Windows で WebDav ベースの FQDN サイトにアクセスするときに資格情報の入力を求める
この記事では、Windows で Web 分散作成およびバージョン管理 (WebDav) ベースの完全修飾ドメイン名 (FQDN) サイトにアクセスするときに資格情報の入力を求めるメッセージが表示される問題の解決策について説明します。
適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 943280
現象
次のような状況で問題が発生します。
- Windows Vista 以降のバージョンの Windows を実行しているコンピューターを使用します。
- WebDav を使用して FQDN サイトにアクセスします。
このシナリオでは、使用しているユーザー アカウントにこのサイトにアクセスするための十分なアクセス許可がある場合でも、資格情報の入力を求めるメッセージが表示されるか、アクセスが拒否されます。
エクスプローラー ビューを使用して移動したフォルダーを操作すると、次のエラー メッセージが表示される場合もあります。
お使いのクライアントでは、このリストをエクスプローラーで開くことはできません。
原因
Windows Vista 以降の Windows バージョンでは、WebClient サービスを使用して、Windows エクスプローラーが WebDAV リソースと対話できるようにします。 WebClient サービスは、Windows HTTP Services (WinHTTP) を使用して、リモート ホストへのネットワーク I/O 操作を実行します。
WinHTTP は、ローカル イントラネット サイトで発生した要求に応答してのみユーザー資格情報を送信します。 ただし、WinHTTP は、インターネット エクスプローラーのセキュリティ ゾーン設定をチェックして、Web サイトが資格情報を自動的に送信できるゾーン内にあるかどうかを判断しません。
プロキシが構成されていない場合、WinHTTP はローカル イントラネット サイトにのみ資格情報を送信します。
注:
次の例のように、サーバー名に URL にピリオドが含まれている場合、サーバーはローカル イントラネット サイト上にあると見なされます。 http://sharepoint/davshare
URL にピリオドが含まれている場合、サーバーはインターネット上にあると見なされます。 ピリオドは、FQDN アドレスを使用することを示します。 そのため、プロキシが構成されていない限り、このサーバーに資格情報は自動的に送信されません。このサーバーがプロキシ バイパス用に指定されていない限り、
注:
サーバーは、バイパス リストまたはプロキシ構成スクリプトを使用してプロキシ バイパスを示すことができます。
このような場合は、アクセスが拒否されるか、Web サイトから資格情報の入力を求められたときに資格情報の入力を求められます。 この場合でも、セキュリティ ゾーンの設定は無視されます。
解決方法
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、次の記事番号をクリックして、「 Windows でレジストリをバックアップおよび復元する方法」の記事を参照してください。
レジストリ情報
この問題を解決するには、レジストリ エントリを作成します。 これを行うには、次の手順を実行します。
[ スタート] をクリックし、「 regedit」と入力し、Enter キーを押します。
次のレジストリ サブキーを見つけてクリックします。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters
[ 編集 ] メニューの [ 新規] をポイントし、[ 複数文字列値] をクリックします。
「AuthForwardServerList」と入力し、Enter キーを押します。
[編集] メニューの [変更] をクリックします。
[ 値データ ] ボックスに、Web 共有をホストするサーバーの URL を入力し、[OK] をクリック します。
注:
[ 値データ ] ボックスに URL の一覧を入力することもできます。 詳細については、この記事の「サンプル URL リスト」セクションを参照してください。
レジストリ エディターを終了します。
注:
- AuthForwardServerList レジストリ エントリを追加した場合は、基本認証またはダイジェスト認証がネットワークに実装されている場合、レジストリ エントリを使用しても資格情報のプロンプトを妨げることはできません。 この動作は、基本認証とダイジェスト認証の仕様です。
- レジストリを変更した後、WebClient サービスを再起動する必要があります。
サンプル URL リスト
新しいエントリの [値データ ] ボックスに、次の例のような URL の一覧を入力できます。
https://*.Contoso.com
http://*.dns.live.com
*.microsoft.com
この URL リストを使用すると、WebClient サービスは次のチャネルを介して資格情報を送信できます。
- 名前
Contoso.com
が であるドメインの子ドメインへの暗号化されたチャネル。 - 名前が
dns.live.com
であるドメインの子ドメインへのセキュリティで保護されていないチャネル。 - 名前が で終わるサーバーへの任意の
.microsoft.com
チャネル。
注:
URL リストを構成すると、これらのサーバーがインターネット上にある場合でも、資格情報は WebDAV サーバーに対して自動的に認証されます。
URL の一覧で回避すべき事項
URL の末尾にアスタリスク (*) 文字を追加しないでください。 これにより、セキュリティ リスクが発生する可能性があります。 たとえば、次の URL は使用しないでください。
http://*.dns.live.*
文字列の前後にアスタリスク (*) を追加しないでください。 これにより、WebClient サービスがユーザーの資格情報を追加のサーバーに送信する可能性があります。 たとえば、次の URL は使用しないでください。
http://*Contoso.com
この例では、サービスはユーザー資格情報も に
http://extra_charactersContoso.com
送信します。http://Contoso*.com
この例では、サービスはユーザー資格情報も に
http://Contosoextra_characters.com
送信します。
[URL] ボックスの一覧に、ホストの UNC 名を入力しないでください。 たとえば、次の URL は使用しないでください。
http://*.contoso.com@SSL
URL の一覧に、URL を円記号で終わらせず、使用する共有名やポート番号は含めないでください。 たとえば、次の URL は使用しないでください。
http://*.dns.live.com/
http://*.dns.live.com/DavShare
http://*dns.live.com:80
URL リストで IPv6 を使用しないでください。
重要
この URL リストは、セキュリティ ゾーンの設定には影響しません。 この URL リストは、資格情報を WebDAV サーバーに転送する特定の目的にのみ使用されます。 セキュリティの問題を回避するには、リストをできるだけ制限的に作成する必要があります。 また、特定の拒否リストがないため、資格情報はこのリストに一致するすべてのサーバーに転送されます。
状態
Microsoft は、この記事の冒頭に記載されている Microsoft 製品の問題であることを確認しました。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示