- Betrifft: IIS 7.0, IIS 7.5, IIS 8.0, IIS 8.5, IIS 10 mit aktivierten FTP-Zugang
- System: Microsoft Windows Server 2008 x64, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
- Problem: Beim Zugriff von einem FTP-Client auf die FTP Funktion vom IIS erhält man einen Fehlermeldung. Der Server verwendet womöglich nur eine IP-Adresse und betreibt mehrere Webseiten (mit FTP-Zugriff).
Beim Zugriff auf einen Microsoft FTP Service unter Windows Server erhält man eine eigenartige Fehlermeldung: 534 Local policy on server does not allow TLS secure connections. Dies ist dabei die Rückmeldung direkt vom Microsoft FTP-Dienst und nicht vom FTP-Programm (hier Filezilla).
Damit folgt die Kontrolle am Webserver via Internetinformationsdienste (IIS)-Manager.
Der Weg folgt zur Website und anschließend zu den "SSL-Einstellungen für FTP" - also dort wo der FTP-Zugriff eingerichtet wurde.
Die Kontrolle zeigt, es wurde ein gültiges Zertifikat für den FTP-Zugriff bei der entsprechenden Website ausgewählt. Wo ist somit das Problem?
Eigentlich ist die Angelegenheit etwas komplexer. Diese Fehlermeldung ist eine Eigenart vom Microsoft Internet Information Service (= IIS). Und zwar kann eine IP-Adresse für mehrere Webseiten genutzt werden. Das gleiche gilt somit ebenfalls für den FTP-Dienst – sonst ergibt es im Grunde keinen Sinn. Genauer wird nicht nur die IP-Adresse, sondern auch der Port mehrfach identisch genutzt. Bei Webseiten ist diese doppelte Nutzung für http bzw. https ohne Probleme machbar und seit langem für alle Webbrowser bzw. Webserver als Standard verankert.
Bei FTP-Server gibt es keinen solchen Standard und einige Leute reagieren auch sehr allergisch auf diese Möglichkeit. Man könnte natürlich unterschiedliche Ports nutzen – nur könnte der andere Port wieder gesperrt sein oder sonstige Probleme verursachen. Der TCP Port 21 ist nun mal für den FTP da und nicht ein x-beliebiger anderer. Wie auch immer, im Grunde hat man nicht immer eine Wahl und die Möglichkeit unterschiedliche IP-Adressen für Webseiten und dem zugehörigen FTP-Zugang zu nutzen.
Behebung
Die Behebung ist auf den ersten Blick etwas unlogisch, aber funktioniert. Dabei auch recht einfach und schnell zu erledigen.
Die "SSL-Einstellungen für FTP" gibt es nicht nur pro Website, sondern ebenfalls direkt beim Webserver. Und exakt diese Einstellung muss geöffnet werden.
Bislang wird hier kein SSL-Zertifikat ausgewählt sein. Warum auch? Man will doch pro Website unterschiedliche FTP-Zugriffe ermöglichen. Leider ist dies bei verschlüsselten FTP-Verbindungen und Mehrfachnutzung identischer IP-Adresse und Port mit dem Microsoft FTP Service etwas anders. Wählt man dort ein Zertifikat aus, dann wird der Zugriff plötzlich reibungslos klappen - und zwar exakt mit diesem Zertifikat. Ideal wäre somit ein Wildcard- oder MultiDNS-Zertifikat um keine weiteren Probleme zu verursachen.
Posted from my blog with SteemPress : https://blog.blackseals.net/2018/02/14/microsoft-ftps-server-534-local-policy-on-server-does-not-allow-tls-secure-connections/