Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS 2003 Premium ISA FTP Upload geht bei den Clients nicht

Frage Microsoft Windows Server

Mitglied: PVS-Deck

PVS-Deck (Level 1) - Jetzt verbinden

17.02.2010, aktualisiert 14:23 Uhr, 6075 Aufrufe, 3 Kommentare

Hallo Leute,

ich komme einfach nicht weiter.

Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.

Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne Probleme.
Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Habe mich schon wund gegoogelt, viele Lösungsideen gefunden, aber keine hat geholfen.

Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt und der SBS wurde danach auch schon mehrmals neugestartet.

Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt, wenn ich mich auf den SBS via RDP einlogge geht es ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als Administrator) einlogge geht es nicht ?!?

Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann? Letztendlich habe ich ja eh eine HardwareFirewall (Router) und den ISA zwischen dem Internet und den lokalen Clients.

Aber hat noch jemand eine IDEE woran das Problem liegen kann?

Gruß
Thorsten
Mitglied: Pjordorf
17.02.2010 um 15:06 Uhr
Hallo Thorsten,

Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.

Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne Probleme.

Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Sagt das der ISA 2004 oder sagt das der FTP Server auf den du zugreifen willst?

Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt
Ich kann im ISA 2004 beim FTP-Protokoll nur das häckchen setzen, um nur lesenden zugriff zu gestatten. (Häckchen entfernt = Upload und Download, Häckchen gesetzt = nur Download)

und der SBS wurde danach auch
schon mehrmals neugestartet.
Für änderungen am ISA 2004 nicht nötig

Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt,
Wie kommst du da drauf?

wenn ich mich auf den SBS via RDP einlogge geht es
ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als
Administrator) einlogge geht es nicht ?!?
Benutzer/Passwort für den FTP Upload auf dem SBS gespeichert?

Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein
Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann?
Das war kein Sicherheitsupdate. der SBS 2003 hat von anfang an entsprechend eingestellte Gruppenrichtlinien. Eine davon, regelt die Windows eigenen (XP, Vista, 7) Firewalls deiner Clients.

Letztendlich habe ich ja eh eine HardwareFirewall
(Router) und den ISA zwischen dem Internet und den lokalen Clients.
Die lokalen Firewalls sollen auch die Rechner Intern (untereinander) schützen. Da nützt dir deine Hardware Firewall / ISA 2004 gar nichts.

Hast du eine Regel im ISA 2004 für den Zugriff auf FTP für die betreffenden Benutzer / Computer gemacht?
Verwendest du den Firewall Client?
Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle Computer / Geräte / Benutrzer hinter deinem ISA 2004).

Peter
Bitte warten ..
Mitglied: PVS-Deck
17.02.2010 um 17:54 Uhr
Hallo Peter,

danke für die schnelle Antwort.

Zitat von Pjordorf:
Hallo Thorsten,

> Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.
>
> Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne
Probleme.
>
> Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Sagt das der ISA 2004 oder sagt das der FTP Server auf den du zugreifen willst?

Nein, das sagt mein ISA.


> Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt
Ich kann im ISA 2004 beim FTP-Protokoll nur das häckchen setzen, um nur lesenden zugriff zu gestatten. (Häckchen
entfernt = Upload und Download, Häckchen gesetzt = nur Download)
Sorry, war mein Fehler, der Hacken ist natürlich nicht mehr gesetzt ;)


> Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt,
Wie kommst du da drauf?
Naja, weil es auf dem SBS direkt geht, aber eben nicht auf den CLIENTs.

> wenn ich mich auf den SBS via RDP einlogge geht es
> ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als
> Administrator) einlogge geht es nicht ?!?
Benutzer/Passwort für den FTP Upload auf dem SBS gespeichert?
Nein, ist genauso wie bei den Clients. Selbe Config, Zugang und Passwort.


> Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein
> Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann?
Das war kein Sicherheitsupdate. der SBS 2003 hat von anfang an entsprechend eingestellte Gruppenrichtlinien. Eine davon, regelt
die Windows eigenen (XP, Vista, 7) Firewalls deiner Clients.

