Solicitud de credenciales al acceder a sitios fqdN basados en WebDav en Windows

En este artículo se proporciona una solución a un problema en el que se le pide que escriba sus credenciales al acceder a sitios de nombres de dominio completos (FQDN) basados en Web Distributed Authoring and Versioning (WebDav) en Windows.

Se aplica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 943280

Síntomas

Imagine la siguiente situación:

  • Usa un equipo que ejecuta Windows Vista o una versión posterior de Windows.
  • WebDav se usa para acceder a un sitio FQDN.

En este escenario, se le pedirá que escriba sus credenciales o que se le deniegue el acceso aunque la cuenta de usuario que usa tenga permisos suficientes para acceder a este sitio.

También puede recibir el siguiente mensaje de error cuando trabaje con carpetas movidas a través de la vista del explorador:

El cliente no admite la apertura de esta lista con Windows Explorer.

Causa

En Windows Vista o versiones posteriores de Windows, el servicio WebClient se usa para permitir que el Explorador de Windows interactúe con un recurso WebDAV. El servicio WebClient usa servicios HTTP de Windows (WinHTTP) para realizar operaciones de E/S de red en el host remoto.

WinHTTP envía credenciales de usuario solo en respuesta a las solicitudes que se producen en un sitio de intranet local. Sin embargo, WinHTTP no comprueba la configuración de la zona de seguridad en Internet Explorer para determinar si un sitio web está en una zona que permite que las credenciales se envíen automáticamente.

Si no se configura ningún proxy, WinHTTP envía credenciales solo a sitios de intranet locales.

Nota:

Si la dirección URL no contiene ningún punto en el nombre del servidor, como en el ejemplo siguiente, se supone que el servidor está en un sitio de intranet local: http://sharepoint/davshare.

Si la dirección URL contiene puntos, se supone que el servidor está en Internet. Los períodos indican que se usa una dirección FQDN. Por lo tanto, no se envía ninguna credencial automáticamente a este servidor a menos que se configure un proxy y a menos que este servidor se indique para la omisión de proxy.

Nota:

Se puede indicar un servidor para la omisión de proxy a través de la lista de omisión o el script de configuración de proxy.

En esta situación, se le deniega el acceso o se le pide que escriba sus credenciales cuando el sitio web solicite credenciales. Incluso cuando esto ocurre, se omite la configuración de la zona de seguridad.

Solución

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para ver el artículo Cómo hacer una copia de seguridad y restaurar el registro en Windows.

Información del Registro

Para resolver este problema, cree una entrada del Registro. Para ello, siga estos pasos:

  1. Haga clic en Inicio, escriba regedit y, a continuación, presione Entrar.

  2. Busque la siguiente subclave del Registro y selecciónela:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters

  3. En el menú Editar , seleccione Nuevo y, a continuación, haga clic en Valor de cadena múltiple.

  4. Escriba AuthForwardServerList y presione Entrar.

  5. En el menú Editar, haga clic en Modificar.

  6. En el cuadro Datos de valor , escriba la dirección URL del servidor que hospeda el recurso compartido web y, a continuación, haga clic en Aceptar.

    Nota:

    También puede escribir una lista de direcciones URL en el cuadro Datos de valor . Para obtener más información, consulte la sección "Lista de direcciones URL de ejemplo" de este artículo.

  7. Salga del Editor del Registro.

Nota:

  • Si ha agregado la entrada del Registro AuthForwardServerList, tenga en cuenta que si se implementa la autenticación básica o la autenticación implícita en la red, el uso de la entrada del Registro no puede impedir que se soliciten credenciales. Este comportamiento es por diseño para la autenticación básica y la autenticación implícita.
  • Debe reiniciar el servicio WebClient después de modificar el registro.

Lista de direcciones URL de ejemplo

En el cuadro Datos de valor de la nueva entrada, puede escribir una lista de direcciones URL, como el ejemplo siguiente:

  • https://*.Contoso.com
  • http://*.dns.live.com
  • *.microsoft.com

Esta lista de direcciones URL permite al servicio WebClient enviar credenciales a través de los canales siguientes:

  • Cualquier canal cifrado a un dominio secundario de un dominio cuyo nombre es Contoso.com.
  • Cualquier canal no seguro para un dominio secundario de un dominio cuyo nombre es dns.live.com.
  • Cualquier canal a un servidor cuyo nombre termine en .microsoft.com.

Nota:

Después de configurar la lista de direcciones URL, las credenciales se autenticarán automáticamente en los servidores WebDAV, incluso si estos servidores están en Internet.

Cosas que se deben evitar en la lista de direcciones URL

  • No agregue un carácter de asterisco (*) al final de una dirección URL. Esto puede crear un riesgo de seguridad. Por ejemplo, no use la siguiente dirección URL:
    http://*.dns.live.*

  • No agregue un asterisco (*) antes o después de una cadena. Esto puede hacer que el servicio WebClient envíe credenciales de usuario a servidores adicionales. Por ejemplo, no use las siguientes direcciones URL:

    • http://*Contoso.com

      En este ejemplo, el servicio también envía credenciales de usuario a http://extra_charactersContoso.com.

    • http://Contoso*.com

      En este ejemplo, el servicio también envía credenciales de usuario a http://Contosoextra_characters.com.

  • En la lista de direcciones URL, no escriba el nombre UNC de un host. Por ejemplo, no use la siguiente dirección URL:
    http://*.contoso.com@SSL

  • En la lista de direcciones URL, en la lista, no termine la dirección URL en una barra diagonal inversa y no incluya el nombre del recurso compartido ni el número de puerto que se va a usar. Por ejemplo, no use las siguientes direcciones URL:

    • http://*.dns.live.com/
    • http://*.dns.live.com/DavShare
    • http://*dns.live.com:80
  • No use IPv6 en la lista de direcciones URL.

Importante

Esta lista de direcciones URL no afecta a la configuración de la zona de seguridad. Esta lista de direcciones URL solo se usa con el fin específico de reenviar las credenciales a servidores WebDAV. La lista debe crearse de la forma más restrictiva posible para evitar problemas de seguridad. Además, como no hay ninguna lista de denegación específica, las credenciales se reenvía a todos los servidores que coinciden con esta lista.

Estado

Microsoft ha confirmado que se trata de un problema en los productos de Microsoft que aparecen al principio de este artículo.