loadme

Hey,

gibt's eventuell ein passenderes Unter-Forum für Fragen dieser Art?

Eventuell hab ich einfach die falsche Stelle für so eine Frage gewählt

Gruß

Hi,

nach längerem Testen habe ich eine - für mich - Kuriosität entdeckt.

Der FTP Server steht in einem lokalen Netzwerk und kommuniziert via Router (FB) mit den externen Clients.

Ich habe in IIS 3 FTP Seiten eingerichtet, dann die Soft- und Hardware Firewalls eingestellt und solang ich über den Port 21 gehe, funktioniert alles tadelos.

Eine Verbindung von außen erfolgt via DynDNS. Die IP wird korrekt aufgeschlüsselt und vom Router aus korrekt an den Server weitergeleitet. Es kommt zur erfolgreichen Authentifizierung inkl Datenübertragung.

Soweit so gut.

Bei dem Versuch eine identisch eingerichtete Seite zu erstellen, die analog über den Port 22 oder 23 läuft, gibts dann routing Probleme.

Port Forwarding ist eingerichtet. Die Seite analog zur anderen konfiguriert. Alles ansich identisch - bis eben auf den Port.

Filezilla kann die Verbindung zwar herstellen, muss aber einen Fallback in den passive-mode einleiten, da der FTP-Server nach der Authentifizierung eine nicht-routingfähige IP für den Datenverkehr ausspuckt. (die interne local IP).

Befehl:	PASS ***********
Antwort:	230 User logged in.
Befehl:	OPTS UTF8 ON
Antwort:	200 OPTS UTF8 command successful - UTF8 encoding now ON.
Status:	Verbunden
Status:	Empfange Verzeichnisinhalt...
Befehl:	PWD
Antwort:	257 "/" is current directory.
Befehl:	TYPE I
Antwort:	200 Type set to I.
Befehl:	PORT 192,168,178,27,246,194
Antwort:	501 Server cannot accept argument.
Befehl:	PASV
Antwort:	227 Entering Passive Mode (192,168,178,200,39,32).
Status:	Vom Server gesendete Adresse für den Passiv-Modus ist nicht routingfähig. Benutze stattdessen die Serveradresse.
Befehl:	LIST
Antwort:	150 Opening BINARY mode data connection.
Antwort:	226 Transfer complete.
Status:	Anzeigen des Verzeichnisinhalts abgeschlossen

(funktioniert auch, weil die Passive-Mode Ports 10000-10060 noch geforwarded werden)

Doch wie bekomme ich das in den AktivModus und warum gibt mein FTP Server bei nicht-21-Ports die falsche IP für die Daten weiter?

Hat hier jemand eine Idee?

Danke schon mal

Hallo zusammen,

ich hatte die Tage mal wieder ein wenig Zeit, bin aber schluss endlich doch wieder bei 0 gelandet.

Wie nennt sich das erwähnte Feature denn? Mit der richtigen Phrase könnte ich eventuell google noch einmal um Rat bitten.

Gruß

Das ist in jedem Falle eine Überlegung wert! Danke für deine Erfahrung

LukasB, kannst du eventuell noch ein Stichwort dazu werfen? Wenn das denn wirklich funktionieren sollte, wäre mein Problem rundum geklärt.

WS08R2 ist vorhanden, IIS7.5 FTP eingerichtet.

In der FTP Featureliste finde ich leider keinen entsprechenden Eintrag für virtuelle Ordner / dynamische Freigaben.

Wie genau nennt sich das Feature?

Gruß

Mein Problem besteht immer noch :(

Gibt es irgendein Stichwort, zum Thema "Ordner beim FTP Zugriff verstecken"?

Ich finde jeweils nur LAN Lösungen

Gruß

Ist das nicht realisierbar?

Ohha, dann war das wohl gänzlich der falsche Ansatz

Welche Möglichkeiten gibt es denn, bei ServerZugriff via FTP die entsprechenden Verzeichnisse auszublenden?

Ich möchte Verzeichnisse, zu denen kein Zugang erlaubt ist, direkt ausblenden lassen

Gruß

Hallo,

ich möchte mit Win2k8R2 eine Ordnerstruktur innerhalb einer FTP Seite in ihren Sichtbarkeiten ändern.

