Настройка ftp сервера на windows server 2012 r2 с авторизацией

Пошаговая инструкция по настройке FTP-сервера в ОС Windows Server 2012 R2, настройке защищенной передачи файлов, созданию самоподписанного сертификата.

FTP (File Transfer Protocol) — протокол передачи файлов. Применяется для передачи файлов клиентами локальной сети, а также для загрузки данных на локальные и удаленные хранилища.

Рассмотрим настройку FTP-сервера из набора IIS от компании Microsoft, создание самоподписанного сертификата, а также настройку защищенной передачи файлов.

Операционная система — Windows Server 2012 R2.

Установим Веб-сервер IIS

Запускаем Диспетчер серверов из меню Пуск или кликом по значку на панели задач.

70_1

Выбираем пункт Добавить роли и компоненты.

9_2

В новом окне выбираем, слева, Тип установки, затем Установка ролей или компонентов, кликаем по кнопке Далее.

5_3

Из предложенного пула серверов выбираем необходимый. В нашем случае он один, кликаем Далее.

92_4

В списке ролей находим Веб-сервер (IIS) и ставим галочку напротив этого пункта.

57_5

В новом окне Мастер добавления ролей и компонентов просто кликаем по Добавить компоненты. Данное окно обычно появляется при первой установке Веб-сервера (IIS). Кликаем Далее.

16_6

Слева кликаем по Служба ролей (подпункт Роль Веб-сервера (IIS)). Ставим галку напротив FTP-сервер. При необходимости устанавливаем галку напротив Расширяемость FTP. Кликаем Далее.

7_7

Проверяем компоненты для установки. При первой установке, рекомендуем установить галку в поле Автоматический перезапуск конечного сервера, если потребуется. Кликаем Установить. Важно! При первой установке Веб-сервера (IIS) будут установлены дополнительные компоненты службы.

66_8

Ожидаем завершения процесса установки. По окончании кликаем Закрыть.

22_9

Переходим к настройке сервера.

1. Открываем Администрирование. Можно из меню Пуск, но если там отсутствует этот пункт, то Пуск -> Панель управления -> Система и безопасность — > Администрирование

25_10

2. Запускаем Диспетчер служб IIS

18_11

3. В открывшемся окне, в левой части, разворачиваем ветку под необходимым сервером. Кликаем правой кнопкой мыши по элементу Сайты и выбираем пункт Добавить FTP-сайт…

15_12

4. В новом окне Добавить FTP-сайт указываем имя и путь до каталога где будут расположены файлы. Кликаем Далее.

31_13

5. В обновленном окне указываем на каких IP-адресах будет запущен FTP-сервер (актуально, когда у сервера несколько сетевых интерфейсов либо алиасов), а также указываем порт, который будет прослушивать служба (по умолчанию 21 TCP-порт). Проверяем наличие галочки Запускать сайт FTP автоматически. В настройках SSL указываем Без SSL. Если требуется шифрование, тогда выбираем соответствующий пункт и указываем сертификат. Кликаем Далее.

68_14

6. Следующим этапом настраиваем аутентификацию. В разделе Проверка подлинности выбираем Обычный (если требуется анонимное предоставление доступа следует выбрать Анонимный). В разделе Авторизация можно гибко указать доступ для пользователей. В нашем примере разрешим доступ Всем пользователям, кроме анонимных. Разрешаем чтение и запись. Кликаем Готово.

25_15

7. В случае успешности, в окне Диспетчера служб IIS добавится строка с именем добавленного FTP-сервера (сайта). Сворачиваем или закрываем это окно. Оно нам более не понадобится.

17_16

Настраиваем брандмауэр.

1. В окне Администрирование открываем Брандмауэр Windows в режиме повышенной безопасности.

86_17

2. В открывшемся окне, в левой части, выбираем Правила для входящих подключений. В правой части кликаем по Создать правило…

60_18

3. В новом окне выбираем Предопределенные. Из выпадающего списка выбираем FTP-сервер. Кликаем Далее.

87_19

4. Отмечаем галочками все пункты, кликаем Далее.

34_20

5. Следующим шагом выбираем Разрешить подключение, кликаем Готово.

25_21

Выбранные правила будут добавлены в общий список правил входящих подключений. Для применения настроек брандмауэра следует перезагрузить сервер.

Подключиться к серверу можно любым FTP-клиентом указав IP-адрес сервера, имя пользователя и пароль, например FileZilla. Однако, доступность сервера можно проверить и с помощью Internet Explorer. В строке адреса указываем ftp://IP.адрес.нашего.сервера/ (либо доменное имя). Указываем имя пользователя и пароль.

82_22

Настройка защищенного (Secure) FTP.

Для защиты трафика рекомендуется использовать SSL-сертификаты. Можно использовать самоподписанные сертификаты либо выданные центром сертификации. Обратите внимание, что при подключении к серверу с самоподписанным сертификатом пользователь будет уведомлен об этом.

Создадим самоподписанный сертификат.

1. Запускаем Диспетчер служб IIS (см. выше Настройку сервера).

88_23

2. В открывшемся окне, в левой части, разворачиваем ветку под необходимым сервером. Выбираем Сертификаты сервера.

79_24

3. В новом окне, в правой части, выбираем Создать самозаверенный сертификат.

74_25

4. В открывшемся окне указываем имя сертификата и его тип — Личный. Кликаем Ок.

68_26

Сертификат создан. Теперь перейдем к настройке защищенного FTP.

1. В окне Диспетчер служб IIS, в левой части, разворачиваем ветку под необходимым сервером, выбираем созданный сервер. В основной части окна выбираем Параметры SSL FTP.

35_27

2. В обновленном окне, в выпадающем списке, выбираем созданный сертификат, либо выданный центром сертификации, если такой имеется. Выбираем Требовать SSL-соединения. В правой части окна выбираем Применить. Закрываем окно, если необходимо.

99_28

Для подключения к защищенному FTP-серверу рекомендуем использовать программу WinSCP.

Файловый протокол — FTP

Шифрование — Явное шифрование TLS/SSL (TLS/SSL Explicit encryption)

Имя узла — IP-адрес или доменное имя.

Порт — 21, либо который был указан.

Имя и пароль пользователя системы.

Кликаем Войти (Login)

54_29

Аverage rating : 3.7

Оценок: 3

220140
Минск
ул. Домбровская, д. 9

+375 (173) 88-72-49

700
300

ООО «ИТГЛОБАЛКОМ БЕЛ»

220140
Минск
ул. Домбровская, д. 9

+375 (173) 88-72-49

700
300

ООО «ИТГЛОБАЛКОМ БЕЛ»

700
300

Несмотря на то, что протоколу FTP, являющемуся одним из старейших протоколов, уже исполнилось больше 40 лет, он продолжает использоваться повсеместно там, где требуется простой протокол передачи файлов. Сервер FTP можно установить на всех операционных системах Microsoft. Последняя глубокая модернизация этой службы была произведена в Windows 7 / Server 2008 R2 (по сути код сервиса был переписан заново). Была существенно улучшена безопасность службы, и появился ряд новых возможностей. В частности, в FTP сервере на Windows появилась возможность настроить изоляцию FTP пользователей, позволяющая разграничить доступ множества пользователей к собственным папкам на одном FTP сервере.

