3
Netzlaufwerk Sicherheitswarnung Zonenzuweisung
Ich weiß, das Thema gibt es schon oft, aber ich bekomme nicht die richtige Konfiguration. Es geht um das Öffnen einer .exe-Anwendung vom Netzlaufwerk.
Problem: Sicherheitswarnung beim Öffnen (und damit kann ich keinen Autostart nach Hochfahren machen)
Lösung: Wie immer oft und überall gesagt -> Netzlaufwerk in Zone Intranet via GPO...
Bekomme ich aber nicht zum Laufen. Evtl. liegt es an der Konstellation:
- Share liegt auf einen Windows-Cluster mit 2 Nodes
- Share wird über DFS bereitgestellt
z.B. wäre mein Link zur exe: \\domäne.de\namespace\anwendungsordner\anwendung.exe
Ich habe in der Liste für die Zone alles versucht:
IPs der einzelnen Nodes
IPs der Domänencontroller wegen DFS
IP der Cluster-Dateiserverrolle
Pfade, etc. etc.
Nix funktioniert. Wenn ich zum Test die Internet-Zone in der Stufenanpassung einstelle, damit keine Warnung kommt würde es funktonieren, d.h. der "Ort" wir als Internet erkannt. D.h. für mich auch wenn als lokales Intranet erkannt würde (Zone 1) dann sollte es funktonieren.
Die 3 Haken beim Internet Explorer sind drin, keine automatische Intranet Erkennung, wie oft empfohlen.
Weiß jemand die genaue Syntax bei meiner Konstellation welche ich in die Zonenliste eintragen müsste und welche Adresse/IP??
Der Client (Terminalserver Win2016 in anderen VLAN wie der Fileservercluster!), aber keine Firewall etc. dazwischen, beide Serversysteme in der gleichen Domäne. GPOs ziehen, könnte/kann die gemachten Einträge dann sehen. Aber beim Start der exe kommt immer die Warnung...
Problem: Sicherheitswarnung beim Öffnen (und damit kann ich keinen Autostart nach Hochfahren machen)
Lösung: Wie immer oft und überall gesagt -> Netzlaufwerk in Zone Intranet via GPO...
Bekomme ich aber nicht zum Laufen. Evtl. liegt es an der Konstellation:
- Share liegt auf einen Windows-Cluster mit 2 Nodes
- Share wird über DFS bereitgestellt
z.B. wäre mein Link zur exe: \\domäne.de\namespace\anwendungsordner\anwendung.exe
Ich habe in der Liste für die Zone alles versucht:
IPs der einzelnen Nodes
IPs der Domänencontroller wegen DFS
IP der Cluster-Dateiserverrolle
Pfade, etc. etc.
Nix funktioniert. Wenn ich zum Test die Internet-Zone in der Stufenanpassung einstelle, damit keine Warnung kommt würde es funktonieren, d.h. der "Ort" wir als Internet erkannt. D.h. für mich auch wenn als lokales Intranet erkannt würde (Zone 1) dann sollte es funktonieren.
Die 3 Haken beim Internet Explorer sind drin, keine automatische Intranet Erkennung, wie oft empfohlen.
Weiß jemand die genaue Syntax bei meiner Konstellation welche ich in die Zonenliste eintragen müsste und welche Adresse/IP??
Der Client (Terminalserver Win2016 in anderen VLAN wie der Fileservercluster!), aber keine Firewall etc. dazwischen, beide Serversysteme in der gleichen Domäne. GPOs ziehen, könnte/kann die gemachten Einträge dann sehen. Aber beim Start der exe kommt immer die Warnung...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672314
Url: https://administrator.de/forum/netzlaufwerk-sicherheitswarnung-zonenzuweisung-672314.html
Ausgedruckt am: 06.04.2025 um 14:04 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
zeigt ein nslookup von betroffenen Clients denn direkt auf den/die Server mit dem dfs? Stimmt die DNS-Konfiguration auf den Servern?
Sind die Netzwerkprofile der Server-NICs auf Domäne eingestellt? Ist IPV6 aktiv?
Gibt es eine reverse lookupzone für domäne.de im DNS?
Ist die exe selbst vertrauenswürdig über Rechtsklick eigenschaften?
Wird die Windows-Defender-Firewall verwendet?
Wenn die Anwendung direkt mit dem Autostart laufen soll, könnte es auch sein dass die gpo "Beim login auf Netzwerk warten" gesetzt sein muss. Wie wird der Autostart gemacht per gpo als Aufgabenplanung beim Login oder direkt unter c:\programdata\microsoft\windows\startmenu\autostart\Verknüpfung.lnk?
Sind nur so ein paar Vermutungen, aber vlt hilft es.
Grüße
zeigt ein nslookup von betroffenen Clients denn direkt auf den/die Server mit dem dfs? Stimmt die DNS-Konfiguration auf den Servern?
Sind die Netzwerkprofile der Server-NICs auf Domäne eingestellt? Ist IPV6 aktiv?
Gibt es eine reverse lookupzone für domäne.de im DNS?
Ist die exe selbst vertrauenswürdig über Rechtsklick eigenschaften?
Wird die Windows-Defender-Firewall verwendet?
