通过

使用 FQDN 或 IP 地址时,Intranet 站点被标识为 Internet 站点

  • 项目

本文为以下问题提供了解决方法:使用完全限定的域名 (FQDN) 或 IP 地址时,Intranet 站点被标识为 Internet 站点。

适用于:Windows 10 - 所有版本
原始 KB 编号: 303650

症状

使用 Internet 协议 (IP) 地址或 FQDN 访问局域网 (LAN) 、Intranet 共享或 Intranet 网站时,共享或网站可能标识为 Internet 区域中,而不是本地 Intranet 区域中。 例如,如果使用以下任一格式的地址,则使用 Microsoft Internet Explorer 或 Windows Internet Explorer、Microsoft Windows Explorer、命令提示符或基于 Windows 的程序访问共享或网站时,可能会出现此行为:

  • \\Computer.childdomain.domain.com\Share
  • http://computer.childdomain.domain.com
  • \\157.54.100.101\share
  • file://157.54.100.101/share
  • http://157.54.100.101

无论是否配置了以下任何设置或所有设置,都可能发生此行为:

  • 在 Microsoft Internet Explorer 或 Windows Internet Explorer 中,你已将 FQDN (或 *.domain.com) 或 IP 地址 (或地址范围) 添加到“代理设置”对话框的“异常”部分下的“不要对地址使用代理服务器开头”框。

    注意

    若要在 Internet Explorer 中找到“代理设置”对话框,请单击“工具”,单击“Internet 选项”,单击“Connections”,然后单击“代理设置”。

  • 已选中“局域网 (LAN) 设置”对话框中的“为本地地址检查绕过代理服务器”框。

    注意

    若要在 Internet Explorer 中找到“局域网 (LAN) 设置”对话框,请单击“工具”,单击“Internet 选项”,单击“Connections”,然后单击“局域网 (LAN) 设置”。

  • 你已在“本地 Intranet”对话框中选择了“包括绕过代理服务器的所有站点”和“包括所有网络路径 (UNC) 检查” 框。

    若要在 Internet Explorer 中找到“本地 Intranet”对话框,请依次单击“工具”、“Internet 选项”、“安全性”和“本地 Intranet”。

此行为可能会导致 Internet Explorer 在访问需要身份验证的 Intranet 网站时提示你输入凭据。 或者,系统可能会提示或阻止你打开 Intranet 网站上的文件或通用命名约定 (UNC) 共享,这些共享使用 Internet Explorer 安全管理器来确定文件是否位于受信任的安全区域中。 例如,尝试使用 FQDN 或 IP 地址) access 2002 打开本地 Intranet 共享 (上的 Access 数据库 (.mdb) 文件时,可能会收到以下错误消息:

Microsoft Access 无法打开此文件。
此文件位于 Intranet 外部或不受信任的站点上。 由于潜在的安全问题,Microsoft Access 无法打开该文件。
若要打开该文件,请将其复制到计算机或可访问的网络位置。

注意

Windows Server 2003 包括名为 Internet Explorer 增强安全配置的新可选组件。 此组件将本地 Intranet 区域未显式列出的所有 Intranet 网站和所有 UNC 路径分配给 Internet 区域。 默认情况下,Internet 区域使用高安全级别。 因此,使用 NetBIOS 名称访问 Intranet 网站和 UNC 路径时,可能会遇到这些症状。 例如,如果使用 http://server 或 \\server\share,或者使用 IP 地址或 FQDN 时,可能会遇到这些症状。

有关 Internet Explorer 增强安全配置的详细信息,请参阅 有关 Internet Explorer 增强安全配置的常见问题解答 (ESC)

原因

如果 FQDN 或 IP 地址包含句点,则可能会出现此行为。 如果 FQDN 或 IP 地址包含句点,Internet Explorer 会将网站或共享标识为 Internet 区域中的 。

解决方法

若要解决此问题,请将相应的 IP 地址范围或完全限定的域名 (FQDN) 添加到本地 Intranet。 或者更改 Internet 区域的安全级别。 在用户身份验证选项上,从“仅在 Intranet 区域自动登录”更改为使用当前用户名和密码自动登录。

如果将 Internet Explorer 的增强安全配置与 Windows Server 2003 配合使用,并且使用 NetBIOS 名称访问 Intranet 站点,请使用以下任一方法来解决此问题:

  • 将站点添加到本地 Intranet 区域。 若要将站点添加到本地 Intranet 区域,请在 Internet Explorer 中打开站点,单击“文件”,指向“将此站点添加到”,单击“本地 Intranet 区域”,在“本地 Intranet”对话框中单击“添加”,然后单击“关闭”。

  • 将站点添加到“受信任的站点”区域。 若要将站点添加到“受信任的站点”区域,请在 Internet Explorer 中打开站点,单击“文件”,指向“将此站点添加到”,单击“受信任的站点区域”,在“受信任的站点”对话框中单击“添加”,然后单击“关闭”。

  • 关闭增强的安全配置。 必须是管理员才能关闭增强的安全配置。 可以关闭 (“受限用户”和“受限用户”等用户的增强安全配置) ,并将其保留给管理员。 若要关闭用户的增强安全配置,请打开控制面板,依次单击“添加或删除程序”、“添加/删除 Windows 组件”、“Internet Explorer 增强的安全配置”、“详细信息”、“用户”、“确定”、“下一步”、“完成”,然后重启 Internet Explorer 以应用新设置。

