SBS 2003 Premium ISA FTP Upload geht bei den Clients nicht
Hallo Leute,
ich komme einfach nicht weiter.
Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.
Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne Probleme.
Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Habe mich schon wund gegoogelt, viele Lösungsideen gefunden, aber keine hat geholfen.
Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt und der SBS wurde danach auch schon mehrmals neugestartet.
Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt, wenn ich mich auf den SBS via RDP einlogge geht es ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als Administrator) einlogge geht es nicht ?!?
Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann? Letztendlich habe ich ja eh eine HardwareFirewall (Router) und den ISA zwischen dem Internet und den lokalen Clients.
Aber hat noch jemand eine IDEE woran das Problem liegen kann?
Gruß
Thorsten
ich komme einfach nicht weiter.
Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.
Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne Probleme.
Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Habe mich schon wund gegoogelt, viele Lösungsideen gefunden, aber keine hat geholfen.
Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt und der SBS wurde danach auch schon mehrmals neugestartet.
Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt, wenn ich mich auf den SBS via RDP einlogge geht es ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als Administrator) einlogge geht es nicht ?!?
Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann? Letztendlich habe ich ja eh eine HardwareFirewall (Router) und den ISA zwischen dem Internet und den lokalen Clients.
Aber hat noch jemand eine IDEE woran das Problem liegen kann?
Gruß
Thorsten
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 136182
Url: https://administrator.de/contentid/136182
Ausgedruckt am: 26.11.2024 um 05:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo Thorsten,
Hast du eine Regel im ISA 2004 für den Zugriff auf FTP für die betreffenden Benutzer / Computer gemacht?
Verwendest du den Firewall Client?
Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle Computer / Geräte / Benutrzer hinter deinem ISA 2004).
Peter
Ich habe einen SBS2003 Premium mit ISA und SQL und einen TerminalServer 2003R2, die Clients sind XP SP3.
Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne Probleme.
Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Sagt das der ISA 2004 oder sagt das der FTP Server auf den du zugreifen willst?Ich bekomme es einfach nicht hin, das ich FTP-Uploads von den CLIENTS ins Internet machen kann, der Download geht ohne Probleme.
Aber der Upload / Schreibzugriff eben nicht, es kommt nur die Meldung "550 Access is denied. ".
Der Hacken bei den ISA-Regel-Einstellung (FTP-Upload ermöglichen) ist natürlich gesetzt
Ich kann im ISA 2004 beim FTP-Protokoll nur das häckchen setzen, um nur lesenden zugriff zu gestatten. (Häckchen entfernt = Upload und Download, Häckchen gesetzt = nur Download)und der SBS wurde danach auch
schon mehrmals neugestartet.
Für änderungen am ISA 2004 nicht nötigschon mehrmals neugestartet.
Ich habe die Vermutung, das es an den Firewall-Regeln der Clients hängt,
Wie kommst du da drauf?wenn ich mich auf den SBS via RDP einlogge geht es
ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als
Administrator) einlogge geht es nicht ?!?
Benutzer/Passwort für den FTP Upload auf dem SBS gespeichert?ohne Probleme vom SBS aus, aber wenn ich mich auf dem Terminalserver oder den CLIENTS mit lokaler Firewall (selbst als
Administrator) einlogge geht es nicht ?!?
Ich wollte auch mal zum test die lokale Firewall abschalten, aber das kann ich wohl gar nicht mehr (gab es wohl ein
Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann?
Das war kein Sicherheitsupdate. der SBS 2003 hat von anfang an entsprechend eingestellte Gruppenrichtlinien. Eine davon, regelt die Windows eigenen (XP, Vista, 7) Firewalls deiner Clients.Sicherheitsupdate), weiß jemand wie ich das abschaltbar machen kann?
Letztendlich habe ich ja eh eine HardwareFirewall
(Router) und den ISA zwischen dem Internet und den lokalen Clients.
