Monituj o poświadczenia podczas uzyskiwania dostępu do witryn FQDN opartych na protokole WebDav w systemie Windows

  • Artykuł

Ten artykuł zawiera rozwiązanie problemu polegającego na tym, że podczas uzyskiwania dostępu do witryn w pełni kwalifikowanych nazw domen (FQDN) w systemie Windows jest wyświetlany monit o wprowadzenie poświadczeń.

              Dotyczy systemów: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Oryginalny numer KB: 943280

Symptomy

Rozpatrzmy następujący scenariusz:

  • Używasz komputera z systemem Windows Vista lub nowszej wersji systemu Windows.
  • Do uzyskiwania dostępu do witryny FQDN jest używana funkcja WebDav.

W tym scenariuszu zostanie wyświetlony monit o wprowadzenie poświadczeń lub odmowa dostępu, nawet jeśli używane konto użytkownika ma wystarczające uprawnienia dostępu do tej witryny.

Podczas pracy z przeniesionymi folderami w widoku eksploratora może również zostać wyświetlony następujący komunikat o błędzie:

Klient używany przez Ciebie nie obsługuje otwierania tej listy za pomocą Eksploratora systemu Windows.

Przyczyna

W systemie Windows Vista lub nowszych wersjach systemu Windows usługa WebClient umożliwia Eksploratorowi Windows interakcję z zasobem WebDAV. Usługa WebClient używa usług HTTP systemu Windows (WinHTTP) do wykonywania operacji we/wy sieci na hoście zdalnym.

WinHTTP wysyła poświadczenia użytkownika tylko w odpowiedzi na żądania występujące w lokalnej witrynie intranetowej. Jednak usługa WinHTTP nie sprawdza ustawień strefy zabezpieczeń w programie Internet Explorer, aby określić, czy witryna internetowa znajduje się w strefie, która zezwala na automatyczne wysyłanie poświadczeń.

Jeśli serwer proxy nie jest skonfigurowany, usługa WinHTTP wysyła poświadczenia tylko do lokalnych witryn intranetowych.

Uwaga

Jeśli adres URL nie zawiera żadnego okresu w nazwie serwera, na przykład w poniższym przykładzie, zakłada się, że serwer znajduje się w lokalnej witrynie intranetowej: http://sharepoint/davshare.

Jeśli adres URL zawiera kropki, zakłada się, że serwer znajduje się w Internecie. Okresy wskazują, że używasz adresu FQDN. W związku z tym żadne poświadczenia nie są automatycznie wysyłane do tego serwera, chyba że serwer proxy jest skonfigurowany i chyba że ten serwer jest wskazany do obejścia serwera proxy.

Uwaga

Serwer może być wskazany do obejścia serwera proxy za pośrednictwem listy obejść lub skryptu konfiguracji serwera proxy.

W takiej sytuacji zostanie odmówiony dostęp lub zostanie wyświetlony monit o wprowadzenie poświadczeń, gdy witryna internetowa poprosi o poświadczenia. Nawet w takim przypadku ustawienia strefy zabezpieczeń są ignorowane.

Rozwiązanie

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu, aby wyświetlić artykuł w artykule Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows.

Informacje o rejestrze

Aby rozwiązać ten problem, utwórz wpis rejestru. Aby to zrobić, wykonaj następujące kroki.

  1. Kliknij przycisk Start, wpisz regedit, a następnie naciśnij klawisz Enter.

  2. Odszukaj i wybierz następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters

  3. W menu Edytuj wskaż pozycję Nowy, a następnie kliknij pozycję Wartość wielociągowa.

  4. Wpisz AuthForwardServerList, a następnie naciśnij klawisz Enter.

  5. W menu Edytuj kliknij przycisk Modyfikuj.

  6. W polu Dane wartości wpisz adres URL serwera hostującego udział internetowy, a następnie kliknij przycisk OK.

    Uwaga

    Możesz również wpisać listę adresów URL w polu Dane wartości . Aby uzyskać więcej informacji, zobacz sekcję "Przykładowa lista adresów URL" w tym artykule.

  7. Zamknij Edytor rejestru.

Uwaga

  • Jeśli dodano wpis rejestru AuthForwardServerList, należy pamiętać, że jeśli w sieci zaimplementowano uwierzytelnianie podstawowe lub uwierzytelnianie szyfrowane, użycie wpisu rejestru nie może uniemożliwić monitu o poświadczenia. To zachowanie jest przeznaczone do uwierzytelniania podstawowego i uwierzytelniania szyfrowanego.
  • Po zmodyfikowaniu rejestru należy ponownie uruchomić usługę WebClient.

Przykładowa lista adresów URL

W polu Dane wartości dla nowego wpisu możesz wprowadzić listę adresów URL, takich jak poniższy przykład:

  • https://*.Contoso.com
  • http://*.dns.live.com
  • *.microsoft.com

Ta lista adresów URL umożliwia usłudze WebClient wysyłanie poświadczeń za pośrednictwem następujących kanałów:

  • Dowolny zaszyfrowany kanał do domeny podrzędnej domeny, której nazwa to Contoso.com.
  • Dowolny niezabezpieczony kanał do domeny podrzędnej domeny, której nazwa to dns.live.com.
  • Dowolny kanał do serwera, którego nazwa kończy się na .microsoft.com.

Uwaga

Po skonfigurowaniu listy adresów URL poświadczenia będą automatycznie uwierzytelniane na serwerach WebDAV, nawet jeśli te serwery znajdują się w Internecie.

Rzeczy, których należy unikać na liście adresów URL

  • Nie należy dodawać znaku gwiazdki (*) na końcu adresu URL. Może to tworzyć zagrożenie dla bezpieczeństwa. Na przykład nie używaj następującego adresu URL:
    http://*.dns.live.*

  • Nie należy dodawać gwiazdki (*) przed lub po ciągu. Może to spowodować, że usługa WebClient będzie wysyłać poświadczenia użytkownika do dodatkowych serwerów. Na przykład nie używaj następujących adresów URL:

    • http://*Contoso.com

      W tym przykładzie usługa wysyła również poświadczenia użytkownika do http://extra_charactersContoso.comprogramu .

    • http://Contoso*.com

      W tym przykładzie usługa wysyła również poświadczenia użytkownika do http://Contosoextra_characters.comprogramu .

  • Na liście adresów URL nie należy wpisywać nazwy UNC hosta. Na przykład nie używaj następującego adresu URL:
    http://*.contoso.com@SSL

  • Na liście adresów URL nie kończ adresu URL w ukośniku odwrotnym i nie uwzględniaj nazwy udziału ani numeru portu do użycia. Na przykład nie używaj następujących adresów URL:

    • http://*.dns.live.com/
    • http://*.dns.live.com/DavShare
    • http://*dns.live.com:80

  • Nie używaj protokołu IPv6 na liście adresów URL.

Ważna

Ta lista adresów URL nie ma wpływu na ustawienia strefy zabezpieczeń. Ta lista adresów URL jest używana tylko do określonego celu przekazywania poświadczeń do serwerów WebDAV. Lista powinna zostać utworzona tak restrykcyjnie, jak to możliwe, aby uniknąć problemów z zabezpieczeniami. Ponadto, ponieważ nie ma konkretnej listy odmowy, poświadczenia są przekazywane do wszystkich serwerów zgodnych z tą listą.

Stan

Firma Microsoft potwierdziła, że jest to problem w produktach firmy Microsoft wymienionych na początku tego artykułu.