Iis записи реестра для службы ftp


Содержание

Iis записи реестра для службы ftp

Добрый день уважаемые читатели в прошлый раз мы с вами разобрали вопрос о ошибке: запуск этого устройства невозможен. (код 10) в Windows, к сожалению данная операционная система не идеальна и не лишена недостатков, которые могут препятствовать в функционировании различных программ. Сегодня мы с вами разберем вопрос, почему не работает denwer в Windows 10 и других версиях и как этого избегать в будущем.

Службы iis windows 7 от А до Я

Добрый день уважаемые читатели и гости блога pyatilistnik.org, в прошлый раз я вам рассказал, как производится настройка сервера на Windows Server 2020, сегодня же я хочу отойти от серверных платформ и поговорить про дополнительные возможности десктопных систем, а именно про службы iis windows 7, мы рассмотрим вопрос как их устанавливать и как администрировать. Уверен вам пригодятся знания о данной возможности.

Как зайти на ftp сервер хостинга

Всем привет сегодня хочу вам рассказать, как и какими средствами можно попасть на ftp сервер хостинга. Расскажу для чего это может понадобиться, какие утилиты нам в этом помогут и тем самым упростят и сэкономят нам время, а в какие-то моменты могут просто сильно помочь в аварийных ситуациях и восстановлении работы ресурсов. Данная статья, будет очень актуальна для начинающих веб-мастеров и дизайнеров, которые могут не знать, о данной возможности и по старинке редактируют код сайтов через не всегда удобный веб интерфейс CMS.

Повышение посещаемости сайта за декабрь и за 2015 год

Всем привет очередной пост о посещаемости сайта. У нас подошел к концу декабрь и год, сегодня отчет как раз по ним. Ведь всегда взглянув на цифры, понимаешь двигаешься ли ты в нужном направлении или нет, и мониторинг показателей половина успеха любого дела, да и что лукавить, так приятно видеть повышение посещаемости сайта, это очень сильно мотивирует и заставляет идти вперед.

Информация посещаемости сайта за ноябрь 2015

Добрый день, сегодня как и завелась традиция делюсь информацией посещаемости сайта за ноябрь 2015, это конечно не про виртуализацию, но тоже победа. Напомню за последние три месяца была опробована новая схема для увеличения посетителей, и все последние три месяца был рост минимум по 10 процентов, этот месяц как выяснилось не исключение, обо всем по порядку. Хочу отметить, что любой вебмастер может повторить данные рекомендации и проверить все на практике, применив ее к своему ресурсу. Любые вопросы по данной теме, прошу вас писать в комментариях к статье.

Генерация запроса на сертификат на IIS 8

Генерация запроса на сертификат на IIS 8

Всем привет сегодняшней темой будет генерация запроса на сертификат на IIS 8, к вашему локальному центру сертификации CA. Генерация необходима для получения сертификата шифрования для сервера, так сказать безопасность превыше всего, да и трафик должен быть защищен, особенно в сфере последних рекомендаций со стороны поисковых систем Google и Яндекс.

Moodle: Как создать пользователя и назначить ему права

Всем привет после того как мы с вами разобрали Как установить Moodle на CentOS 7. Создайте свою площадку обучения, нужно двигаться дальше и из пустого холста сделать полезный и прибыльный ресурс. В современном мире мобильность стала одним из самых важных факторов, так как теперь людям доступна удаленная форма обучения, вебинар. Человек сидит у себя дома в комфортном положении и получает посредством вебинара ту информацию, которая ему необходима, у того преподавателя которого он сам выбрал и не важно живет он в Москве или в Вашингтоне, расстояния сейчас уже не имеют значения, спасибо пендосам за создание интернета.

Как установить Moodle на CentOS 7. Создайте свою площадку обучения

Всем привет сегодня расскажу как установить Moodle на CentOS 7. Поговорим что такое Moodle и как он вам может помочь в повседневной жизни. Полезно будет прочитать эту статью людям которые планируют вести удаленное обучение.

Настраиваем высоко-доступный сервер FTP в существующем файловом кластере на базе Windows Server 2012 R2 Failover Cluster (без выделенного диска под роль FTP)

Возникла необходимость в развёртывании сервера FTP с анонимной авторизацией для внутренних задач в локальной сети. И чтобы не плодить лишние сущности, то есть не разворачивать дополнительный сервер исключительно под эту задачу, возникло желание использовать существующие файловые сервера. В нашем случае файловый сервис реализован на базе двух серверов состоящих в кластере Failover Cluster на Windows Server 2012 R2 и использующих общее дисковое хранилище. Решение предлагаемое Microsoft для кластеризации FTP на базе Failover Cluster в статье KB974603 — How to configure FTP for IIS 7.0 or higher in a Windows Server 2008 or Windows Server 2012 failover cluster нам в чистом виде не подошло, так как оно предполагает наличие выделенного общего кластерного диска, а в нашей ситуации вся доступная ёмкость общего дискового хранилища в кластере уже была отдана под роль файлового сервиса. Статья The Admin’s Window — Configuring highly available FTP server on a Windows Server 2008 failover cluster (without FTP dedicated storage) натолкнула на размышления о том, как можно обойти эту ситуацию.

В этой статье описан метод небольшого изменения существующей кластерной конфигурации таким образом, чтобы можно было для роли сервера высоко-доступного FTP использовать кластерную группу ресурсов (в том числе и общую дисковую емкость) существующего файлового кластера. Несмотря на то, что указанной статье без малого три года и речь в ней шла о Windows Server 2008/2008 R2 и IIS 7, мы решили попробовать реализовать данный сценарий на Windows Server 2012 R2, добавив в предложенную реализацию функционал общей конфигурации IIS как описано в KB974603 . Однако после развертывания и тестирования такой конфигурации стало понятно, что в ней тоже есть свои недостатки. В дальнейшем после некоторых экспериментов получилось собрать такую конфигурацию, при которой на узлах существующего файлового кластера для кластерного экземпляра службы FTP используется отдельная кластерная группа ресурсов. При этом IIS на узлах кластера использует общую конфигурацию (IIS Shared Configuration), а корневая папка высоко-доступного FTP-узла указывает также на сетевой каталог в файловом кластере. Для наглядности приведу получившуюся конфигурацию в схематичном виде:

В соответствии с этой схемой весь процесс настройки высоко-доступного сервера FTP в существующем файловом кластере на базе Windows Server 2012 R2 Failover Cluster будет состоять из следующих шагов:

1. Подготавливаем инфраструктуру
2. Устанавливаем роль веб-сервера IIS на всех узлах кластера
3. Создаём в файловом кластере общую папку для файлов IIS Shared Configuration
4. Настраиваем общую конфигурацию IIS на всех узлах кластера
5. Создаём в файловом кластере общую папку для корневого каталога будущего FTP-узла
6. Создаём и настраиваем FTP-узел
6.1. Создаём новый FTP-узел
6.2. Создаём отдельный пул приложений IIS для FTP-узла
6.3. Изменяем учетную запись анонимного доступа к FTP-узлу
6.4. Проверяем доступность FTP-узла с разных серверов
7. Настраиваем высокую доступность для службы FTP
8. Настраиваем FTP Site Binding
9. Включаем в файловом кластере дисковую квоту для корневого каталога FTP-узла
10. Проверяем работу FTP-клиентом на скорость и порт Passive-режима


1. Подготовка инфраструктуры

В отдельном OU в домене создадим учетную запись компьютера с именем, которое мы планируем использовать в дальнейшем для создания кластерного ресурса FTP. Эта учетная запись будет использоваться в качестве Cluster Name Object (CNO). После создания учетной записи нам необходимо будет её выключить, чтобы служба кластеризации смогла использовать этот объект. В соответствии с нашей схемой для экземпляра кластера Failover Cluster уже используется учетная запись KOM-AD01-FSFC01, и мы создадим и отключим учетную запись KOM-AD01-FSFTP – для будущей кластеризованной службы FTP Server, которая будет работать на базе этого кластера.

В свойствах безопасности учетной записи KOM-AD01-FSFTP добавляем полные разрешения для учетной записи KOM-AD01-FSFC01, чтобы служба кластера могла беспрепятственно сконфигурировать CNO службы FTP. Доступ предоставим как на сам объект, так и на его дочерние объекты.

Далее создадим в домене две служебные учетные записи пользователей:

1) s-FTP-SVCFG – Учётная запись будет использоваться для доступа служб IIS с узлов кластера (с серверов KOM-AD01-FS03 и KOM-AD01-FS04) к специальной сетевой папке, в которой будут размещаться файлы общей конфигурации IIS Shared Configuration. Эта же учетная запись будет использоваться для пула приложений IIS, на котором будет работать FTP-узел.

2) s-FTP-IUSR — Учетная запись будет использоваться для доступа к специальной сетевой папке, которая будет выступать в качестве корневой для размещения контента FTP-узла (в качестве замены встроенного локального идентификатора безопасности IUSR используемого для анонимной авторизации).

2. Устанавливаем роль веб-сервера IIS на всех узлах кластера

Через оснастку Server Manager устанавливаем компоненты роли Web Server на оба сервера.

Оставляем включенные по умолчанию компоненты при выборе установки роли Web Server и добавляем необходимую для нашей задачи компоненту FTP Service

Первоначальное желание максимально минимизировать установку IIS с экспериментами по установке отдельно лишь службы FTP Service (без установки предлагаемых по умолчанию компонент IIS) показали то, что в результате такой установки полноценно управлять конфигурацией IIS/FTP в оснастке IIS Manager не представляется возможным. Именно поэтому мы и оставляем к установке предложенные по умолчанию компоненты IIS.

3. Создаём общую папку для файлов IIS Shared Configuration

Создадим в нашем файловом кластере KOM-AD01-FSCL01 общую папку и предоставим созданной ранее учетной записи s-FTP-SVCFG полный доступ к этой папке на уровне свойств общего доступа…

Для порядка внутри этой сетевой папки создадим подкаталог с именем будущего FTP-кластера и предоставим учетной записи s-FTP-SVCFG полные права на этот каталог на уровне NTFS

Так как этот подкаталог будет содержать конфигурационные файлы, критичные для работы IIS, и соответственно серверов в целом, отключим наследование разрешений NTFS с каталога верхнего уровня, чтобы в итоге к данным каталога имели доступ только Администраторы сервера, Учетная запись SYSTEM (например для возможности корректного бэкапа) и наша сервисная учетная запись s-FTP-SVCFG.

4. Настраиваем общую конфигурацию IIS на всех узлах кластера

Для того чтобы оба узла кластера использовали единые настройки конфигурации IIS включим и настроим функционал IIS Shared Configuration. Нам необходимо, чтобы роль Web Server была свеже-установленной на обоих серверах и не имела каких-то сконфигурированных и работающий веб-узлов. Начать настройку можно с любого из серверов. В нашем примере мы начнём общей конфигурации IIS настройку с сервера KOM-AD01-FS03. Откроем оснастку IIS Manager, перейдём в дереве навигации на уровень сервера и в разделе настроек Management выберем пункт Shared Configuration

Первым делом нам нужно будет создать базовые файлы конфигурации в общей папке, которую мы создали на предыдущем этапе, то есть выгрузить с текущего узла текущие настройки IIS. Для этого воспользуемся действием Export Configuration

В открывшейся диалоговой форме укажем путь к соответствующей сетевой папке а в качестве Connect As можем указать учетную запись s-FTP-SVCFG, заодно тем самым мы проверим корректность настроенного нами ранее доступа к этой папке для этой учетной записи. Два раза введём пароль Encryption Keys, который нужен для того, чтобы зашифровать имеющиеся в настройках IIS данные параметров безопасности (например сохранённые учетные записи). Запомним этот пароль, так как он потребуется нам в дальнейшем при подключении серверов IIS к создаваемым файлам этой общей конфигурации.

