FTP (File Transfer Protocol) — протокол передачи файлов. Применяется для передачи файлов клиентами локальной сети, а также для загрузки данных на локальные и удаленные хранилища.
Рассмотрим настройку FTP-сервера из набора IIS от компании Microsoft, создание самоподписанного сертификата, а также настройку защищенной передачи файлов.
Операционная система — Windows Server 2012 R2.
Установим Веб-сервер IIS
Запускаем Диспетчер серверов из меню Пуск или кликом по значку на панели задач.
Выбираем пункт Добавить роли и компоненты.
В новом окне выбираем, слева, Тип установки, затем Установка ролей или компонентов, кликаем по кнопке Далее.
Из предложенного пула серверов выбираем необходимый. В нашем случае он один, кликаем Далее.
В списке ролей находим Веб-сервер (IIS) и ставим галочку напротив этого пункта.
В новом окне Мастер добавления ролей и компонентов просто кликаем по Добавить компоненты. Данное окно обычно появляется при первой установке Веб-сервера (IIS). Кликаем Далее.
Слева кликаем по Служба ролей (подпункт Роль Веб-сервера (IIS)). Ставим галку напротив FTP-сервер. При необходимости устанавливаем галку напротив Расширяемость FTP. Кликаем Далее.
Проверяем компоненты для установки. При первой установке, рекомендуем установить галку в поле Автоматический перезапуск конечного сервера, если потребуется. Кликаем Установить. Важно! При первой установке Веб-сервера (IIS) будут установлены дополнительные компоненты службы.
Ожидаем завершения процесса установки. По окончании кликаем Закрыть.
Переходим к настройке сервера.
1. Открываем Администрирование. Можно из меню Пуск, но если там отсутствует этот пункт, то Пуск -> Панель управления -> Система и безопасность — > Администрирование
2. Запускаем Диспетчер служб IIS
3. В открывшемся окне, в левой части, разворачиваем ветку под необходимым сервером. Кликаем правой кнопкой мыши по элементу Сайты и выбираем пункт Добавить FTP-сайт…
4. В новом окне Добавить FTP-сайт указываем имя и путь до каталога где будут расположены файлы. Кликаем Далее.
5. В обновленном окне указываем на каких IP-адресах будет запущен FTP-сервер (актуально, когда у сервера несколько сетевых интерфейсов либо алиасов), а также указываем порт, который будет прослушивать служба (по умолчанию 21 TCP-порт). Проверяем наличие галочки Запускать сайт FTP автоматически. В настройках SSL указываем Без SSL. Если требуется шифрование, тогда выбираем соответствующий пункт и указываем сертификат. Кликаем Далее.
6. Следующим этапом настраиваем аутентификацию. В разделе Проверка подлинности выбираем Обычный (если требуется анонимное предоставление доступа следует выбрать Анонимный). В разделе Авторизация можно гибко указать доступ для пользователей. В нашем примере разрешим доступ Всем пользователям, кроме анонимных. Разрешаем чтение и запись. Кликаем Готово.
7. В случае успешности, в окне Диспетчера служб IIS добавится строка с именем добавленного FTP-сервера (сайта). Сворачиваем или закрываем это окно. Оно нам более не понадобится.
Настраиваем брандмауэр.
1. В окне Администрирование открываем Брандмауэр Windows в режиме повышенной безопасности.
2. В открывшемся окне, в левой части, выбираем Правила для входящих подключений. В правой части кликаем по Создать правило…
3. В новом окне выбираем Предопределенные. Из выпадающего списка выбираем FTP-сервер. Кликаем Далее.
4. Отмечаем галочками все пункты, кликаем Далее.
5. Следующим шагом выбираем Разрешить подключение, кликаем Готово.
Выбранные правила будут добавлены в общий список правил входящих подключений. Для применения настроек брандмауэра следует перезагрузить сервер.
Подключиться к серверу можно любым FTP-клиентом указав IP-адрес сервера, имя пользователя и пароль, например FileZilla. Однако, доступность сервера можно проверить и с помощью Internet Explorer. В строке адреса указываем ftp://IP.адрес.нашего.сервера/ (либо доменное имя). Указываем имя пользователя и пароль.
Настройка защищенного (Secure) FTP.
Для защиты трафика рекомендуется использовать SSL-сертификаты. Можно использовать самоподписанные сертификаты либо выданные центром сертификации. Обратите внимание, что при подключении к серверу с самоподписанным сертификатом пользователь будет уведомлен об этом.
Создадим самоподписанный сертификат.
1. Запускаем Диспетчер служб IIS (см. выше Настройку сервера).
2. В открывшемся окне, в левой части, разворачиваем ветку под необходимым сервером. Выбираем Сертификаты сервера.
3. В новом окне, в правой части, выбираем Создать самозаверенный сертификат.
4. В открывшемся окне указываем имя сертификата и его тип — Личный. Кликаем Ок.
Сертификат создан. Теперь перейдем к настройке защищенного FTP.
1. В окне Диспетчер служб IIS, в левой части, разворачиваем ветку под необходимым сервером, выбираем созданный сервер. В основной части окна выбираем Параметры SSL FTP.
2. В обновленном окне, в выпадающем списке, выбираем созданный сертификат, либо выданный центром сертификации, если такой имеется. Выбираем Требовать SSL-соединения. В правой части окна выбираем Применить. Закрываем окно, если необходимо.
Для подключения к защищенному FTP-серверу рекомендуем использовать программу WinSCP.
Файловый протокол — FTP
Шифрование — Явное шифрование TLS/SSL (TLS/SSL Explicit encryption)
Имя узла — IP-адрес или доменное имя.
Порт — 21, либо который был указан.
Имя и пароль пользователя системы.
Кликаем Войти (Login)
Аverage rating : 3.7
Оценок: 3
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
700
300
Обновлено 20.05.2019
Как настроить ftp в Windows Server 2012 R2
Всем привет в первой части мы с вами установили IIS 8.5 и FTP, давайте теперь посмотрим, как настраивается простейший FTP сервер в Windows Server 2012 R2, я расскажу в каких случаях вам его удобно будет применять. Рассмотрим далее как его обезопасить и решить возникшие ошибки, а они могут быть, особенно у тех системных администраторов, кто это делает в первый раз, но прочитав данную заметку, они избегут этой участи и легко смогут продемонстрировать потом свои навыки и достижения перед коллегами и руководством.
Настройка ftp сервера
Настройка ftp сервера windows server 2012 начинвется вот с таких действий. Открываем меню Средства и выбираем Диспетчер служб IIS
Как настроить ftp в Windows Server 2012 R2-02
Откроется оснастка управления IIS и FTP.
Как настроить ftp в Windows Server 2012 R2-03
Давайте создадим наш ftp сервер, открываем Сайты, щелкаем правым кликом и выбираем Добавить FTP-сайт
Как настроить ftp в Windows Server 2012 R2-04
Вас попросят задать имя FTP-сайта и указать физический путь где будут хранится файлы фтп сервера.
Как настроить ftp в Windows Server 2012 R2-05
Можно задать привязки ip адресов или оставить все свободные, задать порт, по умолчанию это порт 21. При желании можно задать использование SSL и указаьб сертификат, мы пока поставим без SSL. Жмем далее
Как настроить ftp в Windows Server 2012 R2-06
Указываем тип проверки подлинности, либо Анонимный то есть открыты для всех или Обычная, с вводом логина и пароля. Ниже задаем группу или пользователя кому мы даем права на доступ, чтение или чтение с записью. Учтите что у пользователя или группы должны быть права на папку которая является каталогом для ftp иначе получите ошибку что нет прав.
Как настроить ftp в Windows Server 2012 R2-07
Все FTP создан при желании можете добавить пользователей или группы в пункте Правила авторизации FTP.
Как настроить ftp в Windows Server 2012 R2-08
Открываем на другом сервере проводник и пишем адрес вашего ftp сервера, откроется форма ввода пароля, если не открылась то закрыты порты вероятнее всего ниже расскажу как это исправить.
Как настроить ftp в Windows Server 2012 R2-09
Видим, мы получили доступ к серверу по протоколу ftp.
Как настроить ftp в Windows Server 2012 R2-10
Вот так вот просто настроить ftp в Windows Server 2012 R2. Если у вас выскочила ошибка:
В ходе открытия папки на FTP-сервере произошла ошибка.
Убедитесь, что у вас есть разрешение открыть эту папку.
Подробности. Операция прервана по тайм ауту.
В ходе открытия папки на FTP-сервере произошла ошибка.
То читайте как ее решить в статье Ошибка В ходе открытия папки на FTP-сервере произошла ошибка. Материал сайта pyatilistnik.org
Несмотря на то, что протоколу FTP, являющемуся одним из старейших протоколов, уже исполнилось больше 40 лет, он продолжает использоваться повсеместно там, где требуется простой протокол передачи файлов. Сервер FTP можно установить на всех операционных системах Microsoft. Последняя глубокая модернизация этой службы была произведена в Windows 7 / Server 2008 R2 (по сути код сервиса был переписан заново). Была существенно улучшена безопасность службы, и появился ряд новых возможностей. В частности, в FTP сервере на Windows появилась возможность настроить изоляцию FTP пользователей, позволяющая разграничить доступ множества пользователей к собственным папкам на одном FTP сервере.