Die lokalen Firewalls sollen auch die Rechner Intern (untereinander) schützen. Da nützt dir deine Hardware Firewall / ISA 2004 gar nichts.(Router) und den ISA zwischen dem Internet und den lokalen Clients.
Hast du eine Regel im ISA 2004 für den Zugriff auf FTP für die betreffenden Benutzer / Computer gemacht?
Verwendest du den Firewall Client?
Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle Computer / Geräte / Benutrzer hinter deinem ISA 2004).
Peter
Hallo Thorsten,
Da musst entweder das netzwerk Intern verwenden oder ein / zwei Computer definieren und eintragen. Der Lokale Host (dein SERVER) braucht garantiert keinen FTP Upload, und ALLE deiner Computer in deinem Netzwerk brauchen garantiert auch keinen FTP Upload. Definiere also die benötigten Computer und trage die als Quelle ein.
Mach wie oben beschrieben, deine eigene Regel (von Computer nach Extern und Benutzernamen) und verwende den Firewall Client.
Peter
PS. Wenn du alles für jeden und für alle Geräte erlaubst, kannst du deinen ISA auch sofort ausschalten. Was bringt eine Application Firewall mit Proxy und cache (ISA = Internet Security and Acceleration) wenn du per Regel alles erlaubst.
Naja, weil es auf dem SBS direkt geht, aber eben nicht auf den CLIENTs.
Habe eigentlich schon gesucht, aber nichts passendes gefunden.
Ich habe die genaue bezeichnung jetzt nicht im Kopf, aber im Namen steht schon was "Firewall"Ja, das mag ja sein, aber ich habe nur eine kleine Firma und zum testen hätte es ja mal gereicht.
Gerade in kleinen Firmen OHNE grosse IT-Wissen ist die eingeschaltet Firewall WICHTIG!SBS FTP Outbound Access Rule
Aktion: Zulassen
Protkolle: FTP
von: Lokaler Host (oder muss ich hier auch schon Intern machen? Eigentlich muss das doch über den ISA laufen oder?
Lokaler Host = Was ist das = Das ist der Lokale Rechner(Host) = Das ist dein ISA Server (und nur dein ISA Server und alle darauf installierte Server/Anwendungen)Aktion: Zulassen
Protkolle: FTP
von: Lokaler Host (oder muss ich hier auch schon Intern machen? Eigentlich muss das doch über den ISA laufen oder?
Denkfehler?)
Ja.Da musst entweder das netzwerk Intern verwenden oder ein / zwei Computer definieren und eintragen. Der Lokale Host (dein SERVER) braucht garantiert keinen FTP Upload, und ALLE deiner Computer in deinem Netzwerk brauchen garantiert auch keinen FTP Upload. Definiere also die benötigten Computer und trage die als Quelle ein.
nach Extern
Bedingung: Alle Benutzer
Brésser, hier nur "Authentifizierte benutzer" oder Namentlich genannte Benutzer (die das wirklich brauchen) eintragen.Bedingung: Alle Benutzer
FTP:
Ports: 20-22 TCP Ausgehend
Wenn du die vorgegebenen Protokolle verwendets, brauchst du hier nichts definieren. Ist im Standardprotokoll FTP schon enthalten und braucht nicht geändert zu werden.Ports: 20-22 TCP Ausgehend
Anwendungsfilter: FTP-Zugriffsfilter
> Verwendest du den Firewall Client?
Ich habe es mit und ohne probiert, kein Unterschied.
Besser immer mit, dann kann der ISA den Benutzer auch verwendenIch habe es mit und ohne probiert, kein Unterschied.
> Was steht in der Protokollierung beim zugriff auf den FTP Server? Welche Regel blockt da angeblich?