Если экспорт файла будет произведён успешно, мы получим соответствующее уведомление об этом. Убедиться в успешности экспорта также мы сможем проверив содержимое каталога, в котором должны были появиться файлы общей конфигурации IIS.

Теперь созданные файлы общей конфигурации IIS нужно подключить к обоим серверам. Начнём здесь же, на сервере KOM-AD01-FS03, в оснастке IIS Manager в свойствах Shared Configuration включаем опцию использования общей конфигурации – Enable shared configuration, указываем путь к соответствующей общей папке и учетную запись от имени которой будет происходить подключение к этой папке — s-FTP-SVCFG

После нажатия Apply нас попросят ввести пароль шифрования, который был задан в процессе экспорта конфигурации …

…и после успешного подключения IIS к файлам общей конфигурации нас предупредят о том, что для возможности дальнейшей настройки конфигурации IIS нам необходимо перезапустить консоль IIS Manager

То же самое повторяем на втором сервере — KOM-AD01-FS04. При этом, как вы наверно уже поняли, экспорт выполнять не нужно, так как второй сервер сразу подключается к уже созданной сетевой конфигурации IIS. Поэтому на втором сервере достаточно включить опцию Enable shared configuration, указать путь размещения конфигурационных файлов и учетную запись, от имени которой будет произведено это подключение по аналогии с тем, как это было сделано на первом сервере.

5. Создаём общую папку корневого каталога будущего FTP-узла

Создадим в нашем файловом кластере KOM-AD01-FSCL01 ещё одну сетевую папку, которая будет выступать в качестве корневого каталога для будущего FTP-узла. На уровне сетевого доступа предоставим к этой папке полный доступ для учетной записи s-FTP-IUSR и доступ на чтение для учетной записи s-FTP-SVCFG

Для порядка внутри этой сетевой папки создадим подкаталог с именем будущего FTP-кластера. Соответственно на уровне прав доступа NTFS доступа предоставим к этой папке полный доступ для учетной записи s-FTP-IUSR и доступ на чтение для учетной записи s-FTP-SVCFG

Позже мы вернёмся к дополнительной настройке данной сетевой папки в файловом кластере.

6. Создаём и настраиваем FTP-узел

Выполняем создание и настройку FTP-сайта. Сделать это можно по сути на любом сервере, так как у нас уже используется общая конфигурация IIS.

6.1. Создаём новый FTP-узел

Открываем оснастку IIS Manager, в дереве навигации Connections выбираем Sites > Add FTP Site… В открывшейся диалоговой форме создания нового FTP-узла вводим его имя и путь к корневой папке, в которой будет размещаться файловый контент. В качестве корневой папки FTP-узла указываем созданный ранее подкаталог в соответствующей сетевой папке.

Далее нам будет предложено выбрать IP адрес на котором будет создан прослушиватель входящих подключений. Оставим предложенное значение по умолчанию. Позднее, после создания FTP-кластера мы изменим эту настройку. Параметры SSL в нашем случае некритичны и поэтому мы их отключаем, однако при желании позднее мы всегда сможем изменить настройку параметров SSL

Далее нам будет предложено выбрать режим аутентификации для нашего FTP-узла и настроить основное правило доступа к корню узла. Опять же при необходимости позднее можно будет настроить разрешения на запись на отдельные подпапки создаваемые в корне.

После этого FTP-узел будет создан и запущен фактически на обоих серверах по отдельности но с одинаковыми настройками. Теперь нам нужно выполнить дополнительную настройку созданного FTP-узла.

6.2. Создаём отдельный пул приложений IIS для FTP-узла

Создадим новый отдельный пул приложений IIS (Application Pools > Add Application Pool…) и зададим ему созвучное FTP-узлу имя..

В свойствах созданного пула приложений укажем для его выполнения учетную запись s-FTP-SVCFG (выбираем созданный пул приложений и изменяем Advanced Settings > Identity > Custom account)

Теперь созданный пул приложений нужно назначить нашему FTP-узлу. Выбираем FTP-узел и вызываем окно базовых настроек узла (Sites > Имя FTP-узла > Basic Settings…)

В открывшейся диалоговой форме базовых настроек выбираем только что созданный нами Application pool и нажимаем Test Settings чтобы проверить то, что учетная запись пула приложений может получить доступ на чтение корневой папки FTP-узла (Physical path)

И если разрешения на сетевую папку, выступающую в качестве коневой папки FTP были установлены нами ранее верно, то мы сможем удостовериться в том, что проверка подключения нашего пула приложений к этому самому корню FTP проходит успешно.

6.3. Изменяем учетную запись анонимного доступа к FTP-узлу

Так как корневой каталог нашего FTP-узла расположен в сетевой папке, нам нужно изменить учетные данные от имени которых FTP-клиенты будут обращаться к этой папке. Для этого откроем свойства Anonymous Authentication в Sites > Имя FTP-узла > FTP Authentication, вызовем пункт меню Edit и заменим используемое по умолчанию значение IUSR на учетную запись s-FTP-IUSR, которой мы ранее предоставили полный доступ к этой самой папке

6.4. Проверяем доступность FTP-узла с разных серверов

Проделанных настроек достаточно для того, чтобы наш FTP-узел стал доступен FTP-клиентам из сети по отдельности на каждом сервере.

Однако перед тем, как проверить доступность только что созданного и настроенного FTP-узла (по отдельности на каждом сервере), нам нужно обратить внимание ещё на пару моментов:

1) Убедиться в том, что при добавлении роли Web Server на оба сервера в Windows Firewall были автоматически добавлены и включены правила, разрешающие подключения к службе Microsoft FTP Service в режиме Active и Passive

Если так получилось, что по какой-то причине этих правил нет или вообще используется какой-то сторонний брандмауэр, то можно создать необходимые правила самостоятельно используя материалы изложенные в статьях IIS.net — Configuring FTP Firewall Settings in IIS 7 и OSzone.net — Контекст командной строки Netsh advfirewall

2) Выполнить на обоих серверах перезапуск службы Microsoft FTP Service (FTPSVC). Это необходимо для того, чтобы служба перечитала настройки выполненные нами в IIS. Практическое хождение по граблям показало то, что !в некоторых случаях! при реконфигурации настроек FTP в IIS при использовании общей конфигурации, для вступления их в силу порой не помогает ни перезапуск узла в консоли IIS Manager, ни даже перезапуск сервера IIS, а спасает именно перезапуск самой службы Microsoft FTP Service на на всех узлах, использующих общую конфигурацию IIS.

Теперь можно проверить доступность FTP-узла по отдельности на каждом сервере. Например, доступность FTP-узла с сервера KOM-AD01-FS03 проверим с помощью утилиты командной строки ftp, а с сервера KOM-AD01-FS04 с помощью Windows Explorer

Если результат проверок положительный, то можно переходить к процессу создания FTP-кластера.


7. Настраиваем высокую доступность для службы FTP

Из ранее упомянутой статьи KB974603 скопируем содержимое скрипта для создания кластерной роли FTP в IIS в файл с именем Clusftp7.vbs и на обоих серверах разместим этот файл в расположение
%systemroot%\System32\Inetsrv\Clusftp7.vbs
Читатели нашего блога также могут загрузить копию скрипта по ссылке .
Теперь на основе этого скрипта нам нужно создать новую кластерную роль. Для этого на любом из серверов в оснастке Failover Cluster Manager выбираем кластер KOM-AD01-FSFC01 > Roles > Configure Role

В открывшемся мастере добавления кластерных ролей выбираем добавление роли на основе универсального сценария — Generic Script

Затем указываем путь размещения скрипта (напомню, что он должен быть идентичен на всех узлах кластера) — %systemroot%\System32\Inetsrv\Clusftp7.vbs

На шаге Client Access Point указываем имя будущего кластерного экземпляра FTP и его IP-адрес. Именно эти данные в дальнейшем будут использовать FTP-клиенты для подключения к высоко доступному FTP-серверу.

Нажимаем Next, и после того, как мастер проверит доступность учетной записи KOM-AD01-FSFTP в домене, нам будет предложено выбрать общие диски для новой роли… Исходя из первоначальных условий нашей задачи у нас таких дисков нет, и поэтому мы просто переходим к следующему шагу мастера…

Далее мастер выполнит создание новой кластерной роли и покажет нам статус выполнения задачи.

Далее в оснастке Failover Cluster Manager на вкладке управления кластерными ролями проверим состояние вновь созданной роли и просмотрим ресурсы этой роли…

Небольшое замечание относительно использования универсального сценария. Если вы планируете создание нескольких FTP-сайтов, то для них всех согласно KB974603 можно использовать один и тот же скрипт в том случае, если скрипт используется без модификаций. В случае же если скрипт каким-то образом модифицируется под определённый FTP-сайт, то для других сайтов возможно потребуется добавление отдельной роли с копией скрипта с изменением его имени, например Clftp7-2.vbs для второго сайта, Clftp7-3.vbs – для третьего и т.п.

При создании кластерной роли должна быть выполнена автоматическая регистрация указанного имени FTP-кластера в DNS. Проверим доступность созданного кластерного ресурса заодно убедившись в том, что имя без проблем разрешается в IP-адрес, то есть динамическая регистрация имени Client Access Point в DNS прошла успешно. Ну и сразу же проверяем доступность нашего кластеризованного FTP-узла.

Илон Маск рекомендует:  Bioskey, _bios_keybrd работа с клавиатурой


8. Настраиваем Site Binding для ограничения TCP-прослушивателей

Если наши сервера имеют несколько сетевых адаптеров, которые используются для разных служб и приложений, то возможно имеет смысл подумать о дополнительных мерах безопасности на сетевой уровне. Ранее, в процессе создания FTP-узла в качестве Binding IP Address мы указали значение All Unassigned. Это значит что TCP-прослушиватель поднимаемый на серверах службой FTP Service будет принимать соединения на порт FTP-узла (в нашем случае это порт TCP 21) на всех сетевых интерфейсах сервера. Поэтому для повышения уровня безопасности в целом мы можем ограничить Binding лишь IP адресом, отвечающим за нашу кластерную роль. Для этого в оснастке IIS Manager выберем наш FTP-узел > Edit Bindings и вместо значения * выберем из ниспадающего списка IP адрес нашей кластерной роли FTP.

После этого настройки должны вступить в силу сразу после их сохранения. Если этого не произошло, то можно попробовать выполнить перезапуск службы Microsoft FTP Service. В результате, несмотря на то, что TCP-прослушиватель создается не совсем так как я предполагал (не на отдельном выделенном IP)..

…тесты показывают, что служба FTP по-честному отвечает на удалённые клиентские запросы только согласно настроенным правилам Binding. То есть, например, при попытке обратиться к интерфейсам серверов по отдельности, в соединении будет отказано…

При этом соединение с IP адресом указанным в Binding будет работать как ни в чём не бывало.

