locked
Forefront kein FTP-Zugriff möglich RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

     

    Hallo Zusammen,

    wir haben seit kurzem den Forefront TMG 2010 im Einsatz. Das surfen im Web funktioniert problemlos, nur den Zugriff per FTP bekomme ich nicht hin. Wenn ich z.B. einen Treiber bei Dell von deren FTP-Server runterladen möchte, kommt der Fehler:

    Forefront TMG: Erweiterte Fehlermeldung :

    200 Type set to I.
501 Server cannot accept argument.


    Folgende Firewallregeln habe ich getestet:

    Protokolle: FTP, FTP über HTTP zulassen / von intern, lokaler Host / nach intern, extern / Benutzer: alle Benutzer

    Egal was ich einstelle, es kommt immer der o.g. Fehler.

    Im Proxy selbst wird eine zugelasse Verbindung angezeigt, aber der Download startet nicht:

     

    Zugelassene Verbindung VM-PROXY-01 02.05.2011 14:51:15
    Protokolltyp: Webproxy (Forward)
    Status: 200 OK
    Regel: FTP via HTTP alle Benutzer zulassen
    Quelle: Intern (x.x.x.x:63419)
    Ziel: Intern (x.x.x.x:21)
    Anforderung: GET ftp://ftp.us.dell.com/comm/DELL_WIRELESS-5620-EVDO-HSPA_A10_R263591.exe
    Filterinformationen: Req ID: 0a96431e; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protokoll: FTP über HTT
    Benutzer: anonymous
    Zusätzliche Informationen
    • Client agent: Mozilla/5.0 (Windows NT 6.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
    • Objektquelle: Internet (Quelle ist das Internet. Das Objekt wurde zum Cache hinzugefügt.)
    • Cacheinformationen: 0x0
    • Verarbeitungszeit: 1860 MIME type:

    Kann mir jemand einen Tipp geben, wie ich das FTP zum laufen bekomme?

    Danke euch im Voraus.

    Gruss

    Robert
    Montag, 2. Mai 2011 12:54

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo Robert,

    probiere mal über rechtsklick auf die Regel -> FTP-Konfigurieren -> Nur Lesen den Haken zu entfernen.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 2. Mai 2011 12:59
  • Question
    Anmelden
    0
    Anmelden

    Hi Christian,

     

    danke für die schnelle Antwort. Finde den Punkt leider nicht. Mit Rechtsklick/Eigenschaften komme ich in die Regel hinein. Dort kann ich leider keinen Punkt "nur lesen" finden. Auch in den Eigenschaften der beiden Protokolle "ftp, ftp über http" kann ich keinen solchen Punkt finden.

    Gruss
    Robert

    Montag, 2. Mai 2011 13:09
  • Question
    Anmelden
    0
    Anmelden

    Hi Robert,

    nicht in den Eigenschaften der Regel, sondern im Kontextmenü der Regel gibt es den Punkt FTP-Konfigurieren.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 2. Mai 2011 13:11
  • Question
    Anmelden
    0
    Anmelden

    HI Robert,

    den Schalter "nur lesen" brauchst Du nur aendern, wenn Du einen FTP Upload machen willst, Fuer FTP Download reicht das. Vermutlich musst Du Actives FTP erlauben:
    http://www.isaserver.org/tutorials/microsoft-forefront-tmg-ftp-and-ftp-server-publishing.html (figure 8)

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 2. Mai 2011 13:15
  • Question
    Anmelden
    0
    Anmelden

    Hi Marc,

    leider nicht immer. Ich hab hier einige FTP-Server auf die ich nur komme, wenn ich den Haken entferne.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 2. Mai 2011 13:18
  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    habe zum Test das aktive FTP aktiviert. Leider bekomme ich im Kontextmenü den Punkt "FTP konfigurieren" nicht angezeigt. Ich bekomme nur folgende Auswahl:

    Eigenschaften / Löschen / Kopieren / Gruppierung aufheben / Auswahl exportieren / Auswahl importieren / Nach unten / Nach oben/ Deaktivieren

    Das wars, leider nichts mit FTP......