Благодаря возможности изоляции пользователи могут работать только со своими ftp каталогами, и не могут подняться выше по дереву каталогов, т.к. каталог верхнего уровня пользователя отображается для него, как корень службы FTP. Таким образом можно предотвратить доступ пользователей к чужим файлам на FTP сервере. Изоляция FTP пользователей широко применяется хостинг-провайдерами, когда нужно предоставить индивидуальный доступ различным пользователям к одному файловому хранилищу.

Как и в предыдущих версиях Windows, служба FTP (не путайте с sFTP и TFTP) в Windows Server 2016/2012 R2 основана и глубоко интегрирована в сервис IIS, и имеет единый административный интерфейс управления. В этой статье мы покажем, как установить сервер FTP на базе IIS в Windows Server 2016 / 2012 R2 и настроить на нем изоляцию пользователей (инструкция также применима и к Windows 10 / 8.1).

Содержание:

  • Установка роли FTP сервера в Windows Server 2016/ 2012 R2
  • Настройка FTP сайта в Windows Server, предоставление прав пользователям
  • Настройка изоляции FTP пользователей в Windows Server 2016/2012 R2
  • Настройка правил брандмауэра Windows для доступа к FTP серверу
  • Проверка подключения к FTP серверу с Windows клиента

Установка роли FTP сервера в Windows Server 2016/ 2012 R2

Установить сервис FTP можно через консоль Server Manager, отметив в разделе Web Server(IIS) -> FTP Server опции FTP Service и FTP Extensibility. Установка ftp сервера на windows server 2012 r2

Также можно установить роль FTP сервера одной командой PowerShell:
Install-WindowsFeature Web-FTP-Server

Install-WindowsFeature Web-FTP-Server

Чтобы установить консоль управления FTP сервером выполните команду:

Install-WindowsFeature -Name "Web-Mgmt-Console"

Настройка FTP сайта в Windows Server, предоставление прав пользователям

Запустите Server Manager и откройте консоль управления IIS (Internet Information Service Manager).

Консоль управления IIS (Internet Information Service Manager)

Создайте новый FTP сайт (Sites ->Add FTP Site). Добавить новый FTP сайт

Имя FTP сайта: MyTestSite

Корневой каталог FTP сайта: C:inetpubftproot

Задаем имя и путь к каталогу ftp сайта

Для защиты передаваемых по сети ftp-данных возможно настроить SSL (в этом случае все передаваемые по сети данные и пароли/учетки ftp-пользователей будут зашифрованы), но в нашей демонстрации это не обязательно. Все остальные настройки оставляем стандартными.

Вы можете управлять FTP сайтом с помощью модуля PowerShell WebAdministration. Напримерм, чтобы создать новый FTP сайт достаточно выполнить команды:

Import-Module WebAdministration
#Задаем имя FTP сайта
$FTPSiteName = 'New FTP Site'
#Каталог FTP сайта
$FTPRoot = 'E:wwwFTPRoot'
#порт FTP сайта
$FTPPort = 21
New-WebFtpSite -Name $FTPSiteName -PhysicalPath $FTPRoot -Port $FTPPort

Выберите новый FTP сайт и в секции FTP Authentication (Аутентификация) отключите анонимную аутентификацию Anonymous Authentication. Basic Authentication должна быть включена.

Настройка fpt-аутентификации

FTP служба на Windows Server 2016 / 2012 R2 может использовать два типа учетных записей: доменные или локальные. В зависимости от типа учетной записи есть различия в структуре каталогов FTP и настройках изоляции пользователей. Мы будем использовать локальные учетные записи Windows.

Создайте FTP пользователей, допустим, это будут учетные записи ftp_user1, ftp_user2 и ftp_user3. Также создайте группу ftp_users, в которую включим этих пользователей. Создать пользователей можно в разделе Local Users and Groups консоли Computer Management.

Создаем пользователей ftp

Также можно создать пользователей и группы из командной строки (или с помощью PowerShell). Создайте локальную группу:
net localgroup ftp_users /add

Создаем группу пользователей ftp

Создайте нового локального пользователя:

net user ftp_user1 /add *

Создаем пользователя ftp

Добавьте пользователя в группу:

net localgroup ftp_users ftp_user1 /add

Добавляем пользователя в группу

Точно так же создайте еще двух пользователей.

Предоставьте созданной группе ftp_users права (RW) на каталог C:inetpubftproot.

NTFS разрешения на каталог ftproot

Внутри каталога C:inetpubftproot создадйте каталог с именем LocalUser (имя должно полностью соответствовать, это важно!!!). Затем внутри C:inetpubftprootLocalUser создайте три каталога с именами созданных вами пользователей: ftp_user1, ftp_user2, ftp_user3.

Примечание. В зависимости от типа учетных записей необходимо создать следующую структуру каталогов (под %FtpRoot% подразумевается корень сайта FTP, в нашем случае это C:inetpubftproot):

Тип учетной записи Синтаксис именования домашних каталогов
Анонимные пользователи %FtpRoot%LocalUserPublic
Локальная учетная запись Windows %FtpRoot%LocalUser%UserName%
Доменная учетная запись Windows %FtpRoot%%UserDomain%%UserName%
Специальные учетки IIS Manager или ASP.NET %FtpRoot%LocalUser%UserName%

Каталог ftprootLocalUser

Вернитесь в консоль IIS и в разделе сайта FTP Authorization Rules создайте новое правило (Add Allow Rule), в котором укажите, что группа ftp_users должна иметь права на чтение и запись (разрешения Read и Write). FTP Authorization Rules

Настройка изоляции FTP пользователей в Windows Server 2016/2012 R2

Перейдем к настройке изоляции пользователей FTP. Изоляция FTP пользователей настраивается на уровне сайта FTP, а не всего сервера и позволяет организовать собственный домашний каталог для каждого пользователя. В настройках FTP сайта откройте пункт FTP User Isolation.

В этом разделе имеются несколько настроек. Первые две не предполагают изоляции пользователей:

  • FTP root directory (ftp‑сессия пользователя начинается с корневого каталога ftp-сайта);
  • User name directory (пользователь начинает работу с физического/виртуального каталога с именем пользователя. Если каталог отсутствует, сессия начинается с корневого каталога ftp-сайта).

