소프트웨어 제한 정책으로 인해 SQL Server 설치가 실패했지만 서버에 정책이 없습니까?

tag-icon tag-icon windows sql-server group-policy installation windows-server-2022
소프트웨어 제한 정책으로 인해 SQL Server 설치가 실패했지만 서버에 정책이 없습니까?

Windows Server 2022에 SQL Server Express 2022를 설치하려고 합니다.

Windows 서버를 설정할 때 실행 파일 및 msi 파일 설치를 방지하기 위한 소프트웨어 제한 정책을 추가했습니다. 또한 AppLocker에 몇 가지 제한 사항을 추가했습니다.

무엇을 시도해도 SQL Server 2022(또는 19)를 설치하려고 하면 앱이 두 영역에서 지속적으로 실패합니다.

  1. 다음과 같은 내용이 중간에 팝업 메시지가 나타납니다. 다음 오류가 발생했습니다. 파일 <%localpath%>/msoledbsql.msi가 디지털 서명 정책에 의해 거부되었습니다. .msi 파일을 알리는 오류 메시지가 디지털 서명 정책에 의해 거부되었습니다.

  2. 아래 메시지와 함께 잠시 계속한 후 나중에 설치가 실패합니다.이 설치는 시스템 정책에 의해 금지되어 있습니다. 시스템 관리자에게 문의하세요. 설치 실패 오류 메시지는 시스템 정책에 의해 프로세스가 금지되어 있음을 알리는 것입니다.

아래에 포함된 로그 파일을 알려줍니다.

=== Verbose logging started: 22/01/2024  09:45:45  Build type: SHIP UNICODE 5.00.10011.00  Calling process: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\x64\ScenarioEngine.exe ===
MSI (c) (AC:14) [09:45:46:000]: Resetting cached policy values
MSI (c) (AC:14) [09:45:46:000]: Machine policy value 'Debug' is 0
MSI (c) (AC:14) [09:45:46:000]: ******* RunEngine:
           ******* Product: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi
           ******* Action: 
           ******* CommandLine: **********
MSI (c) (AC:14) [09:45:46:001]: Client-side and UI is none or basic: Running entire install on the server.
MSI (c) (AC:14) [09:45:46:002]: Grabbed execution mutex.
MSI (c) (AC:14) [09:45:46:003]: Cloaking enabled.
MSI (c) (AC:14) [09:45:46:003]: Attempting to enable all disabled privileges before calling Install on Server
MSI (c) (AC:14) [09:45:46:003]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (DC:40) [09:45:46:010]: Running installation inside multi-package transaction C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi
MSI (s) (DC:40) [09:45:46:010]: Grabbed execution mutex.
MSI (s) (DC:E0) [09:45:46:012]: Resetting cached policy values
MSI (s) (DC:E0) [09:45:46:012]: Machine policy value 'Debug' is 0
MSI (s) (DC:E0) [09:45:46:012]: ******* RunEngine:
           ******* Product: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi
           ******* Action: 
           ******* CommandLine: **********
MSI (s) (DC:E0) [09:45:46:012]: Machine policy value 'DisableUserInstalls' is 0
MSI (s) (DC:E0) [09:45:46:055]: Note: 1: 2203 2: C:\Windows\Installer\inprogressinstallinfo.ipi 3: -2147287038 
MSI (s) (DC:E0) [09:45:46:057]: SRSetRestorePoint skipped for this transaction.
MSI (s) (DC:E0) [09:45:46:061]: File will have security applied from OpCode.
MSI (s) (DC:E0) [09:45:46:087]: SOFTWARE RESTRICTION POLICY: Verifying package --> 'C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi' against software restriction policy
MSI (s) (DC:E0) [09:45:46:087]: SOFTWARE RESTRICTION POLICY: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi has a digital signature
MSI (s) (DC:E0) [09:45:46:261]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (DC:E0) [09:45:46:262]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied.  Counter after decrement: -1
MSI (s) (DC:E0) [09:45:46:263]: SOFTWARE RESTRICTION POLICY: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi is not permitted to run at the 'unrestricted' authorization level.
MSI (s) (DC:E0) [09:45:46:263]: The installation of C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi is not permitted by software restriction policy. The Windows Installer only allows installation of unrestricted items. The authorization level returned by software restriction policy was 0x0 (status return 0x0).