Благодаря возможности изоляции пользователи могут работать только со своими ftp каталогами, и не могут подняться выше по дереву каталогов, т.к. каталог верхнего уровня пользователя отображается для него, как корень службы FTP. Таким образом можно предотвратить доступ пользователей к чужим файлам на FTP сервере. Изоляция FTP пользователей широко применяется хостинг-провайдерами, когда нужно предоставить индивидуальный доступ различным пользователям к одному файловому хранилищу.
Как и в предыдущих версиях Windows, служба FTP (не путайте с sFTP и TFTP) в Windows Server 2016/2012 R2 основана и глубоко интегрирована в сервис IIS, и имеет единый административный интерфейс управления. В этой статье мы покажем, как установить сервер FTP на базе IIS в Windows Server 2016 / 2012 R2 и настроить на нем изоляцию пользователей (инструкция также применима и к Windows 10 / 8.1).
Содержание:
- Установка роли FTP сервера в Windows Server 2016/ 2012 R2
- Настройка FTP сайта в Windows Server, предоставление прав пользователям
- Настройка изоляции FTP пользователей в Windows Server 2016/2012 R2
- Настройка правил брандмауэра Windows для доступа к FTP серверу
- Проверка подключения к FTP серверу с Windows клиента
Установка роли FTP сервера в Windows Server 2016/ 2012 R2
Установить сервис FTP можно через консоль Server Manager, отметив в разделе Web Server(IIS) -> FTP Server опции FTP Service и FTP Extensibility.
Также можно установить роль FTP сервера одной командой PowerShell:
Install-WindowsFeature Web-FTP-Server
Чтобы установить консоль управления FTP сервером выполните команду:
Install-WindowsFeature -Name "Web-Mgmt-Console"
Настройка FTP сайта в Windows Server, предоставление прав пользователям
Запустите Server Manager и откройте консоль управления IIS (Internet Information Service Manager).
Создайте новый FTP сайт (Sites ->Add FTP Site).
Имя FTP сайта: MyTestSite
Корневой каталог FTP сайта: C:inetpubftproot
Для защиты передаваемых по сети ftp-данных возможно настроить SSL (в этом случае все передаваемые по сети данные и пароли/учетки ftp-пользователей будут зашифрованы), но в нашей демонстрации это не обязательно. Все остальные настройки оставляем стандартными.
Вы можете управлять FTP сайтом с помощью модуля PowerShell WebAdministration. Напримерм, чтобы создать новый FTP сайт достаточно выполнить команды:
Import-Module WebAdministration
#Задаем имя FTP сайта
$FTPSiteName = 'New FTP Site'
#Каталог FTP сайта
$FTPRoot = 'E:wwwFTPRoot'
#порт FTP сайта
$FTPPort = 21
New-WebFtpSite -Name $FTPSiteName -PhysicalPath $FTPRoot -Port $FTPPort
Выберите новый FTP сайт и в секции FTP Authentication (Аутентификация) отключите анонимную аутентификацию Anonymous Authentication. Basic Authentication должна быть включена.
FTP служба на Windows Server 2016 / 2012 R2 может использовать два типа учетных записей: доменные или локальные. В зависимости от типа учетной записи есть различия в структуре каталогов FTP и настройках изоляции пользователей. Мы будем использовать локальные учетные записи Windows.
Создайте FTP пользователей, допустим, это будут учетные записи ftp_user1, ftp_user2 и ftp_user3. Также создайте группу ftp_users, в которую включим этих пользователей. Создать пользователей можно в разделе Local Users and Groups консоли Computer Management.
Также можно создать пользователей и группы из командной строки (или с помощью PowerShell). Создайте локальную группу:
net localgroup ftp_users /add
Создайте нового локального пользователя:
net user ftp_user1 /add *
Добавьте пользователя в группу:
net localgroup ftp_users ftp_user1 /add
Точно так же создайте еще двух пользователей.
Предоставьте созданной группе ftp_users права (RW) на каталог C:inetpubftproot.
Внутри каталога C:inetpubftproot создадйте каталог с именем LocalUser (имя должно полностью соответствовать, это важно!!!). Затем внутри C:inetpubftprootLocalUser создайте три каталога с именами созданных вами пользователей: ftp_user1, ftp_user2, ftp_user3.
Примечание. В зависимости от типа учетных записей необходимо создать следующую структуру каталогов (под %FtpRoot% подразумевается корень сайта FTP, в нашем случае это C:inetpubftproot):
Тип учетной записи | Синтаксис именования домашних каталогов |
Анонимные пользователи | %FtpRoot%LocalUserPublic |
Локальная учетная запись Windows | %FtpRoot%LocalUser%UserName% |
Доменная учетная запись Windows | %FtpRoot%%UserDomain%%UserName% |
Специальные учетки IIS Manager или ASP.NET | %FtpRoot%LocalUser%UserName% |
Вернитесь в консоль IIS и в разделе сайта FTP Authorization Rules создайте новое правило (Add Allow Rule), в котором укажите, что группа ftp_users должна иметь права на чтение и запись (разрешения Read и Write).
Настройка изоляции FTP пользователей в Windows Server 2016/2012 R2
Перейдем к настройке изоляции пользователей FTP. Изоляция FTP пользователей настраивается на уровне сайта FTP, а не всего сервера и позволяет организовать собственный домашний каталог для каждого пользователя. В настройках FTP сайта откройте пункт FTP User Isolation.
В этом разделе имеются несколько настроек. Первые две не предполагают изоляции пользователей:
- FTP root directory (ftp‑сессия пользователя начинается с корневого каталога ftp-сайта);
- User name directory (пользователь начинает работу с физического/виртуального каталога с именем пользователя. Если каталог отсутствует, сессия начинается с корневого каталога ftp-сайта).
Следующие 3 опции представляют различные режимы работы изоляции пользователей:
- User name directory (disable global virtualdirectories) – предполагает, что ftp-сессия пользователя изолирована физическим или виртуальным каталогом имя которого соответствует имени пользователя ftp. Пользователи видят только собственный каталог (для них он является корневым) и не могут выйти за его рамки (в вышестоящий каталог дерева FTP). Любые глобальные виртуальные каталоги игнорируются;
- User name physical directory (enable global virtual directories) – предполагается, что FTP-сессия пользователя ограничена (изолирована) физическим каталогом с именем учетной записи пользователя FTP. Пользователь не может перейти выше своего каталога по структуре FTP. Однако пользователю доступны все созданные глобальные виртуальные каталоги;
- FTP home directory configured in Active Directory – FTP-пользователь изолируется в рамках своего домашнего каталога, заданного в настройках его учетной записи Active Directory (свойства FTPRoot и FTPDir).
Важно. Если глобальные виртуальные директории активны, все пользователи могут получить доступ ко всем виртуальным каталогам, настроенным в корне FTP сайта (при наличии соответствующих NTFS прав доступа).
Выберите нужный режим изоляции (я использую второй вариант изоляции ftp пользователей).
При любых изменениях настроек FTP сайта в IIS желательно перезапускать службу Microsoft FTP Service (FTPSVC).
Настройка правил брандмауэра Windows для доступа к FTP серверу
При установке роли FTP сервера в настройках Windows Firewall автоматически активируются все необходимые правила, которые нужна для доступа пользователей к FTP.
Для корректной работы FTP севера в пассивном режиме FTP пользователям нужно подключаться к RPC диапазону портов (1025-65535). Чтобы не открывать все эти порты на внешнем файерволе, вы можете ограничить диапазон динамических TCP портов, используемых для передачи данных.
- Для этого в настройках FTP сайта в IIS откройте пункт FTP Firewall Support и в поле Data Channel Port Range укажите диапазон портов, который вы хотите использоваться для FTP подключений. Например – 50000-50100;
- Сохраните изменения и перезапустите IIS (iisreset);
- Откройте панель управления и перейдите в Control PanelSystem and SecurityWindows FirewallAllowed apps;
- Убедитесь, что в списке приложении, которым разрешен доступ через брандмауэр присутствуют разрешения для FTP Server.
Затем в настройках Windows Firewall with Advanced Security проверьте, что включены следующие правила:
- FTP Server (FTP Traffic-In) – протокол TCP, порт 21;
- FTP Server Passive (FTP Passive Traffic-In) – адрес локального порта 1024-65535 (либо 50000-50100 как в нашем примере);
- FTP Server Secure (FTP SSL Traffic-In) – (при использовании FTP с SSL) порт 990;
- FTP Server (FTP Traffic-Out) – порт 20;
- FTP Server Secure (FTP SSL Traffic-Out) – (при использовании FTP с SSL) порт 989.
Соответственно эти порты нужно открыть на шлюзе (межсетевом экране) для подключения внешних FTP пользователей.
Проверка подключения к FTP серверу с Windows клиента
Вы можете проверить доступность портов на FTP сервере с помощью командлета Test-NetConnection:
Test-NetConnection -ComputerName yourftpservername -Port 21
Или с помощью команды ftp:
ftp yourftpservername
Попробуйте подключиться к своему FTP сайту с помощью любого клиента FTP или непосредственно из Explorer (в адресной строке указав ftp://yourservername/.
