IIS als FTP mit UserIsolation

[dataKEKS 11]

Guten Morgen Kollegen!

 

Nach Nächten mit grauen Haaren und erfolglosem Suchen wende ich mich jetzt an euch (ich weiß, wie so erst jetzt?) mit meinem Problem.

 

Bei einem Kunden sollten wir "mal kurz" noch einen FTP Server einrichten mit unterschiedlichen Rechten pro User, AD Integration und Benutzer die sich nicht gegenseitig sehen können.

 

Also erst im Testnetz auf dem Laptop und dann im Produktivnetz einen Server mit ISS aufgesetzt und darauf aufbauen losgelegt. Problem? Nur auf dem Kundennetz, bei mir läuft es komplett.

 

Wie wurde das ganze realisiert?

 

Einrichtung FTP mit UserIsolation

 

1.) Windows Server installieren

2.) Windows Server mit fester IP versehen, in Domäne einbinden

3.) Windows Server mit IIS, Funktion FTP Server erweitern

4.) Per Kommandozeile md D:\inetpub\ftproot\%userdomain%\Admin

5.) Per Kommandozeile md D:\inetpub\ftproot\%userdomain%\Testuser

6.) Im IIS Manager FTP Site anlegen nach D:\Inetpub\ftproot ohne SSL, Beide Authentifizierungstypen, alle Benutzer bekommen Berechtigung lesen

7.) FTP Server Dienst (Microsoft-FTP-Dienst) zwingend neu starten

8.) Testlauf mit FTP Client und anonymer Anmeldung, es muss der Domänen Ordner sichtbar sein

9.) FTP-Benutzerisolation im IIS für die gesamte FTP Site aktivieren, globale Verzeichnisse deaktivieren

10.) erneuter Testlauf mit anonymer Anmeldung, diese muß jetzt fehlschlagen.

11.) Im IIS Manager auf der FTP Site unter FTP-Authentifizierung Anonyme Authentifizierung abschalten und unter den Eigenschaften von Standard Authentifizierung die Anmeldedomäne eintragen

12.) erneuer Testlauf, diesmal mit Anmeldung Admin / ESD (ohne Domäne), Upload darf nicht funktionieren

13.) Im IIS Manager auf der FTP Site unterhalb des Domänenordners bei FTP-Autorisierungsregeln für die Gruppe der Domänen-Admins Lese- und Schreibrechte erteilen

14.) erneuer Testlauf, diesmal mit Anmeldung Admin / ESD (ohne Domäne), Upload und Download muss funktionieren und im richtigen Ordner des IIS landen.

 

 

MS Website: https://docs.microsoft.com/en-us/iis/publish/using-the-ftp-service/configuring-ftp-user-isolation-in-iis-7

 

Egal was ich mache, mit Domänenadmins funktioniert es, nur normale Benutzer nicht. In Filezilla bekomme ich diese Meldungen:

 

Status: Verbinde mit 192.168.101.80:21...

Status: Verbindung hergestellt, warte auf Willkommensnachricht...

Status: Unsicherer Server; er unterstützt kein FTP über TLS.

Befehl: USER Test

Antwort: 331 Password required

Befehl: PASS *******

Antwort: 530 User cannot log in.

Fehler: Kritischer Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

 

Wie bekomme ich das gelöst, wie sagt mir der IIS wieso ich micht nicht anmelden darf denn so deute ich die Meldung, es heißt ja nicht falsches Kennwort so wie ich das Protokoll deute.

 

P.S.: Ich weiß das ich hier gerade ohne SSL arbeite was nur bei der internen Kommunikation der Fall ist, wenn der FTP von extern erreichbar wir erzwingen wir SSL, nur für die Tests habe ich das mittlerweile bewusst weggelassen um hier nicht noch weitere mögliche Probleme zu bekommen.

 

Ratlose Grüße aus BaWü

Norbert (der andere)

[NilsK 2.968]

Moin,

 

ein FTP-Server, der ins AD integriert und über das Internet erreichbar ist? Never-ever. Einen FTP auf IIS-Basis würde ich ohnehin nicht einrichten.

 

Und wenn wir schon dabei sind, ist FTP heute für den Dateiaustausch kein zu bevorzugender Weg mehr. Besser also: Funktionale Anforderungen klären und eine moderne Lösung für sowas suchen.

 

Gruß, Nils

[dataKEKS 11]

Hey Nils!

 

Hast ja Recht, aber das ist Kundenanforderung, es darf nix kosten und per VPN gesichert automatisiert nutzbar sein, da kommen Daten von verschiedenen Plattformen rein, daher FTP.

 

Wie würdest Du den das Problem lösen? Sollte doch eigentlich jeden Techniker beim Ergeiz packen :-)

 

Gruß

Norbert

[magheinz 110]

debian linux+[proftp|pureftp] wenns denn ftp sein muss. ums schön zu machen würde ich da noch owncloud dazubauen. kostet nix ausser der hardware.

[Sunny61 809]

Oder als Alternative einen WebDAV Server aufsetzen. Den kann mach von extern erreichen. https://www.faq-o-matic.net/2006/05/14/webdav-dateien-sicheruebers-internetuebertragen/

bearbeitet 20. Oktober 2017 von Sunny61

[magheinz 110]

ich sag ja: für den comfort noch owncloud dazu.

richtig konfiguriert kann man dann das Protokoll nutzen was gerade am besten passt.

[dataKEKS 11]

Hat denn wirklich keiner Idee woran es liegen kann wenn ein IIS als FTP nur Anmeldungen von Admins erlaubt, nicht aber normalen Benutzern?

[goat82 2]

Am 20.10.2017 um 13:00 schrieb NilsK:

Moin,

 

ein FTP-Server, der ins AD integriert und über das Internet erreichbar ist? Never-ever. Einen FTP auf IIS-Basis würde ich ohnehin nicht einrichten.

 

Und wenn wir schon dabei sind, ist FTP heute für den Dateiaustausch kein zu bevorzugender Weg mehr. Besser also: Funktionale Anforderungen klären und eine moderne Lösung für sowas suchen.

 

Gruß, Nils

Also ich finde ein AD IIS FTP für interne Zwecke oder für Datenaustausch im LAN/VPN ohne externe Erreichbarkeit für unsensible Anwendungsdaten in Ordnung.

Der interne User hat ja nur Zugriff auf den entsprechenden Folder und naja wenn berechtigte Mitarbeiter Mist machen, dann ist da eh alles möglich.

Der VPN User ist ebenfalls vertrauenswürdig und der VPN Tunnel über den FTP läuft ist ja eh ansich verschlüsselt.

Was ist an anderen nicht IIS Servern genau besser ?

Hast du eine Empfehlung, bestenfalls kostenneutral ?

 

 

 

 

[NilsK 2.968]

Moin,

 

bitte keine uralten Threads aufwärmen und keine Threads kapern. Eröffne einen neuen Thread für deine Frage.

 

Gruß, Nils