Ich habe mal nach dem Protokoll "FTP" gefiltert, wenn ich mit einem CLIENT online gehe:
Verbindungsaufbau:
Initiierte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Hier deine Interne Private IP (Fast alle netze hinter einerm NAT Router verwenden private IPs) durch xxx zu ersetzen ist unnötig, da deine Externe IP nur von aussen erreicht werden kann. dafür hast du eine Zeile höher das Ziel deiner FTP Uploads angegeben. Die hättest du xxx sollen.Ich habe mal nach dem Protokoll "FTP" gefiltert, wenn ich mit einem CLIENT online gehe:
Verbindungsaufbau:
Initiierte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Geht auch nur, wenn du den Firewall Client verwendetsBenutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 0
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1
Gleich danach kommt aber folgendes:
Getrennte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten Dreiwegehandshake
getrennt.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 209
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1
> Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle
> Computer / Geräte / Benutrzer hinter deinem ISA 2004).
Da gibt es auch eine Einstellung für FTP? Ist doch schon in der FTP-Regel vorhanden?? (Doppelt??)
OK, ich habe gerade bei der "Internet Access Rule" rechte Maustaste für Eigenschaften
gemacht das gibt es noch einen Menüeintrag "FTP konfigurieren". Dahinter verbirgt sich noch mal
"FTP-Protokollrichtlinie"
und man soll es kaum glauben, da gibt es nochmal einen Hacken "Nur lesen". Da diese Regel die vorletzte ist, hat diese
klar den Vorrang. ich habe den Hacken mal entfernt und siehe da es geht.
In dieser Regel hätte ich wahrscheinlich nie reingeschaut wegen FTP (oh Mann), manchmal hilft es wohl darüber zu reden.
Diese Regel hat NICHT den vorrang sondern ist die Zweitletzte regel. Hiernach kommt nur noch das Verweigern. Alles was hier erlaubt ist, wurde vorher nicht definiert/zugelassen. das erlauben von FTP Upload hier, erlaubt es für alle Rechner / Geräte / Benutzer.Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 0
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1
Gleich danach kommt aber folgendes:
Getrennte Verbindung xxxSBS 17.02.2010 17:37:51
Protokollierungstyp: Firewalldienst
Status: Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten Dreiwegehandshake
getrennt.
Regel: SBS Internet Access Rule
Quelle: Extern (w83.rzone.de 81.169.145.83:20)
Ziel: Intern ( xxx.xxx.xxx.37:2685)
Protokoll: FTP
Benutzer: xxx\username
Zusätzliche Informationen
Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes: 209
Verarbeitungszeit: 0ms Ursprüngliches Client-IP: xxx.xxx.xxx.37
Client-Agent: :3:5.1
> Hast du den FTP Upload in der Standardregel "SBS Internet Access Rule" gemacht zugelassen? (das gilt für alle
> Computer / Geräte / Benutrzer hinter deinem ISA 2004).
Da gibt es auch eine Einstellung für FTP? Ist doch schon in der FTP-Regel vorhanden?? (Doppelt??)
OK, ich habe gerade bei der "Internet Access Rule" rechte Maustaste für Eigenschaften
gemacht das gibt es noch einen Menüeintrag "FTP konfigurieren". Dahinter verbirgt sich noch mal
"FTP-Protokollrichtlinie"
und man soll es kaum glauben, da gibt es nochmal einen Hacken "Nur lesen". Da diese Regel die vorletzte ist, hat diese
klar den Vorrang. ich habe den Hacken mal entfernt und siehe da es geht.
In dieser Regel hätte ich wahrscheinlich nie reingeschaut wegen FTP (oh Mann), manchmal hilft es wohl darüber zu reden.
Mach wie oben beschrieben, deine eigene Regel (von Computer nach Extern und Benutzernamen) und verwende den Firewall Client.
Peter
PS. Wenn du alles für jeden und für alle Geräte erlaubst, kannst du deinen ISA auch sofort ausschalten. Was bringt eine Application Firewall mit Proxy und cache (ISA = Internet Security and Acceleration) wenn du per Regel alles erlaubst.