Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SBS 2003 Premium ISA FTP Upload geht bei den Clients nicht

Frage Microsoft Windows Server

Mitglied: PVS-Deck

PVS-Deck (Level 1) - Jetzt verbinden

17.02.2010, aktualisiert 14:23 Uhr, 6093 Aufrufe, 3 Kommentare

Hallo Leute,

ich komme einfach nicht weiter.

Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.

Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne Probleme.
Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Habe mich schon wund gegoogelt, viele Lösungsideen gefunden, aber keine hat geholfen.

Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt und der SBS wurde danach auch schon mehrmals neugestartet.

Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt, wenn ich mich auf den SBS via RDP einlogge geht es ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als Administrator) einlogge geht es nicht ?!?

Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann? Letztendlich habe ich ja eh eine HardwareFirewall (Router) und den ISA zwischen dem Internet und den lokalen Clients.

Aber hat noch jemand eine IDEE woran das Problem liegen kann?

Gruß
Thorsten
Mitglied: Pjordorf
17.02.2010 um 15:06 Uhr
Hallo Thorsten,

Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.

Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne Probleme.

Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Sagt das der ISA 2004 oder sagt das der FTP Server auf den du zugreifen willst?

Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt
Ich kann im ISA 2004 beim FTP-Protokoll nur das häckchen setzen, um nur lesenden zugriff zu gestatten. (Häckchen entfernt = Upload und Download, Häckchen gesetzt = nur Download)

und der SBS wurde danach auch
schon mehrmals neugestartet.
Für änderungen am ISA 2004 nicht nötig

Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt,
Wie kommst du da drauf?

wenn ich mich auf den SBS via RDP einlogge geht es
ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als
Administrator) einlogge geht es nicht ?!?
Benutzer/Passwort für den FTP Upload auf dem SBS gespeichert?

Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein
Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann?
Das war kein Sicherheitsupdate. der SBS 2003 hat von anfang an entsprechend eingestellte Gruppenrichtlinien. Eine davon, regelt die Windows eigenen (XP, Vista, 7) Firewalls deiner Clients.

Letztendlich habe ich ja eh eine HardwareFirewall
(Router) und den ISA zwischen dem Internet und den lokalen Clients.
Die lokalen Firewalls sollen auch die Rechner Intern (untereinander) schützen. Da nützt dir deine Hardware Firewall / ISA 2004 gar nichts.

Hast du eine Regel im ISA 2004 für den Zugriff auf FTP für die betreffenden Benutzer / Computer gemacht?
Verwendest du den Firewall Client?
Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle Computer / Geräte / Benutrzer hinter deinem ISA 2004).

Peter
Bitte warten ..
Mitglied: PVS-Deck
17.02.2010 um 17:54 Uhr
Hallo Peter,

danke für die schnelle Antwort.

Zitat von Pjordorf:
Hallo Thorsten,

> Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.
>
> Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne
Probleme.
>
> Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Sagt das der ISA 2004 oder sagt das der FTP Server auf den du zugreifen willst?

Nein, das sagt mein ISA.


> Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt
Ich kann im ISA 2004 beim FTP-Protokoll nur das häckchen setzen, um nur lesenden zugriff zu gestatten. (Häckchen
entfernt = Upload und Download, Häckchen gesetzt = nur Download)
Sorry, war mein Fehler, der Hacken ist natürlich nicht mehr gesetzt ;)


> Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt,
Wie kommst du da drauf?
Naja, weil es auf dem SBS direkt geht, aber eben nicht auf den CLIENTs.

> wenn ich mich auf den SBS via RDP einlogge geht es
> ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als
> Administrator) einlogge geht es nicht ?!?
Benutzer/Passwort für den FTP Upload auf dem SBS gespeichert?
Nein, ist genauso wie bei den Clients. Selbe Config, Zugang und Passwort.


> Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein
> Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann?
Das war kein Sicherheitsupdate. der SBS 2003 hat von anfang an entsprechend eingestellte Gruppenrichtlinien. Eine davon, regelt
die Windows eigenen (XP, Vista, 7) Firewalls deiner Clients.

