Vertrauenswürdige Site im IE auf Terminalserver

erikro
Goto Top
Moin,

ich bin am verzweifeln. Seit Kurzem (seit dem letzten Update?) wird die Hilfe, die eine Anwendung auf dem Terminalserver unbedingt mit dem IE aufmachen will, blockiert.

Der ursprüngliche Plan war (und ist), das über GPOs zu regeln. Also habe ich eine erstellt bzw. den Eintrag zu einer bestehenden hinzugefügt:

ts_ie

So steht es überall in den Anleitungen im Internet. Aber trotzdem bekomme ich beim Aufruf der Hilfe der Anwendung dreimal hintereinander die Meldung, dass die verstärkte Sicherheitskonfiguration Inhalte von http:/127.0.0.1 geblockt werden.

ts_ie2

Die anderen Einträge funktionieren auch nicht auf dem TS. Aber das ist nicht so wichtig, da die nur auf lokalen Installationen benötigt werden. Da funktioniert alles korrekt. Deshalb kann ich auch nicht sagen, ob die da jemals funktioniert haben.

Gpresult sagt, dass die GPO korrekt angewendet wird.

Versuchsweise habe ich die Site als Vertrauenswürdige Site (2) eingetragen. Kein Effekt.

Versuchsweise habe ich die GPO für den TS zurückgenommen (Liste der Site ... Deaktiviert) und die Site händisch eingetragen. Siehe da. Es geht auch nicht. Wenn ich die Site in die Internetoptionen einfüge, dann wird das nicht übernommen. Also ich rufe den Dialog auf, trage die Site in den vertrauenswürdigen Sites ein (oder auch in Intranet) und schließe den Dialog wieder. Die Schaltfläche "Übernehmen" bleibt grau. Öffne ich den Dialog wieder, ist alles wieder leer. Den Usern per GPO das Ändern explizit zu erlauben bzw. das mit Adminrechten zu tun, hat keinerlei Effekt. Alles, was ich eintrage, ist nach dem Schließen wieder weg.

Weiter habe ich versucht mit den entsprechenden GPOs lokale Sites und Domainsites automatisch in die lokale Zone bzw. Intranet einzutragen. Kein Effekt. Die Warnung bleibt.

Gpupdate /force habe ich nach jeder Änderung natürlich ausgeführt und mit gpresult auch geprüft, ob alles korrekt übernommen wurde. Keine Fehlermeldung und alles wurde übernommen.

Ein weiteres Symptom: Öffne ich bei aktiver GPO den Dialog zum Eintrag der vertrauenswürdigen Sites auf dem Client, dann stehen alle Einträge drin. Ändern lässt sich natürlich nichts. Mache ich das Gleiche mit demselben User auf dem TS, dann ist die Liste leer und ebenfalls ausgegraut.

Die verstärkte Sicherheitskonfiguration des IE ist im Servermanager ausgeschaltet. Eigentlich nur für User. Aber versuchsweise habe ich das auch mal für Administratoren ausgeschaltet.

ts_ie4

Seltsamerweise steht in der Übersicht aber weiterhin "Ein".

ts_ie3

Kein weiterer Effekt. Es kann nichts konfiguriert werden. Kurz gesagt: Egal, was ich tue. Ich kann keine Site auf dem Terminalserver als vertrauenswürdig oder im Intranet einfügen. Die Meldung, dass Inhalte blockiert werden, bleibt.

Was mache ich falsch? Muss ich auf einem TS noch irgendwo irgendwas aktivieren oder deaktivieren, dass das geht? Ein Rechteproblem? Aber wo und was?

Umgebung:
Server 2012R2 als DC (virtualisiert auf Hyper-V), Updates aktuell,
Server 2012R2 als Terminalserver (virtualisiert auf Hyper-V), Updates aktuell,
IE 11 so aktuell wie nur geht, kann leider nicht geändert werden, Anwendung nimmt den automatisch,
Client Windows 10 1903 auch aktuell (aber der Client sollte da ja keine Rolle spielen; auf dem geht es ja).

Ich hoffe, ich habe nichts vergessen.

Liebe Grüße

Erik

Content-Key: 625622

Url: https://administrator.de/contentid/625622

Ausgedruckt am: 16.08.2022 um 15:08 Uhr

Mitglied: Doskias
Doskias 26.11.2020 um 12:01:20 Uhr
Goto Top
Also zunächst zum "einfachen".

Die Übersicht aktualisiert sich nicht automatisch. Das musst du händisch machen und dann sollte da auch aus stehen, wenn du das so konfigurierst wie in deinem Bild.

Zum anderen: Vertrauenswürdige Seiten hat nichts mit dem verstärkten Sicherheitskonfigurationen zu tun. Die verstärkten Sicherheitseinstellungen greifen einen kleinen Tick vorher.