Укажите имя и пароль пользователя.
В результате у вас откроется содержимое домашнего каталога с файлами пользователя (являющимся для пользователя корнем FTP сайта). Как вы видите, сессия пользователя является изолированной и пользователь видит на ftp сервера только свои файлы.
Совет. Если вы хотите использовать анонимный доступ (All anonymous Users), подключаться к вашему FTP серверу смогут любые пользователи, используя в качестве имени anonymous или guest, а в качестве пароля — email-адрес. При анонимном подключении к FTP сайту – сессия будет ограничена каталогом LocalUserPublic (естественно каталог Public должен быть создан предварительно).
Для просмотра информации о доступе пользователей к FTP серверу можно использовать журналы FTP, которые по умолчанию хранятся в каталоге c:inetpublogslogfiles в файлах формата u_exYYMMDD.log.
Для просмотра текущих подключений пользователей к вашему серверу можно пользоваться значениями счетчиками пользователей IIS через PowerShell или функцией «Текущие сеансы FTP» в консоли IIS. В этой консоли можно посмотреть информацию об имени и IP адресе FTP пользователя и отключить сессию при необходимости.
Итак, мы рассмотрели, как настроить FTP сайт с изоляцией пользователей на базе Windows Server 2016 / 2012 R2. В режиме изоляции пользователи аутентифицируются на FTP под своими локальным или доменным учетными записями, после чего они получают доступ к своему корневому каталогу, соответствующему имени пользователя.
Содержание
- Ftp сервер на windows server 2012 r2 настройка
- Настройка ftp сервера
- FTP over SSL (FTPS) в Windows Server 2012 R2
- Установка роли FTP сервера
- Генерация и установка на IIS SSL сертификата
- Создаём FTP сайт с поддержкой SSL
- FTPS и межсетевые экраны
- Тестирование подключения FTP over SSL
- Сценарий. Создание FTP-сайта в СЛУЖБАх IIS
- Предварительные требования
- Шаг 1. Установка FTP на существующем веб-сервере IIS
- Установка FTP на Windows Server 2012
- Установка FTP на Windows 8
- Шаг 2. Добавление FTP-сайта
- Добавление FTP-узла
- Шаг 3. Настройка значений по умолчанию для FTP-сайта
- Настройка параметров по умолчанию FTP-сайта
- Шаг 4. Настройка поддержки брандмауэра
- Настройка поддержки брандмауэра
- Шаг 5. Настройка изоляции пользователей
- Настройка изоляции пользователей
- Шаг 6. Настройка параметров просмотра каталогов
- Настройка параметров просмотра каталогов
- Шаг 7. Настройка ограничений попыток входа
- Настройка ограничения попыток входа
- Шаг 8. Настройка фильтрации запросов
- Настройка фильтрации запросов
- Шаг 9. Настройка ведения журнала FTP
- Настройка ведения журнала FTP
- Шаг 10. Настройка ftp-сообщений
- Настройка сообщений FTP
Ftp сервер на windows server 2012 r2 настройка
Как настроить ftp в Windows Server 2012 R2
Всем привет в первой части мы с вами установили IIS 8.5 и FTP, давайте теперь посмотрим, как настраивается простейший FTP сервер в Windows Server 2012 R2, я расскажу в каких случаях вам его удобно будет применять. Рассмотрим далее как его обезопасить и решить возникшие ошибки, а они могут быть, особенно у тех системных администраторов, кто это делает в первый раз, но прочитав данную заметку, они избегут этой участи и легко смогут продемонстрировать потом свои навыки и достижения перед коллегами и руководством.
Настройка ftp сервера
Настройка ftp сервера windows server 2012 начинвется вот с таких действий. Открываем меню Средства и выбираем Диспетчер служб IIS
Как настроить ftp в Windows Server 2012 R2-02
Откроется оснастка управления IIS и FTP.
Как настроить ftp в Windows Server 2012 R2-03
Давайте создадим наш ftp сервер, открываем Сайты, щелкаем правым кликом и выбираем Добавить FTP-сайт
Как настроить ftp в Windows Server 2012 R2-04
Вас попросят задать имя FTP-сайта и указать физический путь где будут хранится файлы фтп сервера.
Как настроить ftp в Windows Server 2012 R2-05
Можно задать привязки ip адресов или оставить все свободные, задать порт, по умолчанию это порт 21. При желании можно задать использование SSL и указаьб сертификат, мы пока поставим без SSL. Жмем далее
Как настроить ftp в Windows Server 2012 R2-06
Указываем тип проверки подлинности, либо Анонимный то есть открыты для всех или Обычная, с вводом логина и пароля. Ниже задаем группу или пользователя кому мы даем права на доступ, чтение или чтение с записью. Учтите что у пользователя или группы должны быть права на папку которая является каталогом для ftp иначе получите ошибку что нет прав.
Как настроить ftp в Windows Server 2012 R2-07
Все FTP создан при желании можете добавить пользователей или группы в пункте Правила авторизации FTP.
Как настроить ftp в Windows Server 2012 R2-08
Открываем на другом сервере проводник и пишем адрес вашего ftp сервера, откроется форма ввода пароля, если не открылась то закрыты порты вероятнее всего ниже расскажу как это исправить.
Как настроить ftp в Windows Server 2012 R2-09
Видим, мы получили доступ к серверу по протоколу ftp.
Как настроить ftp в Windows Server 2012 R2-10
Вот так вот просто настроить ftp в Windows Server 2012 R2. Если у вас выскочила ошибка:
Убедитесь, что у вас есть разрешение открыть эту папку.
Подробности. Операция прервана по тайм ауту.
В ходе открытия папки на FTP-сервере произошла ошибка.
Источник
FTP over SSL (FTPS) в Windows Server 2012 R2
Одним из основных недостатков протокола FTP для передачи файлов – отсутствие средств защиты и шифрования передаваемых данных. Имя и пароль пользователя при подключении к FTP серверу также передаются в открытом виде. Для передачи данных (особенно по публичным каналам связи) рекомендуется использовать более безопасные протоколы, такие как FTPS или SFTP. Рассмотрим, как настроить FTPS сервер на базе Windows Server 2012 R2.
Протокол FTPS (FTP over SSL/TLS, FTP+SSL) – является расширением стандартного протокола FTP, но соединение между клиентом и сервером защищается (шифруется) с помощью протоколов SSL /TLS. Как правило, для подключения используется тот же самый порт 21.
Поддержка FTP over SSL появилась в IIS 7.0 (Windows Server 2008). Для работы сервера FTPS, на веб сервере IIS понадобится установить SSL сертификат.
Установка роли FTP сервера
Установка роли FTP сервера на Windows Server 2012 проблем не вызывает и уже не раз описана.
Генерация и установка на IIS SSL сертификата
Затем открываем консоль IIS Manager, выбираем сервер и переходим в раздел Server Certificates.
Этот раздел позволяет импортировать сертификат, создать запрос на получение сертификата, обновить сертификат или создать самоподписанный сертификат. В целях демонстрации мы остановимся на самоподписанном сертфикате (его также можно создать с помощью командлета New-SelfSifgnedCertificate). При обращении к сервису будет появляться предупреждение о том, что сертификат выдан недоверенным CA, чтобы отключить это предупреждение для данного сертификата, его можно добавить в доверенные через GPO.
Выбираем Create Self-Signed Certificate.
В мастере создания сертификата указываем его имя и выбираем тип сертификата Web Hosting.
Самоподписанный сертификат должен появиться в списке доступных сертификатов. Срок действия сертификата – 1 год.
Создаём FTP сайт с поддержкой SSL
Далее нужно создать FTP сайт. В консоли IIS щелкаем ПКМ по узлу Sites и создаем новый FTP сайт (Add FTP).
Указываем имя и путь к корневому каталогу FTP сайта (у нас каталог по-умолчанию C:inetpubftproot).
На следующем шаге мастера в разделе SSL сертификатов выбираем созданный нами сертификат.
Осталось выбрать тип аутентификации и права доступа пользователей.
На этом завершаем работу мастера. По умолчанию SSL защита является обязательной и используется для шифрования как команд управления так и и передаваемых данных.
FTPS и межсетевые экраны
При использовании протокола FTP используется 2 разных TCP соединения, по одному передаются команды, по другому данные. Для каждого канала данных открывается свой TCP порт, номер которого выбирается сервером или клиентом. Большинство файерволов позволяют инспектировать FTP трафик и, анализируя его, автоматически открывать нужные порты. При использовании защищенного FTPS передаваемые данные закрыты и не поддаются анализу, в результате межсетевой экран не может определить какой порт нужно открыть для передачи данных.
Чтобы не открывать снаружи к FTPS серверу весь диапазон TCP портов 1024-65535, можно принудительно указать FTP серверу диапазон используемых адресов. Диапазон указывается в настройках сайта IIS в разделе FTP Firewall Support.
После изменения диапазона портов нужно перезапустить сервис (iisreset).
Во встроенном файерволе Windows за входящий трафик будут отвечать правила:
- FTP Server (FTP Traffic-In)
- FTP Server Passive (FTP Passive Traffic-In)
- FTP Server Secure (FTP SSL Traffic-In)
Соответственно на внешнем межсетевом экране придется открыть порты 21, 990 и 50000-50100 (выбранный нами диапазон портов).