Komischerweise war das am Anfang noch nicht, da konnte ich noch die lokale Firewall abschalten, aber mittlerweile nicht mehr.
Zum testen hätte ich das gerne mal gemacht, weisst Du wie die Richtlinie heisst?
Habe eigentlich schon gesucht, aber nichts passendes gefunden.

> Letztendlich habe ich ja eh eine HardwareFirewall
> (Router) und den ISA zwischen dem Internet und den lokalen Clients.
Die lokalen Firewalls sollen auch die Rechner Intern (untereinander) schützen. Da nützt dir deine Hardware Firewall /
ISA 2004 gar nichts.

Ja, das mag ja sein, aber ich habe nur eine kleine Firma und zum testen hätte es ja mal gereicht.


Hast du eine Regel im ISA 2004 für den Zugriff auf FTP für die betreffenden Benutzer / Computer gemacht?
Ja, eigentlich schon (vom SBS geht es ja auch):

SBS FTP Outbound Access Rule
Aktion: Zulassen
Protkolle: FTP
von: Lokaler Host (oder muss ich hier auch schon Intern machen? Eigentlich muss das doch über den ISA laufen oder? Denkfehler?)
nach Extern
Bedingung: Alle Benutzer
FTP:
Ports: 20-22 TCP Ausgehend
Anwendungsfilter: FTP-Zugriffsfilter

Verwendest du den Firewall Client?
Ich habe es mit und ohne probiert, kein Unterschied.

Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Ich habe mal nach dem Protokoll "FTP" gefiltert, wenn ich mit einem CLIENT online gehe:

Verbindungsaufbau:
Initiierte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 0
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

Gleich danach kommt aber folgendes:
Getrennte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten Dreiwegehandshake getrennt.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 209
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle
Computer / Geräte / Benutrzer hinter deinem ISA 2004).

Da gibt es auch eine Einstellung für FTP? Ist doch schon in der FTP-Regel vorhanden?? (Doppelt??)

OK, ich habe gerade bei der "Internet Access Rule" rechte Maustaste für Eigenschaften
gemacht das gibt es noch einen Menüeintrag "FTP konfigurieren". Dahinter verbirgt sich noch mal "FTP-Protokollrichtlinie"
und man soll es kaum glauben, da gibt es nochmal einen Hacken "Nur lesen". Da diese Regel die vorletzte ist, hat diese
klar den Vorrang. ich habe den Hacken mal entfernt und siehe da es geht.

In dieser Regel hätte ich wahrscheinlich nie reingeschaut wegen FTP (oh Mann), manchmal hilft es wohl darüber zu reden.

Ich danke Dir auf jedenfall, endlich kann ich meine großen Dateien ohne Umwege via FTP
übertragen um diese auf der Homepage zu speichern.

Gruß
Thorsten
Bitte warten ..
Mitglied: Pjordorf
18.02.2010 um 23:04 Uhr
Hallo Thorsten,

Naja, weil es auf dem SBS direkt geht, aber eben nicht auf den CLIENTs.

Habe eigentlich schon gesucht, aber nichts passendes gefunden.
Ich habe die genaue bezeichnung jetzt nicht im Kopf, aber im Namen steht schon was "Firewall"

Ja, das mag ja sein, aber ich habe nur eine kleine Firma und zum testen hätte es ja mal gereicht.
Gerade in kleinen Firmen OHNE grosse IT-Wissen ist die eingeschaltet Firewall WICHTIG!

SBS FTP Outbound Access Rule
Aktion: Zulassen
Protkolle: FTP
von: Lokaler Host (oder muss ich hier auch schon Intern machen? Eigentlich muss das doch über den ISA laufen oder?
Lokaler Host = Was ist das = Das ist der Lokale Rechner(Host) = Das ist dein ISA Server (und nur dein ISA Server und alle darauf installierte Server/Anwendungen)
Denkfehler?)
Ja.
Da musst entweder das netzwerk Intern verwenden oder ein / zwei Computer definieren und eintragen. Der Lokale Host (dein SERVER) braucht garantiert keinen FTP Upload, und ALLE deiner Computer in deinem Netzwerk brauchen garantiert auch keinen FTP Upload. Definiere also die benötigten Computer und trage die als Quelle ein.

nach Extern
Bedingung: Alle Benutzer
Brésser, hier nur "Authentifizierte benutzer" oder Namentlich genannte Benutzer (die das wirklich brauchen) eintragen.