Wenn die Anwendung direkt mit dem Autostart laufen soll, könnte es auch sein dass die gpo "Beim login auf Netzwerk warten" gesetzt sein muss. Wie wird der Autostart gemacht per gpo als Aufgabenplanung beim Login oder direkt unter c:\programdata\microsoft\windows\startmenu\autostart\Verknüpfung.lnk?
Sind nur so ein paar Vermutungen, aber vlt hilft es.
Grüße
nun kannst du viel spass haben wenn die sachen nicht korrekt konfiguriert hast:
Ich lese raus das du hier über IP Adressen redest.
Das ist schlecht.
Weil du setzt ja auch DFS ein und das ist dann wie du schon mal sagtest mit dem Pfad
\\Domanname.local\......
Dann die Verknüpfungem im DFS die du erstellst, sollten IMMER den FQDN enthalten.
Also Ziel : \\Server1.Domainname.local\Sharename
das ist ein DNS Basiertes system und sollte also nur korrekt genauso betrieben werden.
Wenn du Ziel \\IP-Adresse\Sharename machst hast du ggf. dann hier dann später probleme.
Gleiches gild für nur NS Name Ziel \\Server1\Sharename, das geht zwar vielleicht aber siehe unten noch, dann haste immer individual geschiss
(Oder aktuell)
So und nun zu den Zonen, wenn man alles korrekt eingestellt hat dann sollte man einfach nur
*.domainname.local als Intranet Zone deklarieren und schon geht dann immer alles automatisch.
Wenn du das schon so hast kann man auf File ebene deklarieren \\*.domainname.local
Und generell gilt dann immer das man immer FQDN Namen verwendet um Netzlaufwerke zu verbinden oder DFS Shares etc...
Und wenn du hier irgendwo misch masch hingefrickelt hast, dann liegt da der Hund begraben.
Das ganze am Client kann man per GPOs dann einstellen:
User Configuration >> Administrative Template >> Windows Components >> Internet Explorer >> Internet Control Panel >> Security Page
Dort der Wert: Site to Zone Assignment List
Enabled und Zonen festlegen:
entweder nur DNS Namen eintragen oder \\FQDN
Beispiel:
server1.domainname.local >> für einen Server
*.domainname.local >> für *domainname.local
I92.168.1.2 >> Für IP
\\Servername >> für NS Name Share Verbindung
Wert 1 ist Intranet Zone und Wert 2 ist Vertrauenswürdige SItes.
Ich lese raus das du hier über IP Adressen redest.
Das ist schlecht.
Weil du setzt ja auch DFS ein und das ist dann wie du schon mal sagtest mit dem Pfad
\\Domanname.local\......
Dann die Verknüpfungem im DFS die du erstellst, sollten IMMER den FQDN enthalten.
Also Ziel : \\Server1.Domainname.local\Sharename
das ist ein DNS Basiertes system und sollte also nur korrekt genauso betrieben werden.
Wenn du Ziel \\IP-Adresse\Sharename machst hast du ggf. dann hier dann später probleme.
Gleiches gild für nur NS Name Ziel \\Server1\Sharename, das geht zwar vielleicht aber siehe unten noch, dann haste immer individual geschiss
(Oder aktuell)
So und nun zu den Zonen, wenn man alles korrekt eingestellt hat dann sollte man einfach nur
*.domainname.local als Intranet Zone deklarieren und schon geht dann immer alles automatisch.
Wenn du das schon so hast kann man auf File ebene deklarieren \\*.domainname.local
Und generell gilt dann immer das man immer FQDN Namen verwendet um Netzlaufwerke zu verbinden oder DFS Shares etc...
Und wenn du hier irgendwo misch masch hingefrickelt hast, dann liegt da der Hund begraben.
Das ganze am Client kann man per GPOs dann einstellen:
User Configuration >> Administrative Template >> Windows Components >> Internet Explorer >> Internet Control Panel >> Security Page
Dort der Wert: Site to Zone Assignment List
Enabled und Zonen festlegen:
entweder nur DNS Namen eintragen oder \\FQDN
Beispiel:
server1.domainname.local >> für einen Server
*.domainname.local >> für *domainname.local
I92.168.1.2 >> Für IP
\\Servername >> für NS Name Share Verbindung
Wert 1 ist Intranet Zone und Wert 2 ist Vertrauenswürdige SItes.
Wenn du auf
\\domäne.de\namespace\anwendungsordner\anwendung.exe
zugreifen willst musst du auch
\\domäne.de\namespace\anwendungsordner\anwendung.exe
oder
\\domäne.de\*
als sicher hinterlegen.
Ich meine es gab ein Update vor ~3 Jahren seit dem IP-Adressen in diesem Kontext keinen Effekt mehr haben. Irgendwo hat Microsoft das auch mal geschrieben, ich finde es natürlich nicht mehr. Aber IP-Adressen in der Liste vertrauenswürdiger Speicherorte sollten ignoriert werden.
\\domäne.de\namespace\anwendungsordner\anwendung.exe
zugreifen willst musst du auch
\\domäne.de\namespace\anwendungsordner\anwendung.exe
oder
\\domäne.de\*
als sicher hinterlegen.
Ich meine es gab ein Update vor ~3 Jahren seit dem IP-Adressen in diesem Kontext keinen Effekt mehr haben. Irgendwo hat Microsoft das auch mal geschrieben, ich finde es natürlich nicht mehr. Aber IP-Adressen in der Liste vertrauenswürdiger Speicherorte sollten ignoriert werden.
