Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

FTP-Server über ISA Standard 2006 veröffentlichen

Frage Microsoft Windows Netzwerk

Mitglied: sKrejci

sKrejci (Level 1) - Jetzt verbinden

06.02.2010 um 11:59 Uhr, 7717 Aufrufe, 9 Kommentare

Hinter der Hardware-Firewall, wo die Glasfaser reinkommt, steht ein ISA Server 2006 Standard. Von diesem weg gehen über die einer Netzwerkkarte das interne, und über eine dritte Netzwerkkarte das Umkreisnetzwerk mit www- und ftp-Server.

Hallo!
Der FTP-Server (192.168.242.4) ist ein FileZilla-Server und funktioniert netzwerk-intern einwandfrei. Von allen Clients intern, egal aus welchem internen Netz (es gibt deren 13), kann ich mich mit egal welchem FTP-Client verbinden und Dateien hochladen/bearbeiten/....

Aber bei der Veröffentlichung des FTP-Servers happert es. Auf demselben Server liegt auch der WebServer (Apache HTTPD), dessen Veröffentlichung mit ISA über den Assistenten "Einen Webserver veröffentlichen" problemlos geklappt hat. Veröffentliche ich aber mit dem Assistenten "Ein Nicht-Webserver-Protokoll veröffentlichen" einen FTP-Server, wird jeder eingehende FTP-Verkehr von dieser Regel nicht erkannt und aufgrund der Standardregel abgelehnt.

Könnte mir da bitte jemand einen Tipp geben?

Danke, Stefan

Konfiguration:

FTP-Server-Veröffentichung am ISA-Server
+ von Extern
+ nach 192.168.242.4
+ Protokoll FTP-Server
+ Filterung: Nur lesen: deaktiviert
+ Ports: Standard
+ Ursprung: ursprünglicher Client
+ Netzwerk: Extern (öffentl. IP-Adresse)

FTP-Server:
+ Firewall: integrierte WinFirewall mittlerweile sogar schon komplett deaktivert
+ FTP-Server: Filezilla-Server

Bei der ISA-Server-Protokollierung erscheint bei jedem Verbindungsversuch die Zeile:
Zielport 21 - Protokoll FTP - Quellnetzwerk: Extern - Zielnetzwerk: Lokaler Host - Aktion: Verweigerte Verbindung - Regel: Standardregel
Die FTP-Server-Regel steht aktiviert an 7. Evaluations-Reihenfolge... aber sie greift nicht...
Mitglied: aqui
06.02.2010 um 17:13 Uhr
Prüfe mit einem Port Scanner ob wirklich die Ports TCP 20 und TCP 21 frei sind, denn die benötigt FTP.
Wenn du über eine NAT Firewall (Adress Translation) gehst solltest du zudem das hier zwingen beachten:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html
bzw.
http://slacksite.com/other/ftp.html
Bei NAT funktioniert also nur passive FTP am Client ! Ein Passive FTP Client ist z.B. der im Firefox Browser wenn du im URL ftp://username:password@servername_oder_IP eingibst. Ansonsten der Filezilla Client macht auch passive FTP.
Bitte warten ..
Mitglied: sKrejci
06.02.2010 um 17:59 Uhr
Hallo!

Danke für die Infos. Port 20/21 sind definitiv offen, ich verwende NAT, und auch eine passive Verbindung.
Ich habe in ISA Server auch bereits ein eigenes Protokoll mit TCP 20/21 eingehend und sekundäre Verbindungen auf > 1024 angelegt. Jetzt erkennt er zwar die Firewallrichtlinie, die Verbindung bleibt aber verweigert...
Kann das vielleicht mit dem Routing & RAS - Dienst zusammenhängen?

Stefan
Bitte warten ..
Mitglied: ulle2k4
06.02.2010 um 23:15 Uhr
Hi, hast du dir das mal durchgelesen?
http://support.microsoft.com/kb/925880/de
Bitte warten ..
Mitglied: Edi.Pfisterer
07.02.2010 um 15:41 Uhr
Hallo!

Die Fehlermeldung erwähnt als Regel: Standardregel

das kommt mir irgendwie spanisch vor...
Die Regel namens "Standardregel" ist die erste, die aufgerufen wird (also als Reihenfolge "Letzte" eingetragen hat). Diese verhindert Grundsätzlich jeden Verkehr. Danach wird jede Regel der Reihenfolge nach abgearbeitet (dh, diejenige mit der Nummer 1 ist in Wirklichkeit die letzte, die abgearbeitet wird).
dies bedeutet: Wenn für den vom Client erwünschten Verkehr keine passende Regel dabei ist, dann meldet sich wieder die "Standardregel" und sagt "Verweigerte Verbindung" (eigentlich eh klar, oder?).