Тестирование подключения FTP over SSL
Для тестирования подключения по FTPS воспользуемся клиентом Filezilla.
- Запустите FileZilla (или любой другой клиент с поддержкой FTPS).
- Нажмите File>SiteManager, и создайте новое подключение (NewSite).
- Укажите адрес FTPS сервера (Host), тип протокола (RequireexplicitFTPoverTLS), имя пользователя (поле User) и требование требовать ввод пароля для авторизации (Askforpassword)
- Нажимаем кнопку Connect и вводим пароль пользователя.
- Должно появиться предупреждение о недоверенном сертификате (при использовании самоподписанного сертификата). Подтверждаем соединение.
- Соединение должно установиться, а в журнале должны появиться строки:
Status: Initializing TLS.
Status: Verifying certificate.
Status: TLS connection established.
Источник
Сценарий. Создание FTP-сайта в СЛУЖБАх IIS
Протокол передачи данных (FTP) — это протокол передачи файлов между компьютерными системами. IIS 8 включает FTP-сервер, который легко настроить.
В документе показано, как установить и настроить FTP-сервер на существующем веб-сервере IIS 8. Первые два шага — обязательны. Все остальные шаги дополнительные, но рекомендуемые.
Предварительные требования
Чтобы получить максимум от этого учебника, необходимо иметь компьютер, который работает под управлением одной из следующих операционных систем:
Шаг 1. Установка FTP на существующем веб-сервере IIS
На этом шаге показано, как установить службу FTP на существующем веб-сервере IIS, работающем на Windows Server 2012 или Windows 8.
Установка FTP на Windows Server 2012
- На начальном экране щелкните плитку Диспетчер сервера, а затем нажмите Да.
- На панели мониторинга диспетчера сервера щелкните ссылку Добавить роли и компоненты.
- Если отобразится страница Перед началом работы в Мастере добавления ролей и компонентов, нажмите кнопку Далее.
- На странице выбора типа установки выберите Установка ролей или компонентов и нажмите кнопку Далее.
- На странице выбора целевого сервера нажмите Выберите сервер из пула серверов, выберите сервер из списка пула серверов и нажмите кнопку Далее.
- На странице Выбор ролей сервера разверните узел Веб-сервер (IIS) и разверните узел FTP-сервер.
- Установите флажок FTP-сервер и флажок Служба FTP, после чего нажмите кнопку Далее.
- На странице Выбор компонентов нажмите кнопку Далее.
- На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.
Установка FTP на Windows 8
- На начальном экране введите Панель управления, а затем нажмите значок панели управления в результатах поиска.
- Выберите раздел Программы, а затем щелкните Включение или отключение компонентов Windows.
- В диалоговом окне Компоненты Windows разверните узел Службы IIS.
- Разверните узел FTP-сервер.
- Установите флажок FTP-сервер и флажок Служба FTP, а затем нажмите кнопку ОК.
Шаг 2. Добавление FTP-сайта
После установки службы FTP на веб-сервере IIS можно добавлять FTP-сайты. Добавляйте FTP-сайт, когда требуется разрешить клиентам передавать файлы на сайт и с сайта с помощью протокола FTP.
Поскольку параметры FTP содержатся в разделе сайтов, изменение какого-либо параметра FTP также вызывает перезапуск приложения веб-сайта. Чтобы исключить этот сторонний эффект, добавляйте сайт, настроенный исключительно для FTP, вместо сайта для HTTP и FTP.
Добавление FTP-узла
Откройте диспетчер служб IIS.
В области Подключения разверните узел сервера и щелкните узел Сайты.
На панели Действия нажмите кнопку Добавить FTP-сайт, чтобы открыть мастер Добавление FTP-сайта.
На странице Сведения об узле в поле Имя FTP-сайта введите уникальное понятное имя этого узла FTP.
В поле Физический путь введите физический путь или нажмите кнопку обзора (. ), чтобы найти физический путь к каталогу содержимого.
Щелкните Далее, чтобы открыть страницу Параметры SSL и привязки.
В разделе Привязки в списке IP-адрес выберите или введите IP-адрес, если вы не хотите использовать параметр Все не назначены.
В поле Порт введите номер порта.
При необходимости в поле Виртуальный узел введите имя узла, если вы хотите разместить несколько FTP-узлов на одном IP-адресе. Например, введите www.contoso.com .
Снимите флажок Запускать FTP-сайт автоматически, если узел должен запускаться вручную.
В разделе SSL в списке SSL-сертификат выберите сертификат. При необходимости щелкните Просмотреть, чтобы открыть диалоговое окно Сертификаты и проверить сведения о выбранном сертификате.
Выберите один из следующих вариантов.
- Разрешить SSL: позволяет FTP-серверу поддерживать SSL- и другие подключения к клиенту.
- Требовать SSL: требовать шифрование SSL для взаимодействия между клиентом и сервером FTP.
Нажмите кнопку Далее, чтобы открыть страницу Сведения о проверке подлинности и авторизации.
В разделе Проверка подлинности, выберите метод или методы проверки подлинности, которые вы хотите использовать.
- Анонимный: позволяет любому пользователю получить доступ к содержимому, указав имя пользователя anonymous или ftp. (Большинство клиентов FTP, но не все, вводят имя пользователя автоматически.)
- Обычная: требует ввода имени пользователя и пароля для доступа к содержимому. Так как обычная проверка подлинности передает незашифрованные пароли по сети, используйте этот метод проверки подлинности, только если известно, что соединение между клиентом и сервером FTP безопасно, например при использовании протокола SSL.
В разделе Авторизация в списке Разрешить доступ выберите один из следующих вариантов.
- Все пользователи: всем пользователям как анонимным, так и идентифицированным, предоставляется доступ к содержимому.
- Анонимные пользователи: анонимные пользователи могут получить доступ к содержимому.
- Указанные роли или группы пользователей: только члены некоторых ролей или групп пользователей могут получить доступ к содержимому. Введите имя роли или группы в соответствующее поле.
- Указанные пользователи: доступ к содержимому разрешен только указанным пользователям. Введите имя пользователя в соответствующее поле.
Если вы выбрали параметр из списка Разрешить доступ, выберите одно или оба указанных ниже разрешения.
- Чтение: позволяет авторизованным пользователям читать содержимое каталога.
- Запись: позволяет авторизованным пользователям записывать данные в каталог.
Нажмите кнопку Готово.
Шаг 3. Настройка значений по умолчанию для FTP-сайта
Если требуется, чтобы новые FTP-сайты использовали другое значение параметра, можно изменить параметр по умолчанию для FTP-сайта.
При изменении значения по умолчанию старый параметр в существующих сайтах не переопределяется. Для существующих сайтов значение параметра необходимо изменять вручную.
Настройка параметров по умолчанию FTP-сайта
- Откройте диспетчер служб IIS.
- В области Подключения разверните узел сервера, а затем разверните узел Сайты.
- В области Действия выберите Параметры FTP-сайта по умолчанию.
- Измените параметры, а затем нажмите кнопку ОК.
В следующей таблице приведены параметры, которые можно настраивать в диалоговом окне Параметры FTP-сайта по умолчанию.
Категория параметра | Имя параметра | Описание |
---|---|---|
Общие сведения | Разрешить UTF-8 | Указывает, используется ли кодировка UTF8. Значение по умолчанию — true. |
Общие сведения | Запускать автоматически | Если установлено значение true, то FTP-сайт запускается сразу после создания или при запуске службы FTP. Значение по умолчанию — true. |
Соединения | Время ожидания канала управления | Задает время ожидания (в секундах), после истечения которого подключение прекращается из-за отсутствия активности. |
Соединения | Время ожидания канала данных | Задает время ожидания (в секундах), после истечения которого канал данных прекращается из-за отсутствия активности. |
Соединения | Отключить группировку сокетов | Указывает, используется ли группировка сокетов для сайтов, различающихся по IP-адресу, а не номеру порта или имени узла. |
Соединения | Максимальное число подключений | Задает максимальное количество одновременных подключений к серверу. |
Соединения | Сброс при максимальном числе подключений | Указывает, должен ли отключаться сеанс FTP при отправке максимального числа запросов на подключение. |
Соединения | Журнал прослушивания сервера | Задает число ожидающих сокетов, которые могут быть помещены в очередь. |
Соединения | Время ожидания сеанса без проверки подлинности | Задает время ожидания, в течение которого после установки нового подключения можно успешно пройти проверку подлинности. |
Кэширование учетных данных | Активировано | Указывает, включено ли кэширование учетных данных для службы FTP. |
Кэширование учетных данных | Интервал записи | Задает время существования кэша в секундах для учетных данных, сохраненных в кэше. |
Обработка файлов | Разрешить чтение файлов во время передачи | Указывает, могут ли читаться файлы во время их передачи на сервер. |
Обработка файлов | Разрешить замену при переименовании | Указывает, могут ли файлы переопределять другие файлы при переименовании. |
Обработка файлов | Сохранять частично переданные файлы | Указывает, должны ли сохраняться частично переданные файлы. |
Шаг 4. Настройка поддержки брандмауэра
С помощью компонента Поддержка брандмауэра FTP можно настроить следующие параметры, позволяющие FTP-серверу принимать пассивные подключения данных от брандмауэра.
