Dateitransfer mit OCS/LYNC

Hinweis
Bei Lync wurde der Dateitransfer geändert. Es kommt kein TFTP mehr zum Einsatz, sondern die Daten werden wie Sprache über TURN übertragen und funktionieren damit auch über Edge-Server und hinter Firewalls und NAT.

Lync blockt per default einige Dateitypen anhand des Attachment:
.ade .adp .app .asp .bas .bat .cer .chm .cmd .com .cpl .crt .csh .exe .fxp .grp .hlp .hta .inf .ins .isp
.its .js .jse .ksh .lnk .mad .maf .mag .mam .maq .mar .mas .mat .mau .mav .maw .mda.mdb .mde
.mdt .mdw .mdz .msc .msi .msp .mst .ocx .ops .pcd .php .pif .pl .pnp .prf .prg .pst .reg.scf .scr .sct
.shb .shs .tmp .URL .vb .vbe .vbs .vsd .vsmacros .vss .vst .vsw .ws .wsc .wsf .wsh

Dies kann mit Get-CsFileTransferFilterConfiguration eingesehen und mit Set-CsFileTransferFilterConfiguration geändert werden.

Der Office Communicator kann nicht nur Kurzmitteilungen und den Status übertragen, sondern Sie können damit sogar Dateien an die Kommunikationspartner versenden. Das wäre dann ein weiterer Weg eine Datei über übertragen, wenn ein Dateiserver oder Sharepoint nicht zur Verfügung steht und E-Mail aufgrund von Begrenzungen (Quota) nicht möglich ist.

Einsatz auf dem Client

Der Start eines Dateitransfers ist über den Client einfach möglich. Je nach Version (OCS; Lync, Skype) befindet sich die Büroklammer an verschiedenen Stellen:

Doch was so einfach aussieht ist es aus mehreren Gründen nicht, denn im Message-Bereich wird angezeigt, dass eine Dateiübertragung angefordert wird und der Anwender muss natürlich zustimmen.

Die Fehlermeldungen sind aber nicht besonders aussagekräftig. Wer hier mehr Details haben möchte, muss im uCCAPI-Log auf dem Client weiter schauen.

Kontroller per Gruppenrichtlinie

Ein "wilder" Dateitransfer ist das, was eine Firma am wenigsten benötigen wird. Wozu gibt es wohl zentrale Strukturen und Dateiablagen und die Filterung von Inhalten gegen Viren und vor anderen unerwünschten Daten (z.B. Videos etc.). Entsprechend kann natürlich ein Administrator schon steuern, welche Benutzer überhaupt diese Funktion einsetzen können. Dies geht aber nicht auf dem OCS-Server, der in diese Kommunikation gar nicht direkt involviert ist, sondern über Gruppenrichtlinien.

So kann der Administrator die Funktion bei den Mitarbeitern gezielt ein oder ausschalten, zumindest solange der Client durch Gruppenrichtlinien verwaltet wird.

Kontrolle auf dem OCS-Server

Weiterhin kann ein Administrator über den IMFilter auf Serverebene bestimmte Anlagen anhand der Erweiterung blockieren. Die Einstellungen finden sich je nach OCS Version an folgender Stelle:

OCS 2007 R2: Front-End or Pool->Filtering Tools->Intelligent Instant Message Filter->File Transfer Filter tab
OCS 2007: Front-End or Pool->Application Properties->Intelligent Instant Message Filter->File Transfer tab

Im folgenden Fenster können auf der zweiten Karteikarte die Erweiterungen gepflegt werden. Schon von Hause aus hat OCS sehr viele Anlagen geblockt:

Der Schutz ist aber wirklich nur die Erweiterung. Allein ein umbenennen der Erweiterung lässt diese Blockade schon ins Leere laufen.

Kontrolle bei Lync und Skype für Business

Zwar "sollen" hier weiterhin die Gruppenrichtlinien funktionieren, aber durch den Einsatz von privaten PCs, Smartphones, Tablet etc. ist die Kontrolle über zentrale Policies wirkungsvoller. Entsprechend können Sie über die Konferenz-Policy den Dateitransfer steuern.

