5
ISA Proxy Server - FTP-Zugang nicht möglich
Hallo Leute,
ich habe schon mehrere Stunden gegooglt, aber so richtig schlau werde ich nicht.
Wir besitzen mehrere ISA-Server (als Proxy eingesetzt), über die die Benutzer ins Internet gehen und utner anderem FTP-Zugriffe auf Servern tätigen. Bedeutet das, dass auf jedem Client, der eine FTP-Verbindung über Filezilla oder winSCP aufbauen will, automatisch den ISA Firewall Client benötigt???
Alle gängigen FTP-Clients bieten SOCKS5 und HTTP Authentifizierung an. Kann dies nicht darüber auf dem ISA-Server geschehen?
Gruß
Freaky
ich habe schon mehrere Stunden gegooglt, aber so richtig schlau werde ich nicht.
Wir besitzen mehrere ISA-Server (als Proxy eingesetzt), über die die Benutzer ins Internet gehen und utner anderem FTP-Zugriffe auf Servern tätigen. Bedeutet das, dass auf jedem Client, der eine FTP-Verbindung über Filezilla oder winSCP aufbauen will, automatisch den ISA Firewall Client benötigt???
Alle gängigen FTP-Clients bieten SOCKS5 und HTTP Authentifizierung an. Kann dies nicht darüber auf dem ISA-Server geschehen?
Gruß
Freaky
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 134635
Url: https://administrator.de/contentid/134635
Printed on: April 24, 2024 at 18:04 o'clock
5 Comments
Latest comment
Hallo!
wenn ich dich richtig verstehe, dann möchtest Du deinen Clients zugriff auf externe FTP-Server gestatten.
Zu diesem Zwecke musst du zu allererst natürlich die entsprechende Firewallregel erstellen. (ich verzichte hier auf die Details, da ich vermute, Du kennst Dich damit aus...)
Nun gilt es zu beachten:
wenn Du möchtest, dass Deine User sich mit ihrem Domänen-Username in deine Logs eintragen, dann solltest Du "Authentifizierte Benutzer" auswählen.
Falls es dir reicht, dass nur die IP-Adresse des Clients im Log auftauchen, dann kannst du auch "Alle Benutzer" auswählen.
Falls Du "Alle Benutzer" gewählt hast: Gratuliere, du bist fertig!
Die Clients haben ab sofort auch ohne FirewallClient Zugriff auf externe FTP-Ressourcen.
Falls Du "Authentifizierte Benutzer" gewählt hast:
siehe hier:
Technet - Troubleshooting Outbound FTP Access in ISA Server
letzter Hinweis:
Falls es für Deine Zwecke ausreicht, dass der Zugriff sich auf Lesen von fremden Servern beschränkt, bist du mit den defaults ausreichend bedient.
Falls Du auch Schreibzugriff auf fremde Resourcen brauchst:
Nachdem Du Deine Firewallregel erstellt hast, Recht Maustaste nochmals auf diese Firewallrichtlinie --> letzte Zeile "FTP konfigurieren".
dort befindet sich per default ein Hakerl bei "Nur lesen". Hakerl also entfernen. Gratuliere, du bist fertig!
Diese Anmerkungen gelten für ISA 2004, ob sie auch für ISA 2006 gelten, kann ich nicht sagen!
gutes gelingen
lg
wenn ich dich richtig verstehe, dann möchtest Du deinen Clients zugriff auf externe FTP-Server gestatten.
Zu diesem Zwecke musst du zu allererst natürlich die entsprechende Firewallregel erstellen. (ich verzichte hier auf die Details, da ich vermute, Du kennst Dich damit aus...)
Nun gilt es zu beachten:
wenn Du möchtest, dass Deine User sich mit ihrem Domänen-Username in deine Logs eintragen, dann solltest Du "Authentifizierte Benutzer" auswählen.
Falls es dir reicht, dass nur die IP-Adresse des Clients im Log auftauchen, dann kannst du auch "Alle Benutzer" auswählen.