9. Включаем дисковую квоту для корневого каталога FTP-узла

Если сетевая папка, используемая в качестве корневого каталога нашего FTP-узла, расположена на одном логическом дисковом томе, что и папки используемые для других приложений, нам следует подумать о том, как можно повысить меры безопасности в плане использования дисковых ресурсов. Этот вопрос может быть особенно актуален на фоне того, что мы используем анонимную авторизацию на FTP-узле, и теоретически любой FTP-клиент может переполнить всё доступное дисковое пространство на кластерном диске файлового кластера. Чтобы избежать такой ситуации воспользуемся механизмом управления дисковыми квотами из компоненты File Server Resource Manager в составе серверной роли File and Storage Services. В оснастке Server Manager переключимся на управление ролью File and Storage Services и выберем пункт Shares. В окне SHARES выберем общую сетевую папку, которую мы назначили в качестве корневой для контента нашего FTP-узла и переключимся в окно QUOTA чтобы настроить дисковую квоту…

Из списка доступных к назначению шаблонов квот выберем шаблон, который мы ранее подготовили через консоль File Server Resource Manager ( fsrm.msc ). В нашем случае папке назначен шаблон с жёстким ограничением дискового пространства в 20GB с оповещением администратора на email при достижении 95% квоты.

Чтобы быстро проверить применение наложенной квоты, достаточно включить в IIS Manager в свойствах нашего FTP-узла отображение клиентам доступного свободного места в корневой папке через Sites > Название FTP-узла > FTP Directory Browsing … включить опцию Available bytes

После этого FTP-клиентам станет доступна информация о свободном пространстве с учетом наложенной квоты…

10. Проверяем работу FTP-клиентом на скорость и порт Passive-режима

Теперь всё что нам остается сделать, это всесторонне протестировать наш высоко-доступный FTP-сервер. Так как встроенными в Windows средствами мы уже проделали эту процедуру, воспользуемся сторонним FTP-клиентом FileZilla 3.7.4.1, как одним из наиболее функциональных. Одной из приятных функций данного клиента является возможность восстановления соединения и повторная передача файла при временной недоступности FTP-сервера, например в момент перехода по отказу кластерной роли с одного узла кластера на другой…

Во время передачи файлов на FTP мы можем видеть текущую скорость передачи в MiB/s. В верхней части приложения нам доступен подробный лог выполняемого соединения. В частности в данном случае мы видим, что соединение установлено в режиме Passive, а также можем понять какой порт из диапазона динамически назначаемых (при режиме Passive) используется для передачи данных — значение (10,160,0,125,202,206) говорит о том, что на стороне сервера для канала передачи данных используется порт 51918 . При значении ответа от FTP-сервера вида (h1,h2,h3,h4,p1,p2) параметры h1,h2,h3,h4 определяют IP адрес сервера, а PASV port определяется по формуле (p1 * 256) + p2 . Подсчет номера порта может оказаться полезным в случае, если вы вырешили ограничить диапазон динамических TCP портов, используемых в режиме Passive. Это ограничение настраивается в IIS Manager в свойствах группы настроек FTP > пункт FTP Firewall Support > параметр Data Channel Port Range

Для вступления этих настроек в силу требуется перезапуск службы Microsoft FTP Service на обоих серверах нашего FTP-кластера. Такая конфигурация может оказаться полезной как в общем случае для усиления безопасности FTP, так и в случае необходимости жёсткого ограничения используемых в пассивном режиме портов передачи данных в сетях маршрутизируемых через дополнительные брандмауэры.

Инсталлирование и настройка FTP-сайта (IIS 7.5)

Share this:

Понравилось это:

Похожее

Filed under Статьи, IT Tagged with ftp

11 Responses to Инсталлирование и настройка FTP-сайта (IIS 7.5)

Просто и понятно!
А как же SSL?

Будет, в планах написать статью по использованию FTP SSL

А как сделать что-бы пускадло только через SSL ?

У меня Kaspersky в качестве брандмауэра. Пытался примерить данные инструкции — не нашел в Экране Касперского протокол ftp. Есть в списке только TCP, UDP, ICMP, IGMP, GRE. Какой из них? Или не туда смотрю?

где в статье упоминается Касперский? корректней спросить у них в техподдержке.

а как добавить пользователя для конкретной папки .

я все сделал как тут написано. но:

1. с другого компа аутентикасию не проходит, в логах пишет
2012-03-15 09:04:05 10.100. 31.58 — 172.16.1.82 21 USER ftpfizik 530 11001 37 e2bc124f-968f-48ad-b6a3-27d72a423dcf —
2012-03-15 09:04:05 10.100.31.58 — 172.16.1.82 21 QUIT — 221 0 0 e2bc124f-968f-48ad-b6a3-27d72a423dcf —
2012-03-15 09:04:05 10.100.31.58 — 172.16.1.82 21 ControlChannelClosed — — 0 0 e2bc124f-968f-48ad-b6a3-27d72a423dcf —

2. с етого компа на которой ФТП вообше даже до аутентикасии не доходит ((

FTP Publishing Service для IIS 7.0

Служба FTP Publishing Service для IIS 7.0 позволяет защитить учетные данные пользователя и информацию, обмен которой происходит при взаимодействии между клиентом и сервером. FTP Publishing Service для IIS 7.0 включает поддержку протокола FTPS (FTP через SSL) и изоляцию пользователей. Кроме того, в отличие от прежних версий FTP, в журналах сохраняется более подробная информация

Когда возникает необходимость обеспечить обмен данными с пользователями, не принадлежащими к вашей корпоративной сети, самым очевидным вариантом решения этой задачи является создание сервера FTP. Реализация FTP в предыдущих версиях Microsoft IIS не обеспечивала защиту учетных данных пользователя и передаваемой информации, что создавало значительный риск в отношении информационной безопасности при передаче по ненадежной сети. Служба FTP Publishing Service для IIS 7.0 содержит усовершенствованные функции, позволяющие снизить риск, связанный с использованием FTP. В частности, реализованы инкапсуляция (туннелирование) протокола FTP через SSL (протокол FTPS), независимость пользователей FTP и паролей от Windows и Active Directory (AD), что упрощает управление доступом к сайту, и регистрация в журналах более подробной информации о соединениях. В этой статье рассматривается применение FTP Publishing Service для IIS 7.0 для защиты сайтов FTP, а также настройка функции изоляции пользователей, которая ограничивает доступ пользователей на данном сайте FTP за пределы их домашних каталогов.

При подготовке выпуска Windows Server 2008 в сервер IIS было запланировано так много усовершенствований, в том числе и для FTP, что программисты Microsoft не смогли реализовать все функции к сроку выпуска производственной версии Server 2008. Поэтому включенная в Server 2008 версия FTP основана на FTP версии IIS 6.0. Однако теперь служба FTP Publishing Service для IIS 7.0 доступна в качестве дополнительного продукта, и ее можно загрузить по адресу http://www.iis.net/downloads/default.aspx? tab >

Приведенные в статье инструкции следует выполнять на автономном сервере Server 2008, не включенном в AD. Обратите внимание, что настройки по умолчанию для роли сервера IIS необходимо выполнить до установки FTP Publishing Service for IIS 7.0, причем устанавливать FTP с дистрибутивного диска Server 2008 не требуется. Если же FTP уже установлен с этого диска, то его надо удалить до запуска обновленной версии сервера FTP. Дополнительно для проверки, что все работает правильно, понадобится клиент FTP, поддерживающий протокол FTPS. Одним из лучших я считаю CuteFTP.

Настройка сайта FTP с поддержкой SSL

Поддержка протокола FTPS является главным усовершенствованием сервера FTP в IIS 7.0. Этот протокол позволяет обеспечить безопасность передачи учетных данных пользователей и/или информации через ненадежную сеть. При настройке протокола FTPS можно требовать обязательного использования SSL или же разрешить клиенту выбрать шифрование учетных данных и/или информации. Начнем с создания домашнего каталога и сертификата с собственной подписью нового сайта FTP.

В рабочей среде надо применить сертификат, выданный Server 2008, или независимым удостоверяющим центром сертификации Certification Authority (CA), так как самоподписанные сертификаты предназначены только для использования в тестовой среде. Чтобы создать сертификат, сначала следует зарегистрироваться на сервере в качестве администратора. После этого откройте Server Manager в меню Start и перейдите в контейнер Configuration, Local Users and Groups. Затем щелкните правой кнопкой на Groups и выберите New Group из контекстного меню. Назовите группу FTP Users и добавьте новую пользовательскую учетную запись (например, user1) к группе. Нажмите кнопку Create и закройте Server Manager.

Затем создайте новую папку ftpsite1 в c:inetpub. Щелкните по ней правой кнопкой мыши и выберите Properties («Свойства») из контекстного меню. Потом выделите вкладку Security и нажмите Edit. Нажмите Add, введите FTP Users в диалоговом окне Select Users or Groups и щелкните OK. Затем установите разрешения Allow, чтобы включить разрешение Modify, и нажмите OK.

Далее в меню Start выберите пункт Administrative Tools и запустите IIS Manager. В Microsoft Management Console (MMC) в левой панели Connections выделите ваш сервер, после чего в центральной панели в разделе IIS дважды нажмите Server Certificates, как показано на экране 1. В Actions нужно нажать Create Self-Signed Certificate. Дайте имя сертификату (например, FTP Cert) и нажмите Next. Под Server Certificates появится новый сертификат в центральной панели. В Connections разверните узел соединения для своего сервера, щелкните правой кнопкой на Sites и выделите Add FTP Site. Введите FTPSITE1 в качестве имени сайта и c:inetpubftpsite1 как путь к папке, которую создали, под Content Directory и нажмите Next. Теперь выделите ранее созданный сертификат FTP Cert из раскрывающегося меню внизу диалогового окна Binding and SSL Settings и нажмите Next. Потом выделите Basic в разделе Authentication в диалоговом окне Authentication and Authorization Information, выделите Specified roles or user groups из Allow access to. В пустой области под Allow access to введите имя созданной группы (ftp users). Отметьте параметры Read и Write, как показано на экране 2, и нажмите Finish.

Теперь раскройте папку Sites, расположенную под Connections. На экране будет отображен только что созданный сайт FTPSITE1. Выделите FTPSITE1 и дважды щелкните по FTP Settings в центральной панели. Под SSL Policy выделите Custom и нажмите Advanced. Диалоговое окно Advanced SSL Policy позволяет настроить, может ли клиент FTP управлять кодированием для каналов управления и информационных каналов. Канал управления отвечает за передачу пользовательских учетных данных. Для этого примера оставьте настройки по умолчанию и нажмите OK. Затем выделите FTPSITE1 в Sites и дважды щелкните по FTP Authentication. Далее выделите Basic Authentication в центральной панели и нажмите Enable в панели Actions справа.

Наконец, подключитесь к сайту FTP с помощью своего клиента FTP. Для простоты можно запустить клиент на самом сервере FTP. В данном примере можно пренебречь всеми предупреждениями, касающимися сертификатов. В клиенте FTP введите localhost в качестве адреса сервера FTP, а потом введите имя пользователя и пароль для user1.

На экране 3 показаны настройки в CuteFTP при подключении к серверу по протоколу FTPS. CuteFTP можно загрузить с сайта http://www.cuteftp.com.

