FTP-en (als client) op Windows 2008 Server - Serversoftware en clouddiensten

woensdag 23 september 2009 22:40

Acties:

...

Topicstarter

Bij een klant van me hebben ze een aantal servers (2003 en 2008). Op een 2K8 server die ook als database server wordt gebruikt (Oracle) doet zich het vreemde feit voor dat alleen met één bepaald domain admin account (laten we dat account A noemen) ge-FTP-t kan worden. De andere domain admin accounts kunnen dit wel op de andere servers.

Uiteraard denk je eerst aan iets met rechten, maar met een copy van account A (inclusief profiel) naar een nieuw account werkt het ook niet.

Ik heb me al helemaal de pleuris gezocht:

firewall uit/aan maakt geen verschil

diverse manieren om te FTP-en geprobeerd: command prompt, IE, Total Commander enz.

Met diverse domain admin accounts aan de slag geweest. Rechten geconrtoleerd enz.

Het lijkt erop dat toegang naar buiten vanaf deze server alleen toegestaan wordt met account A. Kortom: kom op deze specifieke server niet verder.

Voor de verbinding naar buiten toe wordt een ISA server gebruikt maar als ik hier monitor op poort 21 verkeer dan zie ik alleen bij gebruik making van account A activiteit.

Iemand hier nog ideeën?

iRacing

vrijdag 25 september 2009 12:11

Acties:

Froggy

...

Topicstarter

Iemand nog een idee, waarom maar met één account ge-FTP-t kan worden?

iRacing

zaterdag 26 september 2009 22:52

Acties:

Verwijderd

Misschien handig om te weten wat de FTP client aangeeft wanneer er een connectie gemaakt probeert te worden met een account waar het niet mee lukt. Ik weet ook niet of je de query voor het monitoren op de ISA server goed hebt staan, maar check de Firewall Policy's even. Een query maken voor het monitoren doe ik alleen in een enterprise wanneer de Firewall Policy's een zootje is

Ook weet ik niet of je een firewall client gebruikt om te connecten naar de ISA server. Als je die niet gebruikt kan je de build-in FTP client gebruiken en zo de ISA bypassen en die uit te sluiten.

Volgens mij kan je met de standaard firewall niet op user niveau iets blokkeren. Ook niet via "Firewall With Advanced Features".

Een copy van de user gaat zowiezo niet werken als andere domain admins ook niet kunnen FTP'en

zondag 27 september 2009 12:11

Acties:

Rolfie

Paar mogelijkheden die ik even kan bedenken:

Check een de administrators group op de betreffende machine. Staat daar de groep domain admins wel in?
Wat voor een melding krijg je ook precies?
Je noemt ISA server, zit die er nu wel of niet tussen, want dat haal ik niet helemaal uit je verhaal. Voor de probleem domains admins moeten die wel of niet door ISA heen?
Als de admins lokaal inloggen op de server, en dan een ftp localhost doen. Mogen ze er dan wel in?
Probeert men juist nu naar buiten te FTPen vanaf de machine? of naar de machine toe?
Staat de ISA Firewall Client geinsalleerd op de machine?

[ Voor 15% gewijzigd door Rolfie op 27-09-2009 12:13 ]

maandag 28 september 2009 14:49

Acties:

Froggy

...

Topicstarter

Rolfie schreef op zondag 27 september 2009 @ 12:11:
Paar mogelijkheden die ik even kan bedenken:
Check een de administrators group op de betreffende machine. Staat daar de groep domain admins wel in?

Domain Admins staat in de lokale administrator group

Wat voor een melding krijg je ook precies?

Connection timed out....

Je noemt ISA server, zit die er nu wel of niet tussen, want dat haal ik niet helemaal uit je verhaal. Voor de probleem domains admins moeten die wel of niet door ISA heen?

