Zum Inhalt wechseln


Foto

IIS als FTP mit UserIsolation


  • Bitte melde dich an um zu Antworten
6 Antworten in diesem Thema

#1 dataKEKS

dataKEKS

    Junior Member

  • 196 Beiträge

 

Geschrieben 20. Oktober 2017 - 06:07

Guten Morgen Kollegen!

 

Nach Nächten mit grauen Haaren und erfolglosem Suchen wende ich mich jetzt an euch (ich weiß, wie so erst jetzt?) mit meinem Problem.

 

Bei einem Kunden sollten wir "mal kurz" noch einen FTP Server einrichten mit unterschiedlichen Rechten pro User, AD Integration und Benutzer die sich nicht gegenseitig sehen können.

 

Also erst im Testnetz auf dem Laptop und dann im Produktivnetz einen Server mit ISS aufgesetzt und darauf aufbauen losgelegt. Problem? Nur auf dem Kundennetz, bei mir läuft es komplett.

 

Wie wurde das ganze realisiert?

 

Einrichtung FTP mit UserIsolation
 
1.) Windows Server installieren
2.) Windows Server mit fester IP versehen, in Domäne einbinden
3.) Windows Server mit IIS, Funktion FTP Server erweitern
4.) Per Kommandozeile md D:\inetpub\ftproot\%userdomain%\Admin
5.) Per Kommandozeile md D:\inetpub\ftproot\%userdomain%\Testuser
6.) Im IIS Manager FTP Site anlegen nach D:\Inetpub\ftproot ohne SSL, Beide Authentifizierungstypen, alle Benutzer bekommen Berechtigung lesen
7.) FTP Server Dienst (Microsoft-FTP-Dienst) zwingend neu starten
8.) Testlauf mit FTP Client und anonymer Anmeldung, es muss der Domänen Ordner sichtbar sein
9.) FTP-Benutzerisolation im IIS für die gesamte FTP Site aktivieren, globale Verzeichnisse deaktivieren
10.) erneuter Testlauf mit anonymer Anmeldung, diese muß jetzt fehlschlagen.
11.) Im IIS Manager auf der FTP Site unter FTP-Authentifizierung Anonyme Authentifizierung abschalten und unter den Eigenschaften von Standard Authentifizierung die Anmeldedomäne eintragen
12.) erneuer Testlauf, diesmal mit Anmeldung Admin / ESD (ohne Domäne), Upload darf nicht funktionieren
13.) Im IIS Manager auf der FTP Site unterhalb des Domänenordners bei FTP-Autorisierungsregeln für die Gruppe der Domänen-Admins Lese- und Schreibrechte erteilen
14.) erneuer Testlauf, diesmal mit Anmeldung Admin / ESD (ohne Domäne), Upload und Download muss funktionieren und im richtigen Ordner des IIS landen.
 
 
 
Egal was ich mache, mit Domänenadmins funktioniert es, nur normale Benutzer nicht. In Filezilla bekomme ich diese Meldungen:
 
Status: Verbinde mit 192.168.101.80:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Status: Unsicherer Server; er unterstützt kein FTP über TLS.
Befehl: USER Test
Antwort: 331 Password required
Befehl: PASS *******
Antwort: 530 User cannot log in.
Fehler: Kritischer Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

 

Wie bekomme ich das gelöst, wie sagt mir der IIS wieso ich micht nicht anmelden darf denn so deute ich die Meldung, es heißt ja nicht falsches Kennwort so wie ich das Protokoll deute.

 

P.S.: Ich weiß das ich hier gerade ohne SSL arbeite was nur bei der internen Kommunikation der Fall ist, wenn der FTP von extern erreichbar wir erzwingen wir SSL, nur für die Tests habe ich das mittlerweile bewusst weggelassen um hier nicht noch weitere mögliche Probleme zu bekommen.

 

Ratlose Grüße aus BaWü

Norbert (der andere)



#2 NilsK

NilsK

    Expert Member

  • 12.406 Beiträge

 

Geschrieben 20. Oktober 2017 - 11:00

Moin,

 

ein FTP-Server, der ins AD integriert und über das Internet erreichbar ist? Never-ever. Einen FTP auf IIS-Basis würde ich ohnehin nicht einrichten.

 

Und wenn wir schon dabei sind, ist FTP heute für den Dateiaustausch kein zu bevorzugender Weg mehr. Besser also: Funktionale Anforderungen klären und eine moderne Lösung für sowas suchen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 dataKEKS

dataKEKS

    Junior Member

  • 196 Beiträge

 

Geschrieben 20. Oktober 2017 - 14:21

Hey Nils!

 

Hast ja Recht, aber das ist Kundenanforderung, es darf nix kosten und per VPN gesichert automatisiert nutzbar sein, da kommen Daten von verschiedenen Plattformen rein, daher FTP.

 

Wie würdest Du den das Problem lösen? Sollte doch eigentlich jeden Techniker beim Ergeiz packen :-)

 

Gruß

Norbert



#4 magheinz

magheinz

    Newbie

  • 1.377 Beiträge

 

Geschrieben 20. Oktober 2017 - 17:06

debian linux+[proftp|pureftp] wenns denn ftp sein muss. ums schön zu machen würde ich da noch owncloud dazubauen. kostet nix ausser der hardware.

#5 Sunny61

Sunny61

    Expert Member

  • 22.186 Beiträge

 

Geschrieben 20. Oktober 2017 - 18:47

Oder als Alternative einen WebDAV Server aufsetzen. Den kann mach von extern erreichen. https://www.faq-o-ma...netuebertragen/

Bearbeitet von Sunny61, 20. Oktober 2017 - 18:47.

Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#6 magheinz

magheinz

    Newbie

  • 1.377 Beiträge

 

Geschrieben 20. Oktober 2017 - 21:52

ich sag ja: für den comfort noch owncloud dazu.

richtig konfiguriert kann man dann das Protokoll nutzen was gerade am besten passt.



#7 dataKEKS

dataKEKS

    Junior Member

  • 196 Beiträge

 

Geschrieben 26. Oktober 2017 - 19:21

Hat denn wirklich keiner Idee woran es liegen kann wenn ein IIS als FTP nur Anmeldungen von Admins erlaubt, nicht aber normalen Benutzern?