La instalación de SQL Server falla debido a la política de restricción de software, pero ¿no existe ninguna política en el servidor?

tag-icon tag-icon windows sql-server group-policy installation windows-server-2022
La instalación de SQL Server falla debido a la política de restricción de software, pero ¿no existe ninguna política en el servidor?

Estoy intentando instalar SQL Server Express 2022 en Windows Server 2022.

Cuando configuré el servidor de Windows, agregué una Política de restricción de software para evitar la instalación de archivos ejecutables y msi. También agregué algunas restricciones a AppLocker.

No importa lo que intente, cuando intento instalar SQL Server 2022 (o 19), la aplicación falla constantemente en dos áreas.

  1. A mitad de camino aparece un mensaje emergente que dice esto: Ha ocurrido el siguiente error. El archivo <%localpath%>/msoledbsql.msi fue rechazado por la política de firma digital. Mensaje de error que informa que la política de firma digital rechazó un archivo .msi.

  2. La instalación falla más tarde después de continuar brevemente con el siguiente mensaje:Esta instalación está prohibida por la política del sistema. Póngase en contacto con el administrador de su sistema. La política del sistema prohíbe el proceso de aviso de mensajes de error de instalación.

Me dirige a un archivo de registro, que he incluido a continuación:

=== Verbose logging started: 22/01/2024  09:45:45  Build type: SHIP UNICODE 5.00.10011.00  Calling process: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\x64\ScenarioEngine.exe ===
MSI (c) (AC:14) [09:45:46:000]: Resetting cached policy values
MSI (c) (AC:14) [09:45:46:000]: Machine policy value 'Debug' is 0
MSI (c) (AC:14) [09:45:46:000]: ******* RunEngine:
           ******* Product: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi
           ******* Action: 
           ******* CommandLine: **********
MSI (c) (AC:14) [09:45:46:001]: Client-side and UI is none or basic: Running entire install on the server.
MSI (c) (AC:14) [09:45:46:002]: Grabbed execution mutex.
MSI (c) (AC:14) [09:45:46:003]: Cloaking enabled.
MSI (c) (AC:14) [09:45:46:003]: Attempting to enable all disabled privileges before calling Install on Server
MSI (c) (AC:14) [09:45:46:003]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (DC:40) [09:45:46:010]: Running installation inside multi-package transaction C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi
MSI (s) (DC:40) [09:45:46:010]: Grabbed execution mutex.
MSI (s) (DC:E0) [09:45:46:012]: Resetting cached policy values
MSI (s) (DC:E0) [09:45:46:012]: Machine policy value 'Debug' is 0
MSI (s) (DC:E0) [09:45:46:012]: ******* RunEngine:
           ******* Product: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi
           ******* Action: 
           ******* CommandLine: **********
MSI (s) (DC:E0) [09:45:46:012]: Machine policy value 'DisableUserInstalls' is 0
MSI (s) (DC:E0) [09:45:46:055]: Note: 1: 2203 2: C:\Windows\Installer\inprogressinstallinfo.ipi 3: -2147287038 
MSI (s) (DC:E0) [09:45:46:057]: SRSetRestorePoint skipped for this transaction.
MSI (s) (DC:E0) [09:45:46:061]: File will have security applied from OpCode.
MSI (s) (DC:E0) [09:45:46:087]: SOFTWARE RESTRICTION POLICY: Verifying package --> 'C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi' against software restriction policy
MSI (s) (DC:E0) [09:45:46:087]: SOFTWARE RESTRICTION POLICY: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi has a digital signature
MSI (s) (DC:E0) [09:45:46:261]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (DC:E0) [09:45:46:262]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied.  Counter after decrement: -1
MSI (s) (DC:E0) [09:45:46:263]: SOFTWARE RESTRICTION POLICY: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi is not permitted to run at the 'unrestricted' authorization level.
MSI (s) (DC:E0) [09:45:46:263]: The installation of C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi is not permitted by software restriction policy. The Windows Installer only allows installation of unrestricted items. The authorization level returned by software restriction policy was 0x0 (status return 0x0).

MSI (s) (DC:E0) [09:45:46:263]: Note: 1: 1718 2: C:\Windows\Installer\de178b1.msi 
MSI (s) (DC:E0) [09:45:46:266]: MainEngineThread is returning 1625
MSI (s) (DC:40) [09:45:46:266]: No System Restore sequence number for this installation.
MSI (s) (DC:40) [09:45:46:267]: User policy value 'DisableRollback' is 0
MSI (s) (DC:40) [09:45:46:268]: Machine policy value 'DisableRollback' is 0
MSI (s) (DC:40) [09:45:46:268]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (DC:40) [09:45:46:268]: Note: 1: 1402 2: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Rollback\Scripts 3: 2 
MSI (s) (DC:40) [09:45:46:268]: Note: 1: 1402 2: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Rollback\Scripts 3: 2 
MSI (s) (DC:40) [09:45:46:268]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied.  Counter after decrement: -1
MSI (c) (AC:14) [09:45:46:270]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied.  Counter after decrement: -1
MSI (c) (AC:14) [09:45:46:270]: MainEngineThread is returning 1625
=== Verbose logging stopped: 22/01/2024  09:45:46 ===

Como puede ver, el registro tiende a señalar el error hacia esta sección:

MSI (s) (DC:E0) [09:45:46:263]: SOFTWARE RESTRICTION POLICY: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi is not permitted to run at the 'unrestricted' authorization level.
MSI (s) (DC:E0) [09:45:46:263]: The installation of C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi is not permitted by software restriction policy. The Windows Installer only allows installation of unrestricted items. The authorization level returned by software restriction policy was 0x0 (status return 0x0).

He probado varios enfoques diferentes para esto. Actualmente estoy conectado como cuenta raíz de administrador local, ejecutando el instalador como administrador, etc. He eliminadotodoPolíticas de restricción de software y la carpeta de registro correspondiente. También eliminé todo de AppLocker. También marqué la casilla de verificación Ejecutar para usuarios y no para la cuenta de administrador local en Restricciones de software (aunque ahora está vacía) y reinicié y actualicé el GPO, pero haga lo que haga, esto simplemente no funcionará.

¿Que me estoy perdiendo aqui? ¿Hay algo en GPO que esté provocando que este error se informe incorrectamente? ¿O hay un error en Windows Server 2022 que potencialmente no reconoce que eliminé las políticas de restricción de software?

Solo para agregar, en caso de que sea el problema, el servidor está conectado a Azure Arc.

Cualquier ayuda es muy apreciada.

Respuesta1

De hecho, descubrí el problema. Desafortunadamente, la redacción del mensaje de error es completamente incorrecta y señala al usuario en una búsqueda inútil. No puedo imaginar que alguien más se encuentre en este conjunto único de circunstancias, pero por si acaso, ¡aquí está la solución!

Mi GPO estaba configurado para nunca permitir el bloqueo de las cuentas de administrador, pero el software antivirus/de mantenimiento del servidor podría anularlo si se detecta un intento grave de ataque a la red. Esto significaba que aún se podría iniciar sesión en la cuenta a pesar de estar bloqueada, pero evitaría que se llevaran a cabo acciones administrativas en la cuenta.

Esto se puede resolver verificando que las políticas de GPO y antivirus no compitan y, lo que es más importante, accediendo lmgrusr.mscy desbloqueando cualquier cuenta bloqueada.

información relacionada