Daher vermute ich weiter: Keine deiner folgenden Regeln passt zu deinem Wunsch, von extern auf deinen Server zuzugreifen.

Ich vermute noch weiter:
vielleicht ist die Konfiguration bei Dir ohnehin richtig - und du hasts nur vergessen, hier hinzuschreiben, aber:

Du musst bei "EXTERN" zusätzlich auch die entsprechende IP-Adresse auswählen, über die von aussen auf Deinen FTP-Server zugegriffen wird.

Falls bei dir der default-wert "alle IP-Adressen" steht, erklärt es sich eigentlich von selbst, warum das nicht gut funktionieren kann....

dh, es muss richtig heissen:
von Extern 137.208.3.10
nach 192.168.242.4
usw

falls es daran nicht liegt...:

btw: Kann es sein, dass deine Regel deaktiviert ist?
letzter Tipp: manchmal hilft es, eine Regel einfach zu kicken und eine neue zu erstellen....
Es verstellt sich manchmal der Blick, wenn man zu lange auf Bestehendes blickt


hoffe, dass es daran liegt.
Kurzes Feedback, falls es funktioniert, wäre nett.
lg
Bitte warten ..
Mitglied: Edi.Pfisterer
07.02.2010 um 15:44 Uhr
edit:
Mit Routing und RAS kann es nichts zu tun haben.
Das läuft ja bei dir höchstens auf dem FTP-Server. Da Du auf diesen allerdings innerhalb Deines LANS ohne Probleme zugreifen kannst, scheitert es nur am ISA-Server bzw. der zugehörigen Firewall-Richtlinie!!!

edit2:
habe jetzt erst die blaue Unterüberschrift gelesen...
wofür sind in Deinem ISA 3 Netzwerkkarten verbaut?
Du brauchst eigentlich nur 2.

1.: LAN
2.: WAN

auf der WAN-Karte kannst du x-beliebig viele IP-Adressen eintragen (ich habe derzeit 20 drauf...). Aber Du musst halt zu jeder Firewallrichtlinie mit veröffentlichung nach Aussen auch die entpsrechende IP-Adresse definieren.

Kann es sein, dass Du da mit den 3 Karten ein Tohuwabohu bzgl. der Zuordnung zu Extern/Intern hast?
Bitte warten ..
Mitglied: sKrejci
14.02.2010 um 12:02 Uhr
Hallo!
Vielen Dank für deine Tips! Leider hat sich das Problem immer noch nicht gelöst...

Drei Netzwerkkarten habe ich deswegen, weil ich eine Umkreisnetzwerk-Struktur habe: 1 fürs WAN, 1 fürs LAN und 1 fürs Umkreisnetzwerk. Die Netzwerk-Zuordnungen habe ich unter Konfiguration --> Netzwerke --> Netzwerke überprüft, diese sind korrekt eingetragen. Auf der WAN-Karte habe ich auch mehrere, nämlich 4 IP-Adressen eingetragen. Eine davon für den ISA-Server selbst, eine für den Mail-Server, der im internen Netzwerk steht - und dessen OWA-Veröffentlichung einwandfrei über den ISA-Assistenten funktioniert hat. Eine dritte für den Web-, FTP- und Datenbank-Server, der im Umkreisnetzwerk steht und auch nicht Mitglied der internen Domäne ist. Die Webserver-Veröffentlichung hab ebenfalls einwandfrei mit dem ISA-Assistenten funktionert. Daher wollte ich den FTP-Server ebenfalls über den ASsistenten "Nicht-Webserver-Protokolle veröffentlichen" publishen, aber diese Regel greift wie gesagt nicht. Also von extern, von intern greift sie tadellos.

Da auch der restliche Datenverkehr (seit zwei Jahren) einwandfrei geroutet wird, nehme ich mal an, dass die grundlegende Konfiguration der Netzwerke in Ordnung ist.

Bei der FTP-Server-Veröffentlichungsregel habe ich Extern inkl. öffentl. IP-Adresse angegeben, beim Zielnetzwerk die IP-Adresse des FTP-Servers. Was mich irritiert, ist, dass bei der verweigerten Regel immer von "Extern" nach "LOKALER HOST" (Betonung auf letzteres) angezeigt wird, und nicht der FTP-Server.
Ich verstehe eine Serververöffentlichung so, dass bei einem veröffentlichten Protokoll der ISA-Server "so tut", als sei er dieser Server, und leitet den Datenverkehr entsprechend der Veröffentlichung weiter. Zumindest entnehme ich diese Interpretation der Literatur so. Hab ich da leicht einen Verständnisfehler?