De ISA server is uitgevoerd met 2 netwerkkaarten. Alle verkeer moet dus door de ISA

Als de admins lokaal inloggen op de server, en dan een ftp localhost doen. Mogen ze er dan wel in?

Lokaal draait geen FTP server: Connection refused

Probeert men juist nu naar buiten te FTPen vanaf de machine? of naar de machine toe?

Er moet vanaf de machine naar buiten toe geFTPt worden

Staat de ISA Firewall Client geinsalleerd op de machine?

ISA Firewall Client is niet geïnstalleerd

[ Voor 7% gewijzigd door Froggy op 28-09-2009 15:12 ]

iRacing

maandag 28 september 2009 15:24

Acties:

Froggy

...

Topicstarter

Verwijderd schreef op zaterdag 26 september 2009 @ 22:52:
Misschien handig om te weten wat de FTP client aangeeft wanneer er een connectie gemaakt probeert te worden met een account waar het niet mee lukt. Ik weet ook niet of je de query voor het monitoren op de ISA server goed hebt staan, maar check de Firewall Policy's even. Een query maken voor het monitoren doe ik alleen in een enterprise wanneer de Firewall Policy's een zootje is
Ook weet ik niet of je een firewall client gebruikt om te connecten naar de ISA server. Als je die niet gebruikt kan je de build-in FTP client gebruiken en zo de ISA bypassen en die uit te sluiten.

Ik krijg de melding: Connection timed out...
Als ik monitor op poort 21 gebruik zie ik bij account A wel verkeer bij de rest van de accounts niet. Er wordt geen firewall client gebruikt

Volgens mij kan je met de standaard firewall niet op user niveau iets blokkeren. Ook niet via "Firewall With Advanced Features".

Klopt. Het is alles of niks.

Een copy van de user gaat zowiezo niet werken als andere domain admins ook niet kunnen FTP'en

Ik had juist een copy gemaakt van het account dat het wél kon om op die manier even snel lidmaatschappen e.d. uit te sluiten. Van account A had ik een copy gemaakt naar default user en vervolgens ingelogd met het nieuwe domain admin account. Ik zou dan hetzelfde profiel moeten krijgen als account A.... Zodoende wou ik uitsluiten dat het ergens in de profielen zou zitten. Want wat hou ik nu over:
Account
Rechten
In één van twee zou het toch moeten zitten? Rechten zijn echter identiek (copy van account in AD).

iRacing

vrijdag 2 oktober 2009 16:01

Acties:

Froggy

...

Topicstarter

70373R of Rolfie nog suggesties?
Suggesteis van iemand anders zijn uiteraard ook welkom!

iRacing

zondag 4 oktober 2009 10:05

Acties:

Verwijderd

Froggy schreef op vrijdag 02 oktober 2009 @ 16:01:
70373R of Rolfie nog suggesties?
Suggesteis van iemand anders zijn uiteraard ook welkom!

HUB + Wireshark?

Edit: Als niemand is ingelogged op de FTP server via die WIndows 2008 machine en je doet dan een netstat -a, zie je dan een actieve connectie op poort 21?

[ Voor 26% gewijzigd door Verwijderd op 04-10-2009 10:13 ]

zondag 4 oktober 2009 15:22

Acties:

DaMoUsYs

staat bij het werkende account de Proxy aan of juist uit
en bij de niet werkende admins kijk daar eens naar
de server kan wel gewoon op internet ?

Check dit en help mee!

zondag 4 oktober 2009 16:09

Acties:

Rolfie

installer eens op een andere machine gewoon een FTP server (mag iedere XP werkstation zijn).

Start daarna van die machine eens een FTP sessie op.
Eens kijken of die dan wel wil gaan.
Zo sluitje ISA uit.

zondag 4 oktober 2009 16:14

Acties:

Verwijderd

Rolfie schreef op zondag 04 oktober 2009 @ 16:09:
installer eens op een andere machine gewoon een FTP server (mag iedere XP werkstation zijn).

Start daarna van die machine eens een FTP sessie op.
Eens kijken of die dan wel wil gaan.
Zo sluitje ISA uit.

ISA Firewall Client is niet geïnstalleerd

ISA is al uitgesloten

maandag 5 oktober 2009 13:41

Acties:

Froggy

...

Topicstarter

DaMoUsYs schreef op zondag 04 oktober 2009 @ 15:22:
staat bij het werkende account de Proxy aan of juist uit
en bij de niet werkende admins kijk daar eens naar
de server kan wel gewoon op internet ?

Server kan gewoon op internet en alle proxy settings zijn het zelfde.

iRacing

maandag 5 oktober 2009 14:37

Acties:

Verwijderd

Hoe ga je naar buiten? Wat staat er voor apparaat?

Werkt intern FTP-en wel? FTP server is snel geinstalleerd(of een naar *ux machine)

dinsdag 6 oktober 2009 20:40

Acties:

Rolfie

ISA is al uitgesloten

Opzich niet, de Firewall client is niet geinstalleerd. maar volgens mij maakt de gebruiker nog steeds gebruik van ISA server om naar buiten te gaan?
TS, zie ik het verkeerd? Moet je door ISA heen om op het Internet te gaan?

dinsdag 6 oktober 2009 20:49

Acties:

SKiLLa

Byte or nibble a bit ?

Klinkt toch als een ISA issue, waarbij voor FTP eerst authenticatie vereist is. Kijk eens bij de FTP connection properties of daar geen SOCKs/proxy ingesteld staat ... of misschien wel op de ISA zelf (allow voor server X alleen voor account A en doet ie stiekem op de achtergrond een Kerberos authenticatie) ...

Wireshark of IP Tools 1.97 op die machine en dan een FTP sessie starten onder account A en dan onder account B zou toch echt duidelijkheid moeten verschaffen ...

'Political Correctness is fascism pretending to be good manners.' - George Carlin

dinsdag 6 oktober 2009 21:20

Acties:

Froggy

...

Topicstarter

Rolfie schreef op dinsdag 06 oktober 2009 @ 20:40:
[...]

Opzich niet, de Firewall client is niet geinstalleerd. maar volgens mij maakt de gebruiker nog steeds gebruik van ISA server om naar buiten te gaan?
TS, zie ik het verkeerd? Moet je door ISA heen om op het Internet te gaan?

Alle verkeer moet inderdaad door de ISA server

SKiLLa schreef op dinsdag 06 oktober 2009 @ 20:49:
Klinkt toch als een ISA issue, waarbij voor FTP eerst authenticatie vereist is. Kijk eens bij de FTP connection properties of daar geen SOCKs/proxy ingesteld staat ... of misschien wel op de ISA zelf (allow voor server X alleen voor account A en doet ie stiekem op de achtergrond een Kerberos authenticatie) ...

ISA doet niks met machinenamen of gebruikersaccounts. Als users staat All users geselecteerd.... Ook omdat het op andere servers wel werkt kunnen we de combinatie ISA<->gebruikersaccount wegstrepen.

Ook op de ISA server Wireshark gedraaid. Zie daar ook weinig voorbij komen qua FTP. Zowel met account A (dat dus wel werkt) als met account B.

Wireshark of IP Tools 1.97 op die machine en dan een FTP sessie starten onder account A en dan onder account B zou toch echt duidelijkheid moeten verschaffen ...

Zal Wireshark eens proberen:
Wireshark levert niet zo veel op. De netwerkkaarten zijn geteamed maar welke ik ook selecteer ik zie niet eens FTP verkeer voorbij komen

Sowieso weinig verkeer richting de ISA server. Even loskoppelen en er een hubje tussen zal niet gaan: er draait Oracle op t.b.v. een fabriek.

[ Voor 67% gewijzigd door Froggy op 07-10-2009 00:18 ]

iRacing

Pagina: 1

Reageer