Ftp настройка iis: Настройка FTP-сервера на Windows Server 2019

Настраиваем FTP из командной строки (IIS) / Хабр

Продолжая изучение командной строки IIS, начатое тут, предлагаю ознакомится с тем как в IIS можно настроить FTP.

Начиная с версии 7, в IIS появилось универсальное средство командной строки AppCmd. И теперь можно создавать, настраивать, и пользоваться FTP службами из командной строки точно тем же способом, как это можно делать теперь (начиная с IIS 7) с веб-сайтами. Давайте рассмотрим пример подробнее.

Устанавливаем FTP

Для начала нужно установит необходимые компоненты. Предположим что у нас уже есть предустановленный IIS и нам не хватает только служб FTP. Воспользуемся диспетчером пакетов pkgmgr:

pkgmgr /iu:IIS-FTPServer;IIS-FTPSvc;IIS-FTPExtensibility;

Настраиваем FTP

Теперь IIS готов к настройке первого FTP. Что бы воспользоваться AppCmd надо использовать полный путь до команды: %windir%\system32\inetsrv\appcmd. exe, или же прописать путь в переменную окружения PATH. Нам же будет достаточно запускать appcmd прямо из ее каталога:

cd %windir%\system32\inetsrv 
set ftproot=%systemdrive%\inetpub\ftproot
set ftpsite=MyFtp
if not exist "%ftproot%" (mkdir "%ftproot%") 
appcmd add site /name:%ftpsite% /bindings:ftp://*:21 /physicalpath:"%ftproot%" 
appcmd set config -section:system.applicationHost/sites /[name='%ftpsite%'].ftpServer.security.authentication.AnonimouseAuthentication.enabled:true 
appcmd set config -section:system.applicationHost/sites /[name='%ftpsite%'].ftpServer.security.ssl.controlChannelPolicy:"SslAllow" 
appcmd set config -section:system.applicationHost/sites /[name='%ftpsite%'].ftpServer.security.ssl.dataChannelPolicy:"SslAllow" 
appcmd set config -section:system.applicationHost/sites /[name='%ftpsite%'].ftpServer.directoryBrowse.showFlags:DisplayVirtualDirectories 
appcmd set config -section:system.applicationHost/sites /[name='%ftpsite%'].ftpServer.userIsolation.mode:StartInUsersDirectory 
appcmd set config %ftpsite% /section:system. ftpserver/security/authorization /+[accessType='Allow',permissions='Read',roles='',users='*'] /commit:apphost

Этот скрипт создаст папку inetpub\ftproot на системном диске, и привяжет ее к корневой папке нашего сайта «MyFtp». Так же мы настроили наш сайт на использование анонимной аутентификации. И перевели SSL в режим allow (по умолчанию он require). Последней строчкой мы раздали права на чтение всем пользователям. Теперь нам осталось добавить виртуальных папок нашему сайту и можно пользоваться, а параметр showFlags:DisplayVirtualDirectories позволит видеть не только корневой каталог, но и виртуальные каталоги тоже.

И так, добавляем каталоги:

appcmd add vdir /app.name:"%ftpsite%/" /path:/path2 /physicalPath:D:\path2
appcmd add vdir /app.name:"%ftpsite%/" /path:/path3 /physicalPath:\\MEDIASERVER\path3

Проверяем

Для проверки тоже воспользуемся командной строкой и командой ftp:

c:\Users\User>ftp server
Connected to SERVER. domain.corp.
220 Microsoft FTP Service
User (SERVER.domain.corp:(none)): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230-User logged in.
 Win32 error:   The operation completed successfully.
 Error details: File system returned an error.
230 End
ftp> dir
200 EPRT command successful.
125 Data connection already open; Transfer starting.
06-01-12  04:33PM       <DIR>          path2
06-01-12  04:33PM       <DIR>          path3
226 Transfer complete.
ftp: 93 bytes received in 0,00Seconds 93000,00Kbytes/sec.
ftp>

Почему не PowerShell

Для того что бы написать скрипт для powershell потребуется небольшие косметические изменения.

Так для того что бы установить сервисы FTP надо выполнить:

Add-WindowsFeature Web-Ftp-Server,Web-Ftp-Service,Web-Ftp-Ext

Что бы создать FTP-сайт:

$ftproot="$env:systemdrive\inetpub\ftproot"
$ftpsite="MyFtp"
if (-not (test-path $ftproot)){ new-item -path $ftproot -type directory }
new-item -path IIS:/sites/$ftpsite -type site -bindings @{protocol='ftp';bindingInformation=':21:'} -physicalpath:$ftproot

Аналогично можно добавить виртуальные каталоги:

new-item -path IIS:/sites/$ftpsite/path2 -type virtualdirectory -physicalpath d:\share

А вот про работу с конфигурацией внятных решения я не нашел. Все что нашел тут и тут. Последнее меня не вдохновило в свете того что некоторые изменения надо вносить на уровне APPHOST.

Так что если будут предложения и замечания — всегда пожалуйста. С удовольствием дополню.

Инсталлирование и настройка FTP-сайта (IIS 7.5)

В Windows Server 2008 R2  появилась поддержка протокола FTP, думаю самая мощная на сегодняшний момент. И хоть FTP достаточно древний стандарт – он продолжает жить и развиваться. Обзор вы можете найти в моем блоге. Цель данной статьи – по шагам показать настройку и установку FTP-сайта.

В отличие от предыдущей статьи, где давался обзор возможностей FTP-сервиса, здесь общее направление будет именно создание работоспособного FTP-сайта. Предположим что роль «Веб-сервер» уже на сервере установлена.

Заходим в оснастку «Диспетчер служб IIS» в панели «Подключения» на элементе сервера по правой клавише мыши выбираем «Добавить FTP-сайт» (рисунок 1). Запускается мастер установки FTP-сайта.

Рисунок 1 Добавление FTP-сайта.

На странице «Сведения о сайте» вводим имя сайта и физический путь корневого каталога вновь создаваемого сайта (рисунок 2).  Нажимаем кнопку «Далее».

Рисунок 2 Сведения о сайте FTP.

На следующем шаге мастера установки нужно выбрать привязку к IP-адресу сервера, по умолчанию осуществляется привязка ко всем свободным адресам, порт – значение по умолчанию 21. Если FTP-сайты уже установлены на сервере, с помощью определения виртуального узла сделать сайт уникальным. Для этого нужно установить опцию «Разрешить имена виртуальных узлов» м заполнить поле «Виртуальный узел». В данном случае  FTP-сайт первый поэтому данным механизмом пользоваться нет необходимости. Следующая опция «Запускать FTP-сайт автоматически», определяет поведение сайта при перезагрузке сервера. По умолчанию опция установлена. В блоке «SSL» можно определить следующий выбор:

1.     Без SSL – протокол защиты данных не используется.

2.     Разрешить – использовать SSL в случае, если FTP-клиент настроен на данный режим работы. Если клиент не настроен/не умеет использовать SSL – разрешить соединение.

3.     Требовать – использовать SSL в любом случае. Если клиент не настроен/не умеет использовать SSL – отклонить соединение.

Выбираем Ip-адрес — «Все свободные», порт -21, «Запускать FTP-сайт автоматически» — включено, SSL – без SSL(рисунок 3). Нажимаем кнопку «Далее».

Рисунок 3. Параметры привязки и SSL

В окне «Сведения о проверке подлинности и авторизации» на третьем шаге мастера установки отключаем анонимную проверку подлинности. Авторизация FTP-сайта пока не настраиваем – порядок предоставления пользователя к сайту будет рассмотрен чуть позже (рисунок 4). Нажимаем кнопку «Готово».

Рисунок 4. Проверка подлинности и авторизации

Новый FTP-сайт успешно создан. Но, как вы наверное уже догадались, этот сайт не работоспособен. Для того чтобы предоставить доступ пользователям нужно проделать следующие шаги:

1.     Настроить Windows Firewall.

2.     Определить протокол аутентификации.

3.     Определить роли пользователей.

4.     Настроить разрешения NTFS на каталогах FTP-сайта.

Итак, начнем. Настройку брандмауэра поставил данное действие на первое место, потому что обычная практика настройки новой технологии – это исключить возможность ошибки временным отключением элементов защиты. Поэтому думаю надо сразу настроить брандмауэр и затем продолжить настройку. Сначала немного теории.

По протоколу FTP возможно соединение в двух режимах – активном и пассивном. Для работы в пассивном режиме необходимо открыть порт – по умолчанию 21 и этого будет достаточно. В пассивном режиме по 21 порту происходит входящее соединение, затем клиент и сервер используют механизм трехстороннего рукопожатия, договариваются, по какому порту будет происходить обслуживание и переключаются на него. Стандартно это случайный порт в диапазоне 1025-5000. Понятное дело держать такой диапазон открытым нет большого резона. До выхода Windows 2008 R2 была инструкция, как настроить RPC для формирования нестандартного диапазона портов для работы в пассивном режиме. После выхода все значительно упростилось. Нужно настроить входящее правило. Открываем оснастку «Брандмауэр Windows в режиме повышенной безопасности». На элементе «Правила для входящих подключений» в меню по правой кнопке мыши выбираем «Создать правило» (рисунок 5)

Рисунок 5. Создание нового правила брандмауэра

На первом шаге мастера создания правила для нового входящего подключения выбираем из выпадающего списка «Предопределенные» тип нового правила с названием «FTP-сервер» (рисунок 6). Нажимаем кнопку «Далее».

Рисунок 6. Выбор типа правила

На следующем шаге мастера, нужно выбрать предопределенные правила. Доступны следующие значения:

1.     FTP Server Passive (FTP Passive Traffic-In) – правило используется для поддержки входящих соединений в пассивном режиме.

2.     FTP Server Secure (FTP SSL Traffic-In) – правило используется для поддержки входящих соединений по протоколу SSL.

3.     FTP-сервер (входящий траффик) — правило используется для поддержки входящих соединений по протоколу FTP.

Первое и третье правило должно быть отмечено обязательно. Второе правило можно отметить, если будет использоваться защита траффика по протоколу SSL (рисунок 7). Нажимаем кнопку «Далее».

Рисунок 7. Выбор предопределенных правил FTP

Правила сформированы – на последнем шаге мастера создания правила нужно выбрать действие правила. Доступны следующие значения:

1.     Разрешить подключение – включая подключения, защищенные IPSec, так и подключения без защиты.

2.     Разрешить безопасное подключение – включая только подключения с проверкой подлинности с помощью IPSec. Подключения возможны с клиентских операционных систем, начиная с Windows Vista.

3.     Блокировать подключения.

Выбираем «Разрешить подключения» (рисунок 8). Нажимаем кнопку «Готово».

Рисунок 8. Выбор действия создаваемых правил

Правила созданы. Необходимо отметить, что эти правила применяться только при перезагрузке сервера – попытки перезапустить сервисы брандмауэра и IIS ни к чему не привели.

НА втором шаге настройки FTP-сайта необходимо выбрать протокол аутентификации. Начиная с IIS 7.5 FTP-сайт поддерживает следующие протоколы аутентификации:

1.     Анонимная – проверка имени пользователя не требуется.

2.     Стандартная – имя пользователя и пароль запрашивается – передаются на сервер в открытом виде. Учетная запись может быть как локальная на сервере – так и поддерживаются доменные учетные записи.

3.     ASP.Net – проверка с помощью поставщика ASP.NET. Учетные записи могут храниться, к примеру, на уровне базы данных.

4.     Диспетчер IIS – учетные записи задаются в диспетчере веб-серврера.

Выберем вариант проверки подлинности с помощью стандартного протокола аутентификации Windows.

Предположим, что анонимный доступ не подходит, нужно пускать на FTP-сайт только определенных пользователей. Поэтому на третьем шаге настройки, с помощью оснастки «Диспетчер сервера» (Конфигурация – Локальные пользователи и группы — Пользователи) создадим 2-ух локальных пользователей ftpuser(права только на чтение) и ftpadmin(права на чтение и запись). Задача пользователя ftpuser знакомится с документацией, лежащей на сайте. Задача пользователя ftpadmin – управлять контентом ftp-сайта.

После создания пользователей прописываем правила авторизации. Открываем оснастку «Диспетчер служб IIS», переходим на FTP-сайт и открываем функцию «Правила авторизации FTP». На правой панели «Действия» выбираем «Добавить разрешающие правило». В окне «Добавить разрешающие правило авторизации делаем выбор «Указанные пользователи» и вводим значение – ftpadmin. В секции разрешения выбираем чтение и запись (рисунок 9). Нажимаем кнопку «Ок».

Рисунок 9. Добавление правила авторизации.

Для пользователя ftpuser создаем отдельное правило, по аналогии с пользователем ftpadmin, за исключением разрешения записи. Правила авторизации ftp-сайта успешно созданы.

Остался последний четвертый шаг – установка разрешений файловой системы NTFS. Установки по умолчанию ф файловой системе NTFS следующие в папке c:\inetpub\ftproot группе «Пользователи», в которую входит пользователь ftpuser, предоставлены права на чтение файлов. Остается добавить пользователю ftpadmin разрешения на запись. Для этого в проводнике откроем свойства папки ftproot и установим разрешения для записи для пользователя ftpadmin (рисунок 10, рисунок 11). Нажимаем кнопку «Ок».

Рисунок 10. Выбор локального пользователя ftpadmin

Рисунок 11. Установка разрешения NTFS на запись для пользователя ftpadmin

Настройка FTP-сайта успешно завершена. Для проверки можно зайти клиентом FTP на созданный сайт и убедится, что пользователь ftpadmin может управлять контентом сайта – копировать, записывать, удалять, изменять файлы, а пользователь ftpuser – только копировать или читать.

При разрешении технических проблем, возникающих в ходе настройки, одним из источников информации являются журналы ftp-сайта. Местоположение журналов можно узнать в оснастке «Диспетчер служб IIS». Для этого переходим на FTP-сайт и открываем функцию «Ведение журнала FTP» (рисунок 12).

Рисунок 12. Настройки ведения журналов FTP

Из рисунка 12 видно, что журналы хранятся в каталоге c:\inetpub\logs\logfiles. По умолчанию ведение журналов включено. Журналы создаются каждый новый день. Формат журналов создается по маске u_exYYMMDD.log. К примеру, если открыть лог при успешно подключении пользователя ftpadmin выглядеть записи будут следующим образом:

#Software: Microsoft Internet Information Services 7.0

#Version: 1.0

#Date: 2011-01-08 05:15:20

#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem sc-status sc-win32-status sc-substatus x-session x-fullpath

2011-01-08 14:15:49 192.168.0.152 — 192.168.0.100 21 ControlChannelOpened — — 0 0 8568dd29-2655-4b87-a176-f85cc149650b —

2011-01-08 14:15:49 192.168.0.152 — 192.168.0.100 21 USER ftpadmin 331 0 0 8568dd29-2655-4b87-a176-f85cc149650b —

2011-01-08 14:15:49 192.168.0.152 KA4OK\ftpadmin 192.168.0.100 21 PASS *** 230 0 0 8568dd29-2655-4b87-a176-f85cc149650b /

2011-01-08 14:16:05 192.168.0.152 KA4OK\ftpadmin 192.168.0.100 21 ControlChannelClosed — — 0 0 8568dd29-2655-4b87-a176-f85cc149650b —

B заключение статьи, стоит отметить еще об одной новой функции «Текущие сеансы FTP». В оснастке «Диспетчер служб IIS» переходим на FTP-сайт и открываем функцию «Текущие сеансы FTP» (рисунок 13).

