Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS 2003 Premium ISA FTP Upload geht bei den Clients nicht

Frage Microsoft Windows Server

Mitglied: PVS-Deck

PVS-Deck (Level 1) - Jetzt verbinden

17.02.2010, aktualisiert 14:23 Uhr, 6060 Aufrufe, 3 Kommentare

Hallo Leute,

ich komme einfach nicht weiter.

Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.

Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne Probleme.
Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Habe mich schon wund gegoogelt, viele Lösungsideen gefunden, aber keine hat geholfen.

Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt und der SBS wurde danach auch schon mehrmals neugestartet.

Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt, wenn ich mich auf den SBS via RDP einlogge geht es ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als Administrator) einlogge geht es nicht ?!?

Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann? Letztendlich habe ich ja eh eine HardwareFirewall (Router) und den ISA zwischen dem Internet und den lokalen Clients.

Aber hat noch jemand eine IDEE woran das Problem liegen kann?

Gruß
Thorsten
Mitglied: Pjordorf
17.02.2010 um 15:06 Uhr
Hallo Thorsten,

Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.

Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne Probleme.

Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Sagt das der ISA 2004 oder sagt das der FTP Server auf den du zugreifen willst?

Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt
Ich kann im ISA 2004 beim FTP-Protokoll nur das häckchen setzen, um nur lesenden zugriff zu gestatten. (Häckchen entfernt = Upload und Download, Häckchen gesetzt = nur Download)

und der SBS wurde danach auch
schon mehrmals neugestartet.
Für änderungen am ISA 2004 nicht nötig

Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt,
Wie kommst du da drauf?

wenn ich mich auf den SBS via RDP einlogge geht es
ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als
Administrator) einlogge geht es nicht ?!?
Benutzer/Passwort für den FTP Upload auf dem SBS gespeichert?

Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein
Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann?
Das war kein Sicherheitsupdate. der SBS 2003 hat von anfang an entsprechend eingestellte Gruppenrichtlinien. Eine davon, regelt die Windows eigenen (XP, Vista, 7) Firewalls deiner Clients.

Letztendlich habe ich ja eh eine HardwareFirewall
(Router) und den ISA zwischen dem Internet und den lokalen Clients.
Die lokalen Firewalls sollen auch die Rechner Intern (untereinander) schützen. Da nützt dir deine Hardware Firewall / ISA 2004 gar nichts.

Hast du eine Regel im ISA 2004 für den Zugriff auf FTP für die betreffenden Benutzer / Computer gemacht?
Verwendest du den Firewall Client?
Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle Computer / Geräte / Benutrzer hinter deinem ISA 2004).

Peter
Bitte warten ..
Mitglied: PVS-Deck
17.02.2010 um 17:54 Uhr
Hallo Peter,

danke für die schnelle Antwort.

Zitat von Pjordorf:
Hallo Thorsten,

> Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.
>
> Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne
Probleme.
>
> Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Sagt das der ISA 2004 oder sagt das der FTP Server auf den du zugreifen willst?

Nein, das sagt mein ISA.


> Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt
Ich kann im ISA 2004 beim FTP-Protokoll nur das häckchen setzen, um nur lesenden zugriff zu gestatten. (Häckchen
entfernt = Upload und Download, Häckchen gesetzt = nur Download)
Sorry, war mein Fehler, der Hacken ist natürlich nicht mehr gesetzt ;)


> Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt,
Wie kommst du da drauf?
Naja, weil es auf dem SBS direkt geht, aber eben nicht auf den CLIENTs.

> wenn ich mich auf den SBS via RDP einlogge geht es
> ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als
> Administrator) einlogge geht es nicht ?!?
Benutzer/Passwort für den FTP Upload auf dem SBS gespeichert?
Nein, ist genauso wie bei den Clients. Selbe Config, Zugang und Passwort.


> Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein
> Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann?
Das war kein Sicherheitsupdate. der SBS 2003 hat von anfang an entsprechend eingestellte Gruppenrichtlinien. Eine davon, regelt
die Windows eigenen (XP, Vista, 7) Firewalls deiner Clients.

Komischerweise war das am Anfang noch nicht, da konnte ich noch die lokale Firewall abschalten, aber mittlerweile nicht mehr.
Zum testen hätte ich das gerne mal gemacht, weisst Du wie die Richtlinie heisst?
Habe eigentlich schon gesucht, aber nichts passendes gefunden.

> Letztendlich habe ich ja eh eine HardwareFirewall
> (Router) und den ISA zwischen dem Internet und den lokalen Clients.
Die lokalen Firewalls sollen auch die Rechner Intern (untereinander) schützen. Da nützt dir deine Hardware Firewall /
ISA 2004 gar nichts.

Ja, das mag ja sein, aber ich habe nur eine kleine Firma und zum testen hätte es ja mal gereicht.


Hast du eine Regel im ISA 2004 für den Zugriff auf FTP für die betreffenden Benutzer / Computer gemacht?
Ja, eigentlich schon (vom SBS geht es ja auch):

SBS FTP Outbound Access Rule
Aktion: Zulassen
Protkolle: FTP
von: Lokaler Host (oder muss ich hier auch schon Intern machen? Eigentlich muss das doch über den ISA laufen oder? Denkfehler?)
nach Extern
Bedingung: Alle Benutzer
FTP:
Ports: 20-22 TCP Ausgehend
Anwendungsfilter: FTP-Zugriffsfilter

Verwendest du den Firewall Client?
Ich habe es mit und ohne probiert, kein Unterschied.

Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Ich habe mal nach dem Protokoll "FTP" gefiltert, wenn ich mit einem CLIENT online gehe:

Verbindungsaufbau:
Initiierte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 0
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

Gleich danach kommt aber folgendes:
Getrennte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten Dreiwegehandshake getrennt.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 209
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle
Computer / Geräte / Benutrzer hinter deinem ISA 2004).

Da gibt es auch eine Einstellung für FTP? Ist doch schon in der FTP-Regel vorhanden?? (Doppelt??)

OK, ich habe gerade bei der "Internet Access Rule" rechte Maustaste für Eigenschaften
gemacht das gibt es noch einen Menüeintrag "FTP konfigurieren". Dahinter verbirgt sich noch mal "FTP-Protokollrichtlinie"
und man soll es kaum glauben, da gibt es nochmal einen Hacken "Nur lesen". Da diese Regel die vorletzte ist, hat diese
klar den Vorrang. ich habe den Hacken mal entfernt und siehe da es geht.

In dieser Regel hätte ich wahrscheinlich nie reingeschaut wegen FTP (oh Mann), manchmal hilft es wohl darüber zu reden.

Ich danke Dir auf jedenfall, endlich kann ich meine großen Dateien ohne Umwege via FTP
übertragen um diese auf der Homepage zu speichern.

Gruß
Thorsten
Bitte warten ..
Mitglied: Pjordorf
18.02.2010 um 23:04 Uhr
Hallo Thorsten,

Naja, weil es auf dem SBS direkt geht, aber eben nicht auf den CLIENTs.

Habe eigentlich schon gesucht, aber nichts passendes gefunden.
Ich habe die genaue bezeichnung jetzt nicht im Kopf, aber im Namen steht schon was "Firewall"

Ja, das mag ja sein, aber ich habe nur eine kleine Firma und zum testen hätte es ja mal gereicht.
Gerade in kleinen Firmen OHNE grosse IT-Wissen ist die eingeschaltet Firewall WICHTIG!

