Demander des informations d’identification lorsque vous accédez à des sites FQDN webDav dans Windows
Cet article fournit une solution à un problème où vous êtes invité à entrer vos informations d’identification lorsque vous accédez à des sites de noms de domaine complets (FQDN) basés sur Web Distributed Authoring et Versioning (WebDav) dans Windows.
Produits concernés : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 943280
Symptômes
Prenons l’exemple du scénario suivant :
- Vous utilisez un ordinateur exécutant Windows Vista ou une version ultérieure de Windows.
- Vous utilisez WebDav pour accéder à un site FQDN.
Dans ce scénario, vous êtes invité à entrer vos informations d’identification ou vous êtes refusé l’accès, même si le compte d’utilisateur que vous utilisez dispose des autorisations suffisantes pour accéder à ce site.
Vous pouvez également recevoir le message d’erreur suivant lorsque vous travaillez avec des dossiers déplacés via la vue de l’Explorateur :
Votre client ne prend pas en charge lʼouverture de cette liste à lʼaide de lʼExplorateur Windows.
Cause
Dans Windows Vista ou les versions ultérieures de Windows, le service WebClient est utilisé pour permettre aux Explorer Windows d’interagir avec une ressource WebDAV. Le service WebClient utilise les services HTTP Windows (WinHTTP) pour effectuer des opérations d’E/S réseau sur l’hôte distant.
WinHTTP envoie les informations d’identification de l’utilisateur uniquement en réponse aux demandes qui se produisent sur un site intranet local. Toutefois, WinHTTP ne case activée pas les paramètres de zone de sécurité dans Internet Explorer pour déterminer si un site web se trouve dans une zone qui autorise l’envoi automatique des informations d’identification.
Si aucun proxy n’est configuré, WinHTTP envoie les informations d’identification uniquement aux sites intranet locaux.
Remarque
Si l’URL ne contient aucun point dans le nom du serveur, comme dans l’exemple suivant, le serveur est supposé se trouver sur un site intranet local : http://sharepoint/davshare.
Si l’URL contient des points, le serveur est supposé être sur Internet. Les points indiquent que vous utilisez une adresse FQDN. Par conséquent, aucune information d’identification n’est automatiquement envoyée à ce serveur, sauf si un proxy est configuré et sauf si ce serveur est indiqué pour la déviation du proxy.
Remarque
Un serveur peut être indiqué pour la déviation du proxy par le biais de la liste de contournement ou du script de configuration du proxy.
Dans ce cas, l’accès vous est refusé ou invité à entrer vos informations d’identification lorsque le site web vous demande des informations d’identification. Même dans ce cas, les paramètres de zone de sécurité sont ignorés.
Résolution
Importante
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l’article dans Comment sauvegarder et restaurer le Registre dans Windows.
Informations sur le Registre
Pour résoudre ce problème, créez une entrée de Registre. Pour cela, procédez comme suit :
Cliquez sur Démarrer, tapez regedit, puis appuyez sur Entrée.
Recherchez puis sélectionnez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\ParametersDans le menu Modifier , pointez sur Nouveau, puis cliquez sur Valeur multi-chaîne.
Tapez AuthForwardServerList, puis appuyez sur Entrée.
Dans le menu Edition, cliquez sur Modifier.
Dans la zone Données de la valeur , tapez l’URL du serveur qui héberge le partage web, puis cliquez sur OK.
Remarque
Vous pouvez également taper une liste d’URL dans la zone Données de la valeur . Pour plus d’informations, consultez la section « Exemple de liste d’URL » de cet article.
Fermez l’Éditeur du Registre.
Remarque
- Si vous avez ajouté l’entrée de Registre AuthForwardServerList, sachez que si l’authentification de base ou l’authentification Digest est implémentée dans le réseau, l’utilisation de l’entrée de Registre ne peut pas empêcher l’invite d’informations d’identification. Ce comportement est conçu pour l’authentification de base et l’authentification Digest.
- Vous devez redémarrer le service WebClient après avoir modifié le Registre.
Exemple de liste d’URL
Dans la zone Données de la valeur de la nouvelle entrée, vous pouvez entrer une liste d’URL, comme l’exemple suivant :
https://*.Contoso.comhttp://*.dns.live.com*.microsoft.com
Cette liste d’URL permet au service WebClient d’envoyer des informations d’identification via les canaux suivants :
- Tout canal chiffré vers un domaine enfant d’un domaine dont le nom est
Contoso.com. - Tout canal non sécurisé vers un domaine enfant d’un domaine dont le nom est
dns.live.com. - Tout canal vers un serveur dont le nom se termine par
.microsoft.com.
Remarque
Après avoir configuré la liste d’URL, les informations d’identification s’authentifient automatiquement auprès des serveurs WebDAV, même si ces serveurs se trouvent sur Internet.
Éléments à éviter dans la liste des URL
N’ajoutez pas d’astérisque (*) à la fin d’une URL. Cela peut créer un risque pour la sécurité. Par exemple, n’utilisez pas l’URL suivante :
http://*.dns.live.*N’ajoutez pas d’astérisque (*) avant ou après une chaîne. Cela peut amener le service WebClient à envoyer des informations d’identification utilisateur à d’autres serveurs. Par exemple, n’utilisez pas les URL suivantes :
http://*Contoso.comDans cet exemple, le service envoie également les informations d’identification de l’utilisateur à
http://extra_charactersContoso.com.http://Contoso*.comDans cet exemple, le service envoie également les informations d’identification de l’utilisateur à
http://Contosoextra_characters.com.
Dans la liste des URL, ne tapez pas le nom UNC d’un hôte. Par exemple, n’utilisez pas l’URL suivante :
http://*.contoso.com@SSLDans la liste d’URL, ne terminez pas l’URL par une barre oblique inverse et n’incluez pas le nom du partage ou le numéro de port à utiliser. Par exemple, n’utilisez pas les URL suivantes :
http://*.dns.live.com/http://*.dns.live.com/DavSharehttp://*dns.live.com:80
N’utilisez pas IPv6 dans la liste des URL.
Importante
Cette liste d’URL n’affecte pas les paramètres de zone de sécurité. Cette liste d’URL est utilisée uniquement dans le but spécifique de transférer les informations d’identification aux serveurs WebDAV. La liste doit être créée de manière aussi restrictive que possible pour éviter tout problème de sécurité. En outre, comme il n’existe aucune liste de refus spécifique, les informations d’identification sont transférées à tous les serveurs qui correspondent à cette liste.
Statut
Microsoft a confirmé qu’il s’agit d’un problème dans les produits Microsoft répertoriés au début de cet article.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour