loadme
-
Gesamte Inhalte
35 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von loadme
-
-
Hi,
nach längerem Testen habe ich eine - für mich - Kuriosität entdeckt.
Der FTP Server steht in einem lokalen Netzwerk und kommuniziert via Router (FB) mit den externen Clients.
Ich habe in IIS 3 FTP Seiten eingerichtet, dann die Soft- und Hardware Firewalls eingestellt und solang ich über den Port 21 gehe, funktioniert alles tadelos.
Eine Verbindung von außen erfolgt via DynDNS. Die IP wird korrekt aufgeschlüsselt und vom Router aus korrekt an den Server weitergeleitet. Es kommt zur erfolgreichen Authentifizierung inkl Datenübertragung.
Soweit so gut.
Bei dem Versuch eine identisch eingerichtete Seite zu erstellen, die analog über den Port 22 oder 23 läuft, gibts dann routing Probleme.
Port Forwarding ist eingerichtet. Die Seite analog zur anderen konfiguriert. Alles ansich identisch - bis eben auf den Port.
Filezilla kann die Verbindung zwar herstellen, muss aber einen Fallback in den passive-mode einleiten, da der FTP-Server nach der Authentifizierung eine nicht-routingfähige IP für den Datenverkehr ausspuckt. (die interne local IP).
Befehl: PASS *********** Antwort: 230 User logged in. Befehl: OPTS UTF8 ON Antwort: 200 OPTS UTF8 command successful - UTF8 encoding now ON. Status: Verbunden Status: Empfange Verzeichnisinhalt... Befehl: PWD Antwort: 257 "/" is current directory. Befehl: TYPE I Antwort: 200 Type set to I. Befehl: PORT 192,168,178,27,246,194 Antwort: 501 Server cannot accept argument. Befehl: PASV Antwort: 227 Entering Passive Mode (192,168,178,200,39,32). Status: Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse. Befehl: LIST Antwort: 150 Opening BINARY mode data connection. Antwort: 226 Transfer complete. Status: Anzeigen des Verzeichnisinhalts abgeschlossen
(funktioniert auch, weil die Passive-Mode Ports 10000-10060 noch geforwarded werden)
Doch wie bekomme ich das in den AktivModus und warum gibt mein FTP Server bei nicht-21-Ports die falsche IP für die Daten weiter?
Hat hier jemand eine Idee?
Danke schon mal
-
Hallo zusammen,
ich hatte die Tage mal wieder ein wenig Zeit, bin aber schluss endlich doch wieder bei 0 gelandet.
Wie nennt sich das erwähnte Feature denn? Mit der richtigen Phrase könnte ich eventuell google noch einmal um Rat bitten.
Gruß
-
Das ist in jedem Falle eine Überlegung wert! Danke für deine Erfahrung
LukasB, kannst du eventuell noch ein Stichwort dazu werfen? Wenn das denn wirklich funktionieren sollte, wäre mein Problem rundum geklärt.
WS08R2 ist vorhanden, IIS7.5 FTP eingerichtet.
In der FTP Featureliste finde ich leider keinen entsprechenden Eintrag für virtuelle Ordner / dynamische Freigaben.
Wie genau nennt sich das Feature?
Gruß
-
Mein Problem besteht immer noch :(
Gibt es irgendein Stichwort, zum Thema "Ordner beim FTP Zugriff verstecken"?
Ich finde jeweils nur LAN Lösungen
Gruß
-
Ist das nicht realisierbar?
-
Ohha, dann war das wohl gänzlich der falsche Ansatz
Welche Möglichkeiten gibt es denn, bei ServerZugriff via FTP die entsprechenden Verzeichnisse auszublenden?
Ich möchte Verzeichnisse, zu denen kein Zugang erlaubt ist, direkt ausblenden lassen
Gruß
-
Hallo,
ich möchte mit Win2k8R2 eine Ordnerstruktur innerhalb einer FTP Seite in ihren Sichtbarkeiten ändern.
Momentan nutzen verschiedene User die gleiche FTP Seite vom Server.
Darin enthalten sind diverse Ordner mit Zugriffsrechten abhängig der Benutzer
Nun wurde ich gebeten, dass die Ordner, für die man keinen Zugriff besitzt möglichst direkt ausgeblendet werden sollen.
Google hat mir dazu bereits einige Worte an den Kopf geworfen
- Unter Win2k3 nutze man wohl die Erweiterung ABE. Das ist in Win2k8 aber bereits integriert ("aber standardmäßig deaktiviert?").
Zu deutsch die sog. "Zugriffsbasierte Aufzaehlung"
- ABE ändert nur die Sichtbarkeit, nicht aber die Zugriffsrechte auf den Ordner, womit bereits existierende Verlinkungen weiterhin funktionieren würden.
- Muss ich damit sowas überhaupt erst geht einen Namespace einrichten und mit zbsp DFS Tools dann für verschiedene Ordner die Berechtigungen manuell festlegen?
Kann ich das vielleicht "einfach" irgendwo parallel zu den Berechtigungen setzen?
Einen Namespace habe ich noch nicht angelegt in der Hoffnung, das so etwas vielleicht über irgendein Flag wie R W und X gehen könnte
Könntet ihr mich auf den richtigen Weg weisen?
Vielen Dank!
-
- Was hast du im FTP-Server als externe IP eingetragen? Da sich diese immer ändert musst du dort deine Dyndns-Adresse eintragen.
Ich wollte dort die dyndns eintragen. Leider gab es die Meldung, dass das nicht möglich sei und man eine echte IP eintragen solle.
Darauf hin nutzte ich die aktuelle IP der Fritzbox - mit Erfolg.
Später habe ich diese Feld wieder >gelöscht< und es funktionierte trotzdem.
Scheinbar ist das Feld in diesem Falle nicht relevant.
- Stimmt die unter "Antwort: 227 Entering Passive Mode (xx,xx,xx,xx,216,144)" angezeigte IP mit der externen IP des Servers überein?
- ja! die IP wurde von dyndns richtig aufgeschlüsselt.
- Versuchst du von intern auf die externe IP zu verbinden? Dies wird von einigen Routern geblockt (Loopback oder so ähnlich).
Nein. Es kann in seltenen Fällen vorkommen, dass zbsp ein mobiles Gerät, das normalerweise von außerhalb zugreift, sich auch mal im gleichen Netzwerk aufhält.
Hier muss ich noch testen, ob es sich dann via Internet postwendend über dyndns wieder zurück zur Fritzbox und weiter zum Server verbinden kann.
Nun habe ich alles fertig eingerichtet und es funktioniert.
Ich bin noch nicht ganz sicher, ob meine Konfiguration dem System nicht irgendeine Sicherheitslücke eingebrockt hat und habe ein wenig Bedenken bei den ganzen Konfigurationen.
Die FTP Seite läuft momentan über ein reines FTP Protokoll.
FTPs werde ich noch testen.
Auch habe ich anonyme User und anonyme zugriffe geblockt und die Seite nur noch zugänglich gemacht für bekannte Benutzer und deren Passwort.
Falls jemand von euch noch einen Tip hat, eine Checkliste oder irgendeinen "SicherheitsGuide" mit dem ich Stück für Stück mal das System auf grundlegende Sicherheitslücken prüfen könnte (sofern es soetwas überhaupt gibt), dann würde ich mich sehr darüber freuen.
schon mal vielen Dank fürs Mitdenken!
-
Nochmal Kommando zurück
ich habe die gleiche Verbindung in FileZilla mal im "aktiv" Mode versucht und schon wurde ich nach einer Firewallregel gefragt (Clientseitig).
Diese kurz bestätigt und schon funktionierte es.
Könnte mir eventuell noch jmd kurz eine Erklärung geben, warum es nun im aktiv und nicht im passiv Modus funktioniert?
Und was google bisher nicht ausspucken wollte:
einen Anhaltspunkt, wie man innerhalb einer FTP Seite serverseitig noch berechtigungen für die einzelnen Verzeichnisse erstellt.
Löse ich das über die Verzeichnisse direkt? Oder über den IIS Manager?
Gruß! :)
-
nachtrag:
LICHT IM DUNKELN
ich habe soeben endlich die richtige Firewall Regel eingebaut
netsh advfirewall firewall add rule name="FTP (non-SSL)" action=allow protocol=TCP dir=in localport=21sowie
netsh advfirewall set global StatefulFtp enablenun wirft mir FileZilla so einiges um die Ohren und scheitert schlussendlich beim Verzeichnisinhalt.
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort: 220 Microsoft FTP Service
Befehl: USER anonymous
Antwort: 331 Anonymous access allowed, send identity (e-mail name) as password.
Befehl: PASS **************
Antwort: 230 User logged in.
Befehl: SYST
Antwort: 215 Windows_NT
Befehl: FEAT
Antwort: 211-Extended features supported:
Antwort: LANG EN*
Antwort: UTF8
Antwort: AUTH TLS;TLS-C;SSL;TLS-P;
Antwort: PBSZ
Antwort: PROT C;P;
Antwort: CCC
Antwort: HOST
Antwort: SIZE
Antwort: MDTM
Antwort: REST STREAM
Antwort: 211 END
Befehl: OPTS UTF8 ON
Antwort: 200 OPTS UTF8 command successful - UTF8 encoding now ON.
Status: Verbunden
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PASV
Antwort: 227 Entering Passive Mode (xx,xx,xx,xx,216,144).
Befehl: LIST
Antwort: 150 Opening BINARY mode data connection.
Fehler: Zeitüberschreitung der Verbindung
Fehler: Verzeichnisinhalt konnte nicht empfangen werden
(ich habe bei "entering passive mode" die werte der IP Adresse durch xx ersetzt)
LIST wird nicht richtig ausgeführt.
Leider bin ich hier nun am Ende meines Latein
Gruß
-
hm, habe ich das vielleicht an der falschen Stelle konfiguriert?
Wo genau hast du denn den PassiveMode aktiviert?
IIS Manager
ServerName -> FTP Firewall Unterstützung
DatenKanal Portbereich: 1000-10020
dann noch im IIS Manager
klick auf FTP SeitenName
-> FTP Firewall Unterstützung: Ports werden vererbt
aber ich muss noch die externe IP der FW einstellen.
ist das hier nicht die IP der Fritzbox?
oder bleibt es bei der lokalen ServerIP (192.168.. ) weil es ja die BuiltIn Firewall nutzt (vom OS)
Gruß!
-
1. Klappt der Zugriff vom LAN aus?
2. Ist das Portforwarding korrekt? Eventuell musst du zusätzlich noch den Passivportrange auf den Server weiterleiten.
3. Stimmt die externe IP bei Dyndns mit der wirklichen überein?
4. Ich musst bei Dyndns noch nie etwas bezüglich Webserver einrichten.
5. Was meldet dein FTP-Client für einen Fehler? Falls der "Client" der IE ist, verwende Filezilla zum testen.
Hallo,
1. ich erreiche den Server via RemoteDesktop von außerhalb (Fritzbox: RemDesktop Port an Server weitergeleitet)
2. ich hoffe. In der Fritzbox wird via TCP Port 21 weitergeleitet an den Server (an 21)
Innerhalb des Netzwerks wird der Server ebenfalls gefunden und verwendet
Nun habe ich noch die passiveports zum Server forwarded (49152-65535)
3. Ja, funktioniert via automatischem Update bei reconnect der Fritzbox. Filezilla bestätigt das dann bei der Adress-Aufschlüsselung der dyndns Adresse
4. man kann sich bei Dyndns einloggen und dort ein paar Optionen aktivieren. Der "Webserver Service" ist meiner Meinung nach bereits aktiv gewesen.
5. ich verwende ausschließlich Filezilla. FileZilla meldet:
Auflösen der IP-Adresse für xyz.dyndns.org
Verbinde mit 91.43.xxx.xxx:21...
Fehler:Zeitüberschreitung der Verbindung
Fehler:Herstellen der Verbindung zum Server fehlgeschlagen
Eigentlich möchte ich den passiveMode garnicht gestatten?