Рисунок 13. Просмотр текущих сеансов FTP

С помощью этой функции можно посмотреть текущие соединения и отключить при необходимости пользователей. Надеюсь, что информация в данной статье поможет для успешной инсталляции и настройке ваших ftp-сайтов!

Используемая литература:

1. FTP 7 for IIS 7

http://learn.iis.net/page.aspx/356/ftp-7-for-iis-7/

2. Configuring FTP Firewall Support

http://technet.microsoft.com/ru-ru/library/dd464003(WS.10).aspx

3. Installing and Configuring FTP on IIS 7

http://learn.iis.net/page.aspx/263/installing-and-configuring-ftp-on-iis-7/

Понравилось это:

Нравится Загрузка…

Filed under Статьи, IT
Tagged with ftp

Как установить и настроить FTP-сервер в Windows (IIS)

Узнайте , как настроить FTP-сервер в Windows с помощью IIS  (Internet Information Server) . Все, что вам нужно сделать, это установить FTP-сервер, настроить пользователей, настроить папки для загрузки и настроить FTP-сайт.

Как настроить FTP-сервер на сервере Jotelulu Windows с помощью IIS?

Перед началом работы

Чтобы успешно выполнить это руководство и настроить службу FTP с помощью IIS, вам потребуется:

• Зарегистрироваться в организации на платформе Jotelulu и войти в эту организацию.
• Чтобы зарегистрировать подписку на серверы
• Чтобы иметь работающий сервер Windows, связанный с этой подпиской.

Часть 1. Установка FTP-сервера

Чтобы установить FTP-сервер с помощью IIS, первое, что вам нужно сделать, это получить доступ к серверу с помощью удаленного подключения. После подключения откройте Диспетчер серверов  (должен быть открыт по умолчанию, если он не отключен).

Затем нажмите  «Управление  > Добавить роли и функции»  (1).

Часть 1. Добавление роли

Откроется окно установки ролей и компонентов, которое используется для установки служб на сервере.

Как это часто бывает с Microsoft, вам не нужно ничего менять в первых нескольких окнах, которые вы видите. Вам просто нужно нажать «Далее». Итак, мы сразу перейдем к тем окнам, где вы сделать нужно внести некоторые изменения.

Сначала вам нужно будет выбрать тип установки. В этом руководстве мы выберем « Ролевая или функциональная I установка» (2).

Часть 1. Выберите тип установки: функциональная установка

Далее вам нужно будет выбрать целевой сервер. Выберите «Выберите сервер из пула серверов»  (3), а затем выберите сервер , на котором вы хотите установить функцию.  (4). На самом деле это можно оставить как есть, так как мы собираемся установить сервис на тот сервер, над которым уже работаем.

Часть 1. Выберите сервер, на котором будет выполняться установка

Далее вам нужно будет выбрать роль сервера для установки, в данном случае это будет Веб-сервер (IIS)   (5). Появится окно, содержащее необходимые функции для сервера (IIS). Это необходимо для того, чтобы сервер работал после установки, поэтому оставьте все настройки как есть и нажмите «Добавить компоненты» (6).

Примечание: Мы всегда рекомендуем ставить галочку в поле «Включить инструменты управления (если применимо)», чтобы система настроила необходимые параметры, не требуя от вас дополнительных действий.

Часть 1. Выбор роли IIS и связанных с ней функций

На этом этапе вы увидите, что выбран FTP-сервер (7). Нажмите «Далее», чтобы продолжить установку.

Часть 1. Убедитесь, что выбрана служба FTP

После выбора всех необходимых параметров вам необходимо подтвердить выбор установки. Убедившись, что все правильно, нажмите «Установить» (8).

Часть 1. Проверка выбора и начало установки

В этот момент появится индикатор выполнения (9), показывающий различные этапы установки. Вы можете закрыть (10) окно до того, как индикатор выполнения завершится, потому что установка продолжится в фоновом режиме.

Часть 1. Проверка хода установки

Если вы закроете окно, вы можете открыть его снова, щелкнув флажок в правом верхнем углу и нажав Установка компонентов   (11).

Вы успешно установили эту функцию и можете приступить к настройке своих пользователей.

Часть 2. Настройка пользователей и групп

После установки службы FTP необходимо создать пользователя и группу для использования службы FTP. Это ограничит пользователей, чтобы они могли только загружать контент без дополнительных разрешений, чем необходимо, или скачивать контент из определенных папок.

