Запрос учетных данных при доступе к сайтам FQDN на основе WebDAV в Windows

  • Статья

В этой статье описывается решение проблемы, из-за которой вам будет предложено ввести учетные данные при доступе к сайтам веб-распределенной разработки и управления версиями (WebDAV) на основе полных доменных имен (FQDN) в Windows.

Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Оригинальный номер базы знаний: 943280

Симптомы

Рассмотрим следующий сценарий.

  • Вы используете компьютер под управлением Windows Vista или более поздней версии Windows.
  • Для доступа к сайту полного доменного имени используется WebDav.

В этом сценарии вам будет предложено ввести свои учетные данные или вам будет отказано в доступе, даже если учетная запись пользователя, которую вы используете, имеет достаточные разрешения для доступа к этому сайту.

При работе с перемещенными папками в представлении обозревателя также может появилось следующее сообщение об ошибке:

Ваш клиент не поддерживает открытие этого списка с помощью проводника Windows.

Причина

В Windows Vista или более поздних версиях Windows служба WebClient используется для разрешения Обозреватель Windows взаимодействовать с ресурсом WebDAV. Служба WebClient использует службы Windows HTTP (WinHTTP) для выполнения операций сетевого ввода-вывода с удаленным узлом.

WinHTTP отправляет учетные данные пользователя только в ответ на запросы, возникающие на локальном сайте интрасети. Однако WinHTTP не проверка параметры зоны безопасности в Обозреватель Интернета, чтобы определить, находится ли веб-сайт в зоне, позволяющей автоматически отправлять учетные данные.

Если прокси-сервер не настроен, WinHTTP отправляет учетные данные только на сайты локальной интрасети.

Примечание.

Если URL-адрес не содержит точки в имени сервера, как показано в следующем примере, предполагается, что сервер находится на сайте локальной интрасети: http://sharepoint/davshare.

Если URL-адрес содержит точки, предполагается, что сервер находится в Интернете. Точки указывают, что используется адрес полного доменного имени. Таким образом, учетные данные не отправляются на этот сервер автоматически, если не настроен прокси-сервер и если этот сервер не указан для обхода прокси-сервера.

Примечание.

Сервер можно указать для обхода прокси-сервера с помощью списка обходов или скрипта конфигурации прокси-сервера.

В этом случае вам либо отказано в доступе, либо вам будет предложено ввести свои учетные данные, когда веб-сайт запрашивает учетные данные. Даже в этом случае параметры зоны безопасности игнорируются.

Разрешение

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать резервную копию и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью Резервное копирование и восстановление реестра в Windows.

Сведения о реестре

Чтобы устранить эту проблему, создайте запись реестра. Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск, введите regedit и нажмите клавишу ВВОД.

  2. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\Parameters

  3. В меню Правка наведите указатель мыши на пункт Создать, а затем выберите Пункт Многострочного значения.

  4. Введите AuthForwardServerList и нажмите клавишу ВВОД.

  5. В меню Правка щелкните Изменить.

  6. В поле Значение введите URL-адрес сервера, на котором размещена общая веб-папка, и нажмите кнопку ОК.

    Примечание.

    Вы также можете ввести список URL-адресов в поле Значение . Дополнительные сведения см. в разделе "Пример списка URL-адресов" этой статьи.

  7. Закройте редактор реестра.

Примечание.

  • Если вы добавили запись реестра AuthForwardServerList, имейте в виду, что если в сети реализована обычная проверка подлинности или дайджест-проверка подлинности, использование записи реестра не может предотвратить запрос учетных данных. Это поведение предназначено для обычной проверки подлинности и дайджест-проверки подлинности.
  • После изменения реестра необходимо перезапустить службу WebClient.

Пример списка URL-адресов

В поле Значение для новой записи можно ввести список URL-адресов, например в следующем примере:

  • https://*.Contoso.com
  • http://*.dns.live.com
  • *.microsoft.com

Этот список URL-адресов позволяет службе WebClient отправлять учетные данные по следующим каналам:

  • Любой зашифрованный канал к дочернему домену домена, имя которого равно Contoso.com.
  • Любой небезопасный канал к дочернему домену домена, имя которого равно dns.live.com.
  • Любой канал к серверу, имя которого заканчивается .microsoft.comна .

Примечание.

После настройки списка URL-адресов учетные данные будут автоматически проходить проверку подлинности на серверах WebDAV, даже если эти серверы находятся в Интернете.

Чего следует избегать в списке URL-адресов

  • Не добавляйте символ звездочки (*) в конец URL-адреса. Это может создать угрозу безопасности. Например, не используйте следующий URL-адрес:
    http://*.dns.live.*

  • Не добавляйте звездочку (*) до или после строки. Это может привести к тому, что служба WebClient будет отправлять учетные данные пользователя на дополнительные серверы. Например, не используйте следующие URL-адреса:

    • http://*Contoso.com

      В этом примере служба также отправляет учетные данные пользователя в http://extra_charactersContoso.com.

    • http://Contoso*.com

      В этом примере служба также отправляет учетные данные пользователя в http://Contosoextra_characters.com.

  • В списке URL-адресов не вводите UNC-имя узла. Например, не используйте следующий URL-адрес:
    http://*.contoso.com@SSL

  • В списке URL-адресов не заканчивайте URL-адрес обратной косой чертой и не включайте имя общей папки или номер порта для использования. Например, не используйте следующие URL-адреса:

    • http://*.dns.live.com/
    • http://*.dns.live.com/DavShare
    • http://*dns.live.com:80

  • Не используйте IPv6 в списке URL-адресов.

Важно!

Этот список URL-адресов не влияет на параметры зоны безопасности. Этот список URL-адресов используется только для конкретной цели пересылки учетных данных на серверы WebDAV. Список должен быть создан как можно более ограничительно, чтобы избежать каких-либо проблем с безопасностью. Кроме того, поскольку нет определенного списка запретов, учетные данные перенаправляются на все серверы, соответствующие этому списку.

Состояние

Корпорация Майкрософт подтвердила, что это проблема в продуктах Майкрософт, перечисленных в начале этой статьи.