Следующие 3 опции представляют различные режимы работы изоляции пользователей:

  • User name directory (disable global virtualdirectories) – предполагает, что ftp-сессия пользователя изолирована физическим или виртуальным каталогом имя которого соответствует имени пользователя ftp. Пользователи видят только собственный каталог (для них он является корневым) и не могут выйти за его рамки (в вышестоящий каталог дерева FTP). Любые глобальные виртуальные каталоги игнорируются;
  • User name physical directory (enable global virtual directories) – предполагается, что FTP-сессия пользователя ограничена (изолирована) физическим каталогом с именем учетной записи пользователя FTP. Пользователь не может перейти выше своего каталога по структуре FTP. Однако пользователю доступны все созданные глобальные виртуальные каталоги;
  • FTP home directory configured in Active Directory – FTP-пользователь изолируется в рамках своего домашнего каталога, заданного в настройках его учетной записи Active Directory (свойства FTPRoot и FTPDir).

Важно. Если глобальные виртуальные директории активны, все пользователи могут получить доступ ко всем виртуальным каталогам, настроенным в корне FTP сайта (при наличии соответствующих NTFS прав доступа).

Изоляция пользоватателей ftp на windows server 2012 r2

Выберите нужный режим изоляции (я использую второй вариант изоляции ftp пользователей).

При любых изменениях настроек FTP сайта в IIS желательно перезапускать службу Microsoft FTP Service (FTPSVC).

Настройка правил брандмауэра Windows для доступа к FTP серверу

При установке роли FTP сервера в настройках Windows Firewall автоматически активируются все необходимые правила, которые нужна для доступа пользователей к FTP.

Для корректной работы FTP севера в пассивном режиме FTP пользователям нужно подключаться к RPC диапазону портов (1025-65535). Чтобы не открывать все эти порты на внешнем файерволе, вы можете ограничить диапазон динамических TCP портов, используемых для передачи данных.

  1. Для этого в настройках FTP сайта в IIS откройте пункт FTP Firewall Support и в поле Data Channel Port Range укажите диапазон портов, который вы хотите использоваться для FTP подключений. Например – 50000-50100; ftp firewall support
  2. Сохраните изменения и перезапустите IIS (iisreset);
  3. Откройте панель управления и перейдите в Control PanelSystem and SecurityWindows FirewallAllowed apps;
  4. Убедитесь, что в списке приложении, которым разрешен доступ через брандмауэр присутствуют разрешения для FTP Server.ftp server правила в windows firewall

Затем в настройках Windows Firewall with Advanced Security проверьте, что включены следующие правила:

  • FTP Server (FTP Traffic-In) – протокол TCP, порт 21;
  • FTP Server Passive (FTP Passive Traffic-In) – адрес локального порта 1024-65535 (либо 50000-50100 как в нашем примере);
  • FTP Server Secure (FTP SSL Traffic-In) – (при использовании FTP с SSL) порт 990;
  • FTP Server (FTP Traffic-Out) – порт 20;
  • FTP Server Secure (FTP SSL Traffic-Out) – (при использовании FTP с SSL) порт 989.

встроенные правила файервола • FTP Server (FTP Traffic-In)

Соответственно эти порты нужно открыть на шлюзе (межсетевом экране) для подключения внешних FTP пользователей.

Проверка подключения к FTP серверу с Windows клиента

Вы можете проверить доступность портов на FTP сервере с помощью командлета Test-NetConnection:

Test-NetConnection -ComputerName yourftpservername -Port 21

Или с помощью команды ftp:

ftp yourftpservername

Попробуйте подключиться к своему FTP сайту с помощью любого клиента FTP или непосредственно из Explorer (в адресной строке указав ftp://yourservername/.

Укажите имя и пароль пользователя.

Подключаемся к ftp сайту из проводника

В результате у вас откроется содержимое домашнего каталога с файлами пользователя (являющимся для пользователя корнем FTP сайта). Как вы видите, сессия пользователя является изолированной и пользователь видит на ftp сервера только свои файлы. Изолированная FTP сессия

Совет. Если вы хотите использовать анонимный доступ (All anonymous Users), подключаться к вашему FTP серверу смогут любые пользователи, используя в качестве имени anonymous или guest, а в качестве пароля — email-адрес. При анонимном подключении к FTP сайту – сессия будет ограничена каталогом LocalUserPublic (естественно каталог Public должен быть создан предварительно).

Для просмотра информации о доступе пользователей к FTP серверу можно использовать журналы FTP, которые по умолчанию хранятся в каталоге c:inetpublogslogfiles в файлах формата u_exYYMMDD.log.

Для просмотра текущих подключений пользователей к вашему серверу можно пользоваться значениями счетчиками пользователей IIS через PowerShell или функцией «Текущие сеансы FTP» в консоли IIS. В этой консоли можно посмотреть информацию об имени и IP адресе FTP пользователя и отключить сессию при необходимости.просмотр активных ftp подключений в windows server

Итак, мы рассмотрели, как настроить FTP сайт с изоляцией пользователей на базе Windows Server 2016 / 2012 R2. В режиме изоляции пользователи аутентифицируются на FTP под своими локальным или доменным учетными записями, после чего они получают доступ к своему корневому каталогу, соответствующему имени пользователя.


Прочитано:
3 723

Сегодня я задокументирую шаги, как поднять FTP сервис на операционной системе Windows Server 2012 R2 Standard. Ранее я уже выкладывал во всеобщее обозрение свою пошаговую заметку по настройке FTP на Server 2008 R2 SP1, да оно работает и по сей день. Сейчас же я хочу сделать все то же самое и под Server 2012 R2, за исключение что выкладывать для всех я не намерен. Я потратил кучу времени чтобы разобраться, как и что, а выложив в публичный доступ, на мне все кому нужна данная задача, просто заработают. А потому я только за платный доступ к собственным реальным наработкам. Ведь опыт приобретается с таким трудом.

Дальнейшие действия выполняю с правами Администратора на серверной операционной системе:

Шаг №1: Нажимаю Win + X → Control Panel — Administrative Tools — Server Manager — Dashboard — Add roles and features — Role-based or feature-based installation — Select a server from the server pool (srv-host: 10.7.8.177) отмечаю роль: Web Server (IIS), затем нажимаю по умолчанию Add Features (Web Server (IIS) — Management Tools — [Tools] IIS Management Console) → Нажимаю Next → Нажимаю Next → а теперь устанавливаю компоненты FTP роли Web Server (IIS):

FTP Server (FTP Service, FTP Extensibility) и нажимаю Next, Install, ожидаю:

Поднимаю роль IIS с компонентами FTP сервисаили все то же самое выше, но через консоль командной строки запущенной с правами администратора:

Win + X — Command Prompt (Admin)

C:Windowssystem32>cd /d %systemroot%system32WindowsPowerShellv1.0

C:WindowsSystem32WindowsPowerShellv1.0>powershell.exe

PS C:WindowsSystem32WindowsPowerShellv1.0> Install-WindowsFeature Web-FTP-Server

После не забываем перезагрузиться сервер вне зависимости как происходила установки сервиса FTP:

PS C:WindowsSystem32WindowsPowerShellv1.0> shutdown /r /t 3

Когда система загрузилась, авторизовываемся (хотя можно настроить AutoLogon для удобства) и продолжаем.