MSI (s) (DC:E0) [09:45:46:263]: Note: 1: 1718 2: C:\Windows\Installer\de178b1.msi 
MSI (s) (DC:E0) [09:45:46:266]: MainEngineThread is returning 1625
MSI (s) (DC:40) [09:45:46:266]: No System Restore sequence number for this installation.
MSI (s) (DC:40) [09:45:46:267]: User policy value 'DisableRollback' is 0
MSI (s) (DC:40) [09:45:46:268]: Machine policy value 'DisableRollback' is 0
MSI (s) (DC:40) [09:45:46:268]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (DC:40) [09:45:46:268]: Note: 1: 1402 2: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Rollback\Scripts 3: 2 
MSI (s) (DC:40) [09:45:46:268]: Note: 1: 1402 2: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Rollback\Scripts 3: 2 
MSI (s) (DC:40) [09:45:46:268]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied.  Counter after decrement: -1
MSI (c) (AC:14) [09:45:46:270]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied.  Counter after decrement: -1
MSI (c) (AC:14) [09:45:46:270]: MainEngineThread is returning 1625
=== Verbose logging stopped: 22/01/2024  09:45:46 ===

보시다시피 로그는 이 섹션에 대한 실패를 가리키는 경향이 있습니다.

MSI (s) (DC:E0) [09:45:46:263]: SOFTWARE RESTRICTION POLICY: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi is not permitted to run at the 'unrestricted' authorization level.
MSI (s) (DC:E0) [09:45:46:263]: The installation of C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi is not permitted by software restriction policy. The Windows Installer only allows installation of unrestricted items. The authorization level returned by software restriction policy was 0x0 (status return 0x0).

나는 이것에 대해 다양한 접근 방식을 시도했습니다. 현재 로컬 관리자 루트 계정으로 로그온하여 관리자 등으로 설치 프로그램을 실행하고 있습니다. 삭제했습니다.모두소프트웨어 제한 정책 및 이에 대한 레지스트리 폴더. 또한 AppLocker에서 모든 것을 제거했습니다. 또한 소프트웨어 제한(지금은 비어 있지만)에서 로컬 관리자 계정이 아닌 사용자에 대해 실행 확인란을 선택하고 GPO를 재부팅하고 새로 고쳤지만 무엇을 시도해도 작동하지 않습니다.

내가 여기서 무엇을 놓치고 있는 걸까요? 이 실패가 잘못 보고되는 원인이 GPO에 있습니까? 아니면 Windows Server 2022에 소프트웨어 제한 정책이 제거되었음을 인식하지 못하는 버그가 있습니까?

추가하자면 문제가 있는 경우를 대비해 서버가 Azure Arc에 연결되어 있습니다.

어떤 도움이라도 대단히 감사하겠습니다.

답변1

실제로 문제를 발견했습니다. 불행하게도 오류 메시지의 표현은 완전히 부정확하며 사용자가 엉뚱한 상황에 빠지게 만듭니다. 다른 사람이 이런 독특한 상황에 처하게 될 것이라고는 상상할 수 없지만, 만약을 대비해 해결책이 있습니다!

내 GPO는 관리자 계정이 잠기지 않도록 설정되어 있지만 서버 바이러스 백신/유지 관리 소프트웨어는 심각한 네트워크 공격 시도가 감지되면 이를 무시할 수 있습니다. 이는 계정이 잠겨 있어도 계속 로그인할 수 있지만 계정에 대한 관리 작업이 수행되는 것을 방지한다는 의미입니다.

이 문제는 GPO와 바이러스 백신 정책이 경쟁하지 않는지 확인하고, 중요한 것은 lmgrusr.msc잠긴 계정으로 이동하여 잠금을 해제함으로써 해결할 수 있습니다.

관련 정보