Вы можете создать количество пользователей в зависимости от ваших потребностей.

Чтобы запустить панель управления пользователями, нажмите на строку поиска и введите «пользователи» (12) и выберите «Добавить, изменить или удалить других пользователей» (13).

Часть 2. Запуск панели управления пользователями

В появившемся окне нажмите «Добавить кого-то еще на этот компьютер» (14), после чего откроется другое окно.

Часть 2. Нажмите «Добавить кого-то еще на этот компьютер»

В разделе «Локальные пользователи и группы» щелкните правой кнопкой мыши папку «Пользователи». Выберите «Создать пользователя», а затем введите данные для нового пользователя  (17). Это будет имя пользователя, полное имя и описание. Имя пользователя является единственным обязательным полем.

После этого вам нужно будет добавить другие дополнительные сведения  (18), такие как пароль и другие соответствующие настройки.

В этом руководстве этот пользователь будет загружать только данные, поэтому мы выберем настройки, чтобы пользователь не мог изменить свой пароль, и срок действия его пароля никогда не истечет. Однако вам пришлось выбирать разные настройки в зависимости от того, как пользователь будет использовать службу FTP.

Часть 2. Введите данные пользователя FTP

Далее вам необходимо создать группу. Даже если в данный момент у вас есть только один пользователь, в будущем может быть очень удобно, если вы решите иметь несколько пользователей с одинаковыми разрешениями. Для этого щелкните правой кнопкой мыши Группу или пустое пространство внутри этой папки и выберите «Новая группа…» (19).

Часть 2. Создание новой группы для пользователей FTP

В окне «Новая группа» вам нужно 0003 введите имя и описание группы  (20). Затем нажмите «Добавить»   (21), чтобы добавить пользователей в группу. После завершения нажмите «Создать» , чтобы создать группу.

Часть 2. Введите информацию о группе

Часть 3. Настройка папки FTP

Итак, вы установили FTP-сервер и создали пользователя, который может загружать и скачивать файлы. Однако у вас еще нет папки, в которой можно хранить эти файлы.

Чтобы создать папку, откройте проводник Windows и создайте ее в удобном месте. В этом руководстве мы создали его по адресу  «C:\\FTP»  (22).

После создания вам нужно будет изменить права доступа к папке, что можно сделать, щелкнув папку правой кнопкой мыши и выбрав  «Свойства»  (23).

Часть 3. Изменение свойств папки FTP0003 «Дополнительно»   (24).

Часть 3. Дополнительные параметры открытия папки FTP

Нам нужно отключить наследование остальной части диска, так как мы хотим настроить доступ вручную. Для этого нажмите «Отключить наследование»  (25).

Часть 3 — Отключение наследования

Далее появится окно, в котором следует выбрать опцию « Преобразовать унаследованные разрешения в явные разрешения на этот объект » (26).

Часть 3. Отключение наследования

Затем нажмите « ОК» , чтобы сохранить изменения (27).

Применить внесенные изменения

В окне «Свойства папки» для папки FTP нажмите « Изменить…» (28), чтобы продолжить внесение изменений в параметры безопасности.

Часть 3. Изменение доступа к папке FTP

На этом этапе рекомендуется применить принцип наименьшего возможного доступа, удаляя всех пользователей, которым не требуется доступ к папке. Для этого в Вкладка «Безопасность» , выберите пользователей для удаления (29) и нажмите « Удалить»  (30).

В этом примере мы решили удалить «Пользователи», что означает всех пользователей на этой машине.

Часть 3. Удаление пользователей, которым не нужен доступ

Далее мы добавим нового пользователя (или новых пользователей), которые смогут использовать FTP-сервер. На вкладке «Безопасность» (где мы были на предыдущем шаге) нажмите « Добавить…» (31) и введите пользователя или пользователей (32), который вы хотите добавить.

Часть 3. Добавление нового пользователя

После того, как вы добавили новых пользователей, вам необходимо предоставить полный доступ (33) пользователю для этой папки, чтобы он мог удалять и копировать файлы, и т. д.

Часть 3. Предоставление пользователям FTP полного доступа к этой папке

Часть 4. Настройка FTP-сайта по-прежнему необходимо настроить FTP-сайт для авторизации соединений, запрета несанкционированного доступа и т. д.

Сначала откройте Internet Information Services Manager и нажмите «Сайты»  в верхнем левом углу окна. В появившемся раскрывающемся меню нажмите «Добавить FTP-сайт…»  (34).

Часть 4. Добавление FTP-сайта

В появившемся окне вам нужно будет ввести имя сайта, который вы собираетесь создать, и физический путь   (35), куда вы хотите данные для сохранения. Эта папка будет «ДОМАШНЕЙ» для приложения. После того, как вы ввели эти данные, нажмите «Далее».

Часть 4. Введите имя и путь к папке для нового FTP-сайта

Далее вам необходимо настроить IP-адрес и порт (36), которые будут принимать FTP-запросы. Вам также необходимо настроить, следует ли  запускать FTP-сайт автоматически  и хотите ли вы  использовать SSL  (37). После того, как вы сделали свой выбор, нажмите «Далее».