    Gruss
    Robert

    Montag, 2. Mai 2011 13:24
  • Question
    Anmelden
    0
    Anmelden

    Hi Robert,

    wenn in der Regel das FTP-Protokoll ausgewählt ist dann muss dort auch die Auswahl FTP konfigurieren auftauchen. Überprüfe mal durch Doppelklick auf das FTP-Protokoll in der Regel, ob dort der FTP-Filter gebunden ist.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 2. Mai 2011 13:27
  • Question
    Anmelden
    0
    Anmelden

    Hi Christian,

    hat geklappt, der Filter war nicht aktiv. Habe das "nur lesen" raus, funktioniert leider noch immer nicht. Bekomme nach wie vor den Fehler angezeigt.

    Bin auch die Anleitung vom Marc durchgegangen.  Folgendes ist jetzt aktiv:

    - Nur lesen ist entfernt
    - aktives FTP

    Was mir nur unklar ist, muss ich den FTP-Port jetzt nach aussen veröffentlichen? Im Moment steht in der FTP-Regel nur der Port 21 für ausgehend. Muss ich den in dem Fall für eingehend konfigurieren?

    Meine aktuelle Regel sieht wie folgt aus:

    Protokolle: FTP, FTP über HTTP zulassen / von intern, lokaler Host / nach intern / Benutzer: alle Benutzer

    Im Server ist nur 1 NIC, daher als Ziel intern.

    Danke.

    Montag, 2. Mai 2011 13:40
  • Question
    Anmelden
    0
    Anmelden

    Hi Christian,

    interessant. hast Du mal Adressen von denen zum testen fuer mich? Oder sind die private?

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 2. Mai 2011 13:57
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    weitere Ports für die sekundäre eingehende Verbindung brauchst du nicht, da dies der FTP-Filter automatisch regelt. Deine Regel sollte so eigentlich auch passen. Funktioniert es denn, wenn du es ohne Proxy versuchst?

     

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 2. Mai 2011 14:01
  • Question
    Anmelden
    0
    Anmelden
    Ja, ohne Proxy startet der Download.
    Montag, 2. Mai 2011 14:06
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    in der Protokollierung wird auch die richtige Regel angezeigt? Ansonsten schon mal einen Neustart versucht?

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 2. Mai 2011 14:10
  • Question
    Anmelden
    0
    Anmelden

    Hi Marc,

    ich such dir mal einen raus und schick ihn dir dann per PM.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 2. Mai 2011 14:11
  • Question
    Anmelden
    0
    Anmelden

    moin robert,

    nochmal nachgefragt, weil mir das nicht so klar erscheint bei dem was ich bisher gelesen habe:

    der ftp-filter ist aber grundsätzlich schon aktiviert (system/anwendungsfilter/ftp-zugriffsfilter)? dann auf das protokoll "ftp" gebunden? und auf den betroffenen regeln ist "nur lesen" raus?

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 2. Mai 2011 14:13
  • Question
    Anmelden
    0
    Anmelden

    Im Protokoll wird folgendes angezeigt:

     

    Zugelassene Verbindung VM-PROXY-01 02.05.2011 16:13:47
    Protokolltyp: Webproxy (Forward)
    Status: 200 OK
    Regel: FTP via HTTP alle Benutzer zulassen
    Quelle: Intern (x.x.x.x:53513)
    Ziel: Intern (x.x.x.x:21)
    Anforderung: GET ftp://ftp.us.dell.com/comm/DELL_WIRELESS-5620-EVDO-HSPA_A10_R263591.exe
    Filterinformationen: Req ID: 0a96806a; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protokoll: FTP über HTT
    Benutzer: anonymous
    Zusätzliche Informationen
    • Client agent: Mozilla/5.0 (Windows NT 6.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
    • Objektquelle: Internet (Quelle ist das Internet. Das Objekt wurde zum Cache hinzugefügt.)
    • Cacheinformationen: 0x0
    • Verarbeitungszeit: 1843 MIME type:

    Die Regel "FTP via HTTP alle Benutzer zulassen" ist korrekt.

