Estou tentando implantar um MSI por meio da Diretiva de Grupo no Active Directory. Mas estes são os erros que estou recebendo no log de eventos do sistema após o login:
- A atribuição do aplicativo XStandard da instalação da política falhou. O erro foi: %%1274
- Falha na remoção da atribuição do aplicativo XStandard da instalação da política. O erro foi: %%2
- Falha ao aplicar as alterações nas configurações de instalação do software. A instalação do software implantado por meio da Diretiva de Grupo para esse usuário foi adiada até o próximo logon porque as alterações devem ser aplicadas antes do logon do usuário. O erro foi: %%1274
- A instalação do software de extensão do lado do cliente de diretiva de grupo não pôde aplicar uma ou mais configurações porque as alterações devem ser processadas antes da inicialização do sistema ou logon do usuário. O sistema aguardará a conclusão completa do processamento da Diretiva de Grupo antes da próxima inicialização ou logon desse usuário, e isso pode resultar em inicialização e desempenho de inicialização lentos.
Quando reinicio e faço login novamente, simplesmente recebo as mesmas mensagens sobre a necessidade de realizar a atualização antes do próximo logon. Estou em um laptop Windows Vista de 32 bits. Sou bastante novo na implantação por meio da política de grupo, portanto, quais outras informações seriam úteis para determinar o problema? Eu tentei um MSI diferente com os mesmos resultados. Consigo instalar o MSI usando a linha de comando e msiexec quando logado no computador, então sei que o MSI está funcionando bem, pelo menos.
Você está vendo o temido flagelo do processamento assíncrono de políticas. Não é um "recurso" (e foi desativado por padrão no Windows 2000, mas ativado por padrão no Windows XP e superior) e causa exatamente o que você está vendo - comportamento não determinístico com o processamento de alguns tipos de configurações de GPO.
Em um GPO que se aplica a esse computador, adicione a seguinte configuração:
Depois de definir isso (e permitir que o GPO replique se você estiver em um ambiente multi-DC), faça um "gpupdate /force /boot" no PC em questão. Ele será reinicializado e você deverá ver a instalação do software ocorrer.
O "Sempre aguardar a rede na inicialização e logon do computador" diminui um pouco a inicialização e o logon porque todas as extensões de GPO podem ser processadas, mas a vantagem é que todas as extensões de GPO podem ser processadas.
Eu tentei a configuração Sempre esperar pela rede na inicialização e logon do computador - Ativado da resposta de @Evan Anderson, mas não foi até que eu adicionei essa configuração abaixo que permitiu a instalação do software. Não tenho certeza se foi uma combinação de ambas as configurações ou não. Está funcionando agora, então estou deixando as duas configurações.
120 pode ser um exagero, mas isso funcionou para mim. Outros fóruns sugeriram definir isso para 30 segundos. Mesmo que 30 segundos padrão (quando a política não está definida), forçando-o a 30 segundos funcionou para eles.
Isso pode acontecer se o aplicativo já estiver instalado, mas o msiexec não conseguir desinstalá-lo. O cenário mais comum é uma instalação manual anterior com "Somente para mim" selecionado em vez de "Todos que fizerem logon neste computador".
Você pode usar o Utilitário de limpeza do Windows Installer ( http://support.microsoft.com/kb/290301 ) para enganar o PC e fazê-lo pensar que o aplicativo não está mais presente e, em seguida, deve funcionar.
E acabei de encontrar outra causa diferente desse erro. Se você tiver "Spanning Tree" configurado no switch ethernet conectado à estação de trabalho com problema, isso atrasará a ativação da porta do switch quando o PC for inicializado. Desabilitar o Spanning Tree para a porta do switch ou habilitar o "Spanning Tree Portfast" para o switchport resolveu esse problema em algumas das minhas estações de trabalho.
Eu tive o mesmo problema, mas nenhuma das correções acima funcionou. Finalmente descobri que havia outro GPO tentando instalar o software antes do meu e estava falhando com o erro %%1274 porque o próprio GPO tinha as permissões erradas. Por algum motivo, essa falha estava impedindo a instalação do meu GPO, mesmo que o meu tivesse as permissões corretas. Depois de desabilitar o outro GPO problemático, meu GPO foi instalado corretamente.
Alterar o ' tempo de espera de processamento da política de inicialização ' funcionou para mim. Foi definido para 30 segundos, mas algumas estações de trabalho ainda estavam falhando com %%1274.
Aumentei para 90 segundos e eles ficaram felizes.
Tivemos o mesmo problema. Finalmente descobrimos que nossos laptops foram autenticados por RADIUS para WiFi, e a instalação de rede não pôde ser iniciada até que o usuário faça login com credenciais do AD (porque não havia conectividade de rede até então para executar remotamente os arquivos de instalação). E depois que o usuário fez o login, já era tarde demais, pois a instalação deveria começar antes disso.