Шаг №2: Далее создаем каталог где будут располагаться файлы будущего FTP сервиса для обмена:

Win + X — Command Prompt (Admin)

C:Windowssystem32>mkdir c:ftpfolder

Права на каталог должны быть следующими, отключено наследование и:

  • группа SYSTEM — Full Control
  • группа Administrators — Full Control
  • группа Users — Удалена
  • добавлена группа NETWORK SERVICE — права до уровня Modify, не полные (т. е. Не Full Control).

Шаг №3: Далее создаем новый FTP сайт:

Win + X — Control panel — Administrative Tools — Internet Information Services (IIS) Manager — SRV-HOST (SRV-HOSTAdministrator) — и через правый клик мышью на Sites выбираю: => Add FTP Site…

  • FTP site name: srv-host
  • Physical path: c:ftpfolder

Далее отмечаю на каком интерфейсе будет работать данный сервис:

Binding:

  • IP Addresses: выбираю текущий IP адрес системы, в моем случае: 10.7.8.177
  • Port: 21
  • Start FTP site automatically: отмечаю галочкой
  • SSL: пока не буду задействовать, это тема отдельной заметки и поэтом отмечаю: No SSL

На заметку: позже можно будет сменить порт если возникнет нужда.

После нажимаю Next, далее определяю как и под кем будет происходит аутентификация на FTP ресурсе:

  • Authentication: Basic
  • Authorization:
  • Allow access to: Specified users

и указываю имена учетных записей: ftpuser1,ftpuser2

  • Permissions: отмечаю галочкой Write

и нажимаю Finish.

Шаг №4: Теперь нужно создать данные выше учетные записи и присвоить им пароли, но вот в чем проблема нужной оснастки у меня нет, значит по аналогии, как в Server 2008 R2 нужно доустановить отсутствующие компоненты IIS:

Нажимаю Win + X → Control Panel — Administrative Tools — Server Manager — Dashboard — Add roles and features — Role-based or feature-based installation — Select a server from the server pool (srv-host:10.7.8.177) — разворачиваю роль Web Server (IIS) (11 of 43 installed) — Management Tools (1 of 7 installed) — и отмечаю галочками:

  • IIS 6 Management Compatibility
  • IIS 6 Metabase Compatibility
  • IIS 6 Management Console
  • IIS 6 Scripting Tools
  • IIS 6 WMI Compatibility
  • IIS Management Scripts and Tools
  • Management Service

В процессе возникнет окно установки зависимостей, не забываем согласиться с установкой тоже.

и нажимаю Next, Next, отмечаю галочкой, что по завершении процесса установки компонентов IIS следует перезагрузить сервер (Restart the destinations server automatically if required) и нажимаю Install.

Шаг №5: А теперь возвращаемся к созданию логина и пароля:

Нажимаю Win + X → Control Panel — Administrative Tools — Internet Information Services (IIS) Manager — SRV-HOST (SRV-HOSTAdministrator) — IIS Manager Users — Add User…

  • User name: ftpuser1
  • Password: Aa1234567@!
  • Confirm password: Aa1234567@!

И еще одну учетную запись создаю с логином: ftpuser2.

Шаг №6: Далее нужно определить что доступ к FTP ресурсу будет осуществлен с использованием созданных учетных записей IIS, а не учетных записей системы:

Win + X → Control Panel – Administrative Tools – Internet Information Services (IIS) Manager – Start Page – SRV-HOST(SRV-HOSTAdministrator) – Sites – srv-host – FTP Authentication – через правый клик мышью вызываю мастер: Custom Providers… и регистрирую провайдера IisManagerAuth.

Привожу настройки теперь к виду:

  • Anonymous Authentication: Disabled
  • Basic Authentication: Disables
  • IisManagerAuth: Enable

Шаг №7: После запускаю оснастку управления/назначения прав на FTP (либо чтение, либо запись):

Win + X → Control Panel – Administrative Tools – Internet Information Services (IIS) Manager – Start Page – SRV-HOST(SRV-HOSTAdministrator) — Sites — srv-host — FTP Authorization Rules и определяю права доступа → Add Allow Rule… —

  • Specified users: ftpuser1,ftpuser2
  • Permissions: Read & Write отмечаю галочками.

Шаг №8: Запираем пользователей FTP ресурса данным каталогом указанным в самом начале:

Win + X → Control Panel – Administrative Tools – Internet Information Services (IIS) Manager – Start Page – SRV-HOST(SRV-HOSTAdministrator) — Sites — srv-host — FTP User Isolation:

  • Do not isolate users. Start users. In: FTP root directory

Шаг №9: После изменяю, что по дефолту авторизация на FTP будет происходить только с применением специальных пользователей (созданных в оснастке IIS), а не Windows пользователей и Windows пользоваталей:

Win + X → Control Panel – Administrative Tools – Internet Information Services (IIS) Manager – Start Page – SRV-HOST(SRV-HOSTAdministrator) —

(Management) Management Service:

  • Enable remote connections: отмечаю галочкой
  • Identity Credentials: Windows credentials or IIS Manager credentials

А после не забываем сохранить внесенные изменения нажатием на кнопку Apply.

Шаг №10: Затем следует поправить права на каталог IIS сервера:

C:Windowssystem32>CACLS "%SystemDrive%WindowsSystem32inetsrvconfig" /G "Network Service":R /E

processed dir: C:WindowsSystem32inetsrvconfig

C:Windowssystem32>CACLS "%SystemDrive%WindowsSystem32inetsrvconfigadministration.config" /G "Network Service":R /E

processed file: C:WindowsSystem32inetsrvconfigadministration.config

C:Windowssystem32>CACLS "%SystemDrive%WindowsSystem32inetsrvconfigredirection.config" /G "Network Service":R /E

processed file: C:WindowsSystem32inetsrvconfigredirection.config

C:Windowssystem32>iisreset /stop

C:Windowssystem32>iisreset /start

Шаг №11: Затем добавляю, что к моему ресурсу с FTP Root каталогом (c:ftpfolder) должны иметь доступ созданные пользователи IIS:

Win + X → Control Panel – Administrative Tools – Internet Information Services (IIS) Manager — SRV-HOST (SRV-HOSTAdministrator) — Sites — srv-host — (Management) IIS Manager Permissons — Allow user…

Select the type of user: отмечаю IIS Manager нажимаю Select и выбираю пользователей: ftpuser1,ftpuser2 и нажимаю OK

После проверяю, что сервис поднялся и ожидает соединения на 21 порт:

Win + X → Command Prompt (Admin) -

C:Windowssystem32>netstat -a | findstr /I ":21"

TCP 0.0.0.0:21 srv-host:0 LISTENING

TCP [::]:21 srv-host:0 LISTENING

Шаг №12: Проверяю, как работает подключение через проводник:

Win + X — File Explorer — и в строке адреса указываем по следующему синтаксису обращение к FTP сервису: ftp://10.7.8.177:21/ и нажимаем клавишу Enter, следом появляется окно аутентификации, указываем:

  • User name: ftpuser1
  • Password: Aa1234567@!