    Neustart kann ich erst heute  Nacht machen.
    Montag, 2. Mai 2011 14:15
  • Question
    Anmelden
    0
    Anmelden
    was passiert, wenn du zu der regel das protokoll "ftp" dazupackst?
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 2. Mai 2011 14:18
  • Question
    Anmelden
    0
    Anmelden

    Hi Jens,

    FTP ist aktivert, nur lesen ist raus. FTP ist bereits in der Regel mit drin. Die Regel erlauft FTP + FTP über HTTP.

    Gruss
    Robert

     

    Montag, 2. Mai 2011 14:22
  • Question
    Anmelden
    0
    Anmelden

    moin robert,

    ist das oben ein fehler, der beim pasten entstanden ist, weil das steht als protokoll "FTP über HTT".

    oder habt ihr ein benutzerdefiniertes protokoll auf die regel gepackt?

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 2. Mai 2011 14:26
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    der TMG ist aktuell laut folgendem Artikel gepatcht?

    http://www.msisafaq.de/Anleitungen/TMG/Installation/Updates.htm

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 2. Mai 2011 14:27
  • Question
    Anmelden
    0
    Anmelden

    Hi Jens,

    ist eine benutzerdefinierte Regel:

    Name: FTP via HTTP alle Benutzer zulassen
    Protokolle: FTP, FTP über HTTP
    Von: intern, lokaler Host
    Nach: Intern
    Bedingung: Jeder Benutzer

    Habe deinen Updatelink mit dem Server verglichen. Es fehlen einige Patches.  In der Softwareverwaltung wird bei mir  nur ein Eintrag angezeigt:

    Microsoft Forefront Threat Management Gateway SE / Version 7.0.7734

    Am Wochendende habe ich das Service Pack 1 installiert, er hat aber an dem Eintrag nichts geändert. Installiert habe ich die Datei: TMG-KB981324-amd64-DEU.

    Nach der Installation des SPs sollte er eigentlich auf die Version 7.0.8108.200 gehen, hat er aber nicht gemacht.

    Werde heute Abend das Service-Pack erneut instalieren.

    Es gibt auf der HP zwei Varianten zum Download:

    1. TMG-KB981324-amd64-DEU.msp
    2. TMG-KB981324-x86-DEU.msp

    Bei einem 2008-R2 Server ist denke ich die 1. Datei aber schon die richtige.

    Montag, 2. Mai 2011 14:36
  • Question
    Anmelden
    0
    Anmelden

    die versionsnummern kannst du auch hier vergleichen:

    http://blog.forefront-tmg.de/?page_id=27

    lass einfach microsoft-update (nicht windows-update) drüber laufen, dann bekommst du die fehlenden patches angezeigt bis tmg sp1 su1.

    das dir das sp1 als versionsnummer nicht angezeigt wird ist unüblich, bei anderen tmg-fixes kann das schon mal passieren, beim sp1 aber an sich nicht afaik.

    bei deinen oben gelisteten patches ist der erste der richtige, der zweite ist nur für eine 32-bittige-remote-mmc interessant.

    achtung: das w2k8r2-sp1 würde ich nicht über m$-udate laufen lassen, sondern vorher downloaden und dann einspielen!

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 2. Mai 2011 14:42
  • Question
    Anmelden
    0
    Anmelden

    OK, das mit der Versionsnummer ist schon seltsam.

    Was mich auch wundert ist, dass ich bisher über Windows-Update noch nichts für den Forefront zum Download angezeigt bekommen habe. Dort erscheinen nur die 2008er-Patchs, vom Forefront was bisher nichts dabei.

    Wenn ich über den Browser den Link "http://www.update.microsoft.com/" aufrufe, verweisst mich die Seite nur auf den installieren Windows-Update Dienst.  Die Microsoft-Update Seite kann ich so nicht abrufen.

    Montag, 2. Mai 2011 14:50
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    dort dann auf "Online nach Updates suchen" klicken, ansonsten sucht er nur gegen den WSUS.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Montag, 2. Mai 2011 14:53
  • Question
    Anmelden
    0
    Anmelden

    moin, muttu umstellen auf "für windows und andere produkte von microsoft update".

