Windows failed to apply the internet explorer zonemapping settings internet explorer

Добрый день! Уважаемые читатели и гости крупного IT блога Pyatilistnik.org. В прошлый раз мы с вами научились узнавать IP-адрес у различных операционных систем. Сегодняшняя публикация снова будет посвящена терминальным столам и RDS фермам, на которых вы можете встретить ошибку групповой политики с кодом события ID 1085, где не удалось применить параметры Internet Explorer Zonemapping. Давайте разбираться, что это такое и для чего необходимо, а главное, как поправить, чтобы ошибка не появлялась.

Что такое Internet Explorer Zonemapping

Internet Explorer Zonemapping — это зоны безопасности в браузере Internet Explorer, которые используются для понимания уровня отношения к тому или иному сайту. Этот параметр политики позволяет управлять списком сайтов, которые вы хотите связать с определенной зоной безопасности. Эти номера зон имеют соответствующие параметры безопасности, которые применяются ко всем сайтам в зоне.

Internet Explorer имеет 4 зоны безопасности, пронумерованные от 1 до 4, и они используются этим параметром политики для привязки сайтов к зонам.

• (1) зона интрасети (Местная интрасеть)
• (2) зона доверенных сайтов (Надежные узлы)
• (3) интернет-зона (Интернет)
• (4) зона ограниченных сайтов (Опасные сайты)

Параметры безопасности могут быть установлены для каждой из этих зон с помощью других параметров политики, и их параметры по умолчанию: зона надежных сайтов (низкий уровень), зона интрасети (средний-низкий уровень), интернет-зона (средний уровень) и зона ограниченных сайтов ( Высокий уровень). (Зона «Локальный компьютер» и ее заблокированный эквивалент имеют специальные параметры безопасности, защищающие ваш локальный компьютер.)

Если вы включите этот параметр политики, вы можете ввести список сайтов и номера соответствующих зон. Связывание сайта с зоной гарантирует, что параметры безопасности для указанной зоны будут применены к сайту. Для каждой записи, которую вы добавляете в список, введите следующую информацию, это имя сайта и номер зоны. Если вы настраиваете это список через групповые политики и делаете ошибку в синтаксисе ее заполнения, то вы легко можете у себя в системе, в моем случае на RDS ферме встречать предупреждение:

Первым делом необходимо понять, какая групповая политика изменяет данную настройку. Для этого вам необходимо открыть журнал событий Windows и перейти в журнал Microsoft-Windows-GroupPolicy, напоминаю, что мы его уже использовали при долго висящей политике Microsoft Disk Quota. Открыв журнал Microsoft-Windows-GroupPolicy-Operational найдите там событие с кодом 4016.

Обратите внимание, что тут сразу пишется в каком объекте групповой политики находится данная настройка. Если хотите перепроверить и найти ее по GUID, то выберите вкладку «Подробности». Тут вы увидите GUID расширения, имя GPO и GUID, который кстати можете поискать.

Так же отфильтровав журнал вы можете обнаружить ошибку с кодом 7016:

Забыл отметить, что если посмотреть в ошибке 1085 на вкладке «Подробности» на поле ErrorDescription, то там увидите ошибку в виде «Недопустимых данных«. Это означает, что у вас неправильные записи в данной политики.

Правильная настройка политики Internet Explorer Zonemapping

Чтобы ваши журналы не забивались ошибками с кодом 1085 необходимо правильно настроить групповую политику или локальные настройки Internet Explorer. Откройте оснастку управление групповой политикой (gpmc.msc). Перейдите к изменений той групповой политики, через которую у вас настраиваются списки сайтов для зон internet Explorer. Найдите политику:

Включаем политику «Список назначений зоны для веб-сайтов» и нажимаем кнопку «Показать». У вас появится окно редактора в котором нужно писать адрес сайта и номер зоны, напомню еще раз цифры соответствующие зонам:

• (1) зона интрасети (Местная интрасеть)
• (2) зона доверенных сайтов (Надежные узлы)
• (3) интернет-зона (Интернет)
• (4) зона ограниченных сайтов (Опасные сайты)

При вводе данных в редакторе групповой политики нет ни синтаксиса, ни логической проверки ошибок. Затем это выполняется на самом клиенте, когда расширение групповой политики «Internet Explorer Zonemapping» преобразует реестр в формат, который использует сам Internet Explorer. Во время этого преобразования реализуются те же методы, которые используются Internet Explorer при добавлении сайта вручную в определенную зону безопасности. Если запись будет отклонена при добавлении вручную, преобразование также будет неудачным, если используется групповая политика и будет выдано событие 1085 . Подстановочные знаки для доменов верхнего уровня (TLD). Одним из сценариев, который отклоняется при добавлении сайтов, является добавление подстановочного знака в TLD (например, * .com или * .co.uk). Теперь вопрос в том, какие записи рассматриваются как TLD;, ниже я приведу рабочие варианты.

Правильные варианта синтаксиса сайтов Internet Explorer Zonemapping

• *://*.pyatilistnik.org – Работает
• http://*.pyatilistnik.org – Работает
• *://pyatilistnik.org – Работает
• ftp://192.168.0.0/ – Работает
• https://pyatilistnik.org/ – Работает
• 192-193.0.0.0 Работает.
• 192-193.1-10.0.0 Работает
• 192-193.1-10.20-30.0 Работает
• 192-193.1-10.20-30.40-50 Работает

Далее открываете на клиенте командную строку и вводите gpupdate /force, чтобы обновить политику. Если вы все сделали правильно и у вас нет ошибок в синтаксисе написания сайтов Internet Explorer Zonemapping, то вы увидите, что политики отработали корректно.