Momentan nutzen verschiedene User die gleiche FTP Seite vom Server.

Darin enthalten sind diverse Ordner mit Zugriffsrechten abhängig der Benutzer

Nun wurde ich gebeten, dass die Ordner, für die man keinen Zugriff besitzt möglichst direkt ausgeblendet werden sollen.

Google hat mir dazu bereits einige Worte an den Kopf geworfen

- Unter Win2k3 nutze man wohl die Erweiterung ABE. Das ist in Win2k8 aber bereits integriert ("aber standardmäßig deaktiviert?").

Zu deutsch die sog. "Zugriffsbasierte Aufzaehlung"

- ABE ändert nur die Sichtbarkeit, nicht aber die Zugriffsrechte auf den Ordner, womit bereits existierende Verlinkungen weiterhin funktionieren würden.

- Muss ich damit sowas überhaupt erst geht einen Namespace einrichten und mit zbsp DFS Tools dann für verschiedene Ordner die Berechtigungen manuell festlegen?

Kann ich das vielleicht "einfach" irgendwo parallel zu den Berechtigungen setzen?

Einen Namespace habe ich noch nicht angelegt in der Hoffnung, das so etwas vielleicht über irgendein Flag wie R W und X gehen könnte

Könntet ihr mich auf den richtigen Weg weisen?

Vielen Dank!

- Was hast du im FTP-Server als externe IP eingetragen? Da sich diese immer ändert musst du dort deine Dyndns-Adresse eintragen.

Ich wollte dort die dyndns eintragen. Leider gab es die Meldung, dass das nicht möglich sei und man eine echte IP eintragen solle.

Darauf hin nutzte ich die aktuelle IP der Fritzbox - mit Erfolg.

Später habe ich diese Feld wieder >gelöscht< und es funktionierte trotzdem.

Scheinbar ist das Feld in diesem Falle nicht relevant.

- Stimmt die unter "Antwort: 227 Entering Passive Mode (xx,xx,xx,xx,216,144)" angezeigte IP mit der externen IP des Servers überein?

- ja! die IP wurde von dyndns richtig aufgeschlüsselt.

- Versuchst du von intern auf die externe IP zu verbinden? Dies wird von einigen Routern geblockt (Loopback oder so ähnlich).

Nein. Es kann in seltenen Fällen vorkommen, dass zbsp ein mobiles Gerät, das normalerweise von außerhalb zugreift, sich auch mal im gleichen Netzwerk aufhält.

Hier muss ich noch testen, ob es sich dann via Internet postwendend über dyndns wieder zurück zur Fritzbox und weiter zum Server verbinden kann.

Nun habe ich alles fertig eingerichtet und es funktioniert.

Ich bin noch nicht ganz sicher, ob meine Konfiguration dem System nicht irgendeine Sicherheitslücke eingebrockt hat und habe ein wenig Bedenken bei den ganzen Konfigurationen.

Die FTP Seite läuft momentan über ein reines FTP Protokoll.

FTPs werde ich noch testen.

Auch habe ich anonyme User und anonyme zugriffe geblockt und die Seite nur noch zugänglich gemacht für bekannte Benutzer und deren Passwort.

Falls jemand von euch noch einen Tip hat, eine Checkliste oder irgendeinen "SicherheitsGuide" mit dem ich Stück für Stück mal das System auf grundlegende Sicherheitslücken prüfen könnte (sofern es soetwas überhaupt gibt), dann würde ich mich sehr darüber freuen.

schon mal vielen Dank fürs Mitdenken!

Nochmal Kommando zurück

ich habe die gleiche Verbindung in FileZilla mal im "aktiv" Mode versucht und schon wurde ich nach einer Firewallregel gefragt (Clientseitig).

Diese kurz bestätigt und schon funktionierte es.

Könnte mir eventuell noch jmd kurz eine Erklärung geben, warum es nun im aktiv und nicht im passiv Modus funktioniert?

Und was google bisher nicht ausspucken wollte:

einen Anhaltspunkt, wie man innerhalb einer FTP Seite serverseitig noch berechtigungen für die einzelnen Verzeichnisse erstellt.

Löse ich das über die Verzeichnisse direkt? Oder über den IIS Manager?

Gruß! :)

nachtrag:

LICHT IM DUNKELN

ich habe soeben endlich die richtige Firewall Regel eingebaut

netsh advfirewall firewall add rule name="FTP (non-SSL)" action=allow protocol=TCP dir=in localport=21

sowie

netsh advfirewall set global StatefulFtp enable

nun wirft mir FileZilla so einiges um die Ohren und scheitert schlussendlich beim Verzeichnisinhalt.

Status: Verbindung hergestellt, warte auf Willkommensnachricht...

Antwort: 220 Microsoft FTP Service

Befehl: USER anonymous

Antwort: 331 Anonymous access allowed, send identity (e-mail name) as password.

Befehl: PASS **************

Antwort: 230 User logged in.

Befehl: SYST

Antwort: 215 Windows_NT

Befehl: FEAT

Antwort: 211-Extended features supported:

Antwort: LANG EN*

Antwort: UTF8

Antwort: AUTH TLS;TLS-C;SSL;TLS-P;

Antwort: PBSZ

Antwort: PROT C;P;

Antwort: CCC

Antwort: HOST

Antwort: SIZE

Antwort: MDTM

Antwort: REST STREAM

Antwort: 211 END

Befehl: OPTS UTF8 ON

Antwort: 200 OPTS UTF8 command successful - UTF8 encoding now ON.

Status: Verbunden

Status: Empfange Verzeichnisinhalt...

Befehl: PWD

Antwort: 257 "/" is current directory.

Befehl: TYPE I

Antwort: 200 Type set to I.

Befehl: PASV

Antwort: 227 Entering Passive Mode (xx,xx,xx,xx,216,144).

Befehl: LIST

Antwort: 150 Opening BINARY mode data connection.

Fehler: Zeitüberschreitung der Verbindung

Fehler: Verzeichnisinhalt konnte nicht empfangen werden

(ich habe bei "entering passive mode" die werte der IP Adresse durch xx ersetzt)

LIST wird nicht richtig ausgeführt.

Leider bin ich hier nun am Ende meines Latein

Gruß

hm, habe ich das vielleicht an der falschen Stelle konfiguriert?

Wo genau hast du denn den PassiveMode aktiviert?

IIS Manager

ServerName -> FTP Firewall Unterstützung

DatenKanal Portbereich: 1000-10020

dann noch im IIS Manager

klick auf FTP SeitenName

-> FTP Firewall Unterstützung: Ports werden vererbt

aber ich muss noch die externe IP der FW einstellen.

ist das hier nicht die IP der Fritzbox?

oder bleibt es bei der lokalen ServerIP (192.168.. ) weil es ja die BuiltIn Firewall nutzt (vom OS)

Gruß!

1. Klappt der Zugriff vom LAN aus?

2. Ist das Portforwarding korrekt? Eventuell musst du zusätzlich noch den Passivportrange auf den Server weiterleiten.

3. Stimmt die externe IP bei Dyndns mit der wirklichen überein?

4. Ich musst bei Dyndns noch nie etwas bezüglich Webserver einrichten.

5. Was meldet dein FTP-Client für einen Fehler? Falls der "Client" der IE ist, verwende Filezilla zum testen.

Hallo,

1. ich erreiche den Server via RemoteDesktop von außerhalb (Fritzbox: RemDesktop Port an Server weitergeleitet)

2. ich hoffe. In der Fritzbox wird via TCP Port 21 weitergeleitet an den Server (an 21)

Innerhalb des Netzwerks wird der Server ebenfalls gefunden und verwendet

Nun habe ich noch die passiveports zum Server forwarded (49152-65535)

3. Ja, funktioniert via automatischem Update bei reconnect der Fritzbox. Filezilla bestätigt das dann bei der Adress-Aufschlüsselung der dyndns Adresse

4. man kann sich bei Dyndns einloggen und dort ein paar Optionen aktivieren. Der "Webserver Service" ist meiner Meinung nach bereits aktiv gewesen.

5. ich verwende ausschließlich Filezilla. FileZilla meldet:

Auflösen der IP-Adresse für xyz.dyndns.org

Verbinde mit 91.43.xxx.xxx:21...

Fehler:Zeitüberschreitung der Verbindung

Fehler:Herstellen der Verbindung zum Server fehlgeschlagen

Eigentlich möchte ich den passiveMode garnicht gestatten?

Auch habe ich den sog. Datenport (20?) nicht weitergeleitet. Ist das denn notwendig? Ich dachte innerhalb der F.B. reicht die Nummer 21 an den Server@21

und soweit ich das verstehe muss man bei einem passiveFTP auch eine feste IP einstellen, da hier eine dynamische nicht akzeptiert wird. (was wohl aber via script gehen würde)

ich bleibe ratlos :[

Hallo Zusammen,

ich versuche zur Zeit einen eigenen Server via FTP zu erreichen.

Dieser Server hängt jedoch an einer Fritzbox im Netzwerk und diese wiederrum nutzt den DynDNS.com - Free Domain Name, Managed DNS, Email Services Service.

im Konto von Dyndns.org wurde "Webserver" aktiviert (ich vermute, dass dann Port 21 forwarded wird?)

Nun zum Server:

Das FTP Feature wurde via Konsole komplett aktiviert:

C:\Users\Administrator>dism /Online /Enable-Feature /FeatureName:IIS-FTPServer /FeatureName:IIS-FTPSvc /FeatureName:IIS-FTPExtensibility

Autostart für den FTP Service ist auch aktiv.

Eine FTP Seite habe ich auch erstellt (IIS Manager -> Sites -> Rechtsklick-> Add FTP Site

Hier kommts dann schon zum Stirnrunzeln.

Wie lautet in diesem Falle die korrekte Bindung der Seite?

ist es die DynDNS Seite?

xyz.dyndns.org:21 ?

in der Fritz.Box hab ich nun noch den Port eingetragen und lass ihn an den Server weiterleiten.

Mein FTP Programm findet jedoch keine Verbindung.

Habt ihr da eventuell eine Idee? Leider gibts vom aktuellen Provider keine Möglichkeit auf eine Standleitung. Damit kommen wir um dyndns momentan nicht herum.

Bin dankbar für jeden Tip!

Gruß,

loadme

edit: auch über die aktuelle IP der Fritzbox bekomme ich keine Verbindung via FTP

Wie muss die Bindung lauten?

IP:21?

habe ich irgendwas übersehen?

Gruß

Hat vielleicht jemand eine Idee, wie ich das Problem angehen könnte?

Leider kommt DirectAccess nicht in Frage, weil der Client nur 7Professional ist.

Ich muss das irgendwie via WebDav bewerkstelligen und habe das soweit möglich nach diesen 2 Guides erledigt

faq-o-matic.net WebDAV: Dateien sicher übers Internet übertragen

Eventuell liegt es ja hier dran:

Wie ich entnehmen konnte, kann man sein Zertifikat auch auf eine Dyndns Adresse ausstellen.

Das hatte ich via "openSSL" erledigt

und direkt auf dem server damit ein root zertifikat erstellt sowie das request damit umgewandelt zu einem zertifikat.

im IIS 7.5 hab ich dann das umgewandelte zertifikat eingebunden und beim site erstellen

verwendet

beide zertifikate (root und client) sind am server vertrauenswürdig

Hallo zusammen

ich versuche mich mit einem Programm vom Win7 Client zu meinem W2k8R2 Server zu verbinden.

Die Verbindung gelingt scheinbar mehr oder minder.

Auf dem Server habe ich WebDav aktiviert, ein signiertes Zertifikat mit PrivateKey eingebunden

Im Anschluss eine "Website" erstellt, bzw ein Folder angegeben, auf dem diese Seite laufen soll.

Auch als SSL via Port 443 mit eben diesem Zertifikat

Zertifikat+Keyfile für diese Seite sind auch auf dem Client.

Nun möchte ich meine https Verbindung als Laufwerk einrichten. Eben mit solch einem Tool. (WebDrive)

Dieses liefert mir nun verzögerungsfrei diesen Fehler:

Connecting to site xyz.dyndns.org

Loading certificate extern-serverConnecting to https://xyz.dyndns.org

Resolving url xyz.dyndns.org to an IP addressUrl resolved to IP address xx.xx.xxx.xx

Connecting to x.xx.xxx.xx on port 443

Connected successfully to the server on port 443

Unable to connect to server, error information belowError:

Crypto layer not initialized (1504)

Operation: Connecting to serverSub

Operation: Performing secure handshake

habt ihr eine Idee?

Gruß,

load

edit: beide sitzen hinter einer Fritzbox und die 443er Ports sind auf beiden Seiten weitergeleitet

die links hier sind teilweise veraltet und führen zu toten how to's

ich habe jedoch nach längerer suche nichts aktuelleres hier im forum gefunden und frische daher das topic mal auf

hier ist der aktuelle Link für Zertifikate:

Zertifikat mit IIS7/75 anfordern

https://www.msxfaq.de/signcrypt/newiis7cert.htm

hallo

um meine Frage für andere aufzuklären:

den Dienst, den ich in diesem menüpunkt aktivieren wollte, konnte ich an anderer stelle finden.

Servermanager -> Rollen -> Webserver (IIS) ->

auf dieser übersichtsseite etwas runterscrollen zu "rollendienste".

dort war alles nötige aufgelistet

gruß

danke, das hilft schon weiter.

nun ist die Überlegung: entweder über Anywhere upgraden,

oder für die gleiche Summe im Web ne OEM von Ultimate bestellen.

Kann ich von einer OEM Ultimate DVD das Professional Upgraden?

Oder muss das dann eine Neuinstallation werden?

Und habe ich nach einem Anywhere Upgrade das Image der neuen Version irgendwie zum Download angeboten?

Gruß,

loadme

Das gleiches Problem, wie in diesem Forum habe ich auch

Problem mit IIS - ForumBase

im IIS Manager wird unter meinem Server der Menüpunkt "Webdiensterweiterungen" nicht dargestellt.

Dort und in ähnlichen Topics wurde aber keine Lösung gefunden.

Es wird auch auf ein Tutorial verlinkt (->CGI), in welchem man gaaaanz unten auch Screenshots vom IIS Manager ohne diesen Eintrag sieht.

Nachdem ich die WebserverRolle eingerichtet habe, fehlt mir im IIS Manager der Punkt "Webdiensterweiterungen".

Wie komme ich dort ran?

Gruß!

Hallo,

DirectAccess wurde ja erst ab der Win7 Ultimate und höher ausgeliefert.

Nun meine Frage:

Gibt es eine Möglichkeit dieses Feature in Win7 Prof. irgendwie nachzurüsten? Oder bleibt da nur der Weg über eine Ultimate Lizens?

Weil ich mir die Antwort fast denken kann.. (aber ja insgeheim hoffe.. ;) ) habe ich auch schon nach einer Upgrade Funktion gesucht.

Google spuckte nichts aus. Kann man Win7Prof auf Ultimate Upgraden?

Gruß

Hey,

vielen Dank! das ist das zweite Mal, dass du mir den Hintern rettest...

Da wäre ich wohl nie drauf gekommen

Liegt es daran, dass die Group/UserKonten nun nur noch über die Domain verwaltet werden? @DomainController Einrichtung?

Gut dass das geklärt ist.. Ich vermute mal, der Rest kann sich dann dort im Netzwerk morgen auch nur via DOMAIN\USER anmelden

Uff - das hätte einige Probleme bereitet

Hallo

habe via RemoteDesktop auf dem Server folgendes erstmalig eingerichtet:

- DomainController (primary)

- ActiveDirectory und

- FQDN/NetBIOS

- DNS

- Wiederherstellungspasswort für den Admin gesetzt (identisch mit meinem Admin-Konto PW)

--> das alles via dcpromo.exe

Im Anschluss musste ich das System neu starten.

Seitdem kann ich darauf via RemoteDesktop nicht mehr zugreifen.

Die User/Passwortabfrage kommt noch, schlägt aber fehl.

Erahnt jmd, was ich falsch gemacht habe?

Sonst müsste ich wohl in Kürze die weite Strecke fahren und das vor Ort lösen :(

ps: das sehr kleine Netzwerk besitzt sonst keine weiteren Server.

vielleicht hab ich da einfach viel zu viel geschrieben..

mit welchen tools würdet ihr > 2tb platten sichern? also datensicherung, nicht datenangriffe

gruß