Die Ursache von MOVEit Transfer FTP/SSL-Problemen findet sich meist in einem der folgenden vier Bereiche:
MOVEit Transfer FTPS-Serverkonfiguration
MOVEit Transfer IPSec-Konfiguration
Firewall-Konfiguration
Clientkonfiguration
Für die Diagnose von FTPS-Problemen empfiehlt es sich zunächst, das Problem mit einem direkt auf dem MOVEit Transfer-Server installierten Client (z. B. MOVEit Freely) zu rekonstruieren. Dadurch entfällt zum einen die IPSec-Richtlinie, zum anderen auch der Fehlerfaktor Netzwerk. Wenn mit einem lokal installierten Client keine Probleme auftreten, probieren Sie es als nächstes mit einem Client im selben Segment (Sie durchschreiten damit IPSec, aber noch nicht die Firewall). Danach probieren Sie auch einen Client in einem „externen“ Segment aus (wobei Sie nun zusätzlich zu IPSec auch die Firewall passieren).
ACHTUNG: Denken Sie unbedingt daran, den auf dem MOVEit Transfer-Host verwendeten Client nach der Fehlersuche wieder zu deinstallieren, um dessen Missbrauch zu verhindern.
Die häufigsten Probleme
Die häufigsten Probleme werden zumindest anteilig durch folgende Bedingungen verursacht:
„FTP-bewusste“ Firewalls (z. B. Checkpoint-Firewalls), die beim FTPS-Handshake im expliziten Modus zu Problemen führen
Fehlerhaft exportierte bzw. importierte Zertifikate von bestehenden Servern
Fehlende Firewall-Regeln für FTPS- oder Datenports im impliziten Modus
Fehlende IPSec-Regeln für FTPS- oder Datenports im impliziten Modus
Clients, die für den aktiven Modus konfiguriert sind oder den impliziten Modus am falschen Port verwenden
Server, für die kein impliziter Modus aktiviert ist
Server hinter einem NAT-Gerät, für die keine NAT-Masken konfiguriert sind
In diesem Dokument wird die Diagnose und Behebung dieser und weiterer Probleme behandelt.
Allgemeine Fehlerbehebungsschritte
Am Anfang Ihrer Fehlerbehebungsroutine sollte generell die temporäre Installation einer Kopie von MOVEit Freely auf dem gleichen Computer stehen, auf dem MOVEit Transfer installiert ist. Dieser Schritt vereinfacht die Diagnose durch den Wegfall von Firewalls, Routern und anderen Netzwerkgeräten, die durchaus auch die Fehlerursache sein könnten.
In diesem Abschnitt ist mit „lokaler Client“ prinzipiell ein „FTPS-Client auf dem MOVEit Transfer-Server“ und mit „Remoteclient“ ein „FTPS-Client auf einem anderen Computer“ gemeint.
Denken Sie auch daran, dass Sie je nach Gerät unterschiedliche Maßnahmen ergreifen müssen, um durch Ihre Änderungen die gewünschte Wirkung zu erzielen. Beispiel:
Nach Änderungen über das Konfigurationsprogramm von MOVEit Transfer müssen Sie den Dienst MOVEit Transfer FTP starten und wieder stoppen.
Geänderte IPSec-Richtlinien müssen Sie abhängen und erneut zuweisen.
Nach Änderungen an Ihrer Firewall müssen Sie die Firewall eventuell aktualisieren.
Nach Änderungen am Client müssen Sie die bestehenden Verbindungen vermutlich schließen und neu öffnen.
Allgemeine Symptome und Lösungen
Verbindungsversuch des lokalen Clients mit „localhost“ im expliziten Modus wird aufgrund einer Zeitlimitüberschreitung abgebrochen.
Prüfen Sie, ob der MOVEit Transfer-FTP-Server ordnungsgemäß ausgeführt wird.
Navigieren Sie in der Systemsteuerung zu Dienste und überprüfen Sie, ob MOVEit Transfer FTP gestartet ist
Öffnen Sie die Anwendung MOVEit Transfer Config und vergewissern Sie sich, dass der explizite Port auf 21 gesetzt ist.
Führen Sie an der Befehlszeile „netstat -a -n“ aus und vergewissern Sie sich, dass „Local Address=0.0.0.0:21“ den Status „LISTENING“ hat.
Verbindungsversuch des lokalen Clients mit „localhost“ im impliziten Modus wird aufgrund einer Zeitlimitüberschreitung abgebrochen.
Prüfen Sie, ob der MOVEit Transfer-FTP-Server ordnungsgemäß ausgeführt wird.
Navigieren Sie in der Systemsteuerung zu Dienste und überprüfen Sie, ob MOVEit Transfer FTP gestartet ist.
Öffnen Sie die Anwendung MOVEit Transfer Config und vergewissern Sie sich, dass der implizite Port auf 990 gesetzt ist.
Führen Sie an der Befehlszeile „netstat -a -n“ aus und vergewissern Sie sich, dass „Local Address=0.0.0.0:990“ den Status „LISTENING“ hat.
Der lokale Client gibt beim Verbindungsversuch den Fehler „Handshake Failed“ (Fehler beim Handshake) aus.
Überprüfen Sie Ihre Clientkonfiguration:
Im expliziten Modus muss Zugriff auf Port 21 möglich sein.
Im impliziten Modus muss Zugriff auf Port 990 möglich sein.
Wenn das Zertifikat von einem bestehenden sicheren Server exportiert wurde:
Prüfen Sie die Protokolldatei des FTP-Servers. Wenn Sie relativ weit oben im Protokoll die Nachricht „not loaded“ (nicht geladen) vorfinden, verwenden Sie vermutlich ein Zertifikat, das ohne seinen privaten Schlüssel importiert wurde.
Führen Sie die im Abschnitt „Server Certificate Export/Import Instructions“ (Export-/Importanweisungen für Serverzertifikat) beschriebenen Schritte genau aus.
Wenn Sie ein vorhandenes Zertifikat ersetzen oder mehrere Zertifikate installiert haben:
Prüfen Sie die Protokolldatei des FTP-Servers. Wenn Sie relativ weit oben im Protokoll die Nachricht „expired“ (abgelaufen) vorfinden, verwenden Sie vermutlich ein Zertifikat, das nicht für FTP vorgesehen ist. (Wählen Sie das neueste für FTP geeignete Zertifikat aus.)
Öffnen Sie die Anwendung MOVEit Transfer Config und wählen Sie ein geeignetes Zertifikat aus. (Registerkarte „FTP Certs“ (FTP-Zertifikate))
Starten Sie den Dienst MOVEit Transfer FTP und stoppen Sie ihn wieder.
Der lokale Client gibt nach der Verbindung den Fehler „530 Error Accessing 'http://myhost/machine.aspx'“ (530 Fehler beim Zugriff auf 'http://myhost/machine.aspx') oder einen anderen unerklärlichen Authentifizierungsfehler aus.
Öffnen Sie die Anwendung MOVEit Transfer Config und stellen Sie sicher, dass die folgenden Werte wie folgt konfiguriert sind:
Machine URL: http://localhost/machine.aspx
Machine2 URL: http://localhost/machine.aspx
Starten Sie den Dienst MOVEit Transfer FTP und stoppen Sie ihn wieder.
Wenn das Problem weiterhin besteht, versuchen Sie es mit den folgenden Werten:
Starten Sie den Dienst MOVEit Transfer FTP und stoppen Sie ihn wieder.
Hinweis: In der Regel können Sie zur Lokalisierung und Behebung dieser Art von Problemen das MOVEit Transfer-Überprüfungsprogramm verwenden, da davon alle Benutzer gleichermaßen betroffen sind.
Verbindungsversuch des Remoteclients mit „MOVEitDMZ“ im expliziten Modus wird aufgrund einer Zeitlimitüberschreitung abgebrochen.
Überprüfen Sie zunächst, ob dieses Zeitlimitproblem auch bei einem lokalen Client auftritt.
Stellen Sie sicher, dass TCP-Port 21 in Ihren Firewalls von AnyIP, AnyPort an MyIP geöffnet ist.
Stellen Sie sicher, dass TCP-Port 21 in Ihren Firewalls von AnyIP, AnyPort an MOVEitDMZ geöffnet ist.
Verbindungsversuch des Remoteclients mit „MOVEitDMZ“ im impliziten Modus wird aufgrund einer Zeitlimitüberschreitung abgebrochen.
Überprüfen Sie zunächst, ob dieses Zeitlimitproblem auch bei einem lokalen Client auftritt.
Stellen Sie sicher, dass TCP-Port 990 in Ihren Firewalls von AnyIP, AnyPort an MyIP geöffnet ist.
Stellen Sie sicher, dass TCP-Port 990 in Ihren Firewalls von AnyIP, AnyPort an MOVEitDMZ geöffnet ist.
Der Remoteclient gibt beim Verbindungsversuch im expliziten Modus den Fehler „Handshake Failed“ (Fehler beim Handshake) aus.
Überprüfen Sie zunächst, ob dieser Handshake-Fehler auch bei einem lokalen Client auftritt.
Wenn dieser Fehler bei einem lokalen Client nicht auftritt, dafür aber regelmäßig bei Verwendung eines Remoteclients, befindet sich zwischen dem Remoteclient und MOVEit Transfer ziemlich sicher eine „FTP-bewusste“ Firewall. „FTP-bewusste“ Firewalls funktionieren bei nicht sicherem FTP sehr gut, zerstückeln aber den SSL-Bootstrap-Prozess von sicherem FTP im expliziten Modus.
Verwenden Sie stattdessen den impliziten Modus.
Der Remoteclient gibt beim Verbindungsversuch im impliziten Modus den Fehler „Handshake Failed“ (Fehler beim Handshake) aus.
Überprüfen Sie zunächst, ob dieser Handshake-Fehler auch bei einem lokalen Client auftritt.
Überprüfen Sie Ihre Clientkonfiguration: Sie müssen auf Port 990, nicht Port 21 zugreifen.
Die Benutzernamen-/Kennwortkombination, die beim lokalen Client sehr gut funktioniert, wird vom Remoteclient nicht akzeptiert.
Öffnen Sie die Web-Benutzeroberfläche von MOVEit Transfer, melden Sie sich als Administrator an und...
Überprüfen Sie die Remotezugriffseinstellungen des Benutzers. (Eventuell verhindern benutzerdefinierte oder Standardeinstellungen den Zugriff von bestimmten IP-Adressen.)
Überprüfen Sie die Einstellungen der Organisation für gesperrte IP-Adressen. (Möglicherweise ist diese IP-Adresse gesperrt und muss zurückgesetzt werden.)
Auf dem Remoteclient wird der Fehler „Passive Mode Required“ (Passiver Modus erforderlich) ausgegeben.
Aktivieren Sie in Ihrer FTPS-Clientkonfiguration den passiven bzw. Firewall-freundlichen Modus.
Auf dem Remoteclient wird der Fehler „Bad Certificate“ (Ungültiges Zertifikat) ausgegeben.
Konfigurieren Sie Ihren FTPS-Client so, dass er den „normalen“ Hostnamen des MOVEit Transfer-Servers (d. h. moveit.stdnet.com), nicht dessen IP-Adresse verwendet.
Erweitern Sie Ihr Serverzertifikat auf ein Produktionszertifikat oder...
...installieren Sie dieses Zertifikat (und evtl. seine übergeordnete Zertifizierungsstelle) auf dem Clientcomputer.
Auf dem Remoteclient wird der Fehler „Non-Trusted Certificate“ (Nicht vertrauenswürdiges Zertifikat) ausgegeben.
Konfigurieren Sie Ihren FTPS-Client so, dass er die Verbindung mit dem MOVEit Transfer-Server über dessen Hostnamen, nicht dessen IP-Adresse herstellt.
Unter Windows 95 oder 98 meldet der Remoteclient den Fehler „Cannot Create Security Credentials“ (Berechtigungsnachweise für die Sicherheit können nicht erstellt werden).
Ältere Versionen von Windows 95 und 98 verfügen vermutlich nicht über die für die Ausführung von FTPS-Clients erforderliche SSL/TLS-Unterstützung. Microsoft liefert mit Windows 2000 ein Programm (dsclient.exe) mit den erforderlichen Upgrades aus. Dieses Paket muss auf dem Remoteclientdesktop installiert werden. Danach ist ein Neustart erforderlich.
Trotz erfolgreicher Anmeldung kann der Remoteclient keine Dateien übertragen und/oder Verzeichnisinhalte auflisten.
Erläuterung: Für Dateiübertragungs- und Verzeichnisauflistungsprozesse sind FTPS-Datenverbindungen erforderlich. In den meisten Fällen haben Probleme bei der Übertragung von Dateien oder der Auflistung von Verzeichnisinhalten ihre Ursache in Konnektivitätsproblemen in Zusammenhang mit diesen Datenverbindungen.
Sehen Sie in den Clientprotokollen nach, ob der Server die Nachricht „Passive Mode Required“ (Passiver Modus erforderlich) zurückgegeben hat, und ergreifen Sie danach ggf. die entsprechenden Maßnahmen.
Überprüfen Sie Ihre MOVEit Transfer FTP-Konfiguration:
Require Passive Mode (Passiven Modus erzwingen) aktiviert
Passive Ports auf Bereich von 3000 bis 3003 eingeschränkt
Überprüfen Sie Ihre IPSec-Richtlinie (FTP-Regelfilter):
TCP von AnyIP, AnyPort an MyIP, Ports 3000-3003, zugelassen
Überprüfen Sie Ihre Firewall-Regeln:
TCP von AnyIP, AnyPort an MOVEitDMZ, Ports 3000-3003, zugelassen
Überprüfen Sie Ihre Clientkonfiguration:
Passiver Übertragungsmodus aktiviert (d. h. „Firewall-freundlich“)
Überprüfen Sie in den Clientprotokollen den Inhalt der Nachricht „227 Entering Passive Mode (208,212,86,143,11,186)“ (227 Passiver Modus wird gestartet (208,212,86,143,11,186)).