Настройка аутентификации для пользователей IIS

Часто возникает ситуация, когда пользователю требуется предоставить доступ к сайту FTP, но при этом нежелательно создавать для данного пользователя локальную учетную запись или учетную запись AD. Например, необходимо обеспечить доступ FTP деловому партнеру, которому не разрешен доступ к другим вашим системам. IIS 7.0 содержит новую функцию, позволяющую службе IIS Management Service создавать собственные учетные записи пользователей, которые не будут зависеть от Windows, но смогут авторизоваться на сайтах IIS и/или FTP.

Для этого необходимо, чтобы на сервере была заранее установлена служба IIS Management Service. Так что, если она еще не установлена, ее нужно добавить из Server Manager. Для этого зарегистрируйтесь с правами администратора и из меню Start откройте Server Manager. Потом нажмите Roles в Server Manager в левой панели и прокрутите список до Role Services. Если службы управления Management Service перечисляются как Not installed, нажмите Add Role Services. В диалоговом окне Role Services выделите Management Service в Management Tools. В появившемся диалоговом окне нужно нажать Add Required Features, щелкнуть Next в диалоговом окне Select Role Services и в последнем окне выбрать Install.

Список пользователей IIS Manager users применяется в основном для удаленного подключения к службе управления Management Service для администрирования IIS и FTP. Аутентификация пользователей IIS Manager на сайте FTP является вторичной функцией списка пользователей. Для настройки IIS Manager откройте IIS Manager из Administrative Tools в меню Start. Потом выделите свой сервер в Connections. В центральной панели поставьте галочку, чтобы включить параметр Enable remote connections, и выберите переключатель между параметрами Windows credentials или IIS Manager, как показано на экране 4. В разделе Connections из раскрывающегося меню SSL certificate нужно выбрать созданный ранее сертификат FTP Cert. Нажмите Apply в панели Actions и потом щелкните Start для запуска службы управления сервера IIS Management Service.

Теперь настроим сервер FTP на прием запросов пользователей IIS Manager. Для этого нужно развернуть узел Sites (он находится в разделе Connections окна IIS Manager) своего сервера и выделить FTPSITE1. Дважды нажмите FTP Authentication в центральной панели и потом Custom Providers («Настройка провайдеров») в разделе Actions. В диалоговом окне Custom Providers отметьте IisManagerAuth и нажмите OK. В результате IisManagerAuth теперь показывает в центральной панели статус Enabled («Разрешено»).

После настройки свойств соединения можно заняться правами и ролями пользователей в IIS Manager. Сначала выделите свой сервер в Connections, опуститесь до Management в центральной панели и дважды щелкните IIS Manager Users. Нажмите Add User в Actions. Введите имя пользователя (например, remoteuser) и пароль, и нажмите OK. Выделите FTPSITE1 в Connections и дважды нажмите IIS Manager Permissions в центральной панели. Нажмите Allow User в Actions. В диалоговом окне Allow User выделите IIS Manager и нажмите Select. Выберите remoteuser из списка и нажмите два раза OK. Выделите FTPSITE1 в Connections снова, но на этот раз дважды нажмите FTP Authorization Rules (FTP). Потом добавьте разрешающее правило Add Allow Rule в Actions. Выделите Specified Users в диалоговом окне Add Allow Authorization Rule и введите remoteuser в пустое окно. Под Permissions выделите Read and Write и нажмите OK. В центральной панели под FTP Authorization Rules появится созданное правило.

Далее установим разрешения файловой системы NTFS для папки FTPSITE1. Проводник IIS Manager работает с правами встроенной учетной записи Network Service для аутентификации пользователей IIS Manager на ресурсах. Поэтому требуется дать разрешение NTFS Modify для службы Network Service на папку FTPSITE1 и разрешение Read для файлов настройки IIS. Для выдачи этих разрешений NTFS откройте окно командной строки с правами администратора и выполните следующие четыре команды CACLS для добавления в ACL службы Network Service:

cacls «%systemdrive%windows system32inetsrvconfig»/g
«networkservice»: r/e cacls «%systemdrive%windows system32inetsrvconfig redirection.config»/g
«networkservice»: r/e cacls «%systemdrive%windows system32inetsrvconfig administration.config»/g
«networkservice»: r/e cacls «%systemdrive%inetpubftpsite1» /g «network service»: c/e

Наконец, запускаем клиент FTP и подключаемся к FTPSITE1 с учетной записью пользователя из IIS Manager (remoteuser) и назначенным паролем.

User Isolation

Функция User Isolation впервые была введена вместе с IIS 6.0 в Windows Server 2003. Она позволяет настроить один сайт FTP таким образом, чтобы пользователи могли работать только со своими страницами (каталогами). Каждому пользователю предоставляется его собственный каталог в корневом каталоге FTP, что позволяет обеспечить защиту данных пользователя от просмотра и перезаписывания другими пользователями, которые находятся выше в иерархии каталогов. Когда функция User Isolation включена, пользователи автоматически перенаправляются к своей папке при обращении к корневому адресу сайта FTP, поэтому все данные, загружаемые пользователями на сервер, будут записываться в их домашние каталоги.

Прежде чем включить User Isolation, необходимо создать или физический или виртуальный каталог для каждого пользователя (виртуальные пользовательские каталоги — новая функция в этой версии FTP). Для простоты организуем физический каталог для одного пользователя (user1) на сервере. С помощью проводника Windows Explorer создадим новую папку LocalUser в c:inetpubftpsite1. В папке LocalUser создадим папку user1. Затем из Administrative Tools откроем IIS Manager и выберем FTPSITE1. Дважды щелкнем FTP User Isolation в центральной панели. Выделим параметр User name directory (disable global virtual directories) и в панели Actions щелкнем Apply.

Применение пользовательских каталогов из User name directory является режимом по умолчанию в FTP 7.0. Этот режим позволяет задавать или физические, или виртуальные каталоги для папок с домашними страницами пользователей. Если необходимо обеспечить коллективный доступ к физической папке для многих пользователей в дополнение к их папкам с домашними страницами, то надо создать виртуальный каталог для каждого пользователя. Второй вариант, User name physical directory (enable global virtual directories), поддерживает только физические каталоги. Однако пользователи будут иметь доступ к глобальным виртуальным каталогам. На практике это означает следующее: если создается виртуальный каталог (например, общий Public) в корневом каталоге FTPSITE1, пользователи смогут «вырваться» из своей домашней страницы и получить доступ к папке, указав/Public в своем клиенте FTP. Если вы включаете отображение виртуальных папок каталога, то пользователи увидят ваш каталог Public и все другие глобальные виртуальные папки, подключаемые при регистрации к корневой папке. Это позволяет им не утруждать себя вводом имени папки. Для разрешения просмотра списка виртуальных папок каталога в панели Connections выделите FTPSITE1 и дважды нажмите FTP Directory Browsing в центральной панели. Под Directory Listing Options выделите Virtual directories и нажмите Apply в разделе Actions.

Теперь подключимся к сайту FTP, используя учетные данные пользователя user1. Загрузим файл и убедимся, что файл добавился к c:inetpubftpsite1localuseruser1, а не к корневому каталогу сайта. На экране 5 показан глобальный виртуальный каталог Public, указанный в корневой папке при регистрации пользователя user1. Для дополнительной безопасности настроим разрешения NTFS для папки user1, чтобы обеспечить локальный доступ только для нее. Если надо настроить изоляцию для пользователей домена, следует подставить LocalUser для папки с именем домена.

Регистрация событий

Служба FTP Publishing Service для IIS 7.0 позволяет вести журнал с более подробной детализацией, чем прежние версии FTP. Например, с учетом всего трафика FTP за сеанс. Для пользователей, зарегистрированных на сервере локально, отображаются более информативные сообщения об ошибках, например с объяснением, почему пользователь не может быть зарегистрирован, что может помочь при устранении ошибок. Благодаря Event Tracing for Windows (ETW) все сведения о неудачных сеансах и другие сообщения со статусом ошибки записываются в системный журнал безопасности Windows Security Event Log.

Безопасная передача важных данных

FTPS избавляет от беспокойства, связанного с безопасностью информации и учетных данных пользователей, увеличивает гибкость и обеспечивает поддержку аутентификации, используя учетные записи IIS Manager. Внешний IP-адрес и диапазон портов можно настроить на подключения в пассивном режиме в случае, если пользователям нужен доступ к серверу, который находится за брандмауэром Network Address Translation (NAT) с использованием FTPS, поскольку брандмауэры и маршрутизаторы на основе протокола FTP не могут проверить защищенный канал управления. Необходимо отметить, что теперь FTP поддерживает протокол IPv6, а анонимные подключения к сайтам FTP блокируются по умолчанию. Кроме того, как и в прежних реализациях FTP, имеется возможность ограничить доступ по IP-адресу или имени домена.

Настройка ftp-сервера IIS на Windows 7


Иногда проще и быстрее передать файл через собственный ftp-сервер, чем закачивать на файлообменник. Ниже рассмотрена процедура установки и настройки ftp-сервера IIS, входящего в состав Windows 7.

Установка FTP-сервера.

FTP-сервер входит в состав служб IIS. Для его установки открываем Панель управления -> Программы -> Включение или отключение компонентов Windows. Раскрываем раздел Службы IIS и ставим галочки напротив следующих компонентов: Служба FTP и Консоль управления IIS.

Установка службы FTP

Настройка FTP-сервера.

Открываем Панель управления -> Система и безопасность -> Администрирование -> Управление компьютером (можно быстрее: меню Пуск -> правый клик на Компьютер -> в меню выбрать пункт Управление). В открывшемся окне раскрываем группу Службы и приложения и открываем Диспетчер служб IIS. В окне Подключения выбираем папку Сайты, затем в правом окне Действия нажимаем на ссылку Добавить FTP-сайт.

В мастере создания ftp-сайта указываем его название и расположение (по умолчанию c:\inetpub\ftproot).

Илон Маск рекомендует:  Функции gnu readline

Название и расположение сайта

Далее указываем параметры привязки и SSL. Раздел привязка оставляю без изменений. Опцию “Запускать ftp-сайт автоматически” отключаю (ftp мне нужен только время от времени). В разделе SSL выставляю опцию “Без SSL”.

Параметры привязки и SSL

В следующем окне оставляем все без изменений и нажимаем Готово.

Сведения о проверке подлинности и авторизация

Сайт создан. Теперь можно перейти к дополнительным параметрам для тонкой настройки (например ограничить максимальное количество одновременных подключений). Выделите только что созданный сайт, справа в панели Действия нажмите на Дополнительные параметры.

Следующий этап – настройка брандмауэра Windows. Откройте Панель управления -> Система и безопасность -> Брандмауэр Windows -> Дополнительные параметры. В разделе “Правила для входящих подключений” находим и активируем “FTP-сервер (входящий трафик)” и “FTP Server Passive (FTP Passive Traffic-In)”. Последнее правило позволяет подключаться ftp-клиенту в пассивном режиме.

Открываем порт 21 (входящий) Открываем порты 1023-65535 (пассивный режим)

В разделе “Правила для исходящего подключения” находим и активируем “FTP Server (FTP Traffic-Out)”.

Открываем порт 20 (исходящий)

Если в системе установлен дополнительный брандмауэр (Comodo, Outpost и т.п.), то в нем также необходимо открыть порт 21 (TCP) для входящих подключений и порт 20 (TCP) для исходящих.

Если подключение к Интернет осуществляется с помощью маршрутизатора, и вы хотите сделать свой сервер доступным интернет-пользователям, тогда необходимо настроить проброс портов на маршрутизаторе. На моем Dlink DI-804HV это выполняется в разделе Virtual Server.

