Richiedere le credenziali quando si accede ai siti FQDN basati su WebDav in Windows

  • Articolo

Questo articolo fornisce una soluzione a un problema per cui viene richiesto di immettere le credenziali quando si accede ai siti fqdn (Fully Qualified Domain Name) basati su Web Distributed Authoring and Versioning (WebDav) in Windows.

Si applica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numero KB originale: 943280

Sintomi

Considerare lo scenario descritto di seguito:

  • Si usa un computer che esegue Windows Vista o una versione successiva di Windows.
  • Si usa WebDav per accedere a un sito FQDN.

In questo scenario viene richiesto di immettere le credenziali o viene negato l'accesso anche se l'account utente in uso dispone di autorizzazioni sufficienti per accedere a questo sito.

È anche possibile che venga visualizzato il messaggio di errore seguente quando si usano cartelle spostate tramite la visualizzazione Esplora risorse:

Il client non supporta l'apertura di questo elenco con Esplora risorse.

Causa

In Windows Vista o versioni successive di Windows, il servizio WebClient viene usato per consentire a Esplora risorse di interagire con una risorsa WebDAV. Il servizio WebClient usa i servizi HTTP Windows (WinHTTP) per eseguire operazioni di I/O di rete all'host remoto.

WinHTTP invia le credenziali utente solo in risposta alle richieste che si verificano in un sito Intranet locale. Tuttavia, WinHTTP non controlla le impostazioni dell'area di sicurezza in Internet Explorer per determinare se un sito Web si trova in un'area che consente l'invio automatico delle credenziali.

Se non è configurato alcun proxy, WinHTTP invia le credenziali solo ai siti Intranet locali.

Nota

Se l'URL non contiene alcun punto nel nome del server, ad esempio nell'esempio seguente, si presuppone che il server si trova in un sito Intranet locale: http://sharepoint/davshare.

Se l'URL contiene punti, si presuppone che il server si trova su Internet. I punti indicano che si usa un indirizzo FQDN. Pertanto, non vengono inviate automaticamente credenziali a questo server a meno che non sia configurato un proxy e a meno che questo server non sia indicato per il bypass proxy.

Nota

Un server può essere indicato per il bypass proxy tramite l'elenco di bypass o lo script di configurazione del proxy.

In questo caso, viene negato l'accesso o viene richiesto di immettere le credenziali quando il sito Web richiede le credenziali. Anche in questo caso, le impostazioni dell'area di sicurezza vengono ignorate.

Risoluzione

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero dell'articolo seguente in Come eseguire il backup e ripristinare il Registro di sistema in Windows.

Informazioni del Registro di sistema

Per risolvere questo problema, creare una voce del Registro di sistema. A tal fine, attenersi alla seguente procedura:

  1. Fare clic su Start, digitare regedit e quindi premere INVIO.

  2. Individuare e selezionare la sottochiave seguente del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters

  3. Scegliere Nuovo dal menu Modifica e quindi fare clic su Valore multistringa.

  4. Digitare AuthForwardServerList e quindi premere INVIO.

  5. Scegliere Modifica dal menu Modifica.

  6. Nella casella Dati valore digitare l'URL del server che ospita la condivisione Web e quindi fare clic su OK.

    Nota

    È anche possibile digitare un elenco di URL nella casella Dati valore . Per altre informazioni, vedere la sezione "Elenco url di esempio" in questo articolo.

  7. Uscire dall'editor del Registro di sistema.

Nota

  • Se è stata aggiunta la voce del Registro di sistema AuthForwardServerList, tenere presente che se l'autenticazione di base o digest viene implementata nella rete, l'uso della voce del Registro di sistema non può impedire la richiesta di credenziali. Questo comportamento è progettato per l'autenticazione di base e l'autenticazione del digest.
  • È necessario riavviare il servizio WebClient dopo aver modificato il Registro di sistema.

Elenco url di esempio

Nella casella Dati valore per la nuova voce è possibile immettere un elenco di URL, ad esempio l'esempio seguente:

  • https://*.Contoso.com
  • http://*.dns.live.com
  • *.microsoft.com

Questo elenco di URL consente al servizio WebClient di inviare le credenziali tramite i canali seguenti:

  • Qualsiasi canale crittografato a un dominio figlio di un dominio il cui nome è Contoso.com.
  • Qualsiasi canale non sicuro a un dominio figlio di un dominio il cui nome è dns.live.com.
  • Qualsiasi canale a un server il cui nome termina con .microsoft.com.

Nota

Dopo aver configurato l'elenco di URL, le credenziali verranno autenticate automaticamente nei server WebDAV, anche se questi server si trovano su Internet.

Elementi da evitare nell'elenco DI URL

  • Non aggiungere un asterisco (*) alla fine di un URL. Ciò può creare un rischio per la sicurezza. Ad esempio, non usare l'URL seguente:
    http://*.dns.live.*

  • Non aggiungere un asterisco (*) prima o dopo una stringa. Ciò può causare l'invio delle credenziali utente da parte del servizio WebClient a server aggiuntivi. Ad esempio, non usare gli URL seguenti:

    • http://*Contoso.com

      In questo esempio, il servizio invia anche le credenziali utente a http://extra_charactersContoso.com.

    • http://Contoso*.com

      In questo esempio, il servizio invia anche le credenziali utente a http://Contosoextra_characters.com.

  • Nell'elenco URL non digitare il nome UNC di un host. Ad esempio, non usare l'URL seguente:
    http://*.contoso.com@SSL

  • Nell'elenco url non terminare l'URL in una barra rovesciata e non includere il nome della condivisione o il numero di porta da usare. Ad esempio, non usare gli URL seguenti:

    • http://*.dns.live.com/
    • http://*.dns.live.com/DavShare
    • http://*dns.live.com:80

  • Non usare IPv6 nell'elenco URL.

Importante

Questo elenco di URL non influisce sulle impostazioni dell'area di sicurezza. Questo elenco di URL viene usato solo per lo scopo specifico di inoltrare le credenziali ai server WebDAV. L'elenco deve essere creato nel modo più restrittivo possibile per evitare problemi di sicurezza. Inoltre, poiché non esiste un elenco di negazione specifico, le credenziali vengono inoltrate a tutti i server che corrispondono a questo elenco.

Stato

Microsoft ha confermato che si tratta di un problema nei prodotti Microsoft elencati all'inizio di questo articolo.