Ошибка «A referral was returned from the server» в Windows — как исправить

TL;DR

Если при установке или запуске приложения Windows появляется ошибка «A referral was returned from the server», чаще всего проблема связана с правами или проверками подписей. Попробуйте запуск от имени администратора, режим совместимости или временно отключить User Account Control (UAC). Если это не помогает, можно отключить проверку PKI и криптографическую проверку подписей через Group Policy и реестр — но только после резервной копии и с учётом рисков.

Важно: отключение UAC и проверок подписи снижает защиту системы. Выполняйте только для доверенных программ и восстанавливайте настройки после установки.

О чём эта инструкция

В статье объясняется, почему возникает ошибка «A referral was returned from the server» при установке или запуске приложений в Windows, и даются пошаговые способы её устранения — от простых до продвинутых. Также вы найдёте варианты отката, список рисков и чек-листы для ролей (пользователь, администратор, служба поддержки).

Короткие определения (в одну строку)

• User Account Control (UAC) — механизм Windows, который ограничивает привилегии процесса до подтверждения пользователя.
• PKI (Public Key Infrastructure) — система проверки цифровых подписей и сертификатов приложений.
• Криптографическая проверка подписи — проверка цифровой подписи исполняемого файла при попытке запуска с повышенными правами.

Почему появляется эта ошибка

Ошибка обычно возникает, когда Windows блокирует запуск или установку приложения из-за отсутствия подписи, несовпадения прав или политики безопасности, требующей валидации подписи у исполняемых файлов, которые запрашивают повышенные привилегии.

Типичные триггеры

• Программа не подписана или подпись повреждена.
• Политики системы требуют валидации подписей (PKI/Security Options).
• Попытка запустить инсталлятор без административных прав.
• UAC блокирует действие для снижения риска выполнения неподписанного кода.

Быстрые и безопасные проверки (попробуйте в первую очередь)

1. Запустите программу как администратор: правый клик → Запуск от имени администратора. Если работает — настройте постоянный запуск с правами администратора.
2. Попробуйте режим совместимости: правый клик на ярлык → Свойства → Совместимость → Запустить программу в режиме совместимости с предыдущей версией Windows.
3. Загрузите программу заново с официального сайта — повреждённый скачанный файл может не запускаться.
4. Временно отключайте UAC только если источник ПО надёжный. После установки включите UAC обратно.

1. Отключение криптографической проверки подписей через реестр (Registry Editor)

Если при запуске проблема возникает для всех программ, можно отключить проверку подписей для интерактивных приложений. Сначала сделайте резервную копию реестра.

Шаги:

1. Нажмите Win + R, введите regedit и нажмите Enter. Подтвердите запрос UAC, если он появляется.
2. В редакторе реестра перейдите по пути:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

3. В правой панели найдите параметр ValidateAdminCodeSignatures и щёлкните правой кнопкой мыши.
4. Выберите Изменить.

5. Установите значение 0 в поле «Данные значения» и нажмите OK.
6. Затем найдите параметр EnableUIADesktopToggle и снова выберите Изменить.

7. Установите значение 0 и нажмите OK.
8. Закройте редактор реестра и перезагрузите компьютер.

После перезагрузки попробуйте снова установить или запустить приложение. Если проблема решена, рекомендуется вернуть значения в реестре к исходным — особенно в продуктивной/рабочей среде.

2. Отключение проверки подписи PKI через Group Policy Editor

На Windows Pro, Education и Enterprise доступен Group Policy Editor (gpedit.msc). Он позволяет отключить политику, которая требует, чтобы исполняемые файлы для повышения прав были подписаны.

1. Нажмите Win + R, введите gpedit.msc и нажмите Enter.
2. Перейдите: Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options.
3. В списке найдите параметр “User Account Control: Only elevate executables that are signed and validated” (Пользовательский контроль учётных записей: повышать привилегии только для подписанных и валидированных исполняемых файлов).
4. Откройте свойства и установите значение Disabled (Отключено), затем нажмите OK.
5. Перезагрузите компьютер.

Note: На Windows Home gpedit.msc по умолчанию недоступен; существуют обходные пути, но они несут дополнительные риски и не рекомендуются для неопытных пользователей.

Когда не стоит отключать UAC и проверку подписи

• На рабочих машинах с доступом к корпоративной сети.
• Если устройство содержит конфиденциальные данные.
• Если вы не уверены в происхождении установочного файла.

Если вы администратор домена, лучше временно создать исключение или воспользоваться центром развертывания приложений (MSI/MSIX) и доверенными сертификатами.

Альтернативные и дополняющие подходы

• Используйте цифровую подпись: подпишите собственный исполняемый файл доверенным сертификатом.
• Создайте локальную политику AppLocker или Controlled Folder Access, которая позволит запуск определённых приложений без снижения глобальной безопасности.
• Установите приложение в среде виртуальной машины или тестовой песочнице, чтобы изолировать влияние.
• Восстановите системные файлы: sfc /scannow и DISM (dism /online /cleanup-image /restorehealth), если проблема связана с повреждением системных компонентов.

