Запрос учетных данных при доступе к веб-сайтам FQDN в Windows

В этой статье данная статья позволяет решить проблему, из-за которой вам будет предложено ввести учетные данные при доступе к веб-сайтам веб-распределенного авторинга и версии (WebDav) на основе полностью квалифицированных доменных имен (FQDN) в Windows.

Применяется к:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ:   943280

Симптомы

Рассмотрим следующий сценарий.

  • Вы используете компьютер с Windows Vista или более поздней версией Windows.
  • Вы используете WebDav для доступа к сайту FQDN.

В этом сценарии вам будет предложено ввести учетные данные или вам будет отказано в доступе, даже если учетная запись пользователя, используемая вами, имеет достаточно разрешений для доступа к этому сайту.

Вы также можете получить следующее сообщение об ошибке при работе с перемещенными папками с помощью представления обозревателя:

Клиент не поддерживает открытие этого списка с помощью Windows Explorer.

Причина

В Windows Vista или Windows версиях служба WebClient позволяет Windows Explorer взаимодействовать с ресурсом WebDAV. Служба WebClient использует Windows http services (WinHTTP) для выполнения сетевых операций I/O для удаленного хоста.

WinHTTP отправляет учетные данные пользователей только в ответ на запросы, которые возникают на локальном сайте интрасети. Однако WinHTTP не проверяет параметры зоны безопасности в Internet Explorer, чтобы определить, находится ли веб-сайт в зоне, которая позволяет автоматически отослать учетные данные.

Если прокси-сервер не настроен, WinHTTP отправляет учетные данные только на локальные сайты интрасети.

Примечание

Если URL-адрес не содержит периода в имени сервера, например в следующем примере, предполагается, что сервер находится на локальном сайте интрасети: http://sharepoint/davshare .

Если URL-адрес содержит периоды, предполагается, что сервер находится в Интернете. Периоды указывают на использование адреса FQDN. Таким образом, учетные данные автоматически не отправляются на этот сервер, если прокси не настроен и если этот сервер не указан для обхода прокси.

Примечание

Сервер можно указать для обхода прокси через список обхода или сценарий конфигурации прокси.

В этой ситуации вам либо отказано в доступе, либо вам будет предложено ввести учетные данные при запросе учетных данных на веб-сайте. Даже в этом случае параметры зоны безопасности игнорируются.

Решение

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью Как создать и восстановить реестр в Windows.

Сведения о реестре

Чтобы устранить эту проблему, создайте запись реестра. Для этого выполните следующие действия:

  1. Нажмите кнопку Начните, введите regedit и нажмите кнопку Ввод.

  2. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters

  3. В меню Редактирование указать значение New и нажмите кнопку Multi-String Value.

  4. Введите AuthForwardServerList и нажмите кнопку Ввод.

  5. В меню Правка щелкните Изменить.

  6. В поле Данных Value введите URL-адрес сервера, на котором размещена веб-часть, а затем нажмите кнопку ОК.

    Примечание

    Вы также можете ввести список URL-адресов в поле данных Value. Дополнительные сведения см. в разделе "Пример списка URL-адресов" в этой статье.

  7. Закройте редактор реестра.

Примечание

  • Если добавлена запись реестра AuthForwardServerList, следует помнить, что если в сети реализована проверка подлинности Basic или Digest, использование записи реестра не может предотвратить запрос на учетные данные. Это поведение является разработкой для базовой проверки подлинности и проверки подлинности Digest.
  • После изменения реестра необходимо перезапустить службу WebClient.

Пример списка URL-адресов

В поле Значение данных для новой записи можно ввести список URL-адресов, например следующий пример:

  • https://*.Contoso.com
  • http://*.dns.live.com
  • *.microsoft.com

Этот список URL-адресов позволяет службе WebClient отправлять учетные данные по следующим каналам:

  • Любой зашифрованный канал в детский домен домена, имя которого Contoso.com .
  • Любой несекреционный канал в детский домен домена, имя которого dns.live.com .
  • Любой канал на сервер, имя которого заканчивается .microsoft.com .

Примечание

После настройки списка URL-адресов учетные данные автоматически будут проверки подлинности на серверах WebDAV, даже если эти серверы находятся в Интернете.

Что следует избегать в списке URL-адресов

  • Не добавляйте символ звездочки (*) в конце URL-адреса. Это может создать угрозу безопасности. Например, не используйте следующий URL-адрес:
    http://*.dns.live.*

  • Не добавляйте звездочку (*) до или после строки. Это может привести к тому, что служба WebClient отправляет учетные данные пользователей на дополнительные серверы. Например, не используйте следующие URL-адреса:

    • http://*Contoso.com

      В этом примере служба также отправляет учетные данные пользователей http://extra_charactersContoso.com в .

    • http://Contoso*.com

      В этом примере служба также отправляет учетные данные пользователей http://Contosoextra_characters.com в .

  • В списке URL-адресов не введите имя хоста UNC. Например, не используйте следующий URL-адрес:
    http://*.contoso.com@SSL

  • В списке URL-адресов не заканчивается URL-адрес в ответной сетке и не включается имя и номер порта, которые будут использоваться. Например, не используйте следующие URL-адреса:

    • http://*.dns.live.com/
    • http://*.dns.live.com/DavShare
    • http://*dns.live.com:80
  • Не используйте IPv6 в списке URL-адресов.

Важно!

Этот список URL-адресов не влияет на параметры зоны безопасности. Этот список URL-адресов используется только для конкретной цели перенаадки учетных данных на серверы WebDAV. Список должен быть создан максимально строго, чтобы избежать проблем с безопасностью. Кроме того, так как нет конкретного списка отказов, учетные данные переаднаются всем серверам, которые соответствуют этому списку.

Статус

Корпорация Майкрософт подтвердила, что это проблема в продуктах Майкрософт, перечисленных в начале этой статьи.