- Диапазон портов канала данных: укажите диапазон портов для пассивных подключений к данным. Необходимо также открыть этот диапазон портов в брандмауэре. Этот параметр можно настроить только на уровне сервера, а диапазон портов «0–0» означает использование временного диапазона портов сервера. Временный порт — это порт транспортного протокола с коротким временем существования, который TCP/IP выделяет из предварительно заданного диапазона.
- Внешний IP-адрес брандмауэра: укажите внешний IP-адрес брандмауэра, чтобы клиенты знали, какой IP-адрес следует использовать при обмене данными с FTP-сервером через брандмауэр.
Настройка поддержки брандмауэра
Откройте диспетчер служб IIS.
В области Подключения выберите узел сервера.
В окне Просмотр возможностей, дважды щелкните пункт Поддержка брандмауэра FTP.
В поле Диапазон портов канала данных укажите диапазон номеров портов (через дефис). Например, введите 5000–6000. Можно также указать 0-0, чтобы использовался диапазон портов по умолчанию, заданный в параметрах Windows TCP/IP.
Не используйте порты от 0 до 1024, поскольку они являются зарезервированными.
В поле Внешний IP-адрес брандмауэра укажите IP-адрес брандмауэра.
В области Действия нажмите кнопку Применить.
Шаг 5. Настройка изоляции пользователей
Функция изоляции пользователей позволяет настроить FTP-сервер для изоляции пользователей, которая запрещает пользователям доступ к каталогам других пользователей на одном и том же FTP-сайте. Если решено не изолировать пользователей, то они будут совместно использовать общую структуру каталогов.
Например, можно не изолировать пользователей на сайте, который предлагает только возможности загрузки общедоступного контента, или на сайте, который не требует защиты данных от других пользователей.
Если требуется изолировать пользователей на сайте, можно выбрать один из следующих параметров изоляции.
- Каталог имени пользователя: изолирует сеансы пользователей к физическому или виртуальному каталогу с тем же именем учетной записи пользователя FTP. Пользователь может видеть только свой корневой путь FTP и, следовательно, не может перейти на уровень выше своего физического или виртуального дерева папок. Любые создаваемые глобальные виртуальные каталоги игнорируются.
- Физический каталог имени пользователя: изолирует сеансы пользователей в физическом каталоге с тем же именем учетной записи пользователя FTP. Пользователь может видеть только свой корневой путь FTP и, следовательно, не может перейти на уровень выше своего физического дерева папок. Все создаваемые глобальные виртуальные каталоги относятся ко всем пользователям.
- Домашний каталог FTP, настроенный в Active Directory: изолирует сеансы пользователей в домашнем каталоге, настроенном в параметрах учетной записи Active Directory для каждого пользователя FTP.
Настройка изоляции пользователей
Откройте диспетчер служб IIS.
В окне Просмотр возможностей, дважды щелкните пункт Изоляция пользователя FTP.
Если вы не хотите изолировать пользователей, в разделе «Не изолировать пользователей». Запустите пользователей, выберите один из следующих вариантов:
- Корневой каталог FTP: указывает, что все сеансы FTP запускаются в корневом каталоге FTP-сайта. Этот параметр отключает все изоляции пользователей и логику исходной папки.
- Каталог имени пользователя: указывает, что все сеансы FTP запускаются в физическом или виртуальном каталоге с именем текущего пользователя, выполнившего вход, если такой каталог существует; в противном случае сеанс FTP запускается в корневом каталоге для FTP-сайта.
Если вы хотите изолировать пользователей, в разделе «Изоляция пользователей». Ограничьте пользователей следующим каталогом, выберите один из следующих вариантов:
- Каталог имени пользователя (отключить глобальные виртуальные каталоги): сеансы пользователя изолируются в физическом или виртуальном каталоге с именем учетной записи пользователя FTP.
- Физический каталог имени пользователя (включить глобальные виртуальные каталоги): сеансы пользователя изолируются в физическом каталоге с именем учетной записи пользователя FTP.
- Корневой каталог FTP настроен в Active Directory: сеансы пользователя изолируются в домашнем каталоге, настроенном в параметрах учетной записи Active Directory для каждого пользователя FTP.
- Настраиваемый. Этот параметр является расширенной функцией и позволяет разработчикам создавать настраиваемые поставщики, предоставляющие поиски домашнего каталога в зависимости от их уникальных бизнес-потребностей.
Если на предыдущем шаге был выбран параметр Корневой каталог FTP настроен в Active Directory, нажмите кнопку Задать , а затем введите в полях Имя пользователя и Пароль диалогового окна Задать учетные данные имя и пароль пользователя, который имеет доступ к серверу Active Directory. Еще раз введите пароль в поле Подтверждение пароля и нажмите кнопку ОК.
В области Действия нажмите кнопку Применить.
Шаг 6. Настройка параметров просмотра каталогов
Функция просмотра каталогов дает возможность управления тем, что отображается при просмотре пользователями каталогов FTP.
Настройка параметров просмотра каталогов
Откройте диспетчер служб IIS.
В области Подключения выберите уровень сервера или уровень сайта.
В окне Просмотр возможностей дважды щелкните элемент Просмотр каталогов FTP.
На странице Просмотр каталогов FTP в разделе Стиль вывода каталогов выберите один из следующих параметров.
- MS-DOS: отображение содержимого каталога в соответствии с MS-DOS.
- UNIX: отображение содержимого каталога в соответствии с UNIX.
В разделе Параметры отображения списка каталогов выберите сведения, которые должны отображаться в списке каталогов. Можно выбрать любые следующие параметры.
- Виртуальные каталоги: показывает виртуальные каталоги.
- Доступные байты: отображает размер файла в байтах.
- Четыре цифры: отображает годы с использованием четырех цифр, а не двух.
В области Действия нажмите кнопку Применить.
Шаг 7. Настройка ограничений попыток входа
Эта функция позволяет настроить максимальное число неудачных попыток входа, разрешенное в течение указанного времени, прежде чем IP-адрес будет отклонен.
Настройка ограничения попыток входа
- Откройте диспетчер служб IIS.
- В области Подключения выберите уровень сервера.
- В окне Просмотр возможностей, дважды щелкните элемент Ограничение попыток входа на FTP.
- На странице Ограничение попыток входа на FTP установите флажок Включить ограничение попыток входа на FTP.
- В поле Максимальное число неудачных попыток входа введите целое положительное число. Значение по умолчанию — 4.
- В поле Период времени (в секундах) введите положительное число. Значение по умолчанию равно 30.
- Выберите либо Запрещать IP-адреса на основе неудачных попыток входа, либо Только запись в журнал. Если выбран параметр Только запись в журнал, службы IIS не будут ограничивать клиентов, даже если будет превышено максимальное число неудачных попыток входа.
- В области Действия нажмите кнопку Применить.
Шаг 8. Настройка фильтрации запросов
Используйте страницу компонента Фильтрация запросов FTP, чтобы настроить параметры фильтрации запросов для вашего FTP-сайта. Фильтрация запросов FTP — это обеспечивающий безопасность компонент, позволяющий поставщикам услуг Интернета (ISP) и поставщикам услуг по предоставлению приложений в аренду ограничить поведение протокола и содержимого.
Настройка фильтрации запросов
- Откройте диспетчер служб IIS.
- В области Подключения выберите уровень сервера или уровень сайта.
- В окне Просмотр возможностей дважды щелкните значок Фильтрация запросов FTP.
- Чтобы изменить общие параметры фильтрации запросов, щелкните элемент Изменить параметры компонента в области Действия. Затем измените общие параметры по необходимости.
- Чтобы добавить фильтр на основе расширений имен файлов, перейдите на вкладку «Расширение имени файла «. В области действий щелкните «Разрешить расширение имени файла » или «Запретить расширения имени файла«. Затем введите расширение в поле Расширение имени файла и нажмите кнопку ОК.
- Чтобы добавить фильтр на основе сегмента URL-адреса (например, имени папки), выберите вкладку «Скрытые сегменты «. В области действий нажмите кнопку «Добавить скрытый сегмент«. Затем введите сегмент в поле Скрытый сегмент и нажмите кнопку ОК.
- Чтобы добавить фильтр на основе последовательности URL-адресов, выберите вкладку «Отказано в последовательности URL-адресов «. На панели действий щелкните «Добавить последовательность URL-адресов«. Затем введите последовательность в поле Последовательность URL-адресов и нажмите кнопку ОК.
- Чтобы добавить фильтр на основе команды, выберите вкладку «Команды «. На панели действий щелкните «Разрешить команду» или » Запретить команду«. Затем введите команду в поле Команда и нажмите кнопку ОК. (Предупреждение. Возможность добавления фильтра на основе команд — это расширенная функция. Если вы неправильно используете эту функцию, вы можете запретить доступ ко всем FTP-клиентам на сервере.)
Шаг 9. Настройка ведения журнала FTP
Чтобы настроить функции ведения журнала на уровне сервера или сайта, а также настроить параметры ведения журнала, можно использовать компонент Ведение журнала FTP.
