Bug 51016

Summary: Не применяются изменения и не отменяются настройки proxy через групповые политики
Product: Branch p10 Reporter: Murat <sokurov-mz>
Component: gpupdateAssignee: Valery Sinelnikov <greh>
Status: NEW --- QA Contact: qa-p10 <qa-p10>
Severity: critical    
Priority: P5 CC: alimektor
Version: не указана   
Hardware: x86_64   
OS: Linux   

Description Murat 2024-08-01 09:22:23 MSK 
AD на Windows server 2019 с Administrative Templates (.admx) for Windows 10 October 2022 Update (22H2) и admx-basealt-master 0.1.13.6-alt1, ALT Workstation K 10.3 Kernel: Linux 6.1.90-un-def-alt1, версия gpupdate-0.10.6-alt1.noarch.
Настраиваю групповые политики с переменных окружения по данной инструкции https://www.altlinux.org/Групповые_политики/Прокси-сервер , политика при вводе применяется, и настройки приходят на хост, а после внесения изменений в настройки политики proxy, к примеру в исключения NO_PROXY, настройки на хосте не обновляются, пробовал отменять применение политик прокси на контроллере домена, а они постоянно отображаются, в том числе и в кэше висит ID PROXY (/var/cache/samba/gpo_cache/domain/POLICIES/{ID PROXY}) после обновления политик с помощью gpupdate и даже после перезагрузки, настройки которые применились в первый раз так и висят. При просмотре переменных env почему-то записи дублируются, прилетают настройки с заглавными и строчными, не знаю насколько это корректно
$ env | grep PROXY
HTTP_PROXY=pq:3128
FTP_PROXY=pq:3128
NO_PROXY=*.url.ru;<local>
HTTPS_PROXY=pq:3128
$ env | grep proxy
https_proxy=pq:3128
http_proxy=pq:3128
no_proxy=*.url.ru;<local>
ftp_proxy=pq:3128
В инструкции, которую указывал выше ничего не сказано про удаление настроек, а unset удаляет их только до завершения сеанса, а после перезагрузки они снова прилетают.
Comment 1 Murat 2024-08-01 09:29:27 MSK 
Хотел дополнить, в модуле ЦУС никаких  настроек прокси-сервера не производил.
Comment 2 Evgeny Shesteperov 2024-08-13 21:51:15 MSK 
Воспроизводится согласно описанию.

Происходит дублирование (маленькие буквы / большие буквы):

$ env | grep -i proxy
HTTP_PROXY=pq:3128
FTP_PROXY=pq:3128
https_proxy=pq:3128
http_proxy=pq:3128
no_proxy=*.url.ru;<local>
NO_PROXY=*.url.ru;<local>
HTTPS_PROXY=pq:3128
ftp_proxy=pq:3128

Почему-то не удаляет данные в файле:

# cat /etc/gpupdate/environment 
HTTP_PROXY DEFAULT="pq:3128"
FTP_PROXY DEFAULT="pq:3128"
NO_PROXY DEFAULT="*.url.ru;<local>"
HTTPS_PROXY DEFAULT="pq:3128"

Домен Windows 2019 Server

Workaround: удалить файл.

В Sisyphus не проверялось.
Comment 3 Murat 2024-08-14 16:21:17 MSK 
> Workaround: удалить файл.
 
Какай файл удалить и какие нашие дальнейшие действия?
Comment 4 Murat 2024-08-14 17:48:04 MSK 
(Ответ для Murat на комментарий #3)
> > Workaround: удалить файл.
>  
> Какой файл удалить и какие наши дальнейшие действия?

Извиняюсь очень за свои ошибки, жалко нет возможности исправления.
Comment 5 Murat 2024-08-14 18:23:55 MSK 
(Ответ для Evgeny Shesteperov на комментарий #2)
> Воспроизводится согласно описанию.
> 
> Происходит дублирование (маленькие буквы / большие буквы):
> 
> $ env | grep -i proxy
> HTTP_PROXY=pq:3128
> FTP_PROXY=pq:3128
> https_proxy=pq:3128
> http_proxy=pq:3128
> no_proxy=*.url.ru;<local>
> NO_PROXY=*.url.ru;<local>
> HTTPS_PROXY=pq:3128
> ftp_proxy=pq:3128
> 
> Почему-то не удаляет данные в файле:
> 
> # cat /etc/gpupdate/environment 
> HTTP_PROXY DEFAULT="pq:3128"
> FTP_PROXY DEFAULT="pq:3128"
> NO_PROXY DEFAULT="*.url.ru;<local>"
> HTTPS_PROXY DEFAULT="pq:3128"
> 
> Домен Windows 2019 Server
> 
> Workaround: удалить файл.
> 
> В Sisyphus не проверялось.

