Bár a protokoll FTP, Az egyik legrégebbi protokoll, 40 éves lett és továbbra is mindenütt használják, ahol egyszerű fájlátviteli protokoll szükséges. Az FTP szerver telepíthető az összes Microsoft operációs rendszerre. A szolgáltatás utolsó mélyreható modernizálását a Windows 7 / Server 2008 R2-ben végezték (valójában a szolgáltatáskódot újraírták). A szolgáltatás biztonsága jelentősen javult, és számos új funkció jelent meg. Különösen a Windows FTP szerverén lehetett konfigurálni szigetelés FTP a felhasználók száma, lehetővé téve, hogy megkülönböztesse több felhasználó hozzáférését a saját mappájához egy FTP-kiszolgálón.
Az elkülönítési funkció miatt a felhasználók csak az ftp könyvtáraikkal dolgozhatnak, és nem léphetnek magasabbra a könyvtári fában, mert A felhasználó legfelső szintű könyvtára jelenik meg számára az FTP szolgáltatás gyökérként. Így megakadályozhatja, hogy a felhasználók hozzáférjenek mások fájljainak az FTP-kiszolgálón. Az FTP-felhasználók elkülönítését a host szolgáltatók széles körben használják, amikor különféle felhasználók számára egyéni hozzáférést kell biztosítani egy fájlraktárhoz.
Mint a Windows korábbi verzióiban, az FTP szolgáltatás (ne tévessze össze az sFTP-vel és a TFTP-vel) a Windows Server 2016/2012 R2-ben alapul és mélyen integrálva van az IIS szolgáltatásba, és egyetlen adminisztrációs kezelőfelülettel rendelkezik. Ebben a cikkben megmutatjuk, hogyan telepítse a szervert FTP az IIS alapján ablakokban szerver 2016/2012 R2, és konfigurálja rajta a felhasználói elkülönítést (Az utasítások a Windows 10 / 8.1-re is vonatkoznak).
Tartalom:
- Az FTP kiszolgálói szerepkör telepítése a