pvs-deck
Goto Top

SBS 2003 Premium ISA FTP Upload geht bei den Clients nicht

Hallo Leute,

ich komme einfach nicht weiter.

Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.

Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne Probleme.
Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Habe mich schon wund gegoogelt, viele Lösungsideen gefunden, aber keine hat geholfen.

Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt und der SBS wurde danach auch schon mehrmals neugestartet.

Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt, wenn ich mich auf den SBS via RDP einlogge geht es ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als Administrator) einlogge geht es nicht ?!?

Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann? Letztendlich habe ich ja eh eine HardwareFirewall (Router) und den ISA zwischen dem Internet und den lokalen Clients.

Aber hat noch jemand eine IDEE woran das Problem liegen kann?

Gruß
Thorsten

Content-ID: 136182

Url: https://administrator.de/contentid/136182

Ausgedruckt am: 26.11.2024 um 05:11 Uhr

Pjordorf
Pjordorf 17.02.2010 um 15:06:43 Uhr
Goto Top
Hallo Thorsten,

Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.

Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne Probleme.

Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Sagt das der ISA 2004 oder sagt das der FTP Server auf den du zugreifen willst?

Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt
Ich kann im ISA 2004 beim FTP-Protokoll nur das häckchen setzen, um nur lesenden zugriff zu gestatten. (Häckchen entfernt = Upload und Download, Häckchen gesetzt = nur Download)

und der SBS wurde danach auch
schon mehrmals neugestartet.
Für änderungen am ISA 2004 nicht nötig

Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt,
Wie kommst du da drauf?

wenn ich mich auf den SBS via RDP einlogge geht es
ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als
Administrator) einlogge geht es nicht ?!?
Benutzer/Passwort für den FTP Upload auf dem SBS gespeichert?

Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein
Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann?
Das war kein Sicherheitsupdate. der SBS 2003 hat von anfang an entsprechend eingestellte Gruppenrichtlinien. Eine davon, regelt die Windows eigenen (XP, Vista, 7) Firewalls deiner Clients.

Letztendlich habe ich ja eh eine HardwareFirewall
(Router) und den ISA zwischen dem Internet und den lokalen Clients.
Die lokalen Firewalls sollen auch die Rechner Intern (untereinander) schützen. Da nützt dir deine Hardware Firewall / ISA 2004 gar nichts.

Hast du eine Regel im ISA 2004 für den Zugriff auf FTP für die betreffenden Benutzer / Computer gemacht?
Verwendest du den Firewall Client?
Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle Computer / Geräte / Benutrzer hinter deinem ISA 2004).

Peter
PVS-Deck
PVS-Deck 17.02.2010 um 17:54:26 Uhr
Goto Top
Hallo Peter,

danke für die schnelle Antwort.

Zitat von @Pjordorf:
Hallo Thorsten,

> Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.
>
> Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne
Probleme.
>
> Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Sagt das der ISA 2004 oder sagt das der FTP Server auf den du zugreifen willst?

Nein, das sagt mein ISA.


> Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt
Ich kann im ISA 2004 beim FTP-Protokoll nur das häckchen setzen, um nur lesenden zugriff zu gestatten. (Häckchen
entfernt = Upload und Download, Häckchen gesetzt = nur Download)

Sorry, war mein Fehler, der Hacken ist natürlich nicht mehr gesetzt ;)


> Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt,
Wie kommst du da drauf?
Naja, weil es auf dem SBS direkt geht, aber eben nicht auf den CLIENTs.

> wenn ich mich auf den SBS via RDP einlogge geht es
> ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als
> Administrator) einlogge geht es nicht ?!?
Benutzer/Passwort für den FTP Upload auf dem SBS gespeichert?

Nein, ist genauso wie bei den Clients. Selbe Config, Zugang und Passwort.


> Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein
> Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann?
Das war kein Sicherheitsupdate. der SBS 2003 hat von anfang an entsprechend eingestellte Gruppenrichtlinien. Eine davon, regelt
die Windows eigenen (XP, Vista, 7) Firewalls deiner Clients.

Komischerweise war das am Anfang noch nicht, da konnte ich noch die lokale Firewall abschalten, aber mittlerweile nicht mehr.
Zum testen hätte ich das gerne mal gemacht, weisst Du wie die Richtlinie heisst?
Habe eigentlich schon gesucht, aber nichts passendes gefunden.

> Letztendlich habe ich ja eh eine HardwareFirewall
> (Router) und den ISA zwischen dem Internet und den lokalen Clients.
Die lokalen Firewalls sollen auch die Rechner Intern (untereinander) schützen. Da nützt dir deine Hardware Firewall /
ISA 2004 gar nichts.

Ja, das mag ja sein, aber ich habe nur eine kleine Firma und zum testen hätte es ja mal gereicht.


Hast du eine Regel im ISA 2004 für den Zugriff auf FTP für die betreffenden Benutzer / Computer gemacht?
Ja, eigentlich schon (vom SBS geht es ja auch):

SBS FTP Outbound Access Rule
Aktion: Zulassen
Protkolle: FTP
von: Lokaler Host (oder muss ich hier auch schon Intern machen? Eigentlich muss das doch über den ISA laufen oder? Denkfehler?)
nach Extern
Bedingung: Alle Benutzer
FTP:
Ports: 20-22 TCP Ausgehend
Anwendungsfilter: FTP-Zugriffsfilter

Verwendest du den Firewall Client?
Ich habe es mit und ohne probiert, kein Unterschied.

Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Ich habe mal nach dem Protokoll "FTP" gefiltert, wenn ich mit einem CLIENT online gehe:

Verbindungsaufbau:
Initiierte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 0
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

Gleich danach kommt aber folgendes:
Getrennte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten Dreiwegehandshake getrennt.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 209
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle
Computer / Geräte / Benutrzer hinter deinem ISA 2004).

Da gibt es auch eine Einstellung für FTP? Ist doch schon in der FTP-Regel vorhanden?? (Doppelt??)

OK, ich habe gerade bei der "Internet Access Rule" rechte Maustaste für Eigenschaften
gemacht das gibt es noch einen Menüeintrag "FTP konfigurieren". Dahinter verbirgt sich noch mal "FTP-Protokollrichtlinie"
und man soll es kaum glauben, da gibt es nochmal einen Hacken "Nur lesen". Da diese Regel die vorletzte ist, hat diese
klar den Vorrang. ich habe den Hacken mal entfernt und siehe da es geht. face-smile

In dieser Regel hätte ich wahrscheinlich nie reingeschaut wegen FTP (oh Mann), manchmal hilft es wohl darüber zu reden.

Ich danke Dir auf jedenfall, endlich kann ich meine großen Dateien ohne Umwege via FTP
übertragen um diese auf der Homepage zu speichern.

Gruß
Thorsten
Pjordorf
Pjordorf 18.02.2010 um 23:04:13 Uhr
Goto Top
Hallo Thorsten,

Naja, weil es auf dem SBS direkt geht, aber eben nicht auf den CLIENTs.

Habe eigentlich schon gesucht, aber nichts passendes gefunden.
Ich habe die genaue bezeichnung jetzt nicht im Kopf, aber im Namen steht schon was "Firewall"

Ja, das mag ja sein, aber ich habe nur eine kleine Firma und zum testen hätte es ja mal gereicht.
Gerade in kleinen Firmen OHNE grosse IT-Wissen ist die eingeschaltet Firewall WICHTIG!

SBS FTP Outbound Access Rule
Aktion: Zulassen
Protkolle: FTP
von: Lokaler Host (oder muss ich hier auch schon Intern machen? Eigentlich muss das doch über den ISA laufen oder?
Lokaler Host = Was ist das = Das ist der Lokale Rechner(Host) = Das ist dein ISA Server (und nur dein ISA Server und alle darauf installierte Server/Anwendungen)
Denkfehler?)
Ja.
Da musst entweder das netzwerk Intern verwenden oder ein / zwei Computer definieren und eintragen. Der Lokale Host (dein SERVER) braucht garantiert keinen FTP Upload, und ALLE deiner Computer in deinem Netzwerk brauchen garantiert auch keinen FTP Upload. Definiere also die benötigten Computer und trage die als Quelle ein.

nach Extern
Bedingung: Alle Benutzer
Brésser, hier nur "Authentifizierte benutzer" oder Namentlich genannte Benutzer (die das wirklich brauchen) eintragen.

FTP:
Ports: 20-22 TCP Ausgehend
Wenn du die vorgegebenen Protokolle verwendets, brauchst du hier nichts definieren. Ist im Standardprotokoll FTP schon enthalten und braucht nicht geändert zu werden.

Anwendungsfilter: FTP-Zugriffsfilter

> Verwendest du den Firewall Client?
Ich habe es mit und ohne probiert, kein Unterschied.
Besser immer mit, dann kann der ISA den Benutzer auch verwenden

> Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Ich habe mal nach dem Protokoll "FTP" gefiltert, wenn ich mit einem CLIENT online gehe:

Verbindungsaufbau:
Initiierte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Hier deine Interne Private IP (Fast alle netze hinter einerm NAT Router verwenden private IPs) durch xxx zu ersetzen ist unnötig, da deine Externe IP nur von aussen erreicht werden kann. dafür hast du eine Zeile höher das Ziel deiner FTP Uploads angegeben. Die hättest du xxx sollen.

Protokoll: FTP
Benutzer: xxx\username
Geht auch nur, wenn du den Firewall Client verwendets

Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 0
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

Gleich danach kommt aber folgendes:
Getrennte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten Dreiwegehandshake
getrennt.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 209
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1

> Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle
> Computer / Geräte / Benutrzer hinter deinem ISA 2004).

Da gibt es auch eine Einstellung für FTP? Ist doch schon in der FTP-Regel vorhanden?? (Doppelt??)

OK, ich habe gerade bei der "Internet Access Rule" rechte Maustaste für Eigenschaften
gemacht das gibt es noch einen Menüeintrag "FTP konfigurieren". Dahinter verbirgt sich noch mal
"FTP-Protokollrichtlinie"
und man soll es kaum glauben, da gibt es nochmal einen Hacken "Nur lesen". Da diese Regel die vorletzte ist, hat diese
klar den Vorrang. ich habe den Hacken mal entfernt und siehe da es geht. face-smile

In dieser Regel hätte ich wahrscheinlich nie reingeschaut wegen FTP (oh Mann), manchmal hilft es wohl darüber zu reden.
Diese Regel hat NICHT den vorrang sondern ist die Zweitletzte regel. Hiernach kommt nur noch das Verweigern. Alles was hier erlaubt ist, wurde vorher nicht definiert/zugelassen. das erlauben von FTP Upload hier, erlaubt es für alle Rechner / Geräte / Benutzer.
Mach wie oben beschrieben, deine eigene Regel (von Computer nach Extern und Benutzernamen) und verwende den Firewall Client.

Peter

PS. Wenn du alles für jeden und für alle Geräte erlaubst, kannst du deinen ISA auch sofort ausschalten. Was bringt eine Application Firewall mit Proxy und cache (ISA = Internet Security and Acceleration) wenn du per Regel alles erlaubst.