Настройка ведения журнала FTP
Откройте диспетчер служб IIS.
В области Подключения выберите уровень сервера или уровень сайта.
В окне Просмотр возможностей дважды щелкните значок Ведение журнала FTP.
В меню Один файл журнала на выберите пункт Сайт или Сервер.
В разделе Файл журнала щелкните элемент Выберите поля W3C и выберите сведения, которые требуется регистрировать в журнале.
В разделе Каталог введите путь к базовой папке, в которой должны храниться файлы журнала FTP, или нажмите кнопку Обзор, чтобы найти эту базовую папку.
В разделе Кодировка выберите либо UTF8 (однобайтовые и многобайтовые символы), либо ANSI (только однобайтовые символы).
В разделе Переход на новый файл журнала укажите, когда FTP следует создавать новые файлы журналов, выбрав соответствующий параметр из следующего списка.
- Расписание: выберите Ежечасно, Ежедневно, Еженедельно или Ежемесячно, чтобы новые файлы журнала создавались через определенные интервалы времени.
- Максимальный размер файла (в байтах): укажите положительное целое число, чтобы новые файлы журнала создавались, когда размер файла превысит это число байт.
- Не создавать новые файлы журнала.
Если требуется, чтобы при именовании и переходе на новый файл журнала использовалось не время в формате UTC, а местное время, установите флажок Использовать местное время в имени файла.
В области Действия нажмите кнопку Применить.
Шаг 10. Настройка ftp-сообщений
Для изменения параметров сообщений, отправляемых при подключении пользователя к FTP-сайту, используется компонент Сообщения FTP.
Настройка сообщений FTP
В области Подключения выберите уровень сервера или уровень сайта.
В окне Просмотр возможностей дважды щелкните элемент Сообщения FTP.
На странице Сообщения FTP в разделе Поведение сообщений укажите, каким должно быть поведение сообщений FTP. Можно выбрать любые следующие параметры.
Отключить баннер по умолчанию: указывает, следует ли отображать баннер идентификации по умолчанию для FTP-сервера.
Поддержка пользовательских переменных в сообщениях: указывает, следует ли отображать определенный набор пользовательских переменных в сообщениях FTP. Поддерживаются следующие пользовательские переменные:
- %BytesReceived % — количество байтов, отправляемых с сервера клиенту для текущего сеанса.
- %BytesSent % — количество байтов, отправляемых от клиента на сервер для текущего сеанса.
- %SessionID % — уникальный идентификатор текущего сеанса.
- %SiteName % — имя FTP-сайта, на котором размещен текущий сеанс.
- %UserName% — имя учетной записи пользователя, вошедшего в систему.
Отображение подробных сообщений для локальных запросов: указывает, следует ли отображать подробные сообщения об ошибках при подключении FTP-клиента к FTP-серверу на самом сервере (локальном узле).
В разделе «Текст сообщения» введите сообщения в следующих полях.
- Баннер. Указывает сообщение, которое ftp-сервер отображает при первом подключении клиентов FTP к FTP-серверу.
- Приветствие. Указывает сообщение, которое ftp-сервер отображает, когда FTP-клиенты вошли на FTP-сервер.
- Выход. Указывает сообщение, которое ftp-сервер отображает при выходе FTP-клиентов из FTP-сервера.
- Максимальное количество подключений. Указывает сообщение, которое ftp-сервер отображает, когда клиенты пытаются подключиться и не могут, так как служба FTP достигла максимального числа разрешенных клиентских подключений.
В области Действия нажмите кнопку Применить.
Источник
Расскажем, как установить и настроить FTP-сервер на VPS под управлением ОС Windows Server 2012, а также настроить брандмауэр, подключить к серверу, плюс дополнительно настроить Secure FTP.
Аббревиатура FTP (File Transfer Protocol) обозначает протокол передачи файлов. FTP предназначен для передачи файлов между машинами в сети. Можно использовать FTP для обмена файлами между локальным ПК и удаленным сервером, для доступа к онлайн-архивам ПО.
В частности, мы рассмотрим установку FTP-сервера в качестве web-сервера IIS, а кроме того, вы можете использовать другое ПО, например — FileZilla Server, Titan FTP Server, Home Ftp Server, Ocean FTP Server.
Установка FTP-сервера
Откройте Диспетчер серверов, выберите пункт «Добавить роли и компоненты».
Нажмите на тип установки «Установка ролей или компонентов».
Теперь выберите необходимый сервер из пула. Нажмите Далее.
Найдите в списке ролей веб-сервер IIS и разверните его. Теперь отметьте галочкой запись «FTP-сервер» и нажмите Далее.
Внимание: в некоторых версия веб-сервера IIS роль FTP-сервера может располагаться на другой странице.
Необходимо подтвердить установку FTP-сервера.
Затем откройте диспетчер служб IIS. Нажмите правой кнопкой мыши «Сайты» и в вертикальном меню выберите «Добавить FTP сайт».
Теперь вам следует указать название FTP-сайта и ввести путь до каталога, в котором будут храниться файлы.
Теперь выберите IP-адрес сервера (он должен совпадать с адресом, указанным в панели управления сервером), установите галочку напротив «Запускать сайт FTP автоматически» и «Без SSL»:
Затем нужно выбрать обычную аутентификацию и разрешить доступ всем пользователям (на чтение и запись).
В следующем окне в качестве аутентификации выберите «Обычная». Авторизация — Все пользователи. Поставьте галочки на нужных разрешениях чтения и записи и нажмите кнопку «Готово».
Сайт появится в древовидной структуре веб-сервера.
Настраиваем брандмауэр
Вначале нужно настроить firewall для внешнего подключения к ftp-серверу. Откройте Брандмауэр Windows в режиме повышенной безопасности и в вертикальном левом меню найдите Правила для входящих подключений, а в вертикальном правом меню -Создать правило.
В открывшемся окне выберите тип «Предопределенные», а в выпадающем списке отметьте FTP-сервер. Нажмите «Далее».
Поставьте галочки на всех строках и нажмите Далее.
На следующем этапе разрешите подключение и нажмите Готово. Перезагрузите сервер, чтобы измененные правила вступили в силу.
Подключение к FTP-серверу
Для подключения к FTP-серверу можно использовать несколько технологий, в том числе через стандартную утилиту Windows — Проводник, а также через программу FileZilla.
В качестве примера проиллюстрируем подключение через Проводник. Введите в адресной строке:
ftp://ip-адрес
Например, ftp://188.227.16.74
Появится окно ввода логина и пароля, в нем введите данные для подключения из панели управления сервером.
Внимание: веб-сервер IIS предоставляет возможности гибкой настройки подключения к FTP-серверу, например разделения видимости пространства для разных пользователей, включения анонимного доступа и настройки прав.
В результате будет предоставлено содержимое папки FTP-сервера:
Внимание: встроенный ftp-сервер web-сервера IIS располагает внушительными возможностями, включая: изоляция пользователей, поддержка SSL, ограничение попыток входа на сервер, ведение журнала с различными параметрами.
Настройка Secure FTP
Можно использовать SSL сертификаты для повышения уровня безопасности вашего файлового сервера. Используется один из двух типов сертификатов: самоподписанный и заверенный центром сертификации. Разумеется, более надежным является второй вариант: файлы центра сертификации.
При созданном локально и самостоятельно заверенном сертификате пользователи вашего сервера FTPS будут предупреждены при подключении к серверу.
Как создать самозаверенный сертификат:
В диспетчере IIS откройте IIS> Сертификаты сервера.
Нажмите «Создать самозаверенный сертификат» в вертикальном правом меню.
Укажите имя сертификата.
Перейдите на начальную страницу вашего FTP-сайта для настройки FTP Secure и двойным щелчком мыши откройте «Параметры SSL FTP».
В открывшемся окне выберите политику «Требовать SSL-соединения», а в выпадающем списке отметьте ваш сертификат и нажмите «Применить».
Подключитесь через защищенный канал с помощью программы WinSCP, а затем выполните такие действия:
в качестве протокола выберите FTP;
шифрование Явное шифрование TLS/SSL;
имя хоста — домен или ip-адрес;
порт — 21, если не настраивался другой;
имя и пароль пользователя системы;
Нажмите «Войти».
Откроется содержимое ftp-каталога!
FTP — это протокол предназначенный для транспортировки файлов в компьютерных сетях. Данный протокол вы можете использовать для обмена файлами между сервером и локальным персональным компьютером по TCP-сетям используя 21 протокол. Так же есть другие альтернативные версии протоколов передачи данных, но FTP является одним из старейших и за долгое время службы показал себя очень хорошо и надежно. Сам же протокол настроен таким образом, что пользователи с различных компьютеров и их конфигураций могут эффективно и без лишних трудностей обмениваться файлами.
Мы будем устанавливать FTP-сервер в роли веб-сервера IIS (вы можете использовать другое ПО, например Titan FTP Server).
Установка
Выберите второй пункт для добавление ролей и компоненотов в Диспетчере серверов.
Следующим шагом необходимо выбрать тип установки.
Выберите необходимый вам сервер из списка и перейдите к следующему шагу.
Теперь вам необходимо найти и отметить FTP-сервер в списке ролей IIS.
Остается только подтвердить установку сервера.