Kontrolle bei Skype für Business Online

Bei der "Online Version" ist es ebenfalls möglich, den Dateitransfer zu unterbinden. Leider ist dies aber (noch) nicht in der Conferenzpolicy, sondern erfolgt indirekt über die Archivierung. Sie deaktivieren dazu pro Benutzer einfach die folgende Option:

Diese Opotion deaktiviert die folgenden Funktionen, da Sie nicht "archiviert" werden können

  • Dateitransfer in IM-Fenster
  • Gemeinsam genutzte OneNote Seiten
  • Anmerkungen in PowerPoint

Voraussetzung ist aber dazu auch die Aktivierung des Archiv

Funktionale Grenzen in OCS

Viel häufiger funktioniert der versprochene Transfer aber schon daher nicht, weil die Funktion in OCS noch technisch sehr unglücklich realisiert ist. Die Nutzdaten werden nämlich nicht in SIP-Meldungen oder analog zur Sprache über Firewall-taugliche Verbindungen übertragen, sondern sind immer eine direkte Kommunikation zwischen den beiden Clients.

Ein Client der eine Datei senden will, teilt dies per SIP dem Empfänger mit, worauf dieser dann einen kleinen TFTP-Server auf einem dynamischen Port startet. Dann sucht der Empfänger eine "geeignete Netzwerkkarte" um diese Adresse, den Port und einen Sessionkey per SIP an den Absender zurück zu melden. Der Absender baut dann eine TFTP-Verbindung auf, um die Datei letztlich zu versenden.

Nur wenn auf dem OCS Server z.B. Forefront für OCS installiert ist, dann wird der Dateitransfer "über" den OCS-Pool abgewickelt.

Generell kann aber bei der Art der Übertragung einiges schief geben.

  • Ermitteln der "falschen" Adresse
    Das passiert besonders oft, wenn jemand zusätzlich "virtuelle VMWare" Karten gebunden hat oder auch sonst der Empfänger nicht die Verbindung auswählt, die von dem Absender erreicht werden kann
  • Generelle Erreichbarkeit
    Sobald Firewalls zwischen den Clients sind, ist es schon fast unwahrscheinlich, dass die Verbindung funktioniert. Kaum jemand wird z.B.: die Ports zwischen 6891-6900 bidirektional öffnen und selbst dann ist NAT eine weitere Hürde.
  • Firewalls auf dem Desktop
    Gerade das dynamische öffnen eines Ports für eingehende Verbindungen auf einem Client steht ganz oben auf der Alarmliste von Virenscannern, Personal Firewalls etc., die es zu unterbinden gilt.

Eigentlich funktioniert das nur in einem "gerouteten Netzwerk", d.h. intern im eigenen LAN. Über Federation oder EDGE-Server ist es höchst unwahrscheinlich, dass ein Dateitransfer zum Erfolg führt. Wenn mehrere Firmen aber in einem LAN/WAN zusammen arbeiten aber unabhängige Forests betreiben, dann ist der Dateitransfer möglich.

Erst mit Lync werden die Dateitransfers über den gleiche Mechanismus wie Audio/Video übertragen, also ein Kanal per ICE geöffnet. 

Resümee

Schade, dass die Funktion so trivial implementiert ist und damit nur im internen LAN nutzbar wäre. Wer als Administrator also "Ruhe" im Netzwerk haben möchte, möge doch gleich per Gruppenrichtlinie die Funktion abschalten und so einen wilden Dateitransfer unterbinden aber vor allem Rückfragen beim Helpdesk über "Probleme beim Dateitransfer" von vorneherein ausschließen. Wenn die Mitarbeiter die "Büroklammer" nicht sehen, dann kommen sie erst gar nicht auf dumme Gedanken diese Funktion auch ausprobieren zu wollen.

Weitere Links