Solicitar credenciales al obtener acceso a sitios de FQDN basados en WebDav en Windows

En este artículo se proporciona una solución a un problema en el que se le pide que escriba sus credenciales cuando acceda a sitios de nombres de dominio completo (FQDN) basados en Web Distributed Authoring and Versioning (WebDav) en Windows.

Versión original del producto:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número KB original:   943280

Síntomas

Imagine la siguiente situación:

  • Se usa un equipo que ejecuta Windows Vista o una versión posterior de Windows.
  • Use WebDav para obtener acceso a un sitio FQDN.

En este escenario, se le pedirá que escriba sus credenciales o se le denegará el acceso aunque la cuenta de usuario que use tenga permisos suficientes para acceder a este sitio.

También puede recibir el siguiente mensaje de error al trabajar con carpetas movida a través de la vista del explorador:

El cliente no admite la apertura de esta lista con el Explorador de Windows.

Causa

En Windows Vista o versiones posteriores de Windows, el servicio WebClient se usa para permitir que el Explorador de Windows interactúe con un recurso WebDAV. El servicio WebClient usa servicios HTTP de Windows (WinHTTP) para realizar operaciones de E/S de red en el host remoto.

WinHTTP envía credenciales de usuario solo en respuesta a las solicitudes que se producen en un sitio de intranet local. Sin embargo, WinHTTP no comprueba la configuración de la zona de seguridad en Internet Explorer para determinar si un sitio web está en una zona que permite que las credenciales se envíen automáticamente.

Si no hay ningún proxy configurado, WinHTTP envía credenciales solo a los sitios de intranet locales.

Nota

Si la dirección URL no contiene ningún punto en el nombre del servidor, como en el ejemplo siguiente, se supone que el servidor se encuentra en un sitio de intranet local: http://sharepoint/davshare .

Si la dirección URL contiene puntos, se supone que el servidor está en Internet. Los puntos indican que se usa una dirección FQDN. Por lo tanto, no se envían credenciales automáticamente a este servidor a menos que se configure un proxy y a menos que se indique este servidor para la omisión de proxy.

Nota

Se puede indicar un servidor para la omisión de proxy mediante la lista de omisión o el script de configuración de proxy.

En esta situación, se le denegará el acceso o se le pedirá que escriba sus credenciales cuando el sitio web solicite credenciales. Incluso cuando esto ocurre, se omite la configuración de la zona de seguridad.

Solución

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Cómo hacer una copia de seguridad y restaurar el Registro en Windows.

Información del Registro

Para resolver este problema, cree una entrada del Registro. Para ello, siga estos pasos:

  1. Haga clic en Inicio, escriba regedit y, a continuación, presione ENTRAR.

  2. Busque la siguiente subclave del Registro y selecciónela:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters

  3. En el menú Editar, elija Nuevo y, a continuación, haga clic en Valor de cadena múltiple.

  4. Escriba AuthForwardServerList y, a continuación, presione ENTRAR.

  5. En el menú Editar, haga clic en Modificar.

  6. En el cuadro Datos de valor, escriba la dirección URL del servidor que hospeda el recurso compartido web y, a continuación, haga clic en Aceptar.

    Nota

    También puede escribir una lista de direcciones URL en el cuadro de datos Valor. Para obtener más información, vea la sección "Lista de direcciones URL de ejemplo" de este artículo.

  7. Salga del Editor del Registro.

Nota

  • Si ha agregado la entrada del Registro AuthForwardServerList, tenga en cuenta que si se implementa la autenticación básica o la autenticación implícita en la red, el uso de la entrada del Registro no puede impedir la solicitud de credenciales. Este comportamiento es por diseño para la autenticación básica y la autenticación implícita.
  • Debe reiniciar el servicio WebClient después de modificar el Registro.

Lista de direcciones URL de ejemplo

En el cuadro Datos de valor de la nueva entrada, puede escribir una lista de direcciones URL, como el siguiente ejemplo:

  • https://*.Contoso.com
  • http://*.dns.live.com
  • *.microsoft.com

Esta lista de direcciones URL permite al servicio WebClient enviar credenciales a través de los siguientes canales:

  • Cualquier canal cifrado a un dominio secundario de un dominio cuyo nombre es Contoso.com .
  • Cualquier canal no seguro a un dominio secundario de un dominio cuyo nombre es dns.live.com .
  • Cualquier canal a un servidor cuyo nombre termine en .microsoft.com .

Nota

Después de configurar la lista de direcciones URL, las credenciales se autenticarán automáticamente en los servidores WebDAV, incluso si estos servidores están en Internet.

Cosas que se deben evitar en la lista de direcciones URL

  • No agregue un asterisco (*) al final de una dirección URL. Esto puede crear un riesgo de seguridad. Por ejemplo, no use la siguiente dirección URL:
    http://*.dns.live.*

  • No agregue un asterisco (*) antes o después de una cadena. Esto puede hacer que el servicio WebClient envíe credenciales de usuario a servidores adicionales. Por ejemplo, no use las siguientes direcciones URL:

    • http://*Contoso.com

      En este ejemplo, el servicio también envía credenciales de usuario a http://extra_charactersContoso.com .

    • http://Contoso*.com

      En este ejemplo, el servicio también envía credenciales de usuario a http://Contosoextra_characters.com .

  • En la lista de direcciones URL, no escriba el nombre UNC de un host. Por ejemplo, no use la siguiente dirección URL:
    http://*.contoso.com@SSL

  • En la lista de direcciones URL, no termine la dirección URL en una barra diagonal inversa y no incluya el nombre del recurso compartido o el número de puerto que se va a usar. Por ejemplo, no use las siguientes direcciones URL:

    • http://*.dns.live.com/
    • http://*.dns.live.com/DavShare
    • http://*dns.live.com:80
  • No use IPv6 en la lista de direcciones URL.

Importante

Esta lista de direcciones URL no afecta a la configuración de la zona de seguridad. Esta lista de direcciones URL solo se usa con el propósito específico de reenviar las credenciales a los servidores WebDAV. La lista debe crearse de la forma más restrictiva posible para evitar problemas de seguridad. Además, como no hay ninguna lista de denegación específica, las credenciales se reenván a todos los servidores que coincidan con esta lista.

Estado

Microsoft ha confirmado que se trata de un problema en los productos de Microsoft que aparecen al principio de este artículo.