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 2. Mai 2011 15:56
  • Question
    Anmelden
    0
    Anmelden

     

    So, nach der gestrigen Spätschicht hat sich folgendes ergeben:

    Ich habe folgendes ausgeührt:

    - Alle fehlenden Updates installiert
    - Windows 2008-R2 SP1 installiert

    Die Erkenntnisse:

    Der Download von Files über den Link: "http://ftp.dell.com/firmware/" funktkioniert, dass heisst ftp über http funktioniert. Das interessante hierbei ist aber, dass lt. Protokolle nicht meine Regel das ganze zulässt, sondern die Regel davor "Webzugriff für alle Benutzer zulassen". In dieser ist nur http und https konfiguriert.

    Was nach wie vor nicht geht, ist der direkt download von einer FTP-Seite. Z.B. der download der Datei "ftp://ftp.us.dell.com/rmsd/GP60N_A102.zip" funktioniert nicht, im Browser wird folgender Fehler ausgegeben:

    Forefront TMG: Erweiterte Fehlermeldung :

    200 Type set to I.
501 Server cannot accept argument.

    Beim direkten FTP-Aufruf zieht meine benutzerdefinierte Regel:

    Status OK: 200
    Regel: FTP via HTTP alle Benutzer zulassen
    Anfordertung GET: ftp://ftp.us.dell.com/rmsd/GP60N_A102.zip
    Protokoll: FTP über HTT
    Benutzer Anonymous

    Nur leider beginnt der Download nicht.......

    @Jens: Update für weitere Produkte ist bereits aktiviert. Die 3 Rollup-Updates wurden mir vom Windows-Update Dienst trotzdem nicht angeboten.

    Dienstag, 3. Mai 2011 07:20
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    schau mal hier, vielleicht trifft das auch zu:

    http://blogs.msdn.com/b/nitinsingh/archive/2010/02/09/isa-is-not-always-at-fault-when-ftp-is-not-working.aspx

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Dienstag, 3. Mai 2011 07:26
  • Question
    Anmelden
    0
    Anmelden

    Hi Teletown,

    funktioniert FTP mit einem echten FTP Client? Ueber den Browser gibt es zahlreiche Einschraenkungen

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 3. Mai 2011 07:46
  • Question
    Anmelden
    0
    Anmelden
    Ja, über Filezilla kann ich mich problemlos auf einen FTP-Server verbinden. Download und Upload sind dann kein Problem.
    Dienstag, 3. Mai 2011 07:54
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    wenn es ueber den Browser nicht funzt, probier mal:
    http://support.microsoft.com/kb/309816/en-us

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 3. Mai 2011 08:50
  • Question
    Anmelden
    0
    Anmelden

    yo schrob ich oben m$-update spuckt atm nur bis tmg sp1 su1 aus. ;-)

    alles eine frage der zeit - hihi.

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 3. Mai 2011 11:58
  • Question
    Anmelden
    0
    Anmelden
    ich check den zugriff mal heute abend über meine testsysteme und berichte dir dann...
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 3. Mai 2011 12:01
  • Question
    Anmelden
    0
    Anmelden
    Die Änderungen der IE-Einstellungen hat nichts gebracht, Fehler kommt nach wie vor.
    Dienstag, 3. Mai 2011 12:30
  • Question
    Anmelden
    0
    Anmelden

    ftp://ftp.us.dell.com/rmsd/GP60N_A102.zip als webproxyclient einwandfrei gezogen! standardsettings auf tmg, keine modifikation im ftp-filter vorgenommen!

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 3. Mai 2011 19:55
  • Question
    Anmelden
    0
    Anmelden

    Hi Jens,

    danke für die Info. Betreibst du den Server mit 1 (interner Betrieb) oder 2 NICs (internes + externes Interface)?

    Gruss
    Robert

    Mittwoch, 4. Mai 2011 11:20
  • Question
    Anmelden
    0
    Anmelden
    selbstverständlich mit mehreren nics! ;-)
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Mittwoch, 4. Mai 2011 12:46