Введите данные FTP-подключения

На этом этапе вам необходимо настроить параметры аутентификации и авторизации. Аутентификация раздел (38), вы можете выбрать Анонимную и Обычную аутентификацию. Мы не рекомендуем разрешать анонимную аутентификацию, и в этом руководстве мы выберем только базовую.

В разделе Авторизация необходимо выбрать, у кого есть доступ к сервису  (39). Вы можете выбрать «Все пользователи» или «Указанные роли или группы пользователей», после чего можно, например, заблокировать всех пользователей, кроме одного.

Наконец, вам нужно решить, есть ли у пользователей  Разрешения на чтение или запись или и то, и другое  (40).

Часть 4. Введите информацию для аутентификации и авторизации

Вы завершили настройку FTP-сервера.

Часть 5. Проверки

Чтобы убедиться, что все настроено правильно, попробуйте подключиться к службе FTP. Вы можете попробовать это сначала с самого компьютера, а затем повторить попытку с помощью удаленного подключения.

Мы рекомендуем подключаться следующим образом:

Сначала  откройте командную строку и установите соединение, введя:

# ftp IP_Of_Server

После подключения вам будет предложено ввести имя пользователя и пароль, чтобы получить доступ. Используйте пользователя, которого вы настроили ранее.

После подключения убедитесь, что вы можете загрузить файл и что он отображается в папке FTP.

Для этого используйте команду «put» для загрузки файла.

# поставить файл.расширение

Можно включить функцию, с помощью которой вы можете видеть ход загрузки в виде символа «#» на экране. Для этого просто введите «хэш».

Результат этой проверки может выглядеть примерно так, как показано на скриншоте ниже.

Часть 5. Проверка подключения и загрузка файла

После того, как вы убедились, что все работает правильно, вы также можете проверить возможность доступа к FTP из проводника Windows. Для этого просто откройте проводник Windows и введите «ftp IP_Of_Server» в адресной строке.

Вам будет предложено ввести имя пользователя и пароль. Если все работает правильно, откроется FTP-папка, и вы сможете увидеть содержимое папки .

Часть 5. Проверка службы FTP с помощью проводника Windows

Если оба процесса работают правильно, ваша служба FTP теперь полностью запущена и работает.

Выводы и следующие шаги:

Из этого руководства вы узнали, как  установить и настроить FTP-сервер с помощью IIS  на сервере Windows, размещенном на Jotelulu.

Если вы нашли это руководство полезным и хотели бы узнать больше о других сопутствующих услугах, вам также могут быть интересны следующие руководства:

• Как развернуть новый сервер на Jotelulu.
• Как создать туннель Site-to-site VPN на Jotelulu.
• Как создать образ сервера для использования при настройке нового удаленного рабочего стола.
• Как создать VPC и связать многоуровневые сети на Jotelulu.

Мы надеемся, что это руководство поможет вам быстро и без проблем настроить FTP-сервер. Однако, если у вас возникнут какие-либо проблемы, пожалуйста, не стесняйтесь обращаться к нам, чтобы мы могли вам помочь.

Спасибо за прочтение!

Установка безопасного FTP-сервера в Windows с использованием IIS

Мы финансируемся нашими читателями и можем получать комиссию, когда вы покупаете по ссылкам на нашем сайте.

Мы проведем вас через процесс установки сервера FTPS (Secure FTP) в Windows с использованием IIS 9.0004

Амакири Велекве
советник по технологиям | Cybersecurity Evangelist

26 августа 2022 г.

Служба Microsoft File Transfer Protocol (FTP) включает в себя функции, которые позволяют веб-авторам публиковать контент лучше, чем раньше, позволяя нескольким пользователям получать доступ к своим каталогам, не получая доступа к каталогам других пользователей. пользователи. Это предлагает веб-администраторам дополнительные возможности безопасности и развертывания.

Одна из этих функций известна как FTP через Secure Sockets Layer (SSL) или FTPS . FTPS позволяет шифровать сеансы между FTP-клиентом и сервером. Это расширение широко используемого протокола передачи файлов (FTP), которое добавляет поддержку безопасности транспортного уровня (TLS), ранее известного как уровень защищенных сокетов (SSL). FTPS не следует путать с FTP через SSH, который представляет собой практику туннелирования FTP через SSH-соединение; или SSH File Transfer Protocol (SFTP), подсистема безопасной передачи файлов для протокола Secure Shell (SSH), которая не поддерживается в IIS.

В этой статье мы проведем вас через процесс установки сервера FTPS (Secure FTP) в Windows с использованием IIS. Шаги, необходимые для выполнения процедур, описанных в этой статье, включают:

• Установка компонентов IIS и FTP-сервера.
• Создание сертификата SSL.
• Работа с серверами за внешним брандмауэром/NAT.
• Создание нового пользователя FTP в Windows.
• Создание нового FTP-сайта в IIS.
• Привязка сертификата к TLS/SSL в IIS.
• Настройка аутентификации и авторизации FTP.
• Тестирование вашего нового FTP-сервера.

