Artikel-Feed 📰
Galerie-Feed 🖼
@blackseals
BlackSeals.net

Anmelden
Feb 142018
 
  • Betrifft: IIS 7.0, IIS 7.5, IIS 8.0, IIS 8.5, IIS 10 mit aktivierten FTP-Zugang
  • System: Microsoft Windows Server 2008 x64, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
  • Problem: Beim Zugriff von einem FTP-Client auf die FTP Funktion vom IIS erhĂ€lt man einen Fehlermeldung. Der Server verwendet womöglich nur eine IP-Adresse und betreibt mehrere Webseiten (mit FTP-Zugriff).

Hintergrund

Beim Zugriff auf einen Microsoft FTP Service unter Windows Server erhĂ€lt man eine eigenartige Fehlermeldung: 534 Local policy on server does not allow TLS secure connections. Dies ist dabei die RĂŒckmeldung direkt vom Microsoft FTP-Dienst und nicht vom FTP-Programm (hier Filezilla).

iis_ftp-service_error-534

Damit folgt die Kontrolle am Webserver via Internetinformationsdienste (IIS)-Manager.

iis_ftp-service_website

Der Weg folgt zur Website und anschließend zu den “SSL-Einstellungen fĂŒr FTP” – also dort wo der FTP-Zugriff eingerichtet wurde.

iis_ftp-service_website_settings

Die Kontrolle zeigt, es wurde ein gĂŒltiges Zertifikat fĂŒr den FTP-Zugriff bei der entsprechenden Website ausgewĂ€hlt. Wo ist somit das Problem?

 

Eigentlich ist die Angelegenheit etwas komplexer. Diese Fehlermeldung ist eine Eigenart vom Microsoft Internet Information Service (= IIS). Und zwar kann eine IP-Adresse fĂŒr mehrere Webseiten genutzt werden. Das gleiche gilt somit ebenfalls fĂŒr den FTP-Dienst – sonst ergibt es im Grunde keinen Sinn. Genauer wird nicht nur die IP-Adresse, sondern auch der Port mehrfach identisch genutzt. Bei Webseiten ist diese doppelte Nutzung fĂŒr http bzw. https ohne Probleme machbar und seit langem fĂŒr alle Webbrowser bzw. Webserver als Standard verankert.

 

Bei FTP-Server gibt es keinen solchen Standard und einige Leute reagieren auch sehr allergisch auf diese Möglichkeit. Man könnte natĂŒrlich unterschiedliche Ports nutzen – nur könnte der andere Port wieder gesperrt sein oder sonstige Probleme verursachen. Der TCP Port 21 ist nun mal fĂŒr den FTP da und nicht ein x-beliebiger anderer. Wie auch immer, im Grunde hat man nicht immer eine Wahl und die Möglichkeit unterschiedliche IP-Adressen fĂŒr Webseiten und dem zugehörigen FTP-Zugang zu nutzen.

 

Behebung

Die Behebung ist auf den ersten Blick etwas unlogisch, aber funktioniert. Dabei auch recht einfach und schnell zu erledigen.

iis_ftp-service_webserver

Die “SSL-Einstellungen fĂŒr FTP” gibt es nicht nur pro Website, sondern ebenfalls direkt beim Webserver. Und exakt diese Einstellung muss geöffnet werden.

iis_ftp-service_webserver_settings

Bislang wird hier kein SSL-Zertifikat ausgewĂ€hlt sein. Warum auch? Man will doch pro Website unterschiedliche FTP-Zugriffe ermöglichen. Leider ist dies bei verschlĂŒsselten FTP-Verbindungen und Mehrfachnutzung identischer IP-Adresse und Port mit dem Microsoft FTP Service etwas anders. WĂ€hlt man dort ein Zertifikat aus, dann wird der Zugriff plötzlich reibungslos klappen – und zwar exakt mit diesem Zertifikat. Ideal wĂ€re somit ein Wildcard- oder MultiDNS-Zertifikat um keine weiteren Probleme zu verursachen.

 Antworten

(erforderlich)

(erforderlich)