Jetzt zu den Verständnisproblemen:

Zitat von @erikro:
Ein weiteres Symptom: Öffne ich bei aktiver GPO den Dialog zum Eintrag der vertrauenswürdigen Sites auf dem Client, dann stehen alle Einträge drin. Ändern lässt sich natürlich nichts. Mache ich das Gleiche mit demselben User auf dem TS, dann ist die Liste leer und ebenfalls ausgegraut.

Wird die GPO auf den Cleints denn ausgeführt? Du sprichst von einem Terminalserver und dann auf einmal von Clients. Clients sind erstmal prinzipiell egal, wenn es um TS Probleme geht, es sei denn es gibt hier definitiv die gleichen GPOs. Allerdings ist bei einem TS oft der Loopbackverarbeitungsmodus aktiviert was zu unterschiedlichen Ergebnissen für. Was sagt denn die Gruppenrichtlinienmodellierung vom DC? Werden deine Einträge verteilt?

Geht das öffne n auf dem TS generell mit einem anderen Browser?

Gruß
Doskias
Mitglied: 146707
146707 26.11.2020 aktualisiert um 12:53:41 Uhr
Goto Top
Bei aktivierte ESC im IE müssen die Ausnahmen stattdessen hier eingetragen werden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains
bzw.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains

Registrierungseinträge für Internet Explorer-Sicherheitszonen für fortgeschrittene Benutzer
Mitglied: erikro
erikro 26.11.2020 um 13:26:33 Uhr
Goto Top
Moin,

Zitat von @Doskias:

Also zunächst zum "einfachen".

Die Übersicht aktualisiert sich nicht automatisch.

Welche Übersicht meinst Du?

Zum anderen: Vertrauenswürdige Seiten hat nichts mit dem verstärkten Sicherheitskonfigurationen zu tun. Die verstärkten Sicherheitseinstellungen greifen einen kleinen Tick vorher.


Ja. Aber bisher hat es ja immer geklappt, wenn man die Sites in die vertrauenswürdigen Sites aufgenommen hat. So steht es ja auch in der Warnmeldung.

Jetzt zu den Verständnisproblemen:

Zitat von @erikro:
Ein weiteres Symptom: Öffne ich bei aktiver GPO den Dialog zum Eintrag der vertrauenswürdigen Sites auf dem Client, dann stehen alle Einträge drin. Ändern lässt sich natürlich nichts. Mache ich das Gleiche mit demselben User auf dem TS, dann ist die Liste leer und ebenfalls ausgegraut.

Wird die GPO auf den Cleints denn ausgeführt?

Ja. Dieselbe GPO.

Du sprichst von einem Terminalserver und dann auf einmal von Clients. Clients sind erstmal prinzipiell egal, wenn es um TS Probleme geht, es sei denn es gibt hier definitiv die gleichen GPOs.

Deshalb die Bemerkung mit den Clients. Dieselbe GPO wird dort angewendet und funktioniert dort ohne Probleme. Damit ist eine Fehlkonfiguration der GPO ausgeschlossen.

Allerdings ist bei einem TS oft der Loopbackverarbeitungsmodus aktiviert was zu unterschiedlichen Ergebnissen für.

Es gibt keinen Loopback. Mit Sicherheit nicht. Die GPOs sind alle von mir. Außerdem wäre das hier auch irrelevant, da Einstellungen zu den Sicherheitszonen in der Computerkonfiguration Vorrang vor denen in der Benutzerkonfiguration haben.

Was sagt denn die Gruppenrichtlinienmodellierung vom DC? Werden deine Einträge verteilt?

Ja. Sowohl gpresult auf dem Client als auch die Gruppenrichtlinienverwaltung (Ergebnisse und Modellierung) sagen, dass die GPOs korrekt angewendet werden.

Geht das öffne n auf dem TS generell mit einem anderen Browser?

Ja. Bei der Hilfe kann ich das nicht prüfen, da die den IE leider ohne Adresszeile öffnet und mir nicht verraten will, wie die Seiten heißen. Öffne ich aber eine Seite einer anderen Site, die in den vertrauenswürdigen steht, im FF, dann geht alles ohne Probleme.

Liebe Grüße

Erik
Mitglied: erikro
erikro 26.11.2020 um 13:29:14 Uhr
Goto Top
Moin,

Zitat von @146707:

Bei aktivierte ESC im IE müssen die Ausnahmen stattdessen hier eingetragen werden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains
bzw.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains

Danke für den Hinweis. Aber ESC ist ja eigentlich ausgeschaltet. Es ging ja auch bis vor ca. drei Wochen. Dann ging der Kollege in den Urlaub. Nun ist er wieder da und es geht nicht mehr. Daher ja auch mein Verdacht, dass das letzte Update das verursacht hat. Das wurde während seines Urlaubs eingespielt.