Die ersten vier Zahlen im Nachrichtenhauptteil sind die IP-Adresse, mit der der Remoteclient versucht, seine Datenkanäle zu verbinden. („208,212,86,143,...“ bedeutet also, dass versucht wird, eine Verbindung mit 208.212.86.143 aufzubauen.)
Falls sich die IP-Adresse von der IP-Adresse unterscheidet, mit der der Client normalerweise eine Verbindung herstellt (d. h. 10.1.1.2), handelt es sich vermutlich um ein NAT-Problem. Lesen Sie hierzu auch den Abschnitt FTP-Server – Konfiguration in diesem Handbuch. Sie finden dort Informationen zur Konfiguration von NAT-Masken in der Anwendung MOVEit Transfer Config. (Mittels NAT-Masken kann Ihr FTP-Server Computern innerhalb und außerhalb Ihrer NAT-Grenzen die korrekten 227er-IP-Adressen zusenden.)
Die letzten beiden Zahlen im Nachrichtenhauptteil geben den TCP-Port an, mit dem der Remoteclient versucht, seine Datenkanäle zu verbinden (also „...11,186“). Diese Ziffern ergeben eine sinnvolle Portnummer, wenn Sie die erste Zahl mit 256 multiplizieren und die zweite Zahl addieren. (also: (11 x 256) + 186 = Port 3002)
Diese Portnummer sollte innerhalb des passiven Portbereichs liegen, den Sie für MOVEit Transfer FTP konfiguriert haben. Wenn dies nicht der Fall ist, vergewissern Sie sich, dass das Kontrollkästchen Restrict (Einschränken) in der Anwendung MOVEit Transfer Config neben diesem Bereich aktiviert ist.
Hinweis: Einige, insbesondere über die Befehlszeile ausgeführte Remoteclients fügen die Endbenutzer korrekt in ihre eigenen Home-Ordner ein. Andere, insbesondere über eine grafische Benutzeroberfläche (GUI) ausgeführte Remoteclients fügen die Endbenutzer stattdessen in das Stammverzeichnis ein.
Erläuterung: MOVEit Transfer FTP fügt Endbenutzer beim Verbindungsaufbau in der Regel in deren Ausgangsverzeichnisse ein. Leider ist es aber dem Client überlassen, ob er diese Einstellung respektiert. Viele Windows-Clients versuchen nämlich beim Verbindungsaufbau automatisch (und die Direktive des FTP-Servers bezüglich des Ausgangsverzeichnisses ignorierend) zum Stammverzeichnis (\) zu wechseln.
Konfigurieren Sie GUI-Clients so, dass sie das vom Server übermittelte Ausgangsverzeichnis respektieren, oder...
Verwenden Sie auf Benutzerebene die MOVEit Transfer-Einstellung „CHROOT“, um für die Benutzer das Ausgangs- bzw. Standardverzeichnis zu erzwingen.
Häufige Fehler im Debugprotokoll
Die folgenden Fehler im MOVEit Transfer FTP-Debugprotokoll weisen meist auf spezifische Konfigurationsprobleme hin.
„530 Rejected--secure connection required“ (530 Abgelehnt – sichere Verbindung erforderlich): Dies ist ein Hinweis darauf, dass ein FTP-Client versucht hat, eine Verbindung ohne SSL herzustellen, obwohl SSL verlangt wird.
„Connection security error: Failed to receive secure data. - SSL negotiation failed: Security handshake failed. - A client certificate is required." Dies ist ein Hinweis darauf, dass ein FTP/SSL-Client versucht hat, eine Verbindung ohne ein Clientzertifikat herzustellen, der FTP-Server aber so konfiguriert ist, dass er ein Clientzertifikat verlangt.
„Connection security error: Error 0x800b0109 (CERT_E_UNTRUSTEDROOT) returned by CertVerifyCertificateChainPolicy! - Connection security error: Error authenticating security credentials - SSL negotiation failed: Failed to verify the certificate trust." Dies ist ein Hinweis darauf, dass ein FTP/SSL-Client ein Clientzertifikat bereitgestellt hat, dieses aber nicht mit einer Zertifizierungsstelle des Microsoft Trusted Root Certificate Store verkettet ist.
Zusätzliche Hilfe
Weitere Informationen finden Sie auch in der Wissensdatenbank auf unserer Support-Site unter https://community.progress.com.