Установка функций IIS и FTP-сервера

IIS устанавливается по умолчанию на большинстве серверов Windows, но функция FTP-сервера обычно по умолчанию отключена. Поэтому первым шагом является включение функций FTP-сервера. Выполните следующие действия, чтобы включить функцию FTP-сервера в Windows Server 2022, Windows Server 2019, Windows Server 2016 или Windows Server 2012:

1. В Windows Диспетчер сервера перейдите на панель инструментов и запустите Управление >> Добавить роли и компоненты.
2. В мастере добавления ролей и компонентов: перейдите к шагу Тип установки и подтвердите установку на основе ролей или компонентов.
3. Перейдите к шагу «Роли сервера» и проверьте роль веб-сервера (IIS). Обратите внимание, что он уже отмечен, если вы ранее установили IIS в качестве веб-сервера. Если вам будет предложено установить инструмент консоли управления IIS, подтвердите это.
4. Перейдите к шагу Роль веб-сервера (IIS) >> Службы ролей и проверьте службу роли FTP-сервера. Снимите флажок службы роли веб-сервера, если она вам не нужна.
5. Подтвердите установку, нажав «Далее», перейдите к установке и дождитесь завершения установки.

Создание сертификата TLS/SSL для FTPS-сервера

Вашему FTP-серверу требуется сертификат TLS/SSL для установки безопасного соединения между клиентом и сервером. Сертификат содержит информацию об удостоверении сервера, а также о методе шифрования, используемом для установления безопасного канала. Это упрощает конечным пользователям проверку подлинности удаленного компьютера. В зависимости от варианта использования или сценария сертификат TLS/SSL может быть самоподписанным, подписанным доменом или третьей стороной.

• Самоподписанные сертификаты используются на внутренних веб-сайтах, но в таких случаях пользователи вашего FTPS-сервера всегда будут получать предупреждение системы безопасности. Это связано с тем, что невозможно доказать, что личность принадлежит вам, если ее не создал центр сертификации (ЦС).
• Сертификаты домена используются внутри доменов и подписываются центром сертификации организации. Внутренние пользователи не получат никаких предупреждений о безопасности, но пользователи вне домена получат.
• Сертификаты, подписанные третьей стороной, используются на рабочих серверах, поскольку они поддерживаются центром сертификации (ЦС). Сертификаты, подписанные ЦС, гарантируют FTP-клиентам, что ваш сервер является тем, за кого он себя выдает.

С помощью IIS можно создать самозаверяющий сертификат и сертификат домена. Чтобы создать самозаверяющий сертификат , , выполните следующие действия:

• В диспетчере IIS откройте IIS >> Сертификаты сервера.

• В меню «Действия» в правой части диспетчера IIS выберите параметр «Создать самозаверяющий сертификат».

• Укажите имя сертификата (например, «Мой FTP-сертификат») и нажмите «ОК» для отправки.

• Чтобы создать сертификат домена , , выполните следующие действия:

• Перейдите в раздел Сертификаты сервера и выберите «Создать сертификат домена».

Вам потребуется предоставить информацию об отличительном имени (DN) при регистрации и создании запроса на подпись сертификата (CSR).

• В поле «Общее имя» используйте полное доменное имя (FQDN) компьютера или веб-сервера.
• В разделе Организация используйте юридическое название компании.
• В организационном подразделении (OU) используйте отдел или область (необязательно для доменов Active Directory).

• Укажите сетевой центр сертификации в вашем домене. Если в сети есть онлайн-центр сертификации, вы должны увидеть доступную опцию «выбрать». Если параметр «Выбрать» недоступен, вы можете указать DA, используя соответствующее имя, например, CertificateAuhtorityName\Name\ServerName.

Работа с серверами за внешним брандмауэром/NAT

Если ваш сервер находится за внешним брандмауэром/NAT, вам необходимо сообщить FTP-серверу его внешний IP-адрес, чтобы разрешить подключения в пассивном режиме. Для завершения этого процесса выполните следующие шаги:

• В диспетчере IIS откройте FTP >> Поддержка брандмауэра FTP.
• Укажите внешний IP-адрес вашего сервера.
  Для серверов Microsoft Azure Windows вы найдете внешний IP-адрес в разделе Общедоступный IP-адрес на странице виртуальной машины.

Когда вы работаете за внешним брандмауэром, вам необходимо открыть порты для подключения к данным, в дополнение к открытию FTP-порта 21 и, возможно, неявного FTP-порта TLS/SSL 990. Вероятно, вам не захочется открывать весь порт по умолчанию диапазон портов 1024-65535. В таком случае вам нужно указать FTP-серверу использовать только тот диапазон, который открыт на брандмауэре. Для этого используйте поле «Диапазон портов канала данных». Каждый раз, когда вы меняете этот диапазон, вам нужно будет перезапустить службу FTP.

• Щелкните Применить действие, чтобы подтвердить свои настройки.

