Назад | Перейти на главную страницу

Почему мой файловый сервер находится в зоне «Интернет»?

Следующий инструкции по настройке файлов .CHM на сетевом диске, при использовании примера 2 - установка MaxAllowedZone - я вижу, что мне нужно поднять его до 3 - Интернет, чтобы файлы CHM работали.

Я бы сделал вывод, что это означает, что моя основная общая сетевая папка на файловом сервере (W2K3) находится в зоне безопасности «Интернет», даже если это должна быть «Локальная интрасеть».

Я подозреваю, что это также является причиной некоторых дополнительных проверок безопасности при копировании файлов или их открытии.

Это настройка Internet Explorer или что-то еще не так? Повлияет ли это, например, открытие файлов с файлового сервера через проводник Windows? Можно ли изменить этот параметр с помощью групповых политик?

Локальная сеть - это домен с Active Directory, работающий на W2K3 SBS, общий файловый ресурс работает на отдельной (виртуализированной) машине на W2K3.

[редактировать] В качестве клиентской ОС используется Windows 7 Ultimate. Другие используемые клиентские ОС - XP Pro, Win 7 Pro и несколько Vistas (которые скоро будут заменены).

Когда вы открываете сетевое расположение (подключенный сетевой диск), отображается ли в строке состояния в проводнике Windows расположение как в зоне Интернета или зоне локальной интрасети? Находится ли файловый сервер в том же сегменте локальной сети, что и клиентский компьютер? Находится ли файловый сервер в том же домене AD, что и сервер SBS?

Вы не говорите, что была за клиентская ОС, только на стороне сервера, поэтому сложно дать очень конкретные инструкции. Кое-что из того, что я предлагаю, может не иметь смысла.

Если вы используете полное доменное имя для доступа к общему ресурсу, оно будет отображаться как Интернет по умолчанию - определение DNS-to-zone довольно упрощенное. Когда он видит точки в названии, он определяет «Интернет-зона». Например, если вы обращаетесь к \ fileserver.domain.com даже с компьютера в domain.com, система помечает его как зону Интернета.

Это также может произойти с DFS - например, с использованием доменной DFS для отправки общих файловых ресурсов клиенту. В этом случае клиент использует \ domain.com в качестве начала UNC-пути для общего ресурса, и это вызовет зону Интернета.

Чтобы проверить это, используйте предложение joeqwerty о поиске в строке состояния. Возможно, вам потребуется включить его в меню «Просмотр», поскольку более поздние версии Windows не включают его по умолчанию.

Однако вы можете изменить это с помощью настроек IE в групповой политике:

http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/63bde102-b822-42a6-8de5-0f364ce7db46

Если вы используете только имя хоста, например \ fileserver, оно должно отображаться в локальной интрасети. Однако имейте в виду, что в IE8 «локальная интрасеть» на самом деле не означает то, что раньше - например, см.

http://blogs.msdn.com/b/askie/archive/2009/02/17/protected-mode-now-disabled-for-the-local-intranet-zone-in-internet-explorer-8.aspx

Так что вы, возможно, и здесь натолкнулись на это.

Я понимаю, что вы спрашиваете о сетевых дисках и проводнике Windows, но основные параметры безопасности для зон совпадают.

Я несколько упрощаю, поскольку есть и другие возможные вещи, и я опускаю некоторые детали очень низкого уровня, но, надеюсь, этого достаточно, чтобы указать вам правильное направление.

Я также должен добавить, что вы можете пометить все UNC-пути как локальную интрасеть, хотя это опасно - я бы не рекомендовал это, даже если это было бы простым исправлением в сценарии «полное имя».