и нажимаем кнопку Log On, после авторизация проходит успешно и я могу создавать файлы, папки, удалять, переименовывать.

Итого работает.

Только после советую проверить подключение с другой станции к этому FTP сервису, если подключение не происходит, то нужно проверить наличие включенных правил брандмауэера или отключить его

Win — X — Command prompt (Admin):

C:Windowssystem32>netsh advfirewall set allprofiles state off

а после с Ubuntu системы проверить, открыт ли 21 порт через который работает FTP сервис по умолчанию:

ekzorchik@srv-mail:~$ sudo nmap -p21 10.7.8.177

Starting Nmap 6.40 ( http://nmap.org ) at 2017-03-29 08:59 MSK

Nmap scan report for 10.7.8.177

Host is up (0.00073s latency).

PORT STATE SERVICE

21/tcp open ftp

MAC Address: 08:00:27:9B:68:4A (Cadmus Computer Systems)

Nmap done: 1 IP address (1 host up) scanned in 0.48 seconds

Видно, что порт открыт, значит и удаленное подключение можно произвести, как с Ubuntu системы так и с рабочей станции через утилиту FileZilla.

Вот собственно и все действия которые необходимо проделать чтобы на серверной системе Windows Server 2012 R2 Standard поднять сервис FTP для передачи файлов. Хочу отметить, что для защиты каталога от возможного заражения поставить на текущую систему FSRM с запретом записи исполняемых файлов и уведомлением по почте если такая попытка происходит. А также настройка квоты на FTP каталог. На этом всё, с уважением автор блога Олло Александр aka ekzorchik.


Обновлено 20.05.2019

Как настроить ftp в Windows Server 2012 R2-01

Как настроить ftp в Windows Server 2012 R2

Всем привет в первой части мы с вами установили IIS 8.5 и FTP, давайте теперь посмотрим, как настраивается простейший FTP сервер в Windows Server 2012 R2, я расскажу в каких случаях вам его удобно будет применять. Рассмотрим далее как его обезопасить и решить возникшие ошибки, а они могут быть, особенно у тех системных администраторов, кто это делает в первый раз, но прочитав данную заметку, они избегут этой участи и легко смогут продемонстрировать потом свои навыки и достижения перед коллегами и руководством.

Настройка ftp сервера

Настройка ftp сервера windows server 2012 начинвется вот с таких действий. Открываем меню Средства и выбираем Диспетчер служб IIS

Как настроить ftp в Windows Server 2012 R2-02

Как настроить ftp в Windows Server 2012 R2-02

Откроется оснастка управления IIS и FTP.

Как настроить ftp в Windows Server 2012 R2-03

Как настроить ftp в Windows Server 2012 R2-03

Давайте создадим наш ftp сервер, открываем Сайты, щелкаем правым кликом и выбираем Добавить FTP-сайт

Как настроить ftp в Windows Server 2012 R2-04

Как настроить ftp в Windows Server 2012 R2-04

Вас попросят задать имя FTP-сайта и указать физический путь где будут хранится файлы фтп сервера.

Как настроить ftp в Windows Server 2012 R2-05

Как настроить ftp в Windows Server 2012 R2-05

Можно задать привязки ip адресов или оставить все свободные, задать порт, по умолчанию это порт 21. При желании можно задать использование SSL и указаьб сертификат, мы пока поставим без SSL. Жмем далее

Как настроить ftp в Windows Server 2012 R2-06

Как настроить ftp в Windows Server 2012 R2-06

Указываем тип проверки подлинности, либо Анонимный то есть открыты для всех или Обычная, с вводом логина и пароля. Ниже задаем группу или пользователя кому мы даем права на доступ, чтение или чтение с записью. Учтите что у пользователя или группы должны быть права на папку которая является каталогом для ftp иначе получите ошибку что нет прав.

Как настроить ftp в Windows Server 2012 R2-07

Как настроить ftp в Windows Server 2012 R2-07

Все FTP создан при желании можете добавить пользователей или группы в пункте Правила авторизации FTP.

Как настроить ftp в Windows Server 2012 R2-08

Как настроить ftp в Windows Server 2012 R2-08

Открываем на другом сервере проводник и пишем адрес вашего ftp сервера, откроется форма ввода пароля, если не открылась то закрыты порты вероятнее всего ниже расскажу как это исправить.

Как настроить ftp в Windows Server 2012 R2-09

Как настроить ftp в Windows Server 2012 R2-09

Видим, мы получили доступ к серверу по протоколу ftp.

Как настроить ftp в Windows Server 2012 R2-10

Как настроить ftp в Windows Server 2012 R2-10

Вот так вот просто настроить ftp в Windows Server 2012 R2. Если у вас выскочила ошибка:

В ходе открытия папки на FTP-сервере произошла ошибка.

Убедитесь, что у вас есть разрешение открыть эту папку.

Подробности. Операция прервана по тайм ауту.

В ходе открытия папки на FTP-сервере произошла ошибка.

В ходе открытия папки на FTP-сервере произошла ошибка.

То читайте как ее решить в статье Ошибка В ходе открытия папки на FTP-сервере произошла ошибка. Материал сайта pyatilistnik.org

FTP — это протокол предназначенный для транспортировки файлов в компьютерных сетях. Данный протокол вы можете использовать для обмена файлами между сервером и локальным персональным компьютером по TCP-сетям используя 21 протокол. Так же есть другие альтернативные версии протоколов передачи данных, но FTP является одним из старейших и за долгое время службы показал себя очень хорошо и надежно. Сам же протокол настроен таким образом, что пользователи с различных компьютеров и их конфигураций могут эффективно и без лишних трудностей обмениваться файлами.

Мы будем устанавливать FTP-сервер в роли веб-сервера IIS (вы можете использовать другое ПО, например Titan FTP Server).

Установка

Выберите второй пункт для добавление ролей и компоненотов в Диспетчере серверов.

Следующим шагом необходимо выбрать тип установки.

Выберите необходимый вам сервер из списка и перейдите к следующему шагу.

Теперь вам необходимо найти и отметить FTP-сервер в списке ролей IIS.

Остается только подтвердить установку сервера.

В левом меню открытого диспетчера IIS нажмите правой кнопкой мыши на древо «Сайты» с последующим выбором подменю «Добавить FTP-сайт».

Введите название вашего сервера и назначьте директорию где будут содержаться файлы.

Следующим шагом выберите IP-адрес сервера (должен совпадать с IP-адресом который вы указали в панели управления). Выберем базовые настройки установив отметки напротив «Запускать FTP автоматически» и «Без SSL».

Настроим сведения о проверки подлинности и авторизации.

Проверка подлинности – «обычная». Разрешим доступ всем авторизовавшимся пользователям и дадим право на чтение и запись. После чего, нажав «готово» ваш сайт должен появится в древовидной структуре сервера.

