none
ISA2006のプロキシでブラウザ経由のFTPをする方法を教えてください RRS feed

  • 質問

  • お世話になっております。

    ISA2006を単一ネットワークアダプター設定にて使用しております。

    ファイアウォール設定でWEBアクセスとして、全てのプロトコルを許可してあります。

    ブラウザ経由でHTTP、HTTPSは出来るのですが、ftp:~の場合は

    「このインターネットのサイトを開くことができませんでした。要求されたサイトが使用できないか、見つけることができません。後でやり直してください。」と表示され、認証画面が表示されません。

    プロキシ経由でない場合は正常に認証画面が表示されるので、ISAサーバの設定だと思うのですが・・

    恐れ入りますが、設定のアドバイスをいただけないでしょうか。

    よろしくお願いいたします。

    2010年9月23日 2:28

すべての返信

  • BBinding さん、こんにちは。
    フォーラム オペレーターの星 睦美です。

    イベントログにエラーコードがありましたら、お知らせいただけると設定に関する具体的なアドバイスが集まりやすいと思います。
    私のほうでISA 2006 の単一ネットワークの設定に関して調べてみましたので、参考になれば幸いです。

    (参考情報)
    ・[Tech] 内部ネットワーク と ネットワーク ルール:
    http://blogs.technet.com/b/isablogjp/archive/2009/07/31/tech.aspx

    ・機能とシングルホーム ISA Server 2006 や、ISA Server 2004 Microsoft Forefront 脅威管理ゲートウェイ、中規模ビジネス版コンピューターの制限:
    http://support.microsoft.com/kb/838364/ja

    ・Configuring ISA Server 2004 on a Computer with a Single Network Adapter:
    http://technet.microsoft.com/en-us/library/cc302586.aspx

    ・How to get ISA 2006 Web Proxy to work with the Single Network Adapter template:
    http://serverfault.com/questions/173897/how-to-get-isa-2006-web-proxy-to-work-with-the-single-network-adapter-template

    ISA 2006 の情報に行き当たらない際にはISA 2004 で探してみると役立つ情報がありそうです。


    マイクロソフト株式会社 フォーラム オペレーター 星 睦美
    2010年9月27日 3:04
  • 星 睦美様 参考情報のご提供ありがとうございます。

    イベントログを確認したのですが、ISA関連のエラーはありませんでした。

    ISAサーバのログで特定クライアントのftpサイト閲覧ログ(ファイアウォールまたはWebプロキシフィルタ)を取ってみたのですが、「接続を許可しました」となっているのですがブラウザでは認証画面の表示がありません。ftp://ID:PWD@XXXX.co.jpでアクセスしたところroot画面にログインできたのですが指定のフォルダを見ることはできませんでした。

    ISAサーバのログには共に「状態:200OK」「ユーザ:anonymous」と表示されています。

    どこか別のところで制限が掛かってしまっているのでしょうか?

    現在の設定:単一ネットワークアドレス(内部ネットワークに拠点内アドレス登録、ファイアウォールポリシーにwebアクセス許可設定、キャッシュ設定(デフォルトのまま)、webチェーンにて外部上位プロキシに転送)

    申し訳ございませんが、追加アドバイスをいただけないでしょうか。

    よろしくお願いいたします。

     

    2010年9月28日 6:54
  • こんにちは、星です。

    >ブラウザでは認証画面の表示がありません。

    ISA のログに 「ユーザー: anonymous」 (匿名) とあるので
    FTPサイトへ接続するためのアカウントが指定されていないのではないでしょうか。

    ブラウザから FTP サイトへ接続する場合にanonymous として接続するという記事がありますので
    参考までにご紹介します。
    ユーザー情報を入力するダイアログが表示されずに正常にログオンできたように見えても
    匿名ユーザーのままなので操作ができない。。。という説明があります。

    ・アカウントを指定してFTPサイトへ接続する
    http://www.atmarkit.co.jp/fwin2k/win2ktips/641ftpacc/ftpacc.html

    こちらの情報がお役にたちましたら幸いです。


    マイクロソフト株式会社 フォーラム オペレーター 星 睦美
    2010年9月28日 8:14
  • お世話になっております。

    ご紹介いただいたサイトを確認させていただき、実施してみました。

    「ftp://FTPさーば」でのアクセスは「このインターネットのサイトを開くことができませんでした・・・・」となります。

    「ftp://ユーザー名:パスワード@FTPさーば」ではroot画面にログインできたのですが指定のフォルダを見ることはできませんでした。

    ISA のログには共に「要求:GET ftp://FTPさーば」「要求:GET ftp://ユーザー名:パスワード@FTPさーば」となっております。

     「ユーザー: anonymous」 となっているのですが、ひょっとしてここはISAサーバに接続しているユーザーのことでしょうか?