Auch habe ich den sog. Datenport (20?) nicht weitergeleitet. Ist das denn notwendig? Ich dachte innerhalb der F.B. reicht die Nummer 21 an den Server@21
und soweit ich das verstehe muss man bei einem passiveFTP auch eine feste IP einstellen, da hier eine dynamische nicht akzeptiert wird. (was wohl aber via script gehen würde)
ich bleibe ratlos :[
-
Hallo Zusammen,
ich versuche zur Zeit einen eigenen Server via FTP zu erreichen.
Dieser Server hängt jedoch an einer Fritzbox im Netzwerk und diese wiederrum nutzt den DynDNS.com - Free Domain Name, Managed DNS, Email Services Service.
im Konto von Dyndns.org wurde "Webserver" aktiviert (ich vermute, dass dann Port 21 forwarded wird?)
Nun zum Server:
Das FTP Feature wurde via Konsole komplett aktiviert:
C:\Users\Administrator>dism /Online /Enable-Feature /FeatureName:IIS-FTPServer /FeatureName:IIS-FTPSvc /FeatureName:IIS-FTPExtensibility
Autostart für den FTP Service ist auch aktiv.
Eine FTP Seite habe ich auch erstellt (IIS Manager -> Sites -> Rechtsklick-> Add FTP Site
Hier kommts dann schon zum Stirnrunzeln.
Wie lautet in diesem Falle die korrekte Bindung der Seite?
ist es die DynDNS Seite?
xyz.dyndns.org:21 ?
in der Fritz.Box hab ich nun noch den Port eingetragen und lass ihn an den Server weiterleiten.
Mein FTP Programm findet jedoch keine Verbindung.
Habt ihr da eventuell eine Idee? Leider gibts vom aktuellen Provider keine Möglichkeit auf eine Standleitung. Damit kommen wir um dyndns momentan nicht herum.
Bin dankbar für jeden Tip!
Gruß,
loadme
edit: auch über die aktuelle IP der Fritzbox bekomme ich keine Verbindung via FTP
Wie muss die Bindung lauten?
IP:21?
habe ich irgendwas übersehen?
Gruß
-
Hat vielleicht jemand eine Idee, wie ich das Problem angehen könnte?
Leider kommt DirectAccess nicht in Frage, weil der Client nur 7Professional ist.
Ich muss das irgendwie via WebDav bewerkstelligen und habe das soweit möglich nach diesen 2 Guides erledigt
faq-o-matic.net WebDAV: Dateien sicher übers Internet übertragen
-
Eventuell liegt es ja hier dran:
Wie ich entnehmen konnte, kann man sein Zertifikat auch auf eine Dyndns Adresse ausstellen.
Das hatte ich via "openSSL" erledigt
und direkt auf dem server damit ein root zertifikat erstellt sowie das request damit umgewandelt zu einem zertifikat.
im IIS 7.5 hab ich dann das umgewandelte zertifikat eingebunden und beim site erstellen
verwendet
beide zertifikate (root und client) sind am server vertrauenswürdig
-
Hallo zusammen
ich versuche mich mit einem Programm vom Win7 Client zu meinem W2k8R2 Server zu verbinden.
Die Verbindung gelingt scheinbar mehr oder minder.
Auf dem Server habe ich WebDav aktiviert, ein signiertes Zertifikat mit PrivateKey eingebunden
Im Anschluss eine "Website" erstellt, bzw ein Folder angegeben, auf dem diese Seite laufen soll.
Auch als SSL via Port 443 mit eben diesem Zertifikat
Zertifikat+Keyfile für diese Seite sind auch auf dem Client.
Nun möchte ich meine https Verbindung als Laufwerk einrichten. Eben mit solch einem Tool. (WebDrive)
Dieses liefert mir nun verzögerungsfrei diesen Fehler:
Connecting to site xyz.dyndns.org
Loading certificate extern-serverConnecting to https://xyz.dyndns.org
Resolving url xyz.dyndns.org to an IP addressUrl resolved to IP address xx.xx.xxx.xx
Connecting to x.xx.xxx.xx on port 443
Connected successfully to the server on port 443
Unable to connect to server, error information belowError:
Crypto layer not initialized (1504)
Operation: Connecting to serverSub
Operation: Performing secure handshake
habt ihr eine Idee?
