Falha na instalação do SQL Server devido à Política de Restrição de Software - mas não existe nenhuma política no servidor?

tag-icon tag-icon windows sql-server group-policy installation windows-server-2022
Falha na instalação do SQL Server devido à Política de Restrição de Software - mas não existe nenhuma política no servidor?

Estou tentando instalar o SQL Server Express 2022 no Windows Server 2022.

Ao configurar o servidor Windows, adicionei uma Política de Restrição de Software para impedir a instalação de arquivos executáveis ​​e msi. Também adicionei algumas restrições ao AppLocker.

Não importa o que eu tente, ao tentar instalar o SQL Server 2022 (ou 19), o aplicativo falha constantemente em duas áreas.

  1. Uma mensagem pop-up aparece no meio dizendo o seguinte: Ocorreu o seguinte erro. O arquivo <%localpath%>/msoledbsql.msi foi rejeitado pela política de assinatura digital. Mensagem de erro informando que um arquivo .msi foi rejeitado pela política de assinatura digital.

  2. A instalação falha posteriormente após continuar brevemente com a mensagem abaixo:Esta instalação é proibida pela política do sistema. Entre em contato com o administrador do sistema. O processo de aviso de mensagem de erro de falha na instalação é proibido pela política do sistema.

Ele me aponta para um arquivo de log, que incluí abaixo:

=== Verbose logging started: 22/01/2024  09:45:45  Build type: SHIP UNICODE 5.00.10011.00  Calling process: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\x64\ScenarioEngine.exe ===
MSI (c) (AC:14) [09:45:46:000]: Resetting cached policy values
MSI (c) (AC:14) [09:45:46:000]: Machine policy value 'Debug' is 0
MSI (c) (AC:14) [09:45:46:000]: ******* RunEngine:
           ******* Product: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi
           ******* Action: 
           ******* CommandLine: **********
MSI (c) (AC:14) [09:45:46:001]: Client-side and UI is none or basic: Running entire install on the server.
MSI (c) (AC:14) [09:45:46:002]: Grabbed execution mutex.
MSI (c) (AC:14) [09:45:46:003]: Cloaking enabled.
MSI (c) (AC:14) [09:45:46:003]: Attempting to enable all disabled privileges before calling Install on Server
MSI (c) (AC:14) [09:45:46:003]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (DC:40) [09:45:46:010]: Running installation inside multi-package transaction C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi
MSI (s) (DC:40) [09:45:46:010]: Grabbed execution mutex.
MSI (s) (DC:E0) [09:45:46:012]: Resetting cached policy values
MSI (s) (DC:E0) [09:45:46:012]: Machine policy value 'Debug' is 0
MSI (s) (DC:E0) [09:45:46:012]: ******* RunEngine:
           ******* Product: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi
           ******* Action: 
           ******* CommandLine: **********
MSI (s) (DC:E0) [09:45:46:012]: Machine policy value 'DisableUserInstalls' is 0
MSI (s) (DC:E0) [09:45:46:055]: Note: 1: 2203 2: C:\Windows\Installer\inprogressinstallinfo.ipi 3: -2147287038 
MSI (s) (DC:E0) [09:45:46:057]: SRSetRestorePoint skipped for this transaction.
MSI (s) (DC:E0) [09:45:46:061]: File will have security applied from OpCode.
MSI (s) (DC:E0) [09:45:46:087]: SOFTWARE RESTRICTION POLICY: Verifying package --> 'C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi' against software restriction policy
MSI (s) (DC:E0) [09:45:46:087]: SOFTWARE RESTRICTION POLICY: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi has a digital signature
MSI (s) (DC:E0) [09:45:46:261]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (DC:E0) [09:45:46:262]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied.  Counter after decrement: -1
MSI (s) (DC:E0) [09:45:46:263]: SOFTWARE RESTRICTION POLICY: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi is not permitted to run at the 'unrestricted' authorization level.
MSI (s) (DC:E0) [09:45:46:263]: The installation of C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi is not permitted by software restriction policy. The Windows Installer only allows installation of unrestricted items. The authorization level returned by software restriction policy was 0x0 (status return 0x0).

MSI (s) (DC:E0) [09:45:46:263]: Note: 1: 1718 2: C:\Windows\Installer\de178b1.msi 
MSI (s) (DC:E0) [09:45:46:266]: MainEngineThread is returning 1625
MSI (s) (DC:40) [09:45:46:266]: No System Restore sequence number for this installation.
MSI (s) (DC:40) [09:45:46:267]: User policy value 'DisableRollback' is 0
MSI (s) (DC:40) [09:45:46:268]: Machine policy value 'DisableRollback' is 0
MSI (s) (DC:40) [09:45:46:268]: Incrementing counter to disable shutdown. Counter after increment: 0
MSI (s) (DC:40) [09:45:46:268]: Note: 1: 1402 2: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Rollback\Scripts 3: 2 
MSI (s) (DC:40) [09:45:46:268]: Note: 1: 1402 2: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Rollback\Scripts 3: 2 
MSI (s) (DC:40) [09:45:46:268]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied.  Counter after decrement: -1
MSI (c) (AC:14) [09:45:46:270]: Decrementing counter to disable shutdown. If counter >= 0, shutdown will be denied.  Counter after decrement: -1
MSI (c) (AC:14) [09:45:46:270]: MainEngineThread is returning 1625
=== Verbose logging stopped: 22/01/2024  09:45:46 ===

Como você pode ver, o log tende a apontar a falha para esta seção:

MSI (s) (DC:E0) [09:45:46:263]: SOFTWARE RESTRICTION POLICY: C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi is not permitted to run at the 'unrestricted' authorization level.
MSI (s) (DC:E0) [09:45:46:263]: The installation of C:\ProgramData\Plesk\Installer\SQL2022EXPRADV_x64_ENU\1033_ENU_LP\x64\setup\SqlSupport.msi is not permitted by software restriction policy. The Windows Installer only allows installation of unrestricted items. The authorization level returned by software restriction policy was 0x0 (status return 0x0).

Eu tentei várias abordagens diferentes para isso. No momento, estou conectado como conta raiz do Administrador local, executando o instalador como Administrador, etc.todosPolíticas de restrição de software e a pasta de registro para elas. Também removi tudo do AppLocker. Também marquei a caixa de seleção Executar para usuários e não para conta de administrador local em Restrições de software (embora agora vazia) e reiniciei e atualizei o GPO, mas o que quer que eu tente, isso simplesmente não funcionará.

O que estou perdendo aqui? Há algo no GPO que está causando essa falha no relatório incorreto? Ou há um bug no Windows Server 2022 que potencialmente não reconhece que removi as Políticas de Restrição de Software?

Só para acrescentar, caso seja esse o problema, o servidor está conectado ao Azure Arc.

Qualquer ajuda muito apreciada.

Responder1

Na verdade, descobri o problema. Infelizmente, o texto da mensagem de erro está completamente incorreto e sinaliza ao usuário uma busca inútil. Não consigo imaginar que mais alguém se encontre neste conjunto único de circunstâncias, mas, por precaução, aqui está a solução!

Meu GPO foi configurado para nunca permitir o bloqueio de contas de administrador, mas o software antivírus/manutenção do servidor pode substituir isso se uma tentativa grave de ataque à rede for detectada. Isso significava que a conta ainda poderia ser conectada apesar de estar bloqueada, mas impediria que quaisquer ações administrativas ocorressem na conta.

Isso pode ser resolvido verificando se as políticas de GPO e antivírus não competem e, o que é mais importante, acessando lmgrusr.msce desbloqueando quaisquer contas bloqueadas.

informação relacionada