    プロキシでない場合は「宛先アドレス:FTPさーばアドレス」「宛先ポート:21」「プロトコル:FTP」となっているのですが、プロキシ経由の場合「宛先アドレス:上位プロキシアドレス」「宛先ポート:8080」「プロトコル:ftp」となっております。

    申し訳ございませんが、再度アドバイスお願いいたします。

    よろしくお願いいたします。

    2010年9月30日 0:58
  • BBinding さん、

    指定のフォルダのアクセス権と、上位プロキシとの認証を確認してみてはいかがでしょうか。
    ISA Server 2006 に関する技術ドキュメントISA Server 2006 のチェーンの概念が参考になりそうです。

    ・ISA Server 2006 に関する技術ドキュメント:
    http://www.microsoft.com/japan/forefront/edgesecurity/isaserver/technologies/document.mspx


    マイクロソフト株式会社 フォーラム オペレーター 星 睦美
    2010年9月30日 2:51
  • お世話になっております。

    プロキシ経由でない場合指定フォルダに接続できるのでアクセス権はあると思います。

    ISAサーバのWebチェーンに「基本認証の資格情報の委任を許可する」にチェックを入れてみたのですがNGでした。上位プロキシはプロバイダのものの為設定は不明です。

    FTPサーバのアドレスのみ上位プロキシにチェーンしない設定にして確認したのですが、

    「ftp://ユーザー名:パスワード@FTPさーば」の場合以前と同じ表示

    ftp://FTPさーば」の場合ログイン要求が拒否されました。ログオン アカウントが無効になっているか・・・」といったメッセージを表示するようになりました。

    前回教えていただいた「アカウントを指定してFTPサイトへ接続する」の場合、「パスワードが変更されたか、正しく入力されませんでした。パスワードをもう一度入力してください。」といったメッセージを表示するようになりました。→パスワード入力画面は表示されません

    以前と少し状況が変わってきたのですが、いまだ表示することができません。

    お手数ですが、再度アドバイスお願いいたします。

    追加で申し訳ないのですが、ISAサーバ経由のFTPは「PASV」でできるのでしょうか?または設定変更が必要でしょうか?

    よろしくお願いいたします。

     

    2010年10月1日 6:54
  • BBinding さん

    Passive FTP と、アカウントの認証が必要なFTP サイトの接続にはIE での設定が必要なので
    IE もしくはISA 2006のどちらの設定が必要なのか確認するために、FTP ツール、コマンドラインからFTP サーバーへの接続と、
    IE からの接続の両方を試していただければと思います。

    IE からFTP サーバーにアクセスする際の設定の参考情報

    ・About the FTP Protocol Support in ISA Server:(英語)
    http://blogs.isaserver.org/pouseele/2006/05/15/about-the-ftp-protocol-support-in-isa-server/

    ・Troubleshooting Outbound FTP Access in ISA Server :(英語)
    http://technet.microsoft.com/en-us/library/bb794745.aspx


    マイクロソフト株式会社 フォーラム オペレーター 星 睦美
    2010年10月4日 4:19
  • お手数おかけしております。

    IEの設定で「FTPフォルダービューを有効にする」のチェックを入り切したりしてみたのですが、どうも状況が変わりませんでした。

    FTPツールを使用した場合は、ISA経由でない場合FTPサーバへはPassiveモードで接続可能です。

    ISAサーバに設定が必要なのでしょうか?

    よろしくお願いいたします。

    2010年10月8日 8:28
  • 星です。

    認証の問題に関して調べましたところ、

    1. Internet Explorer を使用してFTPサーバーに接続する際に、Internet Explorer 7 以降では「ftp://ユーザー名:パスワード@FTPサーバー」のようなURLアドレスにユーザー名とパスワードを含めることはできないようです。これはIE のセキュリティ更新プログラム 832894 による変更で、以降リリースされたIE ではサポートされていないとのことです。以下のKB 834489 ではレジストリの変更によるセキュリティ更新プログラム 832894 の回避策を説明しています。

    ・Internet Explorer では Web サイト アドレス (HTTP URL および HTTPS URL) に含まれるユーザー名およびパスワードがサポートされない:
    http://support.microsoft.com/kb/834489

    この回避策が有効なOSとIEのバージョンも記載されていますのでご確認ください。

    2. BBinding さんの返信で
    >「ftp://FTPさーば」の場合ログイン要求が拒否されました。ログオン アカウントが無効になっているか・・・」と>いったメッセージを表示するようになりました。

    このときに、エラーコード 502 がメッセージに含まれていないでしょうか?
    私のほうではForefront TMG 2010 のファイアーウォールポリシーですべての認証されたユーザーにFTPを許可して検証した際に、以下のKB935693 に該当する事象が見られました。ISA 2006 も対象になっていますので、よろしければこちらもご確認ください。

    (参考情報)
    ・ユーザーが特定の Web サイトを訪問するしようとすると、ISA Server 2006 Web プロキシ クライアントがエラー コード 502 を受信します。:
    http://support.microsoft.com/kb/935693/ja

    ・An ISA Server 2006 Web Proxy client receives error code 502 when a user tries to visit certain Web sites:
    http://support.microsoft.com/kb/935693/en-us

    上記 KB935693 に関連した修正プログラムです。

    ・ISA Server 2006 修正プログラム パッケージ (2007 年 4 月 19 日)
    http://support.microsoft.com/kb/935882/ja-jp

    ・Description of the ISA Server 2006 hotfix package that is dated April 19, 2007:
    http://support.microsoft.com/kb/935882/en-us

    こちらの情報が手がかりになりましたら幸いです。


    マイクロソフト株式会社 フォーラム オペレーター 星 睦美
    2010年10月13日 4:51