管理员可以使用客户端设置或服务器设置将相应的 IP 地址范围或 FQDN 添加到本地 Intranet。 例如,管理员可以使用 TCP/IP 后缀、添加 *.domain.com,或将相应的 IP 地址范围添加到客户端上的 Internet Explorer 中的 本地 Intranet 站点 区域。 在服务器上,管理员可以使用代理自动配置脚本。 以下解决方法将 *.domain.com 或相应的 IP 地址范围添加到 Internet Explorer 中所有客户端计算机的本地 Intranet 站点区域。

用户

若要解决此问题,每个用户必须将 *.domain.com 或相应的 IP 地址范围添加到“ 本地 Intranet 站点 ”对话框:

  1. 在 Internet Explorer 中,单击“工具”,然后单击“Internet 选项”
  2. 在“ 安全性 ”选项卡上,单击“ 本地 Intranet”,然后单击“ 站点”。
  3. 单击“ 高级”,然后键入 “domain.com”或 IP 地址范围 (例如 157.54.100-200。) “将此网站添加到区域 ”框中,其中 domain.com 是你的公司和顶级域名。
  4. 依次单击“ 添加”、“ 确定”、“ 确定”,然后再次单击“ 确定 ”以关闭“ Internet 选项 ”对话框。
  5. 重启计算机。

管理员

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的详细信息,请参阅如何备份和还原 Windows 中的注册表

管理员可以通过对注册表进行以下更改来部署此设置:

  1. 对于应包含在本地 Intranet 区域中的每个域,请在HKEY_CURRENT_USER ( 下为当前登录用户仅) 或HKEY_LOCAL_MACHINE (本地计算机上的所有用户添加domain.com一个注册表项,) :

    • Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains (如果关闭“增强安全配置”,则对于 32 位版本的 Internet Explorer 或 64 位版本的 Windows XP 或 Windows Server 2003 上的 64 位版本的 Internet Explorer。)

    • Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains (对于 64 位版本的 Windows XP 或 64 位版本的 Windows Server 2003 上的 32 位版本的 Internet Explorer,如果“增强的安全配置”处于关闭状态。)

    • Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ESCDomains (适用于 32 位版本的 Windows Server 2003 上的 Internet Explorer,或 64 位版本 Windows Server 2003 上的 64 位版本的 Internet Explorer(如果启用增强的安全配置)。)

    • Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ESCDomains (对于 64 位版本的 Windows Server 2003 上的 32 位版本的 Internet Explorer,如果启用了增强的安全配置。)

    注意

    默认情况下,安全区域设置存储在 HKEY_CURRENT_USER 注册表项中。 由于此密钥是为每个用户动态加载的,因此一个用户的设置不会影响另一个用户的设置。 如果组策略中启用了 “安全区域:仅使用计算机设置” 设置,或者以下键中的“Security_HKLM_only DWORD”值设置为 1,则仅使用本地计算机设置:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
    启用此策略设置后,将仅使用计算机设置而不是用户设置。

  2. 将名为星号字符 (*) 的 DWORD 值添加到键, domain.com 并将其设置为 1。

  3. 对于必须包含在本地 Intranet 区域中的每个 IP 地址范围,将范围x 键 (其中 x 为 1、2、3 等) 添加到以下 注册表项HKEY_CURRENT_USER ( 下,对于当前登录的用户仅) 或 HKEY_LOCAL_MACHINE (本地计算机上的所有用户) :

    • Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges (对于 64 位版本的 Windows XP 或 Windows Server 2003 上的 32 位版本的 Internet Explorer 或 64 位版本的 Internet Explorer.)

    • Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges (对于 64 位版本的 Windows XP 或 64 位版本的 Windows Server 2003 上的 32 位版本的 Internet Explorer.)

    注意

    默认情况下,安全区域设置存储在 HKEY_CURRENT_USER 注册表项中。 由于此密钥是为每个用户动态加载的,因此一个用户的设置不会影响另一个用户的设置。 如果组策略中启用了 “安全区域:仅使用计算机设置” 设置,或者以下项中的 Security_HKLM_only DWORD 值设置为 1,则仅使用本地计算机设置:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
    启用此策略设置后,将仅使用计算机设置而不是用户设置。

  4. 将名为星号字符 (*) 的 DWORD 值添加到 Rangex 键,并将其设置为 1。

  5. 将名为 :Range 的字符串值 (冒号字符后跟 Range) 一词添加到 Rangex 键,然后将其设置为 IP 地址范围 (例如 157.54.100-200.*) 。

注意

管理员可以在 Active Directory 环境中部署设置。

有关如何执行此操作的详细信息,请参阅如何使用 组策略 对象在 Internet Explorer 中设置高级设置

重要

此解决方法不适用于 UNC 或 file:// 使用 IP 地址的地址。 例如,Internet Explorer 会将 \\157.54.100.101\share 或 file://157.54.100.101/share 标识为在 Internet 区域中,即使将相应的 IP 地址范围添加到“本地 Intranet 站点”列表也是如此。 在这种情况下,必须使用具有 NetBIOS 名称 (file:// URL,例如 ,\\server\share) ,以便在本地 Intranet 区域中标识站点。 此外,某些应用程序可能无法使用 http:// 地址打开文件,即使网站位于 LAN 上,并且你使用 NetBIOS 名称 (例如 http://server ,) 。 例如,Access 2002 无法从 http:// 地址打开文件。 如果尝试使用 IP 地址、FQDN 或 NetBIOS 名称在 Intranet 网站上打开 Access 数据库文件 (.mdb) ,则 Access 2002 会错误地报告该文件位于 Intranet 外部或不受信任的站点上,方法是显示本文 症状 部分中的错误消息。

状态

此行为是设计使然。