Liebe Grüße

Erik
Mitglied: 146707
Lösung 146707 26.11.2020 aktualisiert um 15:11:14 Uhr
Goto Top
Zitat von @erikro:
Danke für den Hinweis. Aber ESC ist ja eigentlich ausgeschaltet.
Der Warn-Dialog sagt aber was anderes.
Es ging ja auch bis vor ca. drei Wochen. Dann ging der Kollege in den Urlaub. Nun ist er wieder da und es geht nicht mehr. Daher ja auch mein Verdacht, dass das letzte Update das verursacht hat. Das wurde während seines Urlaubs eingespielt.
Kannst du mit einer Kopie eures Backups im Lab in ner VM ja schnell auf eigene Faust feststellen.
Mitglied: erikro
erikro 26.11.2020 um 15:33:16 Uhr
Goto Top
Zitat von @146707:

Zitat von @erikro:
Danke für den Hinweis. Aber ESC ist ja eigentlich ausgeschaltet.
Der Warn-Dialog sagt aber was anderes.

Das ist ja eines der Dinge bzw. das zentrale Ding, das mich dabei wundert. Der Dialog sagt, ich habe das ausgeschaltet. Die Übersicht im Servermanager sagt, dass es an ist.

Es ging ja auch bis vor ca. drei Wochen. Dann ging der Kollege in den Urlaub. Nun ist er wieder da und es geht nicht mehr. Daher ja auch mein Verdacht, dass das letzte Update das verursacht hat. Das wurde während seines Urlaubs eingespielt.
Kannst du mit einer Kopie eures Backups im Lab in ner VM ja schnell auf eigene Faust feststellen.

Leider nein. Denn die Anwendung greift auf einen externen Lizenzserver zu, der den Start verweigern würde. Und da es sich um einen 24/7-Betrieb handelt, kann ich den Produktivserver nie abschalten. face-sad
Mitglied: 146707
146707 26.11.2020 aktualisiert um 15:42:17 Uhr
Goto Top
Zitat von @erikro:
Das ist ja eines der Dinge bzw. das zentrale Ding, das mich dabei wundert. Der Dialog sagt, ich habe das ausgeschaltet. Die Übersicht im Servermanager sagt, dass es an ist.
Ich meinte eigentlich den anderen Dialog.
Prüfe deine GPOs die könnten dir den Modus überschreiben.
Leider nein. Denn die Anwendung greift auf einen externen Lizenzserver zu, der den Start verweigern würde. Und da es sich um einen 24/7-Betrieb handelt, kann ich den Produktivserver nie abschalten. face-sad
Ihr macht von einem Produktiv-Server keine Backups vor Windows Updates? Mit dem Image lässt sich schön ne VM aufsetzen. Für das Testen braucht man die Anwendung ja gar nicht starten, es reicht ja eine Webseite so im IE aufzurufen, ist ja das gleiche Verhalten.
Mitglied: erikro
erikro 26.11.2020 um 16:01:01 Uhr
Goto Top
Zitat von @146707:
Ihr macht von einem Produktiv-Server keine Backups vor Windows Updates?

Klar machen wir das. So war das nicht gemeint. face-wink

Mit dem Image lässt sich schön ne VM aufsetzen. Für das Testen braucht man die Anwendung ja gar nicht starten, es reicht ja eine Webseite so im IE aufzurufen, ist ja das gleiche Verhalten.

Das ist das Problem. Die Anwendung startet unter anderem den Webserver, der die Hilfe zur Verfügung stellt. Insofern ist das so einfach nicht. face-wink
Mitglied: erikro
erikro 26.11.2020 aktualisiert um 16:46:21 Uhr
Goto Top
Moin,

Zitat von @146707:

Zitat von @erikro:
Danke für den Hinweis. Aber ESC ist ja eigentlich ausgeschaltet.
Der Warn-Dialog sagt aber was anderes.

Das war der entscheidende Hinweis. Irgendwas wurde da was von MS geändert. Hier bekam ich dann noch den anderen Hinweis, der zur Lösung führte:
https://docs.microsoft.com/de-de/troubleshoot/browsers/enhanced-security ...

Allerdings ist das nun vollkommen verrückt. Den Wert IEHArden gibt es nicht nur in dem angegebenen Schlüssel, sondern auch in


Also habe ich den auf 0 gesetzt. Siehe da. Der Servermanager zeigte nun auch brav an, dass ESC aus ist. User neu angemeldet und nix war's. Ging nicht. Hmmm. Also den Key beim User gesucht. Der Wert steht wieder auf 1. Das hatte ich vorher doch geändert. Also nochmal ändern. Geht.

User neu angemeldet. Geht wieder nicht. Wat? Wie das? Nochmal. Neu anmelden. Wieder zurückgesetzt. Also alle GPOs durchgeguckt. Nichts dergleichen ist konfiguriert. Hätte mich auch gewundert. An den GPOs war noch nie jemand anderes dran außer ich. Und ich dokumentiere jeden Furz, den ich lasse. face-wink

Dann habe ich einfach mal das gemacht, was unter dem o. g. Link von MS vorgeschlagen wird. Und siehe da. Jetzt geht es auch nach einer Neuanmeldung. Ich hoffe, das überlebt auch einen Neustart und das nächste Update. face-wink

Liebe Grüße

Erik