FTP:
Ports: 20-22 TCP Ausgehend
Wenn du die vorgegebenen Protokolle verwendets, brauchst du hier nichts definieren. Ist im Standardprotokoll FTP schon enthalten und braucht nicht geändert zu werden.

Anwendungsfilter: FTP-Zugriffsfilter

> Verwendest du den Firewall Client?
Ich habe es mit und ohne probiert, kein Unterschied.
Besser immer mit, dann kann der ISA den Benutzer auch verwenden

> Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Ich habe mal nach dem Protokoll "FTP" gefiltert, wenn ich mit einem CLIENT online gehe:

Verbindungsaufbau:
Initiierte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Hier deine Interne Private IP (Fast alle netze hinter einerm NAT Router verwenden private IPs) durch xxx zu ersetzen ist unnötig, da deine Externe IP nur von aussen erreicht werden kann. dafür hast du eine Zeile höher das Ziel deiner FTP Uploads angegeben. Die hättest du xxx sollen.

Protokoll: FTP
Benutzer: xxx\username
Geht auch nur, wenn du den Firewall Client verwendets

Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 0
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

Gleich danach kommt aber folgendes:
Getrennte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten Dreiwegehandshake
getrennt.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 209
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

> Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle
> Computer / Geräte / Benutrzer hinter deinem ISA 2004).

Da gibt es auch eine Einstellung für FTP? Ist doch schon in der FTP-Regel vorhanden?? (Doppelt??)

OK, ich habe gerade bei der "Internet Access Rule" rechte Maustaste für Eigenschaften
gemacht das gibt es noch einen Menüeintrag "FTP konfigurieren". Dahinter verbirgt sich noch mal
"FTP-Protokollrichtlinie"
und man soll es kaum glauben, da gibt es nochmal einen Hacken "Nur lesen". Da diese Regel die vorletzte ist, hat diese
klar den Vorrang. ich habe den Hacken mal entfernt und siehe da es geht.

In dieser Regel hätte ich wahrscheinlich nie reingeschaut wegen FTP (oh Mann), manchmal hilft es wohl darüber zu reden.
Diese Regel hat NICHT den vorrang sondern ist die Zweitletzte regel. Hiernach kommt nur noch das Verweigern. Alles was hier erlaubt ist, wurde vorher nicht definiert/zugelassen. das erlauben von FTP Upload hier, erlaubt es für alle Rechner / Geräte / Benutzer.
Mach wie oben beschrieben, deine eigene Regel (von Computer nach Extern und Benutzernamen) und verwende den Firewall Client.

Peter

PS. Wenn du alles für jeden und für alle Geräte erlaubst, kannst du deinen ISA auch sofort ausschalten. Was bringt eine Application Firewall mit Proxy und cache (ISA = Internet Security and Acceleration) wenn du per Regel alles erlaubst.
Bitte warten ..
Ähnliche Inhalte
Internet
IP Kamera mit periodischem FTP Upload (2)

Frage von ChrisFah zum Thema Internet ...

Windows Server
gelöst FTP-Upload per Batchdatei in der Aufgabenplanung (3)

Frage von Dullodir zum Thema Windows Server ...

Exchange Server
gelöst SBS 2003 Exchange deaktiviert - E-Mail-Versand untereinander funktioniert nicht (3)

Frage von Wirdnoch zum Thema Exchange Server ...

Windows Server
öffentlicher kalender bei sbs 2003 exchange (5)

Frage von jensgebken zum Thema Windows Server ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(29)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Windows Server

Exchange 2010 Active Directory und Windows Server 2016

(4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Internet
gelöst Mitarbeiter surft auf unerwünschter Seite - Wie damit umgehen? (48)

Frage von sabines zum Thema Internet ...

Netzwerke
Wie erstelle ich ein Intranet (19)

Frage von Leonardnet zum Thema Netzwerke ...

LAN, WAN, Wireless
gelöst Eintägige Netzwerkunterbrechung trotz Backupleitung (15)

Frage von iAmbricksta zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2012 R2 - Zugriff Verweigert bei jeglicher Tätigkeit (13)

Frage von DarkLevi zum Thema Windows Server ...