SBS FTP Outbound Access Rule
Aktion: Zulassen
Protkolle: FTP
von: Lokaler Host (oder muss ich hier auch schon Intern machen? Eigentlich muss das doch über den ISA laufen oder?
Lokaler Host = Was ist das = Das ist der Lokale Rechner(Host) = Das ist dein ISA Server (und nur dein ISA Server und alle darauf installierte Server/Anwendungen)
Denkfehler?)
Ja.
Da musst entweder das netzwerk Intern verwenden oder ein / zwei Computer definieren und eintragen. Der Lokale Host (dein SERVER) braucht garantiert keinen FTP Upload, und ALLE deiner Computer in deinem Netzwerk brauchen garantiert auch keinen FTP Upload. Definiere also die benötigten Computer und trage die als Quelle ein.

nach Extern
Bedingung: Alle Benutzer
Brésser, hier nur "Authentifizierte benutzer" oder Namentlich genannte Benutzer (die das wirklich brauchen) eintragen.

FTP:
Ports: 20-22 TCP Ausgehend
Wenn du die vorgegebenen Protokolle verwendets, brauchst du hier nichts definieren. Ist im Standardprotokoll FTP schon enthalten und braucht nicht geändert zu werden.

Anwendungsfilter: FTP-Zugriffsfilter

> Verwendest du den Firewall Client?
Ich habe es mit und ohne probiert, kein Unterschied.
Besser immer mit, dann kann der ISA den Benutzer auch verwenden

> Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Ich habe mal nach dem Protokoll "FTP" gefiltert, wenn ich mit einem CLIENT online gehe:

Verbindungsaufbau:
Initiierte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Hier deine Interne Private IP (Fast alle netze hinter einerm NAT Router verwenden private IPs) durch xxx zu ersetzen ist unnötig, da deine Externe IP nur von aussen erreicht werden kann. dafür hast du eine Zeile höher das Ziel deiner FTP Uploads angegeben. Die hättest du xxx sollen.

Protokoll: FTP
Benutzer: xxx\username
Geht auch nur, wenn du den Firewall Client verwendets

Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 0
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

Gleich danach kommt aber folgendes:
Getrennte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten Dreiwegehandshake
getrennt.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 209
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

> Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle
> Computer / Geräte / Benutrzer hinter deinem ISA 2004).

Da gibt es auch eine Einstellung für FTP? Ist doch schon in der FTP-Regel vorhanden?? (Doppelt??)

OK, ich habe gerade bei der "Internet Access Rule" rechte Maustaste für Eigenschaften
gemacht das gibt es noch einen Menüeintrag "FTP konfigurieren". Dahinter verbirgt sich noch mal
"FTP-Protokollrichtlinie"
und man soll es kaum glauben, da gibt es nochmal einen Hacken "Nur lesen". Da diese Regel die vorletzte ist, hat diese
klar den Vorrang. ich habe den Hacken mal entfernt und siehe da es geht.

In dieser Regel hätte ich wahrscheinlich nie reingeschaut wegen FTP (oh Mann), manchmal hilft es wohl darüber zu reden.
Diese Regel hat NICHT den vorrang sondern ist die Zweitletzte regel. Hiernach kommt nur noch das Verweigern. Alles was hier erlaubt ist, wurde vorher nicht definiert/zugelassen. das erlauben von FTP Upload hier, erlaubt es für alle Rechner / Geräte / Benutzer.
Mach wie oben beschrieben, deine eigene Regel (von Computer nach Extern und Benutzernamen) und verwende den Firewall Client.

Peter

PS. Wenn du alles für jeden und für alle Geräte erlaubst, kannst du deinen ISA auch sofort ausschalten. Was bringt eine Application Firewall mit Proxy und cache (ISA = Internet Security and Acceleration) wenn du per Regel alles erlaubst.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(2)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Tools
Automatischer FTP-Upload ohne angemeldeten Benutzer (4)

Frage von SarekHL zum Thema Windows Tools ...

Windows Server
gelöst Serverumzug SBS 2003 nach 2012R2 ohne Active Directory (2)

Frage von step777 zum Thema Windows Server ...

Batch & Shell
gelöst Powershell FTP-Upload schlägt fehl (2)

Frage von Johnny-CGN zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...