Komischerweise war das am Anfang noch nicht, da konnte ich noch die lokale Firewall abschalten, aber mittlerweile nicht mehr.
Zum testen hätte ich das gerne mal gemacht, weisst Du wie die Richtlinie heisst?
Habe eigentlich schon gesucht, aber nichts passendes gefunden.

> Letztendlich habe ich ja eh eine HardwareFirewall
> (Router) und den ISA zwischen dem Internet und den lokalen Clients.
Die lokalen Firewalls sollen auch die Rechner Intern (untereinander) schützen. Da nützt dir deine Hardware Firewall /
ISA 2004 gar nichts.

Ja, das mag ja sein, aber ich habe nur eine kleine Firma und zum testen hätte es ja mal gereicht.


Hast du eine Regel im ISA 2004 für den Zugriff auf FTP für die betreffenden Benutzer / Computer gemacht?
Ja, eigentlich schon (vom SBS geht es ja auch):

SBS FTP Outbound Access Rule
Aktion: Zulassen
Protkolle: FTP
von: Lokaler Host (oder muss ich hier auch schon Intern machen? Eigentlich muss das doch über den ISA laufen oder? Denkfehler?)
nach Extern
Bedingung: Alle Benutzer
FTP:
Ports: 20-22 TCP Ausgehend
Anwendungsfilter: FTP-Zugriffsfilter

Verwendest du den Firewall Client?
Ich habe es mit und ohne probiert, kein Unterschied.

Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Ich habe mal nach dem Protokoll "FTP" gefiltert, wenn ich mit einem CLIENT online gehe:

Verbindungsaufbau:
Initiierte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 0
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

Gleich danach kommt aber folgendes:
Getrennte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten Dreiwegehandshake getrennt.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 209
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle
Computer / Geräte / Benutrzer hinter deinem ISA 2004).

Da gibt es auch eine Einstellung für FTP? Ist doch schon in der FTP-Regel vorhanden?? (Doppelt??)

OK, ich habe gerade bei der "Internet Access Rule" rechte Maustaste für Eigenschaften
gemacht das gibt es noch einen Menüeintrag "FTP konfigurieren". Dahinter verbirgt sich noch mal "FTP-Protokollrichtlinie"
und man soll es kaum glauben, da gibt es nochmal einen Hacken "Nur lesen". Da diese Regel die vorletzte ist, hat diese
klar den Vorrang. ich habe den Hacken mal entfernt und siehe da es geht.

In dieser Regel hätte ich wahrscheinlich nie reingeschaut wegen FTP (oh Mann), manchmal hilft es wohl darüber zu reden.

Ich danke Dir auf jedenfall, endlich kann ich meine großen Dateien ohne Umwege via FTP
übertragen um diese auf der Homepage zu speichern.

Gruß
Thorsten
Bitte warten ..
Mitglied: Pjordorf
18.02.2010 um 23:04 Uhr
Hallo Thorsten,

Naja, weil es auf dem SBS direkt geht, aber eben nicht auf den CLIENTs.

Habe eigentlich schon gesucht, aber nichts passendes gefunden.
Ich habe die genaue bezeichnung jetzt nicht im Kopf, aber im Namen steht schon was "Firewall"

Ja, das mag ja sein, aber ich habe nur eine kleine Firma und zum testen hätte es ja mal gereicht.
Gerade in kleinen Firmen OHNE grosse IT-Wissen ist die eingeschaltet Firewall WICHTIG!

SBS FTP Outbound Access Rule
Aktion: Zulassen
Protkolle: FTP
von: Lokaler Host (oder muss ich hier auch schon Intern machen? Eigentlich muss das doch über den ISA laufen oder?
Lokaler Host = Was ist das = Das ist der Lokale Rechner(Host) = Das ist dein ISA Server (und nur dein ISA Server und alle darauf installierte Server/Anwendungen)
Denkfehler?)
Ja.
Da musst entweder das netzwerk Intern verwenden oder ein / zwei Computer definieren und eintragen. Der Lokale Host (dein SERVER) braucht garantiert keinen FTP Upload, und ALLE deiner Computer in deinem Netzwerk brauchen garantiert auch keinen FTP Upload. Definiere also die benötigten Computer und trage die als Quelle ein.

nach Extern
Bedingung: Alle Benutzer
Brésser, hier nur "Authentifizierte benutzer" oder Namentlich genannte Benutzer (die das wirklich brauchen) eintragen.