Gruß,
load
edit: beide sitzen hinter einer Fritzbox und die 443er Ports sind auf beiden Seiten weitergeleitet
-
die links hier sind teilweise veraltet und führen zu toten how to's
ich habe jedoch nach längerer suche nichts aktuelleres hier im forum gefunden und frische daher das topic mal auf
hier ist der aktuelle Link für Zertifikate:
Zertifikat mit IIS7/75 anfordern
-
hallo
um meine Frage für andere aufzuklären:
den Dienst, den ich in diesem menüpunkt aktivieren wollte, konnte ich an anderer stelle finden.
Servermanager -> Rollen -> Webserver (IIS) ->
auf dieser übersichtsseite etwas runterscrollen zu "rollendienste".
dort war alles nötige aufgelistet
gruß
-
danke, das hilft schon weiter.
nun ist die Überlegung: entweder über Anywhere upgraden,
oder für die gleiche Summe im Web ne OEM von Ultimate bestellen.
Kann ich von einer OEM Ultimate DVD das Professional Upgraden?
Oder muss das dann eine Neuinstallation werden?
Und habe ich nach einem Anywhere Upgrade das Image der neuen Version irgendwie zum Download angeboten?
Gruß,
loadme
-
Das gleiches Problem, wie in diesem Forum habe ich auch
im IIS Manager wird unter meinem Server der Menüpunkt "Webdiensterweiterungen" nicht dargestellt.
Dort und in ähnlichen Topics wurde aber keine Lösung gefunden.
Es wird auch auf ein Tutorial verlinkt (->CGI), in welchem man gaaaanz unten auch Screenshots vom IIS Manager ohne diesen Eintrag sieht.
Nachdem ich die WebserverRolle eingerichtet habe, fehlt mir im IIS Manager der Punkt "Webdiensterweiterungen".
Wie komme ich dort ran?
Gruß!
-
Hallo,
DirectAccess wurde ja erst ab der Win7 Ultimate und höher ausgeliefert.
Nun meine Frage:
Gibt es eine Möglichkeit dieses Feature in Win7 Prof. irgendwie nachzurüsten? Oder bleibt da nur der Weg über eine Ultimate Lizens?
Weil ich mir die Antwort fast denken kann.. (aber ja insgeheim hoffe.. ;) ) habe ich auch schon nach einer Upgrade Funktion gesucht.
Google spuckte nichts aus. Kann man Win7Prof auf Ultimate Upgraden?
Gruß
-
Hey,
vielen Dank! das ist das zweite Mal, dass du mir den Hintern rettest...
Da wäre ich wohl nie drauf gekommen
Liegt es daran, dass die Group/UserKonten nun nur noch über die Domain verwaltet werden? @DomainController Einrichtung?
Gut dass das geklärt ist.. Ich vermute mal, der Rest kann sich dann dort im Netzwerk morgen auch nur via DOMAIN\USER anmelden
Uff - das hätte einige Probleme bereitet
-
Hallo
habe via RemoteDesktop auf dem Server folgendes erstmalig eingerichtet:
- DomainController (primary)
- ActiveDirectory und
- FQDN/NetBIOS
- DNS
- Wiederherstellungspasswort für den Admin gesetzt (identisch mit meinem Admin-Konto PW)
--> das alles via dcpromo.exe
Im Anschluss musste ich das System neu starten.
Seitdem kann ich darauf via RemoteDesktop nicht mehr zugreifen.
Die User/Passwortabfrage kommt noch, schlägt aber fehl.
Erahnt jmd, was ich falsch gemacht habe?
Sonst müsste ich wohl in Kürze die weite Strecke fahren und das vor Ort lösen :(
ps: das sehr kleine Netzwerk besitzt sonst keine weiteren Server.
-
vielleicht hab ich da einfach viel zu viel geschrieben..
mit welchen tools würdet ihr > 2tb platten sichern? also datensicherung, nicht datenangriffe
gruß
FTP Seite sendet falsche IP im Active Mode
in Windows Server Forum
Geschrieben
Hey,
gibt's eventuell ein passenderes Unter-Forum für Fragen dieser Art?
Eventuell hab ich einfach die falsche Stelle für so eine Frage gewählt
Gruß