Настройка брандмауэра Windows

Для того, чтобы получить возможность к внешнему подключению к FTP-серверу нужно настроить Firewall. Откроем Брандмауэр (встроенный сетевой экран, который является важной частью центра безопасности Windows, который непосредственно осуществляет контроль доступа программ в сеть) в режиме повышенной безопасности и выберем в меню слева «Правила для входящих подключений» и создадим новое.

 

Правила для входящих подключений

 

В следующем окне после выбора типа «Предопределенные» в выпадающем списке выберите FTP-сервер.

 

Тип правила

 

Следующим шагов вам просто нужно отметить все поля галочками.

 

Предопред. правила

 

Укажите действие, которое должно выполниться, когда подключение будет удовлетворять указанным условиям – «Разрешить подключение».

 

Действие

Подключение к FTP-серверу

Подключиться к серверу вы можете несколькими вариантами, через стандартную программу Windows Проводник, или к примеру через программу FileZilla.

Мы выберем вариант с подключением  через Проводник. Введите в адресной строке:

ftp://ip-адрес
Пример:
ftp://156.237.14.55

В открывшемся окне укажите данные для подключения которые вы так же можете найти в персональной панели управления.

 

Вход

 

Стоит отметить, что веб-сервер IIS дает возможность гибко настраивать подключение – есть возможность разделять видимость для разных пользователей, настраивать права доступа и использовать анонимность.

После проделанных действия вы увидите содержание папки сервера:

 

test

 

FTP-сервер обладает широким спектром возможностей:

  • возможность изоляции пользователей (это способствует тому, что пользователи имеют возможность работать только с разрешенными им каталогами не поднимаясь по древу сервера выше по иерархии, таким образом пользователь ограничен от чужих данных на FTP-сервере;
  • поддержка SSL (стоит обратить внимание на данный аспект, поскольку нам необходимо обеспечивать безопасность всех данных в сети интернет, с помощью SSL мы передаем зашифрованную информацию по незащищенным каналам, подробнее вы можете прочесть в наших инструкциях по SSL);
  • ведение журнала задавая различные параметры (тут мы можем найти системные сообщения сервера, которые выделяются разными цветами в зависимости от важности и имеем возможность настраивать фильтры).

Настройка FTPS (Secure FTP – расширение самого протокола, которое включает в себя полную поддержку криптографических протоколов, например SSL)

Есть несколько вариантов повысить безопасность файлового сервера, например можно использовать SSL сертификат. Мы рассмотрим именно этот вариант, но существуют так же варианты альтернативных шифрований, изоляция самой среды и использование фаерволов.

Сертификаты делятся на два вида – самоподписанный и заверенный официальным центром по сертификации. Отметим, что наиболее доверенным и надежным является сертификат заверенный официальным центром, подробнее вы можете узнать в статье о разнице между этими видами. Пользователи которые имеют доступ к вашему FTPS серверу будут оповещены о созданном локальном самостоятельно заверенном сертификате.

Рассмотрим процесс создания:

  1. Выберите пункт Сертификаты и сервера в диспетчере IIS
  2. В меню справа выберите «Создать самозаверенный сертификат»
  3. Укажите его имя

Теперь приступим к настройке FTP Secure. Перейдем на главную страницу вашего FTP-сайта и откроем параметры SSL FTP.

 

Начальная страница FTP

 

В выпавшем окне необходимо выбрать политику SLL – «Требовать SSL-соединения» и нажать Применить.

 

Параметры SSL FTP

 

Чтобы подключиться через защищенный канал мы будем использовать программу WinSCP. Введите следующие настройки после запуска:

  • протокол передачи данных выберем FTP;
  • явное шифрование;
  • имя хоста – ip-адрес или домен вашего сервера;
  • — по умолчанию 21 порт
  • — пароль и имя пользователя системы

Новое подключение

 

После чего перед вами появится содержимое вашего каталога.

На этом установка и настройка FTP на Windows окончена. В нашей базе знаний вы найдёте ещё множество статей посвящённых различным аспектам работы в Windows, а если вы ищете надежный виртуальный сервер под управлением Windows, обратите внимания на нашу услугу — Аренда виртуального сервера Windows.

 

Расскажем, как установить и настроить FTP-сервер на VPS под управлением ОС Windows Server 2012, а также настроить брандмауэр, подключить к серверу, плюс дополнительно настроить Secure FTP.

Аббревиатура FTP (File Transfer Protocol) обозначает протокол передачи файлов. FTP предназначен для передачи файлов между машинами в сети. Можно использовать FTP для обмена файлами между локальным ПК и удаленным сервером, для доступа к онлайн-архивам ПО.

В частности, мы рассмотрим установку FTP-сервера в качестве web-сервера IIS, а кроме того, вы можете использовать другое ПО, например — FileZilla Server, Titan FTP Server, Home Ftp Server, Ocean FTP Server.

Установка FTP-сервера
Откройте Диспетчер серверов, выберите пункт «Добавить роли и компоненты».

Нажмите на тип установки «Установка ролей или компонентов».


Теперь выберите необходимый сервер из пула. Нажмите Далее.

Найдите в списке ролей веб-сервер IIS и разверните его. Теперь отметьте галочкой запись «FTP-сервер» и нажмите Далее.

Внимание: в некоторых версия веб-сервера IIS роль FTP-сервера может располагаться на другой странице.


Необходимо подтвердить установку FTP-сервера.

Затем откройте диспетчер служб IIS. Нажмите правой кнопкой мыши «Сайты» и в вертикальном меню выберите «Добавить FTP сайт».

Теперь вам следует указать название FTP-сайта и ввести путь до каталога, в котором будут храниться файлы.

Теперь выберите IP-адрес сервера (он должен совпадать с адресом, указанным в панели управления сервером), установите галочку напротив «Запускать сайт FTP автоматически» и «Без SSL»:

Затем нужно выбрать обычную аутентификацию и разрешить доступ всем пользователям (на чтение и запись).

В следующем окне в качестве аутентификации выберите «Обычная». Авторизация — Все пользователи. Поставьте галочки на нужных разрешениях чтения и записи и нажмите кнопку «Готово».

Сайт появится в древовидной структуре веб-сервера.


Настраиваем брандмауэр

Вначале нужно настроить firewall для внешнего подключения к ftp-серверу. Откройте Брандмауэр Windows в режиме повышенной безопасности и в вертикальном левом меню найдите Правила для входящих подключений, а в вертикальном правом меню -Создать правило.

В открывшемся окне выберите тип «Предопределенные», а в выпадающем списке отметьте FTP-сервер. Нажмите «Далее».

Поставьте галочки на всех строках и нажмите Далее.

На следующем этапе разрешите подключение и нажмите Готово. Перезагрузите сервер, чтобы измененные правила вступили в силу.