Некоторые внешние брандмауэры могут контролировать FTP-соединение и автоматически открывать и закрывать порты для передачи данных по мере необходимости. Таким образом, вам не нужно постоянно открывать весь диапазон портов, даже когда они не используются. Это не будет работать с безопасным FTPS, поскольку управляющее соединение зашифровано, и брандмауэр не может его контролировать.

На компьютерах с Windows внутренний брандмауэр Windows автоматически настраивается с помощью правил для портов 21, 990 и 1024-65535, если установлен FTP-сервер IIS. Правила изначально не включены в некоторых версиях Windows. Чтобы включить или изменить правила, выполните следующие действия:

• Перейдите в Панель управления >> Система и безопасность >> Брандмауэр Защитника Windows >> Дополнительные параметры >> Правила для входящих подключений и найдите три правила «FTP-сервер».
• Если правила не включены, щелкните Действия >> Включить правило.

Создание нового пользователя FTP в Windows

В этом разделе мы покажем вам, как создать нового пользователя для подключения к серверу FTPS с соответствующими разрешениями. Вот шаги, которые необходимо предпринять:

• Откройте локальные пользователи и группы на вашем сервере Windows. Перейдите в Диспетчер серверов >> Инструменты >> Управление компьютером. Разверните Системные инструменты >> и откройте «Локальные пользователи и группы».
• Кроме того, вы можете использовать ярлык Win + R, чтобы открыть «Выполнить» и ввести «lusrmgr.msc».
• Перейдите к действию и нажмите «Новый пользователь».

• В окне «Новый пользователь» введите учетные данные пользователя.
• Нажмите «Создать».

Теперь вам нужно предоставить новому пользователю разрешение на доступ к корневой папке FTP

• Папка по умолчанию в IIS для хранения содержимого называется «inetpub». Перейдите в папку C:\inetpub и найдите папку «ftproot».
• Щелкните правой кнопкой мыши и откройте «Свойства».
• Перейдите на вкладку «Безопасность» >>, затем нажмите «Изменить», найдите пользователя, которого вы создали ранее, и установите разрешения. Например, вы можете ограничить или разрешить пользователю доступ к ресурсам корневой папки FTP.

Теперь, когда мы создали пользователя с нужными разрешениями, нам нужно создать FTP-сайт, который может открывать только пользователь с нужными разрешениями.

Создание нового FTP-сайта в IIS

FTP-сайт — это сервер, доступ к которому возможен из-за пределов локальной сети — из любого места в Интернете. На панели «Подключения» щелкните узел «Сайты» в дереве.

• Откройте диспетчер IIS >> перейдите на свой домашний сервер >> на панели «Подключения» щелкните узел «Сайты» в дереве.
• Добавить FTP-сайт. Щелкните правой кнопкой мыши узел «Сайты» в дереве и выберите «Добавить FTP-узел» или щелкните «Добавить FTP-узел» на панели «Действия».

• Когда появится мастер добавления FTP-сайта, введите информацию о FTP-сайте (например, «Мой новый FTP-сайт») и физический путь к каталогу содержимого (например, %SystemDrive%\inetpub\ftproot) в поле имени FTP-сайта. . Какой бы путь вы ни выбрали здесь, убедитесь, что он имеет правильные разрешения для разрешения или ограничения доступа.
• Нажмите Далее

Привязка сертификата к TLS/SSL в IIS

На следующей странице мастера мы попытаемся привязать сертификат к TLS/SSL в IIS. Вы можете привязать сертификаты TLS/SSL во время создания или после создания вашего FTP-сайта. Выполните следующие шаги, чтобы завершить процесс:

• Выберите IP-адрес для вашего FTP-сайта из раскрывающегося списка IP-адресов или примите выбор по умолчанию «Все неназначенные».
• Введите порт TCP/IP для FTP-узла в поле Порт. Для этого пошагового руководства выберите принять порт по умолчанию 21. FTPS использует порт 21 для своих явных управляющих соединений FTPS и порт 990 для неявных управляющих соединений FTPS.
• При желании вы можете установить флажок «Запускать FTP-сайт автоматически». Эта опция полезна, когда сервер выходит из строя. IIS автоматически запустит сайт FTPS после того, как сервер вернется в оперативный режим

.

• Для этого пошагового руководства мы не используем имя хоста, поэтому убедитесь, что поле Виртуальный хост пусто.
• Убедитесь, что в раскрывающемся списке Сертификаты указан ваш сертификат TLS/SSL. Вы можете сделать это, выбрав свой самозаверяющий сертификат, сертификат домена или просмотрев любой сертификат, созданный другими способами.
• Убедитесь, что выбран параметр Разрешить SSL .
• Щелкните Далее.
• Нажмите «Далее» еще раз.

Настройка аутентификации и авторизации FTP

На следующей странице мастера вы сможете определить, кто и как пользователи подключаются к вашему серверу FTPS.

Вы можете выбрать Анонимный (с включенным шифрованием) или Базовый (без шифрования) в зависимости от типа SSL-сертификата.

• Для этого пошагового руководства выберите «Основные» для параметров аутентификации.

Для настроек авторизации:

• Выберите «Определенные пользователи» в раскрывающемся списке «Разрешить доступ».