Если есть ошибки в синтаксисе, то увидите вот такую картину:

так же показателем, того что есть проблемы, это отсутствие вашего сайта в зонах Internet Explorer. Если в списке нет каких-то сайтов, то для вас это сигнал, где искать ошибку.

Редактирование Internet Explorer Zonemapping через реестр Windows

Я вам не перестаю повторять, что групповая политика меняет просто ключи реестра Windows на нужном объекте.

• Для пользователя — HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ создаем тут ключ REG_DWORD с нужным значением зоны IE
• Для компьютера —
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ создаем тут ключ REG_DWORD с нужным значением зоны IE

• Для включения галки «Для всех сайтов зоны требуется проверка подлинности серверов (https)» необходимо создать запись REG_DWORD с именем Flags и значением 71 вместо 67 по пути HKEY_CURRENT_USER (или HKEY_LOCAL_MACHINE)\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\
• Если вы хотите добавить диапазон IP адресов, тогда нужно добавлять 2 параметра. По пути HKEY_CURRENT_USER (или HKEY_LOCAL_MACHINE) \SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\local. Создать запись типа REG_SZ с Value name — :Range и Value Data – 192.168.1.0-254 и в SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\local запись REG_DWORD с Value name — * (или нужный вам протокол) и Value Data – 1 (номер зоны)

Windows failed to apply the internet explorer zonemapping settings internet explorer

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

We’re having problem with the group policy processing the error is:

Windows failed to apply the Internet Explorer Zonemapping settings. Internet Explorer Zonemapping settings might have its own log file. Please click on the «More information» link.

I checked the Group Policy log it’s showing event id 7016 and the error code 5:

EventData

CSEElaspedTimeInMilliSeconds

31

ErrorCode

5

CSEExtensionName

Internet Explorer Zonemapping

CSEExtensionId

For testing purpose, there is only one entry:

I think the error code 5 could be the permission issue but I don’t know where to check.

Anybody can help? Thank you in advance!

Answers

As the GPSvc Log shows, the problem should be due to the followings,
GPSVC(3f0.c74) 11:34:29:591 ProcessGPOList: Extension Internet Explorer Zonemapping returned 0x5.
0x5 means «Access is deined», and you could follow the actions below to figure out which resources denies the GPSvc access,
1. Get procmon.exe from http://live.sysinternals.com
2. Run Procmon.exe at the problematic desktop, add filter «Result» contains «Denied»
3. Run Gpupdate /force to reproduce the problem again
4. check procmon.exe log to see what causes the problem.
If you could not figure out the problem by procmon.exe you should try to disable all third party plugins for IE on that computer, and also disable all antivirus software and try it again.

All replies

Thank you for reply,

Yes I’m sure it’s the only zonemapping settings, I’ve tried to apply the policy either from computer policy or user policy, the same error 5 showed up in event log. here is the result of RSOP, currently we only have it in user policy.

Suggest you turn on Gpsvc debug log on the client.

In the log it’s the same error 0x5, see below:

GPSVC(3f0.c74) 11:34:29:494 ProcessGPOs: Processing extension Internet Explorer Zonemapping
GPSVC(3f0.c74) 11:34:29:494 ReadStatus: Read Extension’s Previous status successfully.
GPSVC(3f0.c74) 11:34:29:494 CompareGPOLists: One list is empty
GPSVC(3f0.c74) 11:34:29:494 GPLockPolicySection: Sid = ******, dwTimeout = 30000, dwFlags = 0
GPSVC(3f0.c74) 11:34:29:494 LockPolicySection called for user *******
GPSVC(3f0.c74) 11:34:29:494 Sync Lock Called
GPSVC(3f0.c74) 11:34:29:494 Writer Lock got immediately.
GPSVC(3f0.c74) 11:34:29:504 Lock taken successfully
GPSVC(3f0.c74) 11:34:29:504 Taking console lock with timeout 30000.
GPSVC(3f0.c74) 11:34:29:504 Sync Lock Called
GPSVC(3f0.c74) 11:34:29:504 Writer Lock got immediately.
GPSVC(3f0.c74) 11:34:29:504 Lock taken successfully
GPSVC(3f0.c74) 11:34:29:504 ProcessGPOList: Entering for extension Internet Explorer Zonemapping
GPSVC(3f0.c74) 11:34:29:504 GetWbemServices: CoCreateInstance succeeded
GPSVC(3f0.c74) 11:34:29:506 ConnectToNameSpace: ConnectServer returned 0x0
GPSVC(3f0.c74) 11:34:29:544 ReadStatus: Read Extension’s Previous status successfully.
GPSVC(3f0.c74) 11:34:29:559 LogExtSessionStatus: Successfully logged Extension Session data
GPSVC(3f0.c74) 11:34:29:591 ProcessGPOList: Extension Internet Explorer Zonemapping returned 0x5.
GPSVC(3f0.c74) 11:34:29:601 ProcessGPOList: Extension Internet Explorer Zonemapping doesn’t support rsop logging
GPSVC(3f0.c74) 11:34:29:601 Releasing console lock.
GPSVC(3f0.c74) 11:34:29:604 UnLockPolicySection called for user ************
GPSVC(3f0.c74) 11:34:29:604 UnLocked successfully
GPSVC(3f0.c74) 11:34:29:604 ProcessGPOs: Extension Internet Explorer Zonemapping ProcessGroupPolicy failed, status 0x5.