Ich hab die Regel auch schon (mehrmals) gemüllt, und neu konfiguriert - auch mit mehreren Tagen als Vergessens-Puffer -, aber leider nix.

Was mich bei der Firewall-Richtlinien-Anzeige beim ISA ein wenig irrigiert, ist, dass sowohl bei der OWA- als auch der WWW-Veröffentlichung jeweils ein Listener konfiguriert werden musste, und dementsprechend das Symbol der Richtlinie anders ist. Bei der FTP-Veröffentlichung bekomme ich ein anderes Symbol - dasselbe wie bei der SMTP-Veröffentlchung, welche erstens wieder auf den Mailserver im internen Netzwerk zeigt, und zweitens ebenfalls einwandfrei funktioniert.

Nächste Irritation: Ich habe eine Regel mit "gesamten Datenverkehr" von "alle Netzwerke (und lok. Host)" bis "alle Netzwerke (und lok. Host)" mal kurz geöffnet - und die Veröffentlichung funktioniert auch nicht. Allerdings heißts dort auch "ausgehender" Datenverkehr, und nicht eingehender...

Du siehst, ich weiß echt nicht mehr weiter... Danke für jeden Tipp!

Liebe Grüße, Stefan
Bitte warten ..
Mitglied: sKrejci
03.03.2010 um 14:35 Uhr
Update: Ich habe jetzt testweise einen FTP-Server auf dem Domänencontroller im internen Netzwerk installiert und über den ISA-Server veröffentlicht - und hier geht die Veröffentlichung sofort, einwandfrei und problemlos!
Welche Konfigurationseinstellung übersehe ich da, dass die Veröffentlichung aus dem Umkreisnetzwerk nicht funktioniert?

Edit: Mir ist aufgefallen, dass beim Mitprotokollieren bei der funktionierenden Veröffentlichung als Ziel-IP die tatsächliche, interne IP des Servers angeführt ist. Bei der nicht funktionierenden Veröffentlichung ist jedoch die externe IP angegeben. Kann das heißen, dass das Natten auf der vorgeschalteten Hardware-Firewall nicht richtig funktioniert?

LGs Stefan
Bitte warten ..
Mitglied: sKrejci
03.03.2010 um 16:29 Uhr
Okay, jetzt hab ich's - endlich:
Das Netzwerkverhältnis vom Umkreisnetzwerk war auf Route festgelegt - umgeändert auf NAT, und die Sache funktioniert.
Stefan
Bitte warten ..
Mitglied: Edi.Pfisterer
03.03.2010 um 16:37 Uhr
Hola!
hab jetzt bei mir nochmal nachgesehen...
unter konfiguration/netzwerke/Netzwerke könntest du nochmal nachsehen, ob das DMZ wirklich am richtigen Adapter eingetragen ist (eigenschafen /adressen/adapter).

oder etwas ganz anderes:
könnte es sein, dass Du zwischen dem ISA und dem DMZ einen Router stehen hast, der Port 21 blockt?
wäre wieder mal so eine Lösung, auf die man selbst nicht kommt, weil man sich gedanklich im Kreis bewegt...

versuch mal vom ISA aus:
01.
telnet ftpserver 21
wenn da nichts zurückkommt, dann hätten wir den schuldigen... )

ansonsten hatte ich es auch schon mal bei einem Kunden, dass mir der ISA einen gepfiffen hat, nachdem ich diesen bei mir in der Firma aufgesetzt habe und dann beim Kunden die öffenltiche IP-Adresse in der Netzwerkumgebung änderte. Aus der Traum, da war auch nichts mit umkonfigurieren in konfiguration/netzwerke/Netzwerke

(bin dann - mangels der CD) wieder zurückgefahren (1h), CD geholt, hingefahren (1h), ISA neuinstalliert, dann lief wieder alles...
war ein ziemliches Verlustgeschäft damals

ich vermute, dass ISA so manches an sehr verstecktem Ort einträgt, wodurch die Sicherung der Firewallrichtlinien und anschliessende Neuinstallation von ISA oft die schnellere Problemlösungsvariante darstellt...

gutes gelingen
Feedback, ob ich dir helfen konnte, freut mich immer....
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst Windows Server 2012 Standard Upgrade auf R2 (8)

Frage von Hendrik2586 zum Thema Windows Server ...

Windows Server
Hat man bei Windows Server 2016 Standard ein Downgraderecht? (10)

Frage von coltseavers zum Thema Windows Server ...

Windows Server
BPA bei Windows Server 2008R2 Standard (15)

Frage von MiSt zum Thema Windows Server ...

Linux Tools
CURL mehrere Dateien vom ftp-Server herunterladen (10)

Frage von highpriest zum Thema Linux Tools ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...