Подключение к FTP-серверу

Для подключения к FTP-серверу можно использовать несколько технологий, в том числе через стандартную утилиту Windows — Проводник, а также через программу FileZilla.

В качестве примера проиллюстрируем подключение через Проводник. Введите в адресной строке:

ftp://ip-адрес

Например,
ftp://188.227.16.74

Появится окно ввода логина и пароля, в нем введите данные для подключения из панели управления сервером.


Внимание: веб-сервер IIS предоставляет возможности гибкой настройки подключения к FTP-серверу, например разделения видимости пространства для разных пользователей, включения анонимного доступа и настройки прав.

В результате будет предоставлено содержимое папки FTP-сервера:

Внимание: встроенный ftp-сервер web-сервера IIS располагает внушительными возможностями, включая: изоляция пользователей, поддержка SSL, ограничение попыток входа на сервер, ведение журнала с различными параметрами.

Настройка Secure FTP

Можно использовать SSL сертификаты для повышения уровня безопасности вашего файлового сервера. Используется один из двух типов сертификатов: самоподписанный и заверенный центром сертификации. Разумеется, более надежным является второй вариант: файлы центра сертификации.

При созданном локально и самостоятельно заверенном сертификате пользователи вашего сервера FTPS будут предупреждены при подключении к серверу.

Как создать самозаверенный сертификат:

В диспетчере IIS откройте IIS> Сертификаты сервера.
Нажмите «Создать самозаверенный сертификат» в вертикальном правом меню.
Укажите имя сертификата.
Перейдите на начальную страницу вашего FTP-сайта для настройки FTP Secure и двойным щелчком мыши откройте «Параметры SSL FTP».

В открывшемся окне выберите политику «Требовать SSL-соединения», а в выпадающем списке отметьте ваш сертификат и нажмите «Применить».

Подключитесь через защищенный канал с помощью программы WinSCP, а затем выполните такие действия:

в качестве протокола выберите FTP;
шифрование Явное шифрование TLS/SSL;
имя хоста — домен или ip-адрес;
порт — 21, если не настраивался другой;
имя и пароль пользователя системы;

Нажмите «Войти».

Откроется содержимое ftp-каталога!

Рассмотрим в статье самый популярный способ, как настроить FTP для выделенного сервера. Инструкция подойдет для всех версий Windows Server, ведь принцип работы веб-сервера (IIS) устроен однотипно.

Вот что нужно сделать, чтобы настроить FTP на выделенном сервере:

  1. Перед началом работ убедитесь, что на выделенном сервере установлены веб-сервер (IIS) и подключены службы ролей “FTP-сервер”. Сделать это можно через Мастер добавления ролей и компонентов
  2. Мы будем настраивать соединение FTP к папке, которая находится по пути C:inetpubsitename. Рекомендуем настраивать аналогично, чтобы в процессе настройки не запутаться.

Недавно мы узнали как завести корпоративную почту на своем домене бесплатно. Как получить ящик info@domain.com за 0 рублей читайте в пошаговой инструкции Как создать почту на домене.

Создайте FTP для сайта в IIS

Откройте IIS, в колонке “Connections” кликните по папке “Sites”. В правой колонке “Actions” нажмите на “Add FTP Site”.

Настройка FTP в веб-сервере IIS

В окне “Add FTP Site” указываем название FTP и путь к папке, к которой нужно подключиться через FTP.

Устанавливаем значения:

FTP site name – название FTP

Physical path – путь к папке, к которой настраиваем FTP (у нас путь – C:inetpubsitename)

2 - добавление FTP в вебсервере IIS

Устанавливаем “No SSl” и идем далее

Устанавливаем значения:

Authentication – Обычная

Authorization – Specified users и имя пользователя для FTP (этого пользователя мы создадим позже)

Permissions – Write

Нажав Finish заканчиваем создание FTP сайта.

4 добавление FTP в вебсервере IIS

Настройте FTP для сайта

В левой колонке нажимаем на созданный FTP сайт и кликаем в меню на “FTP Authentication”.

5 - настройка FTP сайта

Проверяем что параметр “Basic Authentication” включен (Enabled). Включите, если параметр выключен.

6 - настройка FTP сайта

Переходим назад в основное меню и кликаем на “FTP User Isolation”.

7 - настройка FTP сайта

Устанавливаем значение “User name directory (disable global virtual directory)” и сохраняем (Apply).

8 настройка FTP сайта

Кроме написания инструкций, вроде настройки FTP на сервере, мы ведем разработку собственной срм системы. Посмотрите как работает наша срм на preview.inclient.ru.

Настройте виртуальную папку FTP

В левой колонке нажимаем правой клавишей мыши (далее ПКМ) и кликаем на “Add Virtual Directory”.

8_1 - Создание и настройка виртуальной папки FTP 

В окне прописываем значения:

Alias – LocalUser

Physical Path – C:inetpub

8_2 Создание и настройка виртуальной папки FTP 

Нажимаем ПКМ по созданной папке “LocalUser” в левой колонке. В окне указываем значения:

Alias – название FTP сайта (такое же как в 1 шаге)

Physical Path – C:inetpubsitename

8_4 Создание и настройка виртуальной папки FTP 

Переходим назад и кликаем на “FTP Authorization Rules”.

8_5 Создание и настройка виртуальной папки FTP 

В правой колонке нажимаем на “Add Allow Rule”, чтобы вызвать окно настроек.

8_6 Создание и настройка виртуальной папки FTP 

В окне устанавливаем значения:

Specified users – имя пользователя для FTP (мы уже указывали его в 1 шаге и скоро будем его создавать в Windows Server)

Permissions – Read

Нажимаем “OK” и завершаем настройку виртуальной папки FTP.

8_7 Создание и настройка виртуальной папки FTP 

Создайте пользователя в Windows

Переходим в Control Panel (Панель управления) и нажимаем на “User Account”.

Не можете найти Панель управления? Посмотрите статью Как открыть панель управления Windows Server 2012-2019

12 создание пользователя в Windows Server

Далее идем в “Manage another account” и нажимаем “Add a user account” (Добавить пользователя) под списком пользователей. Появится окно, заполните в нем все поля. User name укажите тоже самое, что указывали на предыдущих шагах.

12_3 создание пользователя в Windows Server

Настройте права доступа для папки FTP

Перейдите по пути C:inetpub и нажмите ПКМ по папке для которой настраиваете FTP (у нас эта папка называется sitename). Откроется окно. На вкладке “Security” кликните на “Edit”.

13 Настройка прав доступа для папки FTP

Далее нажимает на “Add”.

13_1 Настройка прав доступа для папки FTP

В окне укажите имя пользователя. Нажмите “OK”.

13_2 Настройка прав доступа для папки FTP

В окне посередине кликните по пользователю и внизу выставьте все права для него – в “Full control” поставьте галочку на “Allow”. Нажмите “OK”.

13_3 Настройка прав доступа для папки FTP

Вы окажетесь снова на вкладке “Security”, теперь нажмите на “Advanced”.

