Pedir credenciales cuando tiene acceso a sitios FQDN basado en WebDav de Windows

Se aplica a: Windows Server version 1803Windows Server version 1709Windows Server version 1803

Síntomas


Imagine la siguiente situación:
  • Utilice un equipo que está ejecutando Windows Vista o una versión posterior de Windows.
  • Utilice Web Distributed Authoring and Versioning (WebDav) para tener acceso a un sitio de nombre de dominio completo (FQDN) de nombres.
En este escenario, se le pide que escriba sus credenciales o se le denegará acceso aun cuando la cuenta de usuario que está utilizando tiene permisos suficientes para tener acceso a este sitio. 
También puede recibir el siguiente mensaje de error cuando se trabaja con carpetas movidas a través de la vista del explorador:
El cliente no admite la apertura de esta lista con el Explorador de Windows.

Causa


En Windows Vista o versiones posteriores de Windows, tservicio WebClient se utilizó para permitir que el Explorador de Windows interactuar con un recurso WebDAV. El WebClient Service utiliza Windows HTTP Services (WinHTTP) para realizar operaciones de E/S de red al host remoto.
WinHTTP envía credenciales de usuario sólo en respuesta a las solicitudes que se producen en un sitio de intranet local. Sin embargo, WinHTTP no comprueba la configuración de zona de seguridad en Internet Explorer para determinar si un sitio Web se encuentra en una zona que permite que las credenciales se envían automáticamente. 
Si se ha configurado ningún proxy, WinHTTP envía credenciales únicamente a los sitios de intranet local.

Nota Si la dirección URL no contiene ningún período en el nombre del servidor, como en el ejemplo siguiente, se asume el servidor en un sitio de intranet local:

http://sharepoint/davshare

Si la dirección URL contiene puntos, se supone que el servidor está en Internet. Los períodos indican que use una dirección FQDN. Por lo tanto, no hay credenciales se envían automáticamente a este servidor a menos que se configura un servidor proxy y, a menos que este servidor está indicado para omitir el servidor proxy.Nota Un servidor puede indicarse para omitir el servidor proxy a través de la lista de omisión o la secuencia de comandos de configuración de proxy.En esta situación, se deniega el acceso o pide que escriba sus credenciales cuando el sitio Web le solicita las credenciales. Incluso cuando esto ocurre, se omiten los valores de zona de seguridad.

Solución


Importanteesta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

322756 Cómo realizar una copia de seguridad y restaurar el registro en Windows 

Información de Registro

Para resolver este problema, cree una entrada del registro. Para hacerlo, siga estos pasos:

  1. Haga clic en Inicio, escriba regedity, a continuación, presione ENTRAR.
  2. Busque la siguiente subclave del Registro y selecciónela:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters
  3. En el menú Edición , seleccione nuevoy, a continuación, haga clic en Valor de cadena múltiple.
  4. Escriba AuthForwardServerListy, a continuación, presione ENTRAR.
  5. En el menú Edición, haga clic en Modificar.
  6. En el cuadro información del valor , escriba la dirección URL del servidor que aloja el recurso compartido de web y, a continuación, haga clic en Aceptar. Nota También puede escribir una lista de direcciones URL en el cuadro datos de valor . Para obtener más información, consulte la sección "Lista de URL de ejemplo" de este artículo.
  7. Salga del Editor del Registro.  
Notas  
  • Si ha agregado la entrada de registro AuthForwardServerList , tenga en cuenta que si la autenticación básica o autenticación de texto implícita está implementada en la red, utilizando la entrada del registro no puede impedir que la solicitud de credenciales. Este comportamiento es por diseño para autenticación básica y autenticación de texto implícita.
  • Debe reiniciar el servicio WebClient después de modificar el registro.  

Lista de direcciones URL de ejemplo

En el cuadro datos del valor de la nueva entrada, puede especificar una lista de direcciones URL, como en el ejemplo siguiente:

https://*.Contoso.comhttp://*.dns.live.com*.microsoft.com
 
Esta lista de direcciones URL permite al servicio WebClient enviar credenciales a través de los canales siguientes: 
  • Cualquier canal cifrado a un dominio secundario de un dominio cuyo nombre es Contoso.com.
  • Cualquier canal no seguro a un dominio secundario de un dominio cuyo nombre es dns.live.com.
  • Cualquier canal a un servidor cuyo nombre termina en ". microsoft.com."  
Nota Después de configurar la lista de direcciones URL, las credenciales autenticará automáticamente a los servidores WebDAV, incluso si estos servidores en Internet. 

Cosas para evitar en la lista de URL

  • No agregue un carácter de asterisco (*) al final de una dirección URL. Esto puede crear un riesgo de seguridad. Por ejemplo, no utilice la dirección URL siguiente:  
    • http://*.dns.live.*
       
  • No agregue un asterisco (*) delante o detrás de una cadena. Esto puede provocar que el servicio WebClient enviar las credenciales del usuario a servidores adicionales. Por ejemplo, no utilice las siguientes direcciones URL:  
    • http://*contoso.com En este ejemplo, el servicio también envía las credenciales del usuario a http://extra_charactersContoso.com.  
    • *.com http://contoso En este ejemplo, el servicio también envía las credenciales del usuario a http://Contosoextra_characters. com.  
  • En la lista dirección URL, no escriba el nombre UNC de un host. Por ejemplo, no utilice la dirección URL siguiente:  
    • http://*.contoso.com@SSL  
  • En la lista dirección URL, lista, no terminan la dirección URL en una barra diagonal inversa y no incluyen el nombre de recurso compartido o el número de puerto que se utilizará. Por ejemplo, no utilice las siguientes direcciones URL:  
    • http://*.dns.live.com/
    • http://*.dns.live.com/DavShare
    • http://*dns.live.com:80  
  • No utilice IPv6 en la lista de URL.
Importante 

Esta lista de direcciones URL no afecta a la configuración de zona de seguridad. Esta lista de direcciones URL se utiliza sólo con el propósito específico de reenviar las credenciales a los servidores WebDAV. La lista debe crearse como tantas restricciones como sea posible para evitar problemas de seguridad. Además, porque no hay ningún específico de la lista de denegación, las credenciales se reenvían a todos los servidores que coinciden con esta lista.

Estado


Microsoft ha confirmado que se trata de un problema de los productos de Microsoft recogidos en la sección "Se aplica a".