В левом меню открытого диспетчера IIS нажмите правой кнопкой мыши на древо «Сайты» с последующим выбором подменю «Добавить FTP-сайт».
Введите название вашего сервера и назначьте директорию где будут содержаться файлы.
Следующим шагом выберите IP-адрес сервера (должен совпадать с IP-адресом который вы указали в панели управления). Выберем базовые настройки установив отметки напротив «Запускать FTP автоматически» и «Без SSL».
Настроим сведения о проверки подлинности и авторизации.
Проверка подлинности – «обычная». Разрешим доступ всем авторизовавшимся пользователям и дадим право на чтение и запись. После чего, нажав «готово» ваш сайт должен появится в древовидной структуре сервера.
Настройка брандмауэра Windows
Для того, чтобы получить возможность к внешнему подключению к FTP-серверу нужно настроить Firewall. Откроем Брандмауэр (встроенный сетевой экран, который является важной частью центра безопасности Windows, который непосредственно осуществляет контроль доступа программ в сеть) в режиме повышенной безопасности и выберем в меню слева «Правила для входящих подключений» и создадим новое.
В следующем окне после выбора типа «Предопределенные» в выпадающем списке выберите FTP-сервер.
Следующим шагов вам просто нужно отметить все поля галочками.
Укажите действие, которое должно выполниться, когда подключение будет удовлетворять указанным условиям – «Разрешить подключение».
Подключение к FTP-серверу
Подключиться к серверу вы можете несколькими вариантами, через стандартную программу Windows Проводник, или к примеру через программу FileZilla.
Мы выберем вариант с подключением через Проводник. Введите в адресной строке:
ftp://ip-адрес
Пример: ftp://156.237.14.55
В открывшемся окне укажите данные для подключения которые вы так же можете найти в персональной панели управления.
Стоит отметить, что веб-сервер IIS дает возможность гибко настраивать подключение – есть возможность разделять видимость для разных пользователей, настраивать права доступа и использовать анонимность.
После проделанных действия вы увидите содержание папки сервера:
FTP-сервер обладает широким спектром возможностей:
- возможность изоляции пользователей (это способствует тому, что пользователи имеют возможность работать только с разрешенными им каталогами не поднимаясь по древу сервера выше по иерархии, таким образом пользователь ограничен от чужих данных на FTP-сервере;
- поддержка SSL (стоит обратить внимание на данный аспект, поскольку нам необходимо обеспечивать безопасность всех данных в сети интернет, с помощью SSL мы передаем зашифрованную информацию по незащищенным каналам, подробнее вы можете прочесть в наших инструкциях по SSL);
- ведение журнала задавая различные параметры (тут мы можем найти системные сообщения сервера, которые выделяются разными цветами в зависимости от важности и имеем возможность настраивать фильтры).
Настройка FTPS (Secure FTP – расширение самого протокола, которое включает в себя полную поддержку криптографических протоколов, например SSL)
Есть несколько вариантов повысить безопасность файлового сервера, например можно использовать SSL сертификат. Мы рассмотрим именно этот вариант, но существуют так же варианты альтернативных шифрований, изоляция самой среды и использование фаерволов.
Сертификаты делятся на два вида – самоподписанный и заверенный официальным центром по сертификации. Отметим, что наиболее доверенным и надежным является сертификат заверенный официальным центром, подробнее вы можете узнать в статье о разнице между этими видами. Пользователи которые имеют доступ к вашему FTPS серверу будут оповещены о созданном локальном самостоятельно заверенном сертификате.
Рассмотрим процесс создания:
- Выберите пункт Сертификаты и сервера в диспетчере IIS
- В меню справа выберите «Создать самозаверенный сертификат»
- Укажите его имя
Теперь приступим к настройке FTP Secure. Перейдем на главную страницу вашего FTP-сайта и откроем параметры SSL FTP.
В выпавшем окне необходимо выбрать политику SLL – «Требовать SSL-соединения» и нажать Применить.
Чтобы подключиться через защищенный канал мы будем использовать программу WinSCP. Введите следующие настройки после запуска:
- протокол передачи данных выберем FTP;
- явное шифрование;
- имя хоста – ip-адрес или домен вашего сервера;
- — по умолчанию 21 порт
- — пароль и имя пользователя системы
После чего перед вами появится содержимое вашего каталога.
На этом установка и настройка FTP на Windows окончена. В нашей базе знаний вы найдёте ещё множество статей посвящённых различным аспектам работы в Windows, а если вы ищете надежный виртуальный сервер под управлением Windows, обратите внимания на нашу услугу — Аренда виртуального сервера Windows.
Прочитано:
3 720
Сегодня я задокументирую шаги, как поднять FTP сервис на операционной системе Windows Server 2012 R2 Standard. Ранее я уже выкладывал во всеобщее обозрение свою пошаговую заметку по настройке FTP на Server 2008 R2 SP1, да оно работает и по сей день. Сейчас же я хочу сделать все то же самое и под Server 2012 R2, за исключение что выкладывать для всех я не намерен. Я потратил кучу времени чтобы разобраться, как и что, а выложив в публичный доступ, на мне все кому нужна данная задача, просто заработают. А потому я только за платный доступ к собственным реальным наработкам. Ведь опыт приобретается с таким трудом.
Дальнейшие действия выполняю с правами Администратора на серверной операционной системе:
Шаг №1: Нажимаю Win + X → Control Panel — Administrative Tools — Server Manager — Dashboard — Add roles and features — Role-based or feature-based installation — Select a server from the server pool (srv-host: 10.7.8.177) отмечаю роль: Web Server (IIS), затем нажимаю по умолчанию Add Features (Web Server (IIS) — Management Tools — [Tools] IIS Management Console) → Нажимаю Next → Нажимаю Next → а теперь устанавливаю компоненты FTP роли Web Server (IIS):
FTP Server (FTP Service, FTP Extensibility) и нажимаю Next, Install, ожидаю:
или все то же самое выше, но через консоль командной строки запущенной с правами администратора:
Win + X — Command Prompt (Admin)
C:Windowssystem32>cd /d %systemroot%system32WindowsPowerShellv1.0
C:WindowsSystem32WindowsPowerShellv1.0>powershell.exe
PS C:WindowsSystem32WindowsPowerShellv1.0> Install-WindowsFeature Web-FTP-Server
После не забываем перезагрузиться сервер вне зависимости как происходила установки сервиса FTP:
PS C:WindowsSystem32WindowsPowerShellv1.0> shutdown /r /t 3
Когда система загрузилась, авторизовываемся (хотя можно настроить AutoLogon для удобства) и продолжаем.
Шаг №2: Далее создаем каталог где будут располагаться файлы будущего FTP сервиса для обмена:
Win + X — Command Prompt (Admin)
C:Windowssystem32>mkdir c:ftpfolder
Права на каталог должны быть следующими, отключено наследование и:
- группа SYSTEM — Full Control
- группа Administrators — Full Control
- группа Users — Удалена
- добавлена группа NETWORK SERVICE — права до уровня Modify, не полные (т. е. Не Full Control).
Шаг №3: Далее создаем новый FTP сайт:
Win + X — Control panel — Administrative Tools — Internet Information Services (IIS) Manager — SRV-HOST (SRV-HOSTAdministrator) — и через правый клик мышью на Sites выбираю: => Add FTP Site…
- FTP site name: srv-host
- Physical path: c:ftpfolder
Далее отмечаю на каком интерфейсе будет работать данный сервис:
Binding:
- IP Addresses: выбираю текущий IP адрес системы, в моем случае: 10.7.8.177
- Port: 21
- Start FTP site automatically: отмечаю галочкой
- SSL: пока не буду задействовать, это тема отдельной заметки и поэтом отмечаю: No SSL
На заметку: позже можно будет сменить порт если возникнет нужда.
После нажимаю Next, далее определяю как и под кем будет происходит аутентификация на FTP ресурсе:
- Authentication: Basic
- Authorization:
- Allow access to: Specified users
и указываю имена учетных записей: ftpuser1,ftpuser2
- Permissions: отмечаю галочкой Write
и нажимаю Finish.
Шаг №4: Теперь нужно создать данные выше учетные записи и присвоить им пароли, но вот в чем проблема нужной оснастки у меня нет, значит по аналогии, как в Server 2008 R2 нужно доустановить отсутствующие компоненты IIS:
Нажимаю Win + X → Control Panel — Administrative Tools — Server Manager — Dashboard — Add roles and features — Role-based or feature-based installation — Select a server from the server pool (srv-host:10.7.8.177) — разворачиваю роль Web Server (IIS) (11 of 43 installed) — Management Tools (1 of 7 installed) — и отмечаю галочками:
- IIS 6 Management Compatibility
- IIS 6 Metabase Compatibility
- IIS 6 Management Console
- IIS 6 Scripting Tools
- IIS 6 WMI Compatibility
- IIS Management Scripts and Tools
- Management Service
В процессе возникнет окно установки зависимостей, не забываем согласиться с установкой тоже.
и нажимаю Next, Next, отмечаю галочкой, что по завершении процесса установки компонентов IIS следует перезагрузить сервер (Restart the destinations server automatically if required) и нажимаю Install.