Quando o cliente conectado via Ethernet funcionou como um encanto!
Às vezes, sua política de grupo pode ser prejudicada. Tente remover toda a chave de registro HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Group Policy. Você provavelmente encontrará tudo do GP instalado novamente na reinicialização. Você pode querer fazer backup do seu registro primeiro...
Eu enfrentei o mesmo comportamento com alguns laptops. Eles funcionaram bem por alguns anos e, de repente, não instalaram nenhum software novo via gpo. Forçar a configuração "Tempo de espera de processamento da política de inicialização" parece ter corrigido o problema. Como dito antes, deveria ser 30 segundos por padrão, mas para mim parecia que os laptops não esperavam na inicialização por políticas, mas pulavam direto. Todos os laptops eram win7x64, DCs Server2008R2 e Server2012.
Problema resolvido!
Eu estava fazendo login em máquinas clientes como usuário de domínio com privilégios de administrador Enterprise/Domain e capaz de acessar uma pasta compartilhada contendo pacotes de instalação MSI sem nenhum problema. No entanto, em algum momento, tentei acessá-lo via \IP\share_path_to_msi_packages_folder de outro PC sem domínio e continuou recebendo um pop-up de login. Basicamente, mesmo que se permita todos os usuários/grupos de domínio e não domínio ou permissões de leitura/gravação 'Todos' na pasta compartilhada, ainda não funcionaria e me solicitaria nome de usuário/senha, não permitindo que o cliente local puxe pacotes apontados pelo GPO . Isso é causado pelo acesso anônimo desabilitado por padrão. Depois de habilitá-lo e dar permissões de leitura/gravação para a pasta MSI, foi possível implantar com êxito a maioria dos pacotes e apenas o synology-cloud-station-3.1.-3320.msi falhou (é necessário examiná-lo). Também consegui acessar a pasta compartilhada de qualquer máquina que não seja de domínio.
Eu estava recebendo essas mensagens de erro praticamente a cada 5 minutos em Eventos > Sistema:
101 Falha na atribuição do aplicativo 7-Zip 9.20 (edição x64) da instalação de pacotes base de política DOMAIN. O erro foi: %%1274
103 Falha na atribuição do aplicativo 7-Zip 9.20 (edição x64) da instalação de pacotes base de política DOMAIN. O erro foi: %%1274
108 Falha ao aplicar as alterações nas configurações de instalação do software. A instalação do software implantado por meio da Diretiva de Grupo para esse usuário foi adiada até o próximo logon porque as alterações devem ser aplicadas antes do logon do usuário. O erro foi: %%1274
1112 Falha ao aplicar as alterações nas configurações de instalação do software. A instalação do software implantado por meio da Diretiva de Grupo para esse usuário foi adiada até o próximo logon porque as alterações devem ser aplicadas antes do logon do usuário. O erro foi: %%1274
Configurar:
SERVIDORES DC1 (PDC) + DC2 (BDC) + DC3 (DBC) Windows 2012 R2 Standard totalmente atualizado
CLIENTES Windows 7 Pro SP1 (restauração limpa da Dell, totalmente atualizado, pacotes conflitantes, como Adobe Flash antigo desinstalado)
Já tentei em clientes:
GPO desabilitar UAC:
* Computer Configuration * Policies * Windows Settings * Security Settings * Local Policies * Security Options ELEVATE WITHOUT PROMPTING: User Account Control: Behaviour of the elevation prompt for administrators in Admin Approval Mode DISABLE: User Account Control: Detect application installation and prompt for elevation DISABLE: User Account Control: Run all administrators in Admin Approval ModeGPO deploy base software: * Computer Configuration * Policies * Administrative Templates * System * Logon ENABLE: Always wait for the network at computer startup logon * Group Policy ENABLE: Specify startup policy processing wait time (temporarily set to 120 will change to 30 later)* Computer Configuration * Policies * Software Installation * 7-Zip 9.20 (x64 edition) v9.20 Assigned \LANIP\Utils\Software\GPO\7zip-7z920-x64.msi * Google Chrome v66.41 Assigned \LANIP\Utils\Software\GPO\googlechromestandaloneenterprise.msi * Mozilla Firefox (en-GB) v35.0 Assigned \LANIP\Utils\Software\GPO\firefox-35.0.1-en-gb-msi * Synology Cloud Station v3.1 Assigned \LANIP\Utils\Software\GPO\synology-cloud-station-3.1.-3320.msiTodos os GPOs são colocados em Objetos de Diretiva de Grupo e vinculados a partir de GPOs diretamente sob nosso domínio. Outras configurações, como restrições do IE de outra configuração de GPO da mesma forma, se aplicam ao cliente corretamente.
Não há outros erros no AD, DHCP, DNS estão funcionando perfeitamente, as máquinas obtêm IPs e podem resolver nomes via nslookup, além de fazer ping no IPv4/IPv6.