения и предоставления разрешений на чтение / запись для папки MSI удалось успешно развернуть большинство пакетов, и только synology-cloud-station-3.1.-3320.msi не удалось (необходимо изучить это). Я также смог получить доступ к общей папке с любого компьютера, не входящего в домен.

Я получал эти сообщения об ошибках почти каждые 5 минут в Events> System:

101 Назначение приложения 7-Zip 9.20 (редакция x64) из политики установки базовых пакетов DOMAIN не выполнено. Ошибка была: %% 1274

103 Назначение приложения 7-Zip 9.20 (версия x64) из политики установки базовых пакетов DOMAIN не выполнено. Ошибка была: %% 1274

108 Не удалось применить изменения к настройкам установки программного обеспечения. Установка программного обеспечения, развернутого через групповую политику для этого пользователя, была отложена до следующего входа в систему, поскольку изменения должны быть применены до входа пользователя в систему. Ошибка была: %% 1274

1112 Не удалось применить изменения к настройкам установки программного обеспечения. Установка программного обеспечения, развернутого через групповую политику для этого пользователя, была отложена до следующего входа в систему, поскольку изменения должны быть применены до входа пользователя в систему. Ошибка была: %% 1274

Настроить:

СЕРВЕРЫ DC1 (PDC) + DC2 (BDC) + DC3 (DBC) Windows 2012 R2 Standard полностью обновлен

КЛИЕНТЫ Windows 7 Pro SP1 (чистое восстановление Dell, полностью обновленные, конфликтующие пакеты, такие как старый Adobe Flash удален)

Уже примерили на клиентов:

  • gpupdate / force
  • gpupdate / force / boot (оба запрашивают перезагрузку и выдают ошибку, что политики не были применены)
  • gpresult / r (выглядит хорошо)
  • и серверы, и клиенты могут получить доступ к общему диску, на котором хранятся пакеты MSI
  • несколько раз перезагружался DC1 и клиенты после изменений в GPO

GPO отключить UAC:

* Computer Configuration * Policies * Windows Settings * Security Settings * Local Policies * Security Options ELEVATE WITHOUT PROMPTING: User Account Control: Behaviour of the elevation prompt for administrators in Admin Approval Mode DISABLE: User Account Control: Detect application installation and prompt for elevation DISABLE: User Account Control: Run all administrators in Admin Approval Mode

GPO deploy base software: * Computer Configuration * Policies * Administrative Templates * System * Logon ENABLE: Always wait for the network at computer startup logon * Group Policy ENABLE: Specify startup policy processing wait time (temporarily set to 120 will change to 30 later)

* Computer Configuration * Policies * Software Installation * 7-Zip 9.20 (x64 edition) v9.20 Assigned \LANIP\Utils\Software\GPO\7zip-7z920-x64.msi * Google Chrome v66.41 Assigned \LANIP\Utils\Software\GPO\googlechromestandaloneenterprise.msi * Mozilla Firefox (en-GB) v35.0 Assigned \LANIP\Utils\Software\GPO\firefox-35.0.1-en-gb-msi * Synology Cloud Station v3.1 Assigned \LANIP\Utils\Software\GPO\synology-cloud-station-3.1.-3320.msi

Все объекты групповой политики помещаются в объекты групповой политики, а затем связываются с объектами групповой политики непосредственно в нашем домене. Другие параметры, такие как ограничения IE из другой настройки объекта групповой политики, аналогичным образом применяются к клиенту правильно.

Других ошибок в AD, DHCP, DNS нет, они работают отлично, машины получают IP-адреса и могут разрешать имена через nslookup, а также пинговать друг друга по IPv4 / IPv6.

WebCoder
источник
0

Ответ Эвана Андерсона в порядке, но он упускает довольно важный отказ от ответственности:

Это может значительно замедлить вход вне домена для ноутбуков и беспроводных клиентов.

Учитывая, что обходной путь без этого объекта групповой политики состоит в том, чтобы просто дважды перезагрузиться, я не очень понимаю, почему кто-то может отменить эту сделку.

пшеничная мук`а грубого помола
источник
-1

Windows 2012 R2

В групповой политике, применяемой к этим рабочим станциям, перейдите к:

Конфигурация компьютера> Политики> Административные шаблоны> Система> Групповая политика

Включите Указать время ожидания при обработке политики запуска. Установить количество времени ожидания (в секундах): = 120

user306596
источник
5
Этот ответ представляется дубликатом предыдущего. У вас есть дополнительная информация, чтобы добавить?
womble