Почистил путем удаления файла  $HOME/.gpupdate_environment, хорошо бы в документации указать, и было бы хорошо реализовать автоудаление настроек прокси при исключении применения настроек для proxy.
Comment 6 Murat 2024-12-03 14:19:57 MSK 
Сегодня заметили, что пришло обновление gpupdate-0.11.4-alt1.noarch, что оно принесло, да по сути ничего кроме большого количества дубликатов rpm пакетов. Переменная среда как не обновлялась так и не обновляется после внесения изменений, будь это настройки прокси или еще другие записи, также заметил, что в  /var/cache/samba/gpo_cache/domain/POLICIES/{ID PROXY} дата ID PROXY не обновляется в отличие от от большинства остальных политик. Проблемы с дубликатами пока решаем apt-get dedup ом, но иногда тоже не помогает, непонятно откуда столько дубликатов появляется, подключен только один локальный репозиторий. Для обновления переменных по ходу приходится все еще вручную удалять $HOME/.gpupdate_environment.
Comment 7 Murat 2024-12-03 14:28:57 MSK 
Забыл добавить, что при обновлении политик gpupdate начала выходить следующая  ошибка для дефолтной политики 

[user@altwks POLICIES]$ gpupdate 
Apply group policies for computer.
2024-12-03 14:24:19.858|[E00028]| Error merging machine part of GPT|{'gpt': 'Default Domain Policy', 'msg': "'SourceSoftware/Policies/Microsoft/SystemCertificates/EFS'"}

для пользователя без ошибок
Comment 8 Murat 2024-12-13 09:34:26 MSK 
(Ответ для Murat на комментарий #7)
> Забыл добавить, что при обновлении политик gpupdate начала выходить
> следующая  ошибка для дефолтной политики 
> 
> [user@altwks POLICIES]$ gpupdate 
> Apply group policies for computer.
> 2024-12-03 14:24:19.858|[E00028]| Error merging machine part of GPT|{'gpt':
> 'Default Domain Policy', 'msg':
> "'SourceSoftware/Policies/Microsoft/SystemCertificates/EFS'"}
> 
> для пользователя без ошибок

Не понятно, это нормальная картина или нет?
В соответствии с документацией https://www.altlinux.org/Групповые_политики по ошибке E00028	Ошибка слияния машинной части групповой политики.	Необходимо очистить кэш gpupdate.
Мои действия, я чищу
/etc/dconf/db/policy.d/policy.ini
/etc/dconf/db/policy<UID>.d/policy<UID>.ini
/var/cache/samba/gpo_cache/FQND/POLICIES/all_files
rm -f /var/lib/samba/*.tdb
Ошибка не уходит, с предыдущей версией gpupdate 0.10.6 данной ошибки не было.
Я что-то еще упускаю или не то делаю? 
Есть ли вообще какая нибудь схема очистки кэша gpupdate в инфраструктуре с какой нибудь периодичностью или предусмотренная в самом gpupdate?
Comment 9 Murat 2024-12-18 17:01:32 MSK 
Сегодня перепроверил обновление записей с полным откатом своего тестового стенда в исключениях прокси с gpupdate 0.11.4, записи обновляются нормально, на всякий случай перепроверил и на физическом хосте в рабочей среде, все хорошо, приношу свои извинения.

Дубли с заглавной и сточной пока ещё остались
$ env | grep PROXY
HTTP_PROXY=pq:3128
FTP_PROXY=pq:3128
NO_PROXY=*.url.ru;<local>
HTTPS_PROXY=pq:3128
$ env | grep proxy
https_proxy=pq:3128
http_proxy=pq:3128
no_proxy=*.url.ru;<local>
ftp_proxy=pq:3128
и 
[user@altwks POLICIES]$ gpupdate 
Apply group policies for computer.
2024-12-03 14:24:19.858|[E00028]| Error merging machine part of GPT|{'gpt': 'Default Domain Policy', 'msg': "'SourceSoftware/Policies/Microsoft/SystemCertificates/EFS'"}

На работу вроде как не влияют, поэтому на ваше усмотрение можно думаю закрыть проблему.
Comment 10 Murat 2024-12-18 17:45:09 MSK 
Еще один момент упустил, при добавлении в группу пользователя, для которых запрещено применять настройки прокси, настройки прокси не отменяются, пока только ручное удаление $HOME/.gpupdate_environment.