none
Nefunkční instalace SW přes politiky

    Dotaz

  • Dobrý den.

    Prosím o radu jak odstranit problém s nefunkčností instalace SW přes politiky na 2003 server.

    Mám práva doménového administrátora, ale nemám práva Enterprise admin a i proto se nedostanu k aktualizacím přes WSUS. Z tohoto důvodu aktualizuji Adobe Flash Player a některé další aktualizace, které nejsou od MS přes doménové politiky z msi balíčků. Aktualizace systému řeší samostatně Enterprise admin přes WSUS z vyšší úrovně domény.

    Po instalaci verze Adobe Flash Player 10.3.183.7 z msi balíčku jsem po gpupdate /force na počítači s W7 dostal tuto informaci


    Aktualizace zásad...
    
    Aktualizace zásady uživatele byla úspěšně dokončena.
    Aktualizace zásady počítače byla úspěšně dokončena.
    
    Při zpracování zásad počítače byla zjištěna následující upozornění:
    
    Klientské rozšíření zásad skupiny Software Installation nemohlo použít jedno nebo více nastavení, protože změny musí být  zpracovány před spuštěním systému nebo přihlášením uživatele. Systém vyčká s úplným dokončením zpracování zásad skupiny
     do příštího spuštění systému nebo přihlášení uživatele, což může vést k pomalému spuštění systému a snížení výkonu při spouštění.
    
    Podrobnější informace naleznete v protokolu událostí nebo z příkazového řádku spusťte program GPRESULT /H GPReport.html. Získáte tak přístup k informacím o výsledcích zásad skupiny.
    
    Jsou zapnuty některé zásady počítače, které lze spustit pouze během spuštění počítače.
    
    Chcete restartovat počítač? (A/N)

    Restart proběhne, ale aktualizace se na stanici s W7 neprovede, na stanici s XP se výzva k restartu vůbec nezobrazí

    - zkontroloval jsem spuštění služby DFS na serveru NT1 a byla spuštěna.
    - podle čísla sysvol jsem našel, že se jedná o politiku, související právě s poslední verzí Adobe Flash Player 
    - politiku s instalací Adobe Flash Player jsem odebral a gpupdate /force už tuto chybu nevypisuje.

    Od té doby nemohu přes politiku nainstalovat prakticky jakýkoliv jiný SW. Vždy to končí popsanou chybou a SW není nainstalován.

    To prakticky proto, že abych otestoval, jestli je problém jen s Flash Player, tak jsem zkusil na svém počítači přes politiku  nainstalovat MsAccessDbViewer - instalace proběhla a nenásledovalo žádné další chybové hlášení při gpupdate. Jako další jsem zkusil instalaci z ISDOCReader-2.0.30_CS.msi a po restartu není reader nainstalován a vypíše se opět chybová hláška. Pokus i instalaci jre1.6.0_29 končí stejnou chybou a jre1.6.0_29 se opět nenainstaluje.

     Děkuji předem za každou radu.



    • Upravený yorgstbk 24. října 2011 9:54
    24. října 2011 9:35

Odpovědi

Všechny reakce

  • No a nechtělo by to se domluvit, aby jsi toho byl schopný? Vždyť není problém různě ta práva delegovat...

    Pokud máš nějaký SW v zásadách počítače, tak se nemůže nainstalovat při přihlášením uživateli...

    24. října 2011 9:38
  • Domluvit to bohužel nejde. Jedná se o velkou společnost s několika tisíci PC a já spravuji jen svých cca 70 PC.

    Druhé větě moc nerozumím.  Zatím jsem jak java runtime, tak flash player ale i další SW přes správu zásad skupiny (konfigurace počítače) instaloval. Zde definovaný SW se pak instaluje standardně při startu PC v případě, že se už zásady aktualizovaly.

    Problém nastal až po instalaci uvedené verze Flash Player. Od té doby si přes správu zásad ani neškrtnu a tyto aktualizace musím instalovat přes psexec a to je řekněme dost divné řešení.

    Byl bych vděčný za postup, jak to opravit. Hledal jsem hledal, ale řešení zatím nenašel.

     

    24. října 2011 9:53
  • 1. Nejnovejsi "apdejt" je 10.3.183.10. Zkousel jste novejsi verzi 11.0.1.152?

    2. Existuje i cesta zpet pres uninstall (uninstall_flash_player.exe) a instalaci nejnovejsi verze. 

    3. Neni uplne jasne, zda kolaps instalaci zpusobila aktualizace AFP, nebo neco jineho. 

    PS: Nemenila se konfigurace autoupdate?
    24. října 2011 12:17
    Moderátor
  • 1. Zkoušel jsem to i dnes s poslední verzí jre-6u-29 i Adobe Flash Player 10.3.183.7  i novější AFP 11.0.1.152. Vždy stejná chyba.
    Stejně dopadnu i s instalací balíčku ISDOCReader-2.0.30_CS a dnes už i s MsAccessDbViewer, kde je stejný problém.

    zásady v části Computer:
    Na Windows7 - vypíše GPUpdate /Force uvedené chybové hlášení s požadavkem na restart, ale nový SW se po restartu nenainstaluje
    Na Windows XP - projde GPUpdate /Force, jako by žádná nová politika neexistovala

    Zásady v části User:
    Test na Windows XP - zakázal jsem na Ploše zobrazení ikon Tento počítač, SÍť a Koš a všechny zmizely

    Z toho usuzuji, že "nějak" blokovaná je jen část Computer. Když tam přidám instalaci jakéhokoliv balíčku, mám problém.