Falls Du "Alle Benutzer" gewählt hast: Gratuliere, du bist fertig!
Die Clients haben ab sofort auch ohne FirewallClient Zugriff auf externe FTP-Ressourcen.
Falls Du "Authentifizierte Benutzer" gewählt hast:
siehe hier:
Technet - Troubleshooting Outbound FTP Access in ISA Server
letzter Hinweis:
Falls es für Deine Zwecke ausreicht, dass der Zugriff sich auf Lesen von fremden Servern beschränkt, bist du mit den defaults ausreichend bedient.
Falls Du auch Schreibzugriff auf fremde Resourcen brauchst:
Nachdem Du Deine Firewallregel erstellt hast, Recht Maustaste nochmals auf diese Firewallrichtlinie --> letzte Zeile "FTP konfigurieren".
dort befindet sich per default ein Hakerl bei "Nur lesen". Hakerl also entfernen. Gratuliere, du bist fertig!
Diese Anmerkungen gelten für ISA 2004, ob sie auch für ISA 2006 gelten, kann ich nicht sagen!
gutes gelingen
lg
Hi,
vielen Dank für deine Antwort.
Ich werde es morgen im Unternehmen gleich ausprobieren.
Du hast recht, was die AD-Konten angeht.. diese sollen/müssen in den Logs verzeichnet sein, da DHCP eingesetzt wird. D.h. man könnte früher oder später die IP-Adresse nicht mehr dem Benutzer zuordnen....
Der angegebene Link ist für ISA 2006.
Ich werde morgen mein Ergebnis posten
Gruß,
Freaky
vielen Dank für deine Antwort.
Ich werde es morgen im Unternehmen gleich ausprobieren.
Du hast recht, was die AD-Konten angeht.. diese sollen/müssen in den Logs verzeichnet sein, da DHCP eingesetzt wird. D.h. man könnte früher oder später die IP-Adresse nicht mehr dem Benutzer zuordnen....
Der angegebene Link ist für ISA 2006.
Ich werde morgen mein Ergebnis posten
Gruß,
Freaky
Und?
Hast Du eine Lösung gefunden?
Würde mich persönlich interessieren. In meiner Infrastruktur reichen mir die IP-Adressen, Uploads sind standardmäßig nur für 2 externe Server gestattet, da seh ich ohnehin an diesen FTP-Shares, welcher User welches File upgeloadet hat und download ist für mich nicht wichtig.
Vielleicht brauche ich aber mal die AD-Konten in den logs und da könnte ich dann auf Deine Erkenntnisse zurückgreifen
Hast Du eine Lösung gefunden?
Würde mich persönlich interessieren. In meiner Infrastruktur reichen mir die IP-Adressen, Uploads sind standardmäßig nur für 2 externe Server gestattet, da seh ich ohnehin an diesen FTP-Shares, welcher User welches File upgeloadet hat und download ist für mich nicht wichtig.
Vielleicht brauche ich aber mal die AD-Konten in den logs und da könnte ich dann auf Deine Erkenntnisse zurückgreifen
Hallo und einen wunderschönen guten Morgen,
ich habe etwas getestet, bin aber auf das Ergebnis gekommen, dass es besser wäre, den MS FW Client zu installieren.
Ich habe es anderster nicht hinbekommen.
Die AD-Konten werden in den Logs auch mit FW-Client geloggt. Musst halt nur die richtigen Firewallregeln konfiguriert haben. Bei uns ist es so, dass kein nicht authentifizierter Benutzer ins Internet darf.
Gruß,
Freaky
ich habe etwas getestet, bin aber auf das Ergebnis gekommen, dass es besser wäre, den MS FW Client zu installieren.
Ich habe es anderster nicht hinbekommen.
Die AD-Konten werden in den Logs auch mit FW-Client geloggt. Musst halt nur die richtigen Firewallregeln konfiguriert haben. Bei uns ist es so, dass kein nicht authentifizierter Benutzer ins Internet darf.
Gruß,
Freaky
Vielen Dank für Deine Antwort!!!
lg
lg