FTP:
Ports: 20-22 TCP Ausgehend
Wenn du die vorgegebenen Protokolle verwendets, brauchst du hier nichts definieren. Ist im Standardprotokoll FTP schon enthalten und braucht nicht geändert zu werden.

Anwendungsfilter: FTP-Zugriffsfilter

> Verwendest du den Firewall Client?
Ich habe es mit und ohne probiert, kein Unterschied.
Besser immer mit, dann kann der ISA den Benutzer auch verwenden

> Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Ich habe mal nach dem Protokoll "FTP" gefiltert, wenn ich mit einem CLIENT online gehe:

Verbindungsaufbau:
Initiierte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Hier deine Interne Private IP (Fast alle netze hinter einerm NAT Router verwenden private IPs) durch xxx zu ersetzen ist unnötig, da deine Externe IP nur von aussen erreicht werden kann. dafür hast du eine Zeile höher das Ziel deiner FTP Uploads angegeben. Die hättest du xxx sollen.

Protokoll: FTP
Benutzer: xxx\username
Geht auch nur, wenn du den Firewall Client verwendets

Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 0
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

Gleich danach kommt aber folgendes:
Getrennte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten Dreiwegehandshake
getrennt.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 209
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

> Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle
> Computer / Geräte / Benutrzer hinter deinem ISA 2004).

Da gibt es auch eine Einstellung für FTP? Ist doch schon in der FTP-Regel vorhanden?? (Doppelt??)

OK, ich habe gerade bei der "Internet Access Rule" rechte Maustaste für Eigenschaften
gemacht das gibt es noch einen Menüeintrag "FTP konfigurieren". Dahinter verbirgt sich noch mal
"FTP-Protokollrichtlinie"
und man soll es kaum glauben, da gibt es nochmal einen Hacken "Nur lesen". Da diese Regel die vorletzte ist, hat diese
klar den Vorrang. ich habe den Hacken mal entfernt und siehe da es geht.

In dieser Regel hätte ich wahrscheinlich nie reingeschaut wegen FTP (oh Mann), manchmal hilft es wohl darüber zu reden.
Diese Regel hat NICHT den vorrang sondern ist die Zweitletzte regel. Hiernach kommt nur noch das Verweigern. Alles was hier erlaubt ist, wurde vorher nicht definiert/zugelassen. das erlauben von FTP Upload hier, erlaubt es für alle Rechner / Geräte / Benutzer.
Mach wie oben beschrieben, deine eigene Regel (von Computer nach Extern und Benutzernamen) und verwende den Firewall Client.

Peter

PS. Wenn du alles für jeden und für alle Geräte erlaubst, kannst du deinen ISA auch sofort ausschalten. Was bringt eine Application Firewall mit Proxy und cache (ISA = Internet Security and Acceleration) wenn du per Regel alles erlaubst.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Batch passives FTP upload
gelöst Frage von weltklasseBatch & Shell2 Kommentare

Hallo, ich versuche per Batch eine Textdatei auf einen FTP-Server hochzuladen. Es handelt sich um einen "passiven FTP-Zugriff". Leider ...

Netzwerkgrundlagen
Ftp upload Geschwindigkeit sehr langsam??
gelöst Frage von SteffenBNetzwerkgrundlagen14 Kommentare

Hallo liebe User, ich hoffe das ist das richtige Thema für meine Fragen!? Ich bin ein ganz normaler Endnutzer ...

Entwicklung
Automatisierter FTP Upload
Frage von Sahin-FraEntwicklung9 Kommentare

Hallo, ich suche ein kostenfreies Tool womit ich automatisierte FTP Übertragungen durchführen kann. Vielen Dank!

Batch & Shell
Powershell anonymous FTP Upload
gelöst Frage von MarabuntaBatch & Shell5 Kommentare

Hallo, ich will eine Datei hochladen, anonymous Zugriff ist auf der QNAP Nas aktiviert. Dann noch ein Skript gefunden ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 23 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...