13_4 Настройка прав доступа для папки FTP

Поставьте галочку на пункте “Replace all child object permission entries with…”. Нажмите “OK”.

13_5 Настройка прав доступа для папки FTP

Появится окно с предупреждением. Ничего страшного. Нажмите “Yes”.

13_6 Настройка прав доступа для папки FTP

Настройте Windows Firewall

Теперь заключительная часть настройки FTP для Windows Server – нужно настроить файрволл. Перейдите снова в Control Panel и нажмите на Windows Frewall.

14 Настройка Windows Frewall для FTP

В левой колонке перейдите в “Allow an app or feature through Windows Firewall”. Теперь добавим службу FTP, для этого кликните на “Allow another app…”.

14_3 Настройка Windows Frewall для FTP

Нажимаем на “Browse”.

14_4 Настройка Windows Frewall для FTP

Выберите приложение ftp.exe по пути C:WindowsSystem32 и нажмите “Add”.

14_5 Настройка Windows Frewall для FTP

Появится служба “File Transfer Program”, выставьте ее права “Private” и “Public” (поставьте галочку). Затем убедитесь, что с службе “FTP Server” выставлено право “Public”. Нажмите “OK”. Все настройки завершены, можно подключаться.

14_2 Настройка Windows Frewall для FTP

Подключитесь к сайта по FTP через Total Commander

Скачайте программу с официального сайта разработчика https://www.ghisler.com/download.htm. Установите программу и запустите. Нажмите Cntrl + F (Соединение с FTP-сервером) и нажмите “Добавить”. В окне настроек заполните имя соединения, сервер, учетную запись (имя пользователя, которого мы создали на сервере) и пароль.

15 подключение total commander через FTP на Windows Server

Чтобы подключитесь к папке на сервере через FTP, нажмите “Соединиться”.

15_1 подключение total commander через FTP на Windows Server

Алексей Бегин

Блогер из Перми, веб-разработчик с десятилетним стажем. На сайте Инклиент я делюсь опытом. Рассказываю как вести личные блоги и монетизировать контент. Подпишитесь на мой телеграмм-канал Бегин про блоги, чтобы получить первым советы по блоггингу, SEO и маркетингу.

One of the main disadvantages of FTP for file transfer is the lack of protection and encryption means for the transferred data. When connecting to an FTP server username and password are also sent in clear text. To transfer data (especially using public communication channels), it is recommended to use more secure protocols, like FTPS or SFTP. Let’s see how to configure an FTPS server on Windows Server 2012 R2.

FTPS protocol (FTP over SSL/TLS, FTP+SSL) is an extension of the standard FTP protocol, but the connection between a client and a server is protected (encrypted) using SSL /TLS. As a rule, the same 21 port is used for connection.

Note. You should not mix FTPS and SFTP (Secure FTP or SSH FTP). The latter is the extension of the SSH protocol having nothing in common with FTP.

Contents:

  • Installation of the FTP Server Role
  • How to Generate and Install an SSL Certificate in IIS
  • How to Create an FTP Site with SSL Support
  • FTPS and Firewalls
  • How to Test FTP over SSL Connection

FTP over SSL support appeared in IIS 7.0 (Windows Server 2008). To make an FTPS server work, you will have to install an SSL certificate on your IIS server.

Installation of the FTP Server Role

The installation of the FTP server role in Windows Server 2012 doesn’t cause any problems and has been already described.

How to Generate and Install an SSL Certificate in IIS

Then open the IIS Manager console, select a server and go to the Server Certificates section.

Server Certificates settings in IIS Manager console

In this section you can import a certificate, create certificate request, update a certificate or create a self-signed certificate. For demonstrative purposes, let’s create a self-signed certificate. (It can also be created using New-SelfSifgnedCertificate cmdlet.) When addressing a service, a warning that the certificate is issued by an untrusted CA will appear. To disable this warning for this certificate, add it to the list of trusted certificates using GPO.

Select Create Self-Signed Certificate.

IIS Create Self-Signed Certificate

In the Create Certificate wizard, specify its name and select Web Hosting type of the certificate.

web hosting certificate template

A new self-signed certificate will appear in the list of available certificates. This certificate will expire in 1 year.

ftp over ssl certificate

How to Create an FTP Site with SSL Support

Then you have to create an FTP site. In the IIS Manager console, right-click Sites and create a new FTP site (Add FTP).

add ftp site in iis

Specify its name and the path to the root directory of the FTP site (in our case, it is default path  C:inetpubftproot ).

ftp site name and physical path

In the next window of the wizard, select the certificate you have created in the SSL certificates section.

bind ssl certificate to ftp site

Now you only have to select the type of authentication and user access permissions.

Click Finish in the wizard window. By default, SSL protection is mandatory and used to encrypt both management commands and transferred data.

FTPS and Firewalls

When using FTP protocol, 2 different TCP connections are used, one is for command transfer and another is for data transfer. For each data transfer channel, an individual TCP port is opened, which number is selected by a client or a server. Most firewalls allow to inspect FTP traffic, and after analyzing it, automatically open the necessary ports. When using protected FTPS connection, the transferred data are encrypted and not subject to analysis. As the result, a firewall cannot determine, which port has to be opened for data transfer.

In order not to open the whole range of TCP ports 1024-65535 to an FTPS server from outside, you can specify the range of used addresses for the FTP server. The range is specified in the IIS site settings in FTP Firewall Support section.

After the range of ports has been changed, restart the service (iisreset).

FTP Firewall port range

The following rules are responsible for the incoming traffic in the Windows Firewall:

  • FTP Server (FTP Traffic-In)
  • FTP Server Passive (FTP Passive Traffic-In)
  • FTP Server Secure (FTP SSL Traffic-In)

So, you will have to open ports 21, 990 and 50000-50100 (the range of ports you select) on the front firewall.

How to Test FTP over SSL Connection

To test an FTPS connection, let’s use Filezilla.

  1. Start FileZilla (or any other client supporting FTPS).
  2. Click File > Site Manager, and create a new connection (New Site).FileZilla testing FTP over SSL connection
  3. Specify the FTPS server address (Host), protocol type (Require explicit FTP over TLS), user name (User) and the requirement to enter a password to authenticate (Ask for password)
  4. Click Connect and enter your password.
  5. The warning of the untrusted certificate will appear (in case of using self-signed certificate). Confirm the connection.FileZilla untrusted cert
  6. The connection has to be established, and the following entries will appear in the log:
    Status: Initializing TLS...
    Status: Verifying certificate...
    Status: TLS connection established.
  7. It means that the secure connection is established and you can transfer files using FTPS protocol.

Понравилась статья? Поделить с друзьями:
  • Настройка ftp сервера filezilla на windows server 2008
  • Настройка ftp папки в windows server 2008
  • Настройка gpo windows server 2008 r2
  • Настройка ftp клиента на windows 10
  • Настройка google почты в windows 10