Шаг №5: А теперь возвращаемся к созданию логина и пароля:
Нажимаю Win + X → Control Panel — Administrative Tools — Internet Information Services (IIS) Manager — SRV-HOST (SRV-HOSTAdministrator) — IIS Manager Users — Add User…
- User name: ftpuser1
- Password: Aa1234567@!
- Confirm password: Aa1234567@!
И еще одну учетную запись создаю с логином: ftpuser2.
Шаг №6: Далее нужно определить что доступ к FTP ресурсу будет осуществлен с использованием созданных учетных записей IIS, а не учетных записей системы:
Win + X → Control Panel – Administrative Tools – Internet Information Services (IIS) Manager – Start Page – SRV-HOST(SRV-HOSTAdministrator) – Sites – srv-host – FTP Authentication – через правый клик мышью вызываю мастер: Custom Providers… и регистрирую провайдера IisManagerAuth.
Привожу настройки теперь к виду:
- Anonymous Authentication: Disabled
- Basic Authentication: Disables
- IisManagerAuth: Enable
Шаг №7: После запускаю оснастку управления/назначения прав на FTP (либо чтение, либо запись):
Win + X → Control Panel – Administrative Tools – Internet Information Services (IIS) Manager – Start Page – SRV-HOST(SRV-HOSTAdministrator) — Sites — srv-host — FTP Authorization Rules и определяю права доступа → Add Allow Rule… —
- Specified users: ftpuser1,ftpuser2
- Permissions: Read & Write отмечаю галочками.
Шаг №8: Запираем пользователей FTP ресурса данным каталогом указанным в самом начале:
Win + X → Control Panel – Administrative Tools – Internet Information Services (IIS) Manager – Start Page – SRV-HOST(SRV-HOSTAdministrator) — Sites — srv-host — FTP User Isolation:
- Do not isolate users. Start users. In: FTP root directory
Шаг №9: После изменяю, что по дефолту авторизация на FTP будет происходить только с применением специальных пользователей (созданных в оснастке IIS), а не Windows пользователей и Windows пользоваталей:
Win + X → Control Panel – Administrative Tools – Internet Information Services (IIS) Manager – Start Page – SRV-HOST(SRV-HOSTAdministrator) —
(Management) Management Service:
- Enable remote connections: отмечаю галочкой
- Identity Credentials: Windows credentials or IIS Manager credentials
А после не забываем сохранить внесенные изменения нажатием на кнопку Apply.
Шаг №10: Затем следует поправить права на каталог IIS сервера:
C:Windowssystem32>CACLS "%SystemDrive%WindowsSystem32inetsrvconfig" /G "Network Service":R /E
processed dir: C:WindowsSystem32inetsrvconfig
C:Windowssystem32>CACLS "%SystemDrive%WindowsSystem32inetsrvconfigadministration.config" /G "Network Service":R /E
processed file: C:WindowsSystem32inetsrvconfigadministration.config
C:Windowssystem32>CACLS "%SystemDrive%WindowsSystem32inetsrvconfigredirection.config" /G "Network Service":R /E
processed file: C:WindowsSystem32inetsrvconfigredirection.config
C:Windowssystem32>iisreset /stop
C:Windowssystem32>iisreset /start
Шаг №11: Затем добавляю, что к моему ресурсу с FTP Root каталогом (c:ftpfolder) должны иметь доступ созданные пользователи IIS:
Win + X → Control Panel – Administrative Tools – Internet Information Services (IIS) Manager — SRV-HOST (SRV-HOSTAdministrator) — Sites — srv-host — (Management) IIS Manager Permissons — Allow user… —
Select the type of user: отмечаю IIS Manager нажимаю Select и выбираю пользователей: ftpuser1,ftpuser2 и нажимаю OK
После проверяю, что сервис поднялся и ожидает соединения на 21 порт:
Win + X → Command Prompt (Admin) -
C:Windowssystem32>netstat -a | findstr /I ":21"
TCP 0.0.0.0:21 srv-host:0 LISTENING
TCP [::]:21 srv-host:0 LISTENING
Шаг №12: Проверяю, как работает подключение через проводник:
Win + X — File Explorer — и в строке адреса указываем по следующему синтаксису обращение к FTP сервису: ftp://10.7.8.177:21/ и нажимаем клавишу Enter, следом появляется окно аутентификации, указываем:
- User name: ftpuser1
- Password: Aa1234567@!
и нажимаем кнопку Log On, после авторизация проходит успешно и я могу создавать файлы, папки, удалять, переименовывать.
Итого работает.
Только после советую проверить подключение с другой станции к этому FTP сервису, если подключение не происходит, то нужно проверить наличие включенных правил брандмауэера или отключить его
Win — X — Command prompt (Admin):
C:Windowssystem32>netsh advfirewall set allprofiles state off
а после с Ubuntu системы проверить, открыт ли 21 порт через который работает FTP сервис по умолчанию:
ekzorchik@srv-mail:~$ sudo nmap -p21 10.7.8.177
Starting Nmap 6.40 ( http://nmap.org ) at 2017-03-29 08:59 MSK
Nmap scan report for 10.7.8.177
Host is up (0.00073s latency).
PORT STATE SERVICE
21/tcp open ftp
MAC Address: 08:00:27:9B:68:4A (Cadmus Computer Systems)
Nmap done: 1 IP address (1 host up) scanned in 0.48 seconds
Видно, что порт открыт, значит и удаленное подключение можно произвести, как с Ubuntu системы так и с рабочей станции через утилиту FileZilla.
Вот собственно и все действия которые необходимо проделать чтобы на серверной системе Windows Server 2012 R2 Standard поднять сервис FTP для передачи файлов. Хочу отметить, что для защиты каталога от возможного заражения поставить на текущую систему FSRM с запретом записи исполняемых файлов и уведомлением по почте если такая попытка происходит. А также настройка квоты на FTP каталог. На этом всё, с уважением автор блога Олло Александр aka ekzorchik.
Today you step by step installation of Windows Server 2012 FTP Service would like to share,
add a portion of the Role As a first step we select from the Server Manager, Windows 8,
which appears on the screen, select Role-based or feature-based installation click on NEXT,
Then, Windows Server 2012 offers us the beauty of the ‘Service which we want to install on the server’ comes the question. This is probably the lives of system administrators, we have a feature that makes it very easy. Here
I chose the local server.
Feature which appears on the screen by selecting the IIS Webserver (Add Feature) NEXT passing to the next stage,
Another feature is to be included on the next screen i choose NEXT directly,
We continue with NEXT again,
We choose the FTP Server service is part of IIS features are brought about and the next call,
After you install the required services will ever need to restart our server will start automatically re-emerges, and to approve a warning asks confirmation from us. We continue to YES,
As shown below, the installation process begins,
Which resulted in the installation procedure was successful and the server restarts when the user clicks the option screen comes CLOSE,
Windows 8 interface gözattığımızda IIS — Internet Information Service is a service that is no longer available on our server we can see,
As shown below, along with a lot of innovations in Windows Server 2012 in IIS Services 8 version offers
As you can see below C: under test purposes ‘FTP’ have created a folder called,
Under the two types of FTP file klasörümüzün took
Then right-click on the IIS manager on our server by clicking on the ‘Add FTP Site’ he will continue,
Desire by giving a name to C:FTP klasörümüze lead,
FTP service port and the addresses are selected to fulfill the following screen. We left the default options. Of course if you want to be able to bring this service to more secure by choosing SSL,
Active Directory Users and Computers interface will give the FTP service allows users to benefit from a beautiful grupluyoruz,
Here we add the users are able to read or write rights. We also wanted to give write access to users within the company added,
The following screen 2nd screen on the right, select the FTP service FTP Authorization Rules option to add users or groups that want to take advantage of this service. We are created in the Active Directory group called FTP Users added,
Below is a test just to make local server as an address
ftp://127.0.0.1/ establishing of communication by typing the ftp server port number 21 and immediately asked us what we wanted to connect with the user name. We also
Domain User and live to enter the password.
Allow access to the case files for more as you can see below,
If we want, such as Windows Explorer can display this interface,
And come across a screen as follows,
So far everything has worked smoothly, but users are connected locale for. If you want to turn on the Windows Firewall from outside the FTP service to check that the FTP service will need to create a rule small. Advanced options for Windows Firewall service
we’re going to
Select Inbound Rules New Rule section,
create a new port rule,
Portumuzu number 21 over the TCP protocol,
With the option to allow the FTP service,
let the environments in which said opening,
Kuralımıza a name and description (optional) given,
As shown on the picture ready to rule,
Of course, a small detail that emerges friend, the DNS server IP address each time our users do not expect to enter the DNS CNAME record at an ayarlarımızdan,
Entering the IP address of this entry in our server,
As you can see from another server (winsrv-8-SQL) FTP to our server (SRV-8) bağlantmız is taking place,
Explorer interface, trying to create another folder. As mentioned above, the right to connect to the FTP kullancıılarımıza tanımıştık writing,
We have created a test called seamlessly klasörümüzü,
When we have created the Internet Explorer screen refresh with F5, Senior Trial klasörümüzde emerges,
And user rights for the installation of Windows Server 2012, the FTP and DNS settings described thank you all for your interest in this article on.
See you soon …