192.168.10.4 – ip-адрес ftp-сервера в локальной сети.

Настройка прав пользователей.

Если оставить все как есть, то подключиться к ftp-серверу сможет любой пользователь (включен анонимный доступ) с правами только на чтение (можно скачивать, но записывать и изменять файлы нельзя). Предположим, что нам нужно сделать доступ для доверенных пользователей, которые имели бы права записи и изменения файлов.

Открываем Панель управления -> Система и безопасность -> Администрирование -> Управление компьютером (Пуск -> правый клик на Компьютер -> в меню выбрать пункт Управление). Далее раскрываем группу Локальные пользователи и группы (данная настройка доступна только в редакциях Бизнес и Максимальная). Правый клик на папке Группы, в меню выбираем Создать группу.

Создание группы пользователей ftp (1)

Вводим название группы – Пользователи FTP, описание (можно не вводить) и нажимаем кнопку Создать.

Создание группы пользователей ftp (2)

Теперь необходимо создать пользователя. Делаем правый клик на папке Пользователи и в меню выбираем Новый пользователь.

Создание пользователя ftp (1)

Вводим имя пользователя (например ftp_user_1), пароль (не менее 6 символов), выставляем галочки напротив опций “Запретить смену пароля пользователем” и “Срок действия пароля не ограничен”.

Создание пользователя ftp (2)

Пользователь создан. Теперь необходимо присвоить ему ранее созданную группу Пользователи ftp. Для этого открываем свойства пользователя и переходим на закладку “Членство в группах”. По умолчанию новому пользователю присваивается группа Пользователи, удаляем ее. Нажимаем кнопку Добавить -> Дополнительно -> Поиск. Откроется список групп пользователей. Выбираем группу Пользователи FTP и нажимаем Ok. В итоге получаем:

Создание пользователя ftp (3)

Нажимаем Ok и переходим к следующему этапу.

На этапе создания ftp-сайта нам было необходимо выбрать рабочий каталог (c:\inetpub\ftproot). Теперь для группы “Пользователи FTP” необходимо настроить права доступа к этому каталогу. Открываем c:\inetpub в проводнике, открываем свойства папки ftproot, переходим на закладку Безопасность и нажимаем кнопку Изменить. В открывшемся окне нажимаем кнопку Добавить и выбираем группу “Пользователи FTP” (как при создании пользователя). Устанавливаем уровень прав – “Полный доступ” и нажимаем Ок.

Установка прав доступа к папке ftproot

Последний этап. Вновь открываем Диспетчер служб IIS и выделяем наш ftp-сервер (Test FTP). В панели управления ftp-сайтом выбираем “Правила авторизации FTP”. Добавляем разрешающее правило. В открывшемся окне выбираем опцию “Указанные роли или группы пользователей”. Внизу в текстовом поле руками прописываем название нашей группы (Пользователи FTP), далее ставим галочки в разделе Разрешения напротив Чтение и Запись и нажимаем Ок.

Добавляем правило авторизации FTP

На этом настройка завершена.

В начале мы не выбрали опцию автоматического запуска сервера, поэтому не забываем запустить его вручную (правый клик на названии сайта -> Управление FTP-сайтом -> Пуск).

Как подключиться?

Вариант с использованием проводника Windows.
Открываем Компьютер (Vista, Win 7) или Мой Компьютер (XP).
Для анонимного доступа просто вводим в адресную строку адрес сервера (ftp://192.168.10.4).
Чтобы войти с именем пользователя и паролем вводим адрес вида: ftp://[имя пользователя]:[пароль]@[адрес ftp-сервера]. Например ftp://ftp_user_1:qwerty@192.168.10.4 – для подключения из локальной сети. Для подключения из Интернет локальный адрес заменяем на внешний или на доменное имя.

Как сделать свой ftp-сервер доступным из Интернет?

Если компьютер подключен к Интернет на прямую, то никаких дополнительных действий предпринимать не нужно.

Если компьютер подключен к Интернет через роутер, тогда в панели управления роутера необходимо настроить форвардинг порта TCP 21 (часто это еще называют виртуальным сервером). Настройка форвардинга порта на примере D-link DI-804.

Как разрешить ошибку FTP «Не удалось получить список каталогов» для учетной записи администратора в IIS 7.5

Используя мою учетную запись администратора, я подключил FTP к моему FTP-сайту IIS 7.5 с помощью FileZilla. Я смог успешно загрузить файл, но я все время получаю сообщение «Не удалось получить каталог» в ответ.

В пассивном режиме команда, ответ и ошибка:

В активном режиме команда, ответ и ошибка:

Что я сделал неправильно?

7 ответов

У меня была эта проблема, и она была связана с портами данных, выбранными IIS. Я настроил его на использование определенного диапазона портов, но когда мой клиент попытался использовать пассивный режим, он показал, что использует неправильный порт.

В этой статье описывается метод вычисления того, какой порт он использует , например

Используемый IP-адрес — x1.x2.x3.x4 и порт (y1 * 256) + y2. Я видел неправильные значения для y1 и y2, поэтому мне пришлось перезапустить «службу FTP Microsoft», чтобы фактически узнать, какие значения я установил в настройках брандмауэра FTP в IIS.

Звучит как проблема с настройкой брандмауэра. Пожалуйста, взгляните на эту статью (если вы еще этого не сделали): http://learn.iis.net/page.aspx/309/configuring-ftp-firewall-settings/

Для меня перезагрузка не помогла, но отключил пассивный режим .

У меня была такая же проблема, но у меня есть решение.

Проверьте свой каталог пути ftp и добавьте пользователя everyone с полным доступом для этой папки.

Вот решение от Microsoft.

Установка функции расширения FTP и включение списка в разделе «Просмотр каталога» решила мою проблему.

У меня была такая же ошибка на Windows 2008 Server, и я должен был разрешить все (пассивные порты) как на моем брандмауэре, так и на брандмауэре Windows (Public Profile) и должен был перейти с FTP IIS 6.0 на FTP IIS 7.5.

В то же самое время возникла проблема, и после настройки FTP Firewall Support в IIS для соответствия внешнему IP-адресу все еще была проблема. В качестве последнего шага я пошел редактировать фактическое правило FTP в Windows Firewall и разрешил Edge traversal -> Allow Edge Traversal под вкладкой Advanced нажмите Apply/OK и перезапустил —- +: = 5 =: + —-. После этого у меня больше не было проблем.

Установка и устранение неисправностей FTP 7.5

Компания Microsoft создала новый FTP сервис, который был переписан для Windows Server 2008. Данный сервис содержит в себе много новых возможностей, которые помогут Web издателям размещать свой контент быстрее и удобней, а Web администраторы найдут для себя расширенные функции безопасности и маштабируемости.

  • Интеграция сIIS7.0: В IIS 7.0 появился новый административный интерфейс и единое хранилище, новый FTP сервис тесно интегрирован с этими изменениями в архитектуре. Старая версия метабазы IIS 6.0 канула в лету, и новая конфигурация теперь базируется на более современном формате, который носит название .NET XML. Плюс к этому IIS7.0 имеет новую административную консоль и современные плагины, которые бешовно интегрируются в общую концепцию сервера IIS.
  • Поддержка новых интернет стандартов: Как одно из из наиболее важных нововведений можно отметить поддержку SSL для FTP сервисов. Новый FTP сервер так же поддерживает такие полезные возможности как работа с UTF8 и IPv6.
  • Улучшения в предоставлении хостинга: Будучи полностью интегрированным в IIS 7.0 новый FTP сервер делает возможным одновременный хостинг FTP и WEB контента на одном хосте простым добавлением привязки FTP к существующему WEB сайту. В дополнении FTP сервер теперь поддерживает виртуальный хостинг, дающий возможность поддержки множества имён сайтов на одном ip адресе. Так же новый FTP сервер поддерживает изолированную базу пользователей, которая даёт возможность создавать виртуальные директории в соответствии с именами виртуальной базы данных пользователей (для каждого пользователя создаётся отдельная директория).
  • Сторонние провайдеры аутентификации: Новый FTP сервер поддерживает аутентификацию, отличную от Windows аккаунтов, для администраторов серверов IIS и пользователей .NET.
  • Расширенная поддержка ведения протоколов: Протоколирование FTP значительно улучшилось и на данный момент включает в себя: весь проходящий FTP трафик, запись сессий FTP, состояния FTP сервера, дополнительные детали, касающиеся сеансов FTP и еще много полезных новинок.
  • Новые функции поддержки: IIS 7.0 содержит новые опции отображения подробных сообщений об ошибках для локальных пользователей. FTP сервис так же поддерживает эти опции. Вы можете воспользоваться ими если протоколирование ведётся локально на FTP сервере. Так же FTP сервер записывает детальную информацию, используя Event Tracing для Windows (ETW), в дальнейшем она может быть использована для диагностики и решения проблем.
  • Расширенный набор возможностей: Встроенный функционал FTP сервиса можно улучшать с помощью сторонних расширений. Если говорить точнее, речь идет о создание альтернативных методов аутентификации и авторизации. Так же Вы можете создавать провайдеров осуществляющих нестандартное протоколирования и позволяющих нестандартно настроить домашние каталоги пользователей Вашего FTP сервера.

Дополнительную информацию о новых возможностях FTP 7.5 Вы можете прочитать по адресу «Что нового в FTP 7.5 сервере от Microsoft?» а так же на официальном сайте Microsoft IIS http://www.iis.net .

Данный документ описывает шаги установки нового FTP сервиса и решения проблем которые могут возникнуть в процессе установки.

  • Загрузка и установка FTP 7.5
  • Решение проблем возникающих в процессе установки
  • Известные проблемы данного релиза
  • Первое знакомство с FTP 7.5

Для выполнения задач описанных в данной статье необходимо соблюсти следующие требования:

1. Вы должны использовать сервер под управлением Windows 2008

2. Должен быть установлен сервер IIS 7.0

3. Если вы захотите управлять новым FTP сервером, используя консоль управления IIS, то необходимо установить утилиту администрирования IIS.


4. Установку необходимо производить под учётной записью администратора (Подробности смотрите в секции Загрузка и Установка далее по тексту)

5. IIS 7.0 поддерживает новый функционал – «общая конфигурация». Она должна быть отключена для каждого сервера включенного в ферму серверов прежде чем будет произведена установка нового FTP сервера на каждом узле. Примечание: общая конфигурация может быть включена внось после завершения процесса установки FTP сервера.

6. FTP сервер, идущий в поставке с дистрибутивом Windows Server 2008, должен быть деинсталлирован, прежде чем начнётся установка новой версии FTP сервера.

Загрузка и установка FTP 7.5

Загрузка соответствующей версии для Вашего сервера.

