Я настроил терминальный сервер Windows Server 2008 R2 с единственной целью - запускать веб-приложение, которое имеет совершенно нелепые системные требования (IE7, Java 6 update 3, Acrobat 9.5). Это ужасное программное обеспечение, но мы с ним застряли.
Из-за последствий для безопасности, связанных с запуском такого устаревшего программного обеспечения, сервер терминалов изолирован от остальной сети и к нему применена полностью заблокированная групповая политика, поэтому он может запускать только Internet Explorer и может только перейдите к этому URL-адресу. Этот сервер не получает никаких обновлений Windows. Сервер также перезагружается каждую ночь и очищает все профили пользователей.
Для удобства наших пользователей я настроил его для запуска IE как RemoteApp, чтобы он выглядел для пользователя как обычное приложение, которое они дважды щелкают на своем рабочем столе. Раньше это работало нормально, пока в один прекрасный день не прекратилось без какой-либо причины.
Вот симптомы:
Очевидно, это как-то связано с профилем пользователя. Я могу снова сломать его по требованию, очистив профиль вручную. Проблема в том, что я не хочу удалять ночную очистку профиля, потому что позже мы начинаем сталкиваться с проблемами кеширования (именно поэтому очистка профиля была реализована в первую очередь).
Приложение не использует никаких настраиваемых элементов управления ActiveX. Производитель говорит, что запуск его в среде терминального сервера - неподдерживаемая конфигурация (потому что, конечно, они так сказали бы), поэтому они не помогают.
Любые идеи?
Я нашел ответ. У нас есть общий объект групповой политики IE, который мы используем на серверах терминалов, и этот конкретный сервер терминалов имеет собственный блокирующий объект групповой политики IE (для предотвращения просмотра Интернета). В AD сервер находится в собственном контейнере с заблокированным наследованием.
Кто-то пометил общую политику IE как принудительную, которая не только преодолела блокаду наследования, но и сделала ее первой в порядке приоритета. Простое удаление принудительного применения GPO решило проблему.
Не очень полезно для Интернета в целом. Просто разместите это как напоминание о проверке наследования GPO, когда вы сталкиваетесь с шаткими конфигурациями сервера, которые работают один день, а затем внезапно перестают работать на следующий.