Чек-лист перед изменением настроек

• Сделана полная резервная копия важных данных.
• Создана точка восстановления Windows.
• Зарегистрированы текущие значения реестра (экспорт ключей).
• Убедились, что установочный файл получен из надёжного источника.
• План отката готов: как вернуть начальные настройки.

Риски и смягчения (матрица)

Пошаговый плейбук для инженера (SOP)

1. Подтвердить репродукцию ошибки и собрать логи.
2. Проверить подпись исполняемого файла (Right-click → Properties → Digital Signatures).
3. Попробовать запуск от имени администратора и режим совместимости.
4. Если не помогает и приложение доверенное — создать точку восстановления.
5. Отключить временно UAC или PKI-проверку (в порядке: запуск от администратора → режим совместимости → UAC → PKI → реестр).
6. Установить приложение.
7. Вернуть все изменения (включить UAC/PKI обратно).
8. Задокументировать действие и сообщить пользователю/команде.

Инцидентный план отката

1. Если система нестабильна, загрузитесь в безопасном режиме.
2. Восстановите экспортированные ключи реестра двойным щелчком по .reg файлу.
3. Верните значения групповых политик к исходным (в gpedit.msc).
4. Откатите установку приложения через Панель управления → Программы и компоненты.

Критерии приёмки

• Приложение устанавливается или запускается без ошибки «A referral was returned from the server».
• Все изменения безопасности возвращены в исходное состояние после установки (по умолчанию или согласованной политике).
• Проведена проверка целостности системы (sfc /scannow) при необходимости.

Тестовые сценарии (acceptance)

• Установка доверённого инсталлятора после временного отключения PKI должна завершиться успешно.
• Запуск подписанного приложения без изменения политик должен работать корректно.
• После отката настроек UAC и PKI приложение продолжает корректно запускаться (если это безопасно).

Когда описанные методы не помогут — варианты отказа

• Инсталлятор повреждён или модифицирован (проверьте цифровую подпись и хэш).
• В системе действует стороннее средство защиты (антивирус/EDR), блокирующее запуск.
• Приложение требует специфических зависимостей или системных компонентов, которых нет.

Ментальные модели и эвристики

• Сначала проверяйте источник и подпись файла — это быстро и часто определяет проблему.
• Меняйте один параметр за раз и проверяйте эффект — так легче откатить изменения.
• Предпочитайте временные изменения (точка восстановления, экспорт реестра) перед постоянными.

Decision flowchart

flowchart TD
  A[Появилась ошибка] --> B{Пробовал запуск от админа?}
  B -- Нет --> C[Запустить от имени администратора]
  B -- Да --> D{Ошибка сохраняется?}
  D -- Нет --> E[Настроить постоянный запуск как администратор]
  D -- Да --> F{Программа подписана?}
  F -- Да --> G[Проверить антивирус/EDR и зависимости]
  F -- Нет --> H[Проверить источник и хэш]
  H --> I{Доверенный источник?}
  I -- Нет --> J[Не устанавливать]
  I -- Да --> K[Временно отключить UAC; если не помогло — отключить PKI/реестр]
  K --> L[Установить и вернуть настройки]

Роли и обязанности

• Пользователь: предоставляет инсталлятор и описывает шаги, при которых проявляется ошибка.
• Локальный администратор: выполняет проверку подписи, пробует запуск от администратора, создаёт точку восстановления.
• Служба поддержки/системный администратор: применяет изменения в Group Policy/реестре и документирует откат.

FAQ

Q: Надолго ли отключать UAC и PKI?
A: Нет. Выполняйте отключение временно только для установки доверенного ПО, затем возвращайте параметры.

Q: Можно ли применять эти шаги на компьютерах в домене?
A: В доменной среде изменения политик должны согласовываться с администратором домена.

Q: Безопасно ли включать gpedit на Windows Home?
A: Обходные пути могут нарушить систему или безопасность. Лучше временно создать локальную виртуальную машину для установки.

Короткое резюме

• Ошибка часто связана с правами и проверками подписи.
• Попробуйте запуск от имени администратора и режим совместимости.
• Если нужно, временно отключите UAC или PKI/проверку подписей (реестр/gpedit), но сделайте резервную копию и восстановите настройки после установки.

Короткая памятка для соцсети (announcement, 100–200 слов)

Если Windows выдаёт «A referral was returned from the server» при установке или запуске, не паниковать. Сначала попробуйте простые решения: запуск от имени администратора и режим совместимости. Если это не помогает и вы уверены в источнике файла, временно выключите User Account Control или, в средах Pro/Enterprise, отключите проверку PKI через Group Policy. Всегда делайте точку восстановления и экспорт реестра перед изменениями. После установки верните исходные настройки безопасности. Эти шаги помогут установить и запустить приложение, но помните: безопасность важнее удобства — отключайте проверки только для доверенного ПО.