Существует два типа пакетов необходимых для установки для нового FTP сервера: нужно выбрать пакет в соответствии с версией Вашего сервера Windows 2008:

32-битный пакет установки

    • FTP 7.5 для IIS 7.0 (x86)

64-битный пакет установки

    • FTP 7.5 для IIS 7.0 (x64)

Запуск и установка пакета установки:

Установку необходимо производить, используя учётную запись администратора. Её нужно произвести следующим способом:

    • Войдите в систему под учётной записью «Администратор». Далее перейдите по ссылке для скачивания и сохраните дистрибутив на сетевой либо локальный диск.
    • Войдите в систему под учётной записью, имеющей административные права, щёлкните правой кнопкой мыши по command-prompt (Command Prompt находится в меню Windows programs – Accessories) и в появившемся меню выберете «Run as administrator», далее выполните команду в соответствии с версией Вашей операционной системы:
    • 32-битная версия Windows:
      • msiexec /i ftp7_x86_75.msi
    • 64-битная версия Windows:
      • msiexec /i ftp7_x64_75.msi

Примечание: Один из выше перечисленных шагов необходим из-за того, что в операционных системах Windows Vista и Windows Server 2008 задействован механизм User Account Control (UAC), который не позволяет получить доступ к файлу applicationHost.config. Более подробно о UAC читайте по следующей ссылке:

    http://go.microsoft.com/fwlink/?Link >Следующие шаги описывают необходимые требования для публикации FTP в Web сайте по умолчанию.

Обзор процесса установки:

  1. Когда Вы запустите процесс установки, то увидите перед собой окно, показанное на рисунке ниже. Для начала установки нажмите Next..
  2. В следующем окне выберете пункт Iaccept(Я согласен), если Вы прочли лицензионное соглашение и согласны с ним. Затем нажмите Next.
  3. На следующем окне представлены опции установки. Выберете необходимые и нажмите Next.
    • Общие файлы: данная опция включает в себя файл схемы. Когда установка производится в среде серверов использующих общий доступ к конфигурационному файлу, то каждый из серверов фермы должен быть установлен с данной опцией.
    • Сервис публикацииFTP7.0: данная опция включает в себя компоненты ядра FTP сервиса. Она необходима при установке сервиса FTP на сервер.
    • Поддержка управляемого кода: данный компонент является опциональным, но некоторые функции, такие как ASP.NET и менеджер аутентификации IIS используют данный код. Примечание: данный компонент не может быть установлен на Windows Server 2008 Core
    • Административные компоненты: Эти компоненты устанавливают интерфейс управления FTP 7.5.Для их активации требуются установка консоли управления IIS 7.0 и .NET framework 2.0. Примечание: данная опция не может использоваться на Windows Server 2008 Core.
  4. На следующем этапе нажмите Install для установки выбранных ранее опций.
  5. После завершения установки нажмите Readnotes (Прочитать примечания) для просмотра файла FTP README или нажмите Finish для закрытия окна установки.

Примечание: Если в процессе установки возникли ошибки, то Вы увидите их в диалоговом окне. Решения проблем, связанных с ошибками во время установки читайте в секции «Решение проблем, возникающих в процессе установки»

Решение проблем, возникающих в процессе установки.

Когда установка FTP 7.5 по какой либо причине завершается неудачно и не проходит из-за ошибок, то в окне мастера установки появляется кнопка «Installation log» (лог установки). Нажмите на эту кнопку, и увидете протокол инсталляции MSI пакета, который создался во время установки. Так же можно вручную включить протоколирование установки. Для этого необходимо выполнить следующую команду, исходя из версии Вашей операционной системы Windows. Лог файл, созданный нижеперечисленными командами, будет содержать в себе информацию о процессе установки:

  • 32-битная версия Windows:
    • msiexec /L ftp7.log /I ftp7_x86_75.msi
  • 64-битная версия Windows:
    • msiexec /L ftp7.log /I ftp7_x64_75.msi

Вы можете проанализировать файл протокола после того, как установка была прервана из-за ошибки.

Нажмите на кнопку «Online information» в диалоговом окне с ошибкой и в вашем вбе браузере откроется документ под названием «Installing and Troubleshooting FTP7.5» (Установка и решение проблем FTP 7.5).

Известные ошибки данного релиза FTP сервера

Ниже перечислены ошибки, о которых стало известно после выхода данного релиза:

  1. Сервис FTP, поставляемый в комплекте с дистрибутивом Windows Server 2008 DVD не следует устанавливать, после того, как была произведена инсталляция нового FTP сервиса. Старый FTP сервис не способен обнаружить в системе новую версию FTP сервиса. Это приводит к запуску двух экземпляров FTP сервиса и возможному конфликту портов.
  2. Во время делегирования удалённым менеджерам Web расширений и добавлении файлов web.config используя новую инфраструктуру конфигурации IIS 7.0, возможности FTP не делегируются или не сохраняются в файлах web.config.
  3. IIS 7.0 может быть деинсталлирован после установки нового FTP сервиса, что приведёт к проблемам в работе последнего. Если будет произведена переустановка IIS 7.0, то будут созданы новые копии файлов конфигурации IIS. Но FTP сервис, все равно не будет функционировать исправно. Для решения данной проблемы повторно запустите установку нового FTP сервиса и выберите меню «Repair»(Восстановление).
  4. Значок, который отображает комбинацию Web/FTP сайта, может отображаться как знак вопроса, хотя сайт стартовал без каких-либо ошибок. Это случается, когда сайт содержит смешанные соединения HTTP/FTP.
  5. После публикации FTP на Web сайте, щелчек мышью на узле сайта в древовидном представлении сайта в панели управления IIS не показывает значков FTP. Для решения данной проблемы сделайте следующее:
    • Нажмите F5 для обновления консоли IIS 7.0.
    • Выберете меню Sites (Сайты) и дважды щёлкните на имени нужного сайта.
    • Закройте и заново откройте консоль управления IIS 7.0.
  6. Когда Вы добавляете собственного провайдера в умолчаниях сайта, эта опция отображается в каждом сайте. Однако, если Вы захотите удалить или изменить значения для собственного провайдера на уровне сайтов, IIS создаст пустую секцию

для данного сайта, соответственно изменения не отобразятся в остальных сайтах. К примеру – собственный провайдер установлен на уровне умолчаний для сайтов, соответственно Вы не можете изменить его на уровне сайтов. Для решения данной проблемы откройте свой файл с названием applicationHost.config, используя учётную запись администратора, и добавьте элемент в список собственных провайдеров, затем вручную добавьте своего провайдера в свои настройки. К примеру, добавляем, собственный провайдер аутентификации IIS как показано на примере ниже:

Первое знакомство с FTP7.5

Для получение дополнительной справки по работе с новым FTP сервисом ознакомьтесь со списком статей, опубликованных на Web сайте Microsoft http://www.iis.net/ :

  • Работа сFTPсайтами:
    • Создание нового FTP сайта
    • Добавление публикации FTP к существующему Web сайту

В дополнении к данной статье хочется отметить, что файл справки нового FTP сервиса содержит много полезной информации предназначеной для администраторов FTP сервера. Для открытия данного файла зайдите в консоль управления IIS, затем в возможности FTP и нажмите «Help» в панели «Actions».

Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

IIS 7.0- Служба публикации FTP.

Не для кого не секрет, что компания Microsoft никогда не отличалась самыми лучшими продуктами FTP серверов с учетом общей конкуренции на рынке FTP серверов. Хотя Microsoft всегда включала FTP серверы практически во все предыдущие версии IIS и Windows Server, им не хватало расширенных возможностей FTP серверов. Microsoft преодолела многие из этих недостатков, выпустив новую версию службы публикации FTP Publishing Service, которая была выпущена с официальным запуском в производство Windows Server 2008. Новая служба публикации FTP Publishing Service была полностью переписана, равно как и IIS 7.0, и доступна она только для IIS 7.0.

На самом деле для IIS 7.0 доступны две службы FTP, первая идет с исполняемыми файлами Windows Server 2008 или Windows Vista, а вторая доступна только для загрузки.

Вы можете спросить, почему два FTP сервера и какая между ними разница?

  • Первый вариант является скорее небольшим апгрейдом и очень похож на службу FTP, которая входила в IIS 6.0.
  • Вторая FTP служба представляет собой новую усовершенствованную версию, доступную в качестве скачиваемого дистрибутива для IIS 7.0.

В этой статье речь пойдет о новой улучшенной версии службы публикации FTP Publishing Service.

Новая служба FTP имеет много новых возможностей, которые позволят веб разработчику более просто публиковать содержимое. Эта версия также предлагает больше опций безопасности и установки для администрирования. Она доступна для Windows Server 2008 в 32-разрядной и 64-разрядной версии.

Что нового

Новый сервер публикации FTP Publishing Server включает широкий спектр новых возможностей и усовершенствований. Ниже я выделю основные темы и опишу каждое улучшение.

  • Интеграция с IIS 7.0 Новая служба FTP плотно интегрируется в принципиально новый интерфейс администрирования и хранилище конфигурации IIS 7.0
  • Поддержка новых стандартов интернета Новая служба FTP поддерживает FTP через SSL, также известный как FTPS или FTP/SSL и использует сертификат публичного ключа (SSL/TLS). Этот протокол нельзя путать с протоколом SFTP или FTP через SSH, который является другим стандартом, на данный момент не поддерживающимся в Microsoft FTP Publishing Service. Она также поддерживает другие улучшения, такие как UTF8 и IPv6.
  • Общий хостинг (Shared hosting) Новая служба FTP усовершенствована и полностью интегрирована в IIS 7.0, можно выкладывать FTP и веб содержимое с одного сайта путем добавления и привязки FTP к существующему вебсайту. Служба FTP также имеет поддержку виртуальных имен хоста, что позволяет размещать несколько FTP сайтов на одном IP адресе. Служба оснащена улучшенной изоляцией пользователей, что позволяет изолировать пользователей с помощью виртуальных директорий для каждого отдельного пользователя.
  • Расширяемость Новая служба FTP поддерживает расширяемость разработчиков (API), что позволяет поставщикам ПО гораздо проще прописывать выборочных провайдеров для FTP аутентификации.
  • Ведение логов Ведение логов в FTP было улучшено и включает весь FTP трафик в файлы логов.
  • Улучшенная возможность диагностики IIS 7.0 оснащена новой улучшенной функцией диагностики, такой как отслеживание событий (Event Tracing for Windows ETW), служба FTP поддерживает эту возможность наряду с подробными отчетами и сообщениями об ошибках для локальных пользователей, что тоже является новой возможностью IIS 7.0.

Требования к установке

Новая служба FTP Publishing Service доступна для бесплатного скачивания с IIS.net DownloadCenter.

Есть ряд параметров, которые должны быть в наличии, прежде чем продолжать процесс установки FTP Publishing Service.

  • Вы должны использовать Windows Server 2008,
  • IIS 7.0 должна быть установлена,
  • Если вы хотите управлять новыми FTP службами с помощью интерфейса IIS 7.0, необходимо установить консоль IIS Management Console,
  • Вы должны входить в систему с учетной записью администратора,
  • Конфигурация IIS 7.0 Shared должна быть отключена на каждом узле в сценарии веб среды, прежде чем устанавливать FTP, после установки FTP ее можно снова включить,
  • Службу FTP, которая предоставляется вместе с исполняемыми файлами Windows Server 2008, необходимо удалить, прежде чем устанавливать новую FTP службу.

Установка

В этом пошаговом руководстве я опишу процесс установки FTP службы на новый сервер Windows Server 2008. Я буду рассказывать только об установке FTP, и не буду касаться установки других служб IIS 7.0.

