Chúng tôi đã tìm thấy một vấn đề khó chịu với một trong các bản cập nhật bảo mật của Microsoft được phát hành vào tháng Bảy. Ý của chúng tôi là KB3170455 phát hành vào ngày 12 tháng 7 năm 2016. Sau khi cài đặt bản cập nhật này, sự cố kết nối máy in mạng có thể xuất hiện trong miền.
Sự cố đã tự biểu hiện như sau:khi cố gắng cài đặt (kết nối) máy in từ Máy chủ in (chạy Windows Server 2008 R2) trên máy khách miền (Windows 10, Windows 7), lỗi sau sẽ xuất hiện:
Một chính sách có hiệu lực trên máy tính của bạn. Chính sách này ngăn bạn kết nối với hàng đợi in này. Vui lòng liên hệ với quản trị viên hệ thống của bạn.
Với một số kiểu máy in, một cảnh báo khác đã xuất hiện khi cố gắng kết nối máy in mạng:
Bạn có tin tưởng máy in này không?Windows cần tải xuống và cài đặt trình điều khiển phần mềm từ máy tính \\ PrintServer_Name để in sang Printer_Name. Chỉ tiếp tục nếu bạn tin tưởng vào \\ PrintServer_Name và mạng
Khi nhấp vào Cài đặt trình điều khiển , cửa sổ UAC xuất hiện nhắc nhập thông tin đăng nhập và mật khẩu quản trị viên. Mặc dù, những người dùng trước đây có thể dễ dàng kết nối các máy in này (chính sách cho phép người dùng thông thường cài đặt trình điều khiển máy in mà không có đặc quyền quản trị).
Sau khi so sánh các bản cập nhật đã cài đặt trên các máy tính gặp sự cố, chúng tôi nhận thấy rằng sự cố xuất hiện trên các máy tính có KB3170455 (MS16-087:Mô tả bản cập nhật bảo mật cho các thành phần bộ đệm in của Windows:12 tháng 7 năm 2016) đã cài đặt bản cập nhật. Thật vậy, sau khi bản cập nhật này bị xóa, các máy in được kết nối đúng cách.
wusa.exe /uninstall /kb:3170455 /quiet /norestart
Nhưng không có gì sai với bản cập nhật, vì nó sửa một lỗ hổng nghiêm trọng nhất định trong bộ đệm in của Windows. Bản cập nhật cũng gợi ý hiển thị cảnh báo nếu người dùng cố gắng cài đặt trình điều khiển máy in không đáng tin cậy hoặc không được ký. Trong Windows 10, bản cập nhật này được tích hợp vào bản cập nhật tích lũy không thể hoàn tác. Vì vậy, bạn sẽ không thể giải quyết vấn đề chỉ bằng cách gỡ cài đặt bản cập nhật.
Bài viết https://support.microsoft.com/en-us/kb/3170005 chỉ định các tiêu chí mà trình điều khiển máy in phải phù hợp để được cài đặt chính xác trên máy khách:
- Trình điều khiển phải được tin cậy (được ký bằng chữ ký số đáng tin cậy)
- Trình điều khiển phải nhận dạng gói (Trình điều khiển in nhận dạng gói). Các trình điều khiển máy in v3 không nhận dạng gói sẽ không thể được cài đặt ở chế độ Hạn chế Điểm và In
Vì vậy, Microsoft khuyến nghị:
- Để thay thế các trình điều khiển trên Máy chủ In cho các trình điều khiển nhận biết gói (V3 nhận biết gói). Bạn có thể tìm hiểu xem liệu trình điều khiển có nhận dạng được gói hay không bằng cách sử dụng Print Manager. Mở phần Trình điều khiển, nếu trình điều khiển nhận biết được gói, nó sẽ có Đúng trạng thái trong Đã đóng gói cột.
Bạn sẽ chỉ phải bật Hạn chế về điểm và in chính sách (trong Cấu hình máy tính> Chính sách> Mẫu quản trị> Máy in và cấu hình người dùng> Chính sách> Mẫu quản trị> Bảng điều khiển> Máy in) và chọn Không hiển thị lời nhắc cảnh báo hoặc nâng cao . Ngoài ra, hãy chỉ định tên FQDN của Máy chủ In đáng tin cậy. - Nếu trình điều khiển đã lỗi thời và không thể cập nhật, bạn nên cài đặt trước chúng trên PC khách. Trong trường hợp này, sẽ không có vấn đề gì với các kết nối máy in.