     

    2. Ano, používám, ale nemá to na to vliv. Chyba se objeví při GP update při přítomnosti požadavku na instalaci SW a je jedno, jestli na cílovém PC ten SW je nebo není.

     

    3. Na tu chybu jsem přišel hned 2. den po instalaci AFP, kdy jsem na jednom PC dal "preventivně" gpupdate protože se mi tam nezdálo nastavení v uživaleských politikách a dostal jsem uvedený výsledek, který jsem nečekal. Když jsem přišel na to, že odkaz přes SYSVOL směřuje na AFP, tak jsem politiku zrušil a problém při GPUpdate není vypisován.

     

    ad Nemenila se konfigurace autoupdate? - Můžete tento dotaz trošku rozvést. Nevím, co konkrétně máte na mysli.


    Neexistuje pro GPO úloha něco jako sfc, která by to, co je pokažené "sama" opravila?

    A ještě takový námět spíše ze zoufalství, že nevím, kde hledat. Je poměr ID ABFC2524-2BEA-4FD3-9F0F-64C9A60A0EC0 u politik v úloze Správa zásad skupiny vždy v poměru 1:1 s adresáři v

    c:\WINDOWS\SYSVOL\domain\Policies\{ABFC2524-2BEA-4FD3-9F0F-64C9A60A0EC0}
    c:\WINDOWS\SYSVOL\sysvol\doména\Policies\{ABFC2524-2BEA-4FD3-9F0F-64C9A60A0EC0}


    Tzn. každému objektu v zásadách skupiny musí vždy odpovídat jen jeden pár záznamů v SYSVOL? Ptám se proto, že bych porovnal jestli buď v SYSVOL nebo v zásadách není něco navíc a "to navíc" by mohlo působit problém?

    • Upravený yorgstbk 24. října 2011 14:44
    24. října 2011 14:13
  • 1. Mel jsem na mysli toto

    http://kb2.adobe.com/cps/167/16701594.html

    http://kb2.adobe.com/cps/713/a7138026.html

    2. Podivejte se sem, jsou tu specificke problemy s instalaci pres GPO

    http://technet.microsoft.com/en-us/library/cc785749(WS.10).aspx

    v kapitole

    http://technet.microsoft.com/en-us/library/cc775679(WS.10).aspx

    Tohle je dost rozsahle ale dobre

    http://www.tech-faq.com/troubleshooting-group-policy.html

    3. Mate v GPO tohle? Pokud ne, zkuste doplnit:

     

    • Computer Settings
      • Administrative Templates
        • System
          • Logon
            • Always wait for the network at computer startup and logon - Enabled

       A nasledne sputte prikaz

        gpupdate /force /boot


    24. října 2011 18:54
    Moderátor
  • Děkuji za odpověď.

    Always wait for the network at computer startup and logon nemám standardně konfigurováno. Po povolení končí gpupdate /force /boot  stejnou chybou.

    Teď jsem si všiml, že jsem v úvodním dotazu vypsal jen jeden tvar výpisu chyby. Tvar, ze kterého jsem zjistil, o kterou politiku se jedná, má tento obsah.

     


    Aktualizace zásady uživatele byla úspěšně dokončena.
    Zásady počítače nemohly být úspěšně aktualizovány. Byly zjištěny následující chyby:

    Zpracování zásad skupiny selhalo. Při pokusu o čtení souboru \\doména\SysVol\doména\Policies\{9E564732-5D27-428F-A783-959F320A746E}\gpt.ini z řadiče domény nebyl systém Windows úspěšný. Nastavení zásad skupiny nemůže být použito, dokud nebude tato událost vyřešena. Může se jednat o přechodnou chybu, která může být způsobena jedním nebo více z následujících důvodů:
    a) Překlad IP adres, síťové připojení k aktuálnímu řadiči domény.
    b) Čekací doba služby replikace souborů (soubor vytvořený na jiném řadiči domény nebyl replikován do aktuálního řadiče domény).
    c) Klient DFS byl zakázán.

    Chcete-li selhání diagnostikovat, přečtěte si informace v protokolu událostí nebo z příkazového řádku spusťte program GPRESULT /H GPReport.html. Získáte tak přístup k informacím o výsledcích zásad s 


    Než prostuduji uvedené odkazy, bude to nějakou dobu trvat. Výsledek dám vědět.





    • Upravený yorgstbk 25. října 2011 6:25
    25. října 2011 6:08
  • Máš více doménových řadičů? Používáš DFS-R? To vypadá na chyby s DNS/nevytvořením některých souborů na řadiči.
    25. října 2011 17:15
  • Jedná se o 2003 server. Doménový řadič předpokládám, že je jen jeden. Na druhém serveru jede jen Exchange. Žádné další nadstavby jako je např. SMS nejsou použity.
    26. října 2011 5:17
  • 1. Mozna by bylo dobre spustit 

    netdiag /fix /debug

    Prohlednete si log. 

    Druhym nastrojem, ktery byste mel pouzit pro diagnostiku je dcdiag.

    2. Podivejte se do servisnich a aplikacnich logu (protokoly udalosti).

    3. Je dobre si overit, zda je skutecne jen jeden DC.

    4. Nekdy je pricina v linkovani politiky http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/c6b3becc-c0e7-4eb9-b235-8d1e7024e1b9/

    26. října 2011 8:19
    Moderátor
  • Problém se zdá být s dopomocí enterpise admina vyřešen.

    Na druhém serveru byla služba NTFRS v chybovém stavu.

    • Označen jako odpověď yorgstbk 26. října 2011 11:09
    26. října 2011 11:09