  • Скачайте новую версию FTP Service, используя вышеуказанную ссылку
  • Запустите установочную программу с помощью ‘Выполнить как администратор (Run as Administrator)’ или используя одну из этих команд: — x86 version: msiexec /i ftp7_x86_rtw.msix64 version: msiexec /i ftp7_x64_rtw.msi Эти шаги необходимы из-за User Account Control (UAC), которая в противном случае не позволит вам получить доступ к файлу applicationHost.config.
  • Когда программа установки запустится, нажмите «Далее»:
  • Примите условия соглашения EULA и нажмите «Далее»:
  • Выберите опции, которые хотите установить, и нажмите «Далее»:

Описание параметров установки:


  • Общие файлы (Common files) Предоставляет общие файлы службы Microsoft FTP Service для IIS 7.0, такие как файл схемы конфигурации FTP, общие файлы требуются для всех FTP серверов, работающих в режиме shared configuration (общая конфигурация).
  • FTP Publishing Service FTP Publishing Service, основной компонент, необходимый для работы FTP, и требующий установки Process Model (модель обработки) из Windows Process Activation Service.
  • Поддержка управляемого кода (Managed Code Support) Поддержка возможностей управляемого кода. Эти параметры требуются, когда возможности управляемого кода, такие как пользователи ASP.NET или IIS Manager Users, будут использоваться с FTP. Эта функция необязательная и не будет работать, если Windows Server 2008 запущен в режиме ядра сервера (Server Core).
  • Возможности администрирования (Administration Features) Поддерживает администрирование с помощью IIS Manager, пользовательский интерфейс (UI). Этот параметр требует установки IIS Manager и .NET 2.0 Framework.
  • Нажмите «Установить», чтобы запустить процесс установки:
  • Нажмите «Прочитать», чтобы посмотреть файл readme, а затем нажмите «Закончить»:

Убедитесь, что FTP Service установлена путем проверки того, что служба Microsoft FTP Service запущена и/или в IIS Manager проверьте новый FTP раздел, со всеми компонентами управления для FTP Service.

По умолчанию FTP Server отключен и не принимает никаких FTP запросов.

С помощью IIS Manager можно очень легко опубликовать новый FTP сайт, либо добавить FTP публикацию к уже существующему вебсайту.

Для безопасности пользователей служба FTP Service поддерживает анонимных пользователей, однако это не рекомендуется, служба также поддерживает два способа аутентификации ваших FTP пользователей:

  • Windows Authentication Пользователи находятся в Active Directory или в локальном хранилище пользователей на выделенном FTP сервере.
  • IIS Manager Authentication Это новый параметр, в котором IIS Manager используется для администрирования и все пользователи добавляются с помощью IIS Manager, аутентификация управляется новым провайдером ‘IISManagerAuth’.

Резюме

Новая скачиваемая версия FTP Publishing Service от Microsoft была очень долгожданной. Приятно видеть, что Microsoft пересмотрела и переписала свой FTP Server и выпустила его с поддержкой для FTP-S.

Безопасности и шифрования недоставало в предыдущих версиях, а поскольку FTP осуществляет передачу чистым текстом, эта функция, безусловно, является самым лучшим усовершенствованием.

Еще одним преимуществом этой новой службы FTP Service является интеграция в IIS Manager и привязка ее к существующим вебсайтам непосредственно из IIS Manager.

На этом мы закончим первую часть этой серии статей о новой службе FTP Publishing Service для Internet Information Services 7.0 (IIS 7.0). Во второй части я расскажу о возможностях настройки, включая способы безопасной публикации FTP папок.

Введение

Эта статья посвящена различным сценариям установки новой службы публикации FTP для IIS 7.0. Необходимым условием этой статьи является то, что служба публикации FTP уже установлена на Windows Server 2008. В первой части этой серии статей я рассказывал о том, как скачивать и устанавливать новую версию службы публикации FTP. Эта статья будет состоять из двух основных тем настройки, каждая из которых будет разделена на свои секции:

  • Как настраивать новый FTP сайт
  • Как добавлять FTP публикацию к уже существующему веб сайту

Обе темы будут связаны с настройкой FTP с помощью графического интерфейса и инструментов управления командной строки.

Использование FTP может быть различным в зависимости от потребностей и требований к FTP в организации. Поэтому в данной статье будут представлены различные сценарии.

Настройка нового FTP сайта

Существует несколько способов настроить новый FTP сайт; с IIS 7.0 и новой службой публикации FTP теперь можно изменять или добавлять ftp сайт непосредственно в xml файлы конфигурации или с помощью сценариев.

Первая часть этого раздела будет посвящена настройке FTP ‘из GUI’ с помощью IIS Manager, а в конце я расскажу о настройке FTP с помощью интерфейса командной строки. Оба способа обеспечивают одинаковый конечный результат, коим является новый FTP сайт.

Создание новой папки

Папку необходимо подготовить для FTP публикации. Проще создать папку сейчас, прежде чем продолжать настройку FTP. Убедитесь, что папка имеет соответствующие разрешения. Папка, используемая в этом примере, будет: ‘D:\Inetpub\ftproot\ftp.iis-digest.com’.

  1. Создайте папку D:\Inetpub\ftproot\ftp.iis-digest.com
  2. Установите разрешения этой папке, используя calcs в интерпретаторе команд:

Вышеуказанная команда меняет разрешения для ftp.ii-digest.com папки и добавляет разрешения «читать» и «выполнять» для учетной записи IUSR.

Пользователь IUSR – это новая встроенная учетная запись на Windows Server 2008, используемая для IIS 7.0, заменившая старую IUSR_machinename учетную запись, которая использовалась в Windows Server 2003 и IIS 6.0.

  1. Запустите IIS Manager из меню Пуск ‘ Администрирование ‘ Internet Information Service (IIS) Manager.
  2. В IIS Manager на вкладке «Сайты» выберите опцию «Добавить FTP сайт»
  1. Введите информацию IP адреса для FTP сайта, а во время присвоения порта выберите стандартный FTP порт 21. Если вы знаете, что делаете, и если вашим приложениям может понадобиться другой порт, его можно изменить здесь.
  2. Новым в службе публикации FTP является то, что она теперь поддерживает имена виртуальных хостов, которые представляют собой то же самое, что используется в заголовках хостов на веб сайтах. Имя виртуального хоста, как например ftp.iis-digest.com означает, что теперь можно иметь несколько FTP сайтов, настроенных на одном IP адресе без конфликтов на присвоенном порте.
  3. SSL также является новой функцией, поддерживаемой службой публикации FTP, сочетая SSL и FTP, сервер обеспечивает поддержку FTPS. Выбрав SSL сертификат во время настройки, FTP сайт становится доступным в виде безопасного сайта, поэтому весь трафик будет зашифровываться. В вышеприведенном примере должно стоять ‘Разрешить SSL’, так как нет SSL сертификата для этого ftp сайта.
  4. Установите аутентификацию на значение «Анонимная», чтобы предоставить анонимный доступ к новому ftp сайту, используемому в качестве примера в этой статье.
  1. Добавьте параметры авторизации, используемые для ftp сайта, установите их в значение ‘Анонимные пользователи’ и разрешения только чтения.
  2. Новый ftp сайт был настроен и его можно посмотреть в IIS Manager
  1. Тестирование нового FTP сайта: в этом примере мы войдем от имени анонимного пользователя, чтобы протестировать новый сайт ftp.iis-digest.com. Поскольку FTP 7 использует виртуальные заголовки, логин должен иметь формат: ‘ftp.iis-digest.com|anonymous’:

Настройка нового FTP сайта с помощью командной строки или сценариев

С IIS 7.0 и новым FTP 7 теперь возможно использовать сценарии и автоматизировать большую часть управления IIS и FTP. В этом разделе будет рассказано о том, как создавать и настраивать тот же самый новый FTP сайт (как был создан выше), но с помощью интерпретатора команд и сценариев.

Используя инструмент командной строки AppCMD.exe, команда и параметры для создания нового FTP сайта будут следующие:

Тоже самое можно сделать в PowerShell и новом PowerShell Provider для IIS 7.0. Требованием является то, чтобы PowerShell 1.0 был установлен на Windows Server 2008 вместе с PowerShell Provider для IIS 7.0. PowerShell Provider можно скачать с www.iis.net. Оба компонента нужно установить, чтобы обеспечить подключение и команды для управления IIS 7.0 и FTP 7 с помощью PowerShell.

Существует и еще один программный интерфейс для управления IIS 7.0, это Microsoft.Web.Administration, дополнительная информация об этом инструменте находится на официальном веб сайте IIS (www.iis.net). Этот интерфейс не рассматривается в данной статье.

Добавление FTP публикации к существующему веб сайту

Благодаря IIS 7.0 и новой службе публикации FTP теперь можно добавлять FTP к существующему веб сайту непосредственно из IIS Manager. Это отличная новая функция, которая не была представлена в предыдущих версиях IIS. Это означает, что в нашей примерной среде хостинга теперь гораздо легче добавить FTP доступ к веб сайту, который уже есть на веб сервере.

Благодаря новой службе публикации FTP стало просто публиковать FTP на уже существующем веб сайте, и это можно сделать непосредственно из IIS Manager. В примере ниже FTP сайт будет добавлен к веб сайту по умолчанию.

  1. Разверните ‘Сайты’ и найдите веб сайт, к которому вы хотите добавить функцию FTP, в этом примере название сайта будет ‘Default Web Site’
  2. Отметьте веб сайт (Default Web Site) и нажмите правой клавишей, или в панели действий выберите ‘Добавить FTP публикацию»:
  1. Откроется диалоговое окно в мастере добавления FTP публикации, первая страница — ‘Привязка и SSL Параметры’:
  1. IP адрес: выберите IP адрес, который вы хотите назначить своему новому FTP сайту, это может быть либо ‘All Unassigned’ или вы можете ввести IP адрес или выбрать из меню. В этом примере мы использовали ‘All Unassigned’
  2. Порт: Стандартным портом для FTP является TCP порт 21, который также будет использоваться в данном примере
  3. Виртуальное имя: Теперь можно использовать заголовок хоста для FTP сайта, как мы знаем из заголовков хоста на веб сайте и из моего предыдущего примера. В этом примере мы оставим поле пустым, что означает, что оно будет соответствовать IP адресу
  4. Выбираем ‘Разрешить SSL’, так как у нас нет SSL сертификата, который можно добавить к новому ftp сайту
  1. Выбираем основную или анонимную аутентификацию для нашего ftp сайта (этого делать не рекомендуется). В данном примере мы используем такую аутентификацию, так как тестируем сайт

Теперь FTP был добавлен к существующему Default веб сайту. Тестируем ftp соединение путем подключения к IP адресу сервера или к серверу, используя localhost.

Резюме

В этой статье описывается процесс настройки нового FTP сайта и добавления FTP публикации к существующему веб сайту. Настройка осуществлялась с помощью IIS Manager, а также с помощью appcmd.exe. интерфейса командной строки.


На этом мы закончим вторую часть серии статей о службе публикации FTP для Internet Information Services 7.0 (IIS 7.0).

Iis записи реестра для службы ftp

Добрый день, Форумчане. Сегодня написшу miniHOWTO на тему:
FTP сервер на базе IIS 6.0 с использованием AD изоляцией пользователей и разрешением анонимного доступа!
Длинно? — Да, но если найдется такой же извращенец-новичок как и я, то, наверное, спасибо скажет.
Почему FTP на базе IIS 6.0? А мне тогда было лень искать и изучать сторонние продукты.
Что мне было нужно: Мне нужна была 1 база для пользователей, и ее дублирование я не хотел допускать!
База, понятное дело, это AD. Используя документацию MS — мне не хватало данных для полного понимания процесса.
В тексте будут использованы материалы от MS, которые, я буду дополнять своими коментариями. Думаю со вступлением закончили,

1. Создание нового FTP-узла с изоляцией пользователя с помощью режима Active Directory.

В режиме Изолировать пользователей, используя Active Directory подлинность учетных данных пользователей проверяется в

соответствующем контейнере Active Directory вместо поиска по всей службе каталогов Active Directory, для чего требуется

Примечание:
Для этого режима требуется сервер Active Directory, выполняющийся под управлением операционной системы из семейства Windows

Server 2003. Служба каталогов Active Directory из Windows 2000 также может использоваться, но для этого необходимо вручную

расширить схему объекта пользователя. Дополнительные сведения об установке сервера Active Directory см. в центре справки и

поддержки для Windows Server 2003.

Для обеспечения целостности данных и изоляции каждому пользователю могут назначаться определенные экземпляры FTP-сервера.

Когда объект пользователя находится в контейнере Active Directory, свойства msIIS-FTPRoot и msIIS-FTPDir извлекаются для

обеспечения полного пути к корневому каталогу пользователя. Если службе FTP удается получить доступ к этому пути,

пользователь размещается в пределах домашнего каталога, представляющего коренное расположение FTP. Пользователь видит только

собственное коренное расположение FTP и, следовательно, не может переместиться выше по дереву каталогов. Пользователь

получает отказ в доступе, если какое-либо из свойств, msIIS-FTPRoot или msIIS-FTPDir, не существует, или если пара этих

свойств не представляет действительный и доступный путь.

Важно:
Для осуществления описанных ниже процедур необходимо быть членом группы «Администраторы» локального компьютера. В целях

безопасности рекомендуется входить в систему с учетной записью, не включенной в группу «Администраторы», а затем

использовать команду runas для запуска диспетчера IIS от имени администратора. В командной строке введите

Чтобы создать FTP-узлы с изоляцией пользователя, используя режим Active Directory

1. В диспетчере IIS разверните ветвь локального компьютера, щелкните правой кнопкой мыши папку Узлы FTP, выделите пункт

Создать и выберите команду FTP-узел.

2. В окне мастера создания FTP-узла нажмите кнопку Далее.

3. В поле Описание FTP-узла введите описание FTP-узла и нажмите кнопку Далее.

4. В поле Настройка IP-адреса и порта введите IP-адрес и порт, а затем нажмите кнопку Далее.

5. В окне Изоляция пользователя FTP выберите параметр Изолировать пользователей, используя Active Directory и нажмите

6. В текстовом поле Имя пользователя введите имя пользователя в формате Domain\User, или найдите имя пользователя, нажав

кнопку обзора. Выберите пользователя с минимальными привилегиями домена. Это имя пользователя используется для доступа к

Active Directory и чтения свойств домашнего каталога.

7. В поле Пароль введите пароль пользователя.

8. В поле Введите домен Active Directory, используемый по умолчанию введите имя домена или осуществите его поиск с помощью

Примечание:
Это имя домена используется для пользователей, которые не указывают собственный домен при входе. Другими словами,

подлинность пользователя, подключающегося с именем Domain1\User1, будет проверяться в домене Domain1, а подлинность

пользователя, подключающегося с именем User2, будет проверяться в домене по умолчанию. Если домен по умолчанию не задан, а

пользователи не указывают имя домена, в доступе будет отказано всем пользователям, кроме анонимных. Вводите только основное

доменное имя, а не полное имя. Например, следует вводить MyDomain, а не MyDomain.dept.microsoft.com.

9. Нажмите кнопку Далее. Будет предложено повторить ввод пароля пользователя, введенного на предыдущих шагах.

10. Включите разрешения на чтение и запись соответствующим образом, нажмите кнопку Далее и нажмите кнопку Готово.

Вобщем-то если пройтись по этим шагам, то не получится ровным счетом НИЧЕГО!
Описание про msIIS-FTPRoot или msIIS-FTPDir, мне было совсем мне не понятно. Далее разобрался, что этот параметр хранится в

BD AD, далее стал искать, как его задать!

2.Задание параметров msIIS-FTPRoot и msIIS-FTPDir.

Более-менее понятное описание было мной найденно.

iisftp /setadprop
С помощью этой команды выполняется настройка свойств Active Directory для конкретного пользователя локального или удаленного

Синтаксис
iisftp[.vbs] /setadpropUserIDзначение_свойства[/sкомпьютер [/u [домен\]пользователь [/pпароль]]]

Параметры
UserID
Обязательный параметр. Указывает идентификатор пользователя Active Directory для входа в систему.
FTPDir|FTPRoot
Требуется для установки изоляции пользователя. Устанавливает изоляцию либо на уровне каталога, либо на уровне корня.
значение_свойства
Требуется для установки изоляции пользователя. Задает значение каталога или корня изоляции.
/s компьютер
Запускает сценарий на указанном удаленном компьютере. Введите имя компьютера или IP-адрес без обратных косых черт. По

умолчанию сценарий выполняется на локальном компьютере.
/u [домен\]пользователь
Выполняет сценарий с разрешениями указанной учетной записи пользователя. Эта учетная запись должна входить в группу

«Администраторы» на удаленном компьютере. По умолчанию сценарий выполняется с разрешениями текущего пользователя на

локальном компьютере.
/p пароль
Задает пароль учетной записи пользователя, определенной параметром /u. Если этот параметр пропущен, сценарий выводит

приглашение для ввода пароля и скрывает введенный текст.
/?
Отображает справку в командной строке.

На практике у меня получалось, что обе эти переменные, при извлечении, образуют единый путь для пользователя FTP.
И что они обе должны быть заданы. Если одна из переменных не задана, или их сопоставление не образует единый правильный

логический путь, пользователь не получит доступа на сервер!

Вот мой пример команд для задания переменных msIIS-FTPRoot и msIIS-FTPDir:

iisftp /Setadprop IUSR_servername FTPRoot s:
iisftp /Setadprop IUSR_servername FTPDir \

ИЗ примера мне стало понятно, что эти переменные всего лишь хранят в себе строковые значения.

С первой частью все. В принципе, пользователю можно зайти на FTP, будет выведено окно авторизации и пользователю будет нужно

ввести свои учетные данные. Но если Вам хочется облегчить жизнь не только себе, но и пользователю, дав доступ к общей

информации без явной авторизации для пользователя, а разделять доступ в других местах сайта (пример. Общекорпоративная

информация может быть доступна для всех пользователей, но может существовать необходимость разделения доступа среди

отделов!). Если это интересно или необходимо, пойдем дальше.

4. Разрешение анонимного доступа для узла FTP с настройкой режима изоляции пользователей с использованием Active Directory.

По умолчанию для узлов, созданных в режиме Изолировать пользователей, используя Active Directory, анонимный доступ отключен.

Чтобы разрешить анонимный доступ для узлов FTP с включенным режимом «Изолировать пользователей, используя Active Directory»

• Настройте свойства метабазы, как показано в следующем примере. Это можно сделать с помощью средства командной строки

• adsutil set /msftpsvc/6634/AllowAnonymous TRUE

• adsutil set /msftpsvc/6634/AnonymousOnly FALSE

• adsutil set /msftpsvc/6634/AnonymousUserName MyDomain\LowPrivUser

• adsutil set /msftpsvc/6634/AnonymousUserPass PaSsWoRd

Примечание:
Если узел создан в режиме «Изолировать пользователей, используя Active Directory», свойство Path для корневого виртуального

каталога FTP (которое для других режимов изоляции определяет домашний каталог) пустое. Кроме того, свойство AccessFlags

корневого виртуального каталога FTP содержит флаг AccessNoPhysicalDir. Не меняйте два этих значения. В случае их изменения

или удаления доступ к этому узлу в дальнейшем будет запрещен.

В общем-то все понятно, команды прозрачны для понимания, да и типы переменных Boolean и String. Но что это за странный

элемент пути 6634? Меня это стало интересовать после того, как я случаянно (по незнанию), указал эти парамеры по каталогу 1,

после того как система сказала мне, что каталога 6634 не существует! Начались тотальные поиски и изучение работы утилиты

adsutil. Чтобы узнать номер каталога вашего FTP сервера, необходимо просмотреть весь подкаталог /msftpsvc/.
Это можно сделать, набрав команду adsutil enum_all. Лучше перенаправить выгрузку результатов (а их будет много) в файл:
adsutil enum_all >c:\1.txt.
Далее идем по указанному пути, открываем файл и поиском ищем имя вашего FTP сервера, которое вы указывали мастеру создания

FTP сайта. После того как нашли, тут же сможете увидеть полный путь FTP сайта, и номер директории в нем. Вот пример моей

[/MSFTPSVC/1364068556]
KeyType : (STRING) «IIsFtpServer»
ServerState : (INTEGER) 2
ServerComment : (STRING) «FTPADIS»
ServerBindings : (LIST) (1 Items)
«:57:»

ServerAutoStart : (BOOLEAN) True
AllowAnonymous : (BOOLEAN) False
DefaultLogonDomain : (STRING) «contoso.com»
Win32Error : (INTEGER) 0
UserIsolationMode : (INTEGER) 2
ADConnectionsUserName : (STRING) «contoso\IUSR_servername»
ADConnectionsPassword : (STRING) «**********»
ServerCommand : (INTEGER) 1

Номер моей директории — 1364068556, имя сервера — FTPADIS.
Теперь, владея всей информацией выполняем вышеуказанные команды, но уже с исправленными значениями!

• adsutil set /msftpsvc/1364068556/AllowAnonymous TRUE

• adsutil set /msftpsvc/1364068556/AnonymousOnly FALSE

• adsutil set /msftpsvc/1364068556/AnonymousUserName MyDomain\LowPrivUser

• adsutil set /msftpsvc/1364068556/AnonymousUserPass PaSsWoRd

Все, после этих операций, пользователь, сможет анонимно входить на ваш FTP сервер, в качестве анонимной учетной записи

будет выступать IUSR_servername. Создавая пользователей в AD, раздавая доступ на файловую систему, и соответственно настроив

FTP сервер для пользователей, Вы сможете ограничивать доступ на различные папки сервера. Спасибо за прочтение!

Настройка виртуального каталога FTP в IIS

Настройка виртуального каталога делается очень просто.
Указываем псевдоним, он дожжен бить коротким и лаконичным, состоящий из английских букв и самое главное совпадать с именем физического каталога, (это делается для того, чтобы виртуальный каталог стал доступен из корневого) далее указываем сам путь к физическому каталогу, каталог может находится как на локальном компьютере или на компьютере в сети, в последнем случае адрес будет например такой:
\\Server_baz\BAZI\Accounting

После этих нехитрых манипуляций наш виртуальный каталог появится в оснастке и будет доступен по адресу ftp:/Accounting/, вообще это не совсем удобно, т.к придется где то хранить этот адрес или набирать вручную, чтобы виртуальный каталог стал доступен из корневого, просто создаем в коневом каталоге пустую папку с именем виртуального каталога(Accounting) и все.
При входе из ftp клиента в эту папку в ней отобразится содержимое виртуального каталога.
p.s
Написал для себя чтоб не забыть

1 комментарий

Похожие записи

andredorin 21 марта 2011, 06:50

greg_b 29 июня 2011, 09:49

greg_b 12 декабря 2011, 09:48

Как покупать биткоины? Телеграм-бот для обмена битков

Понравилась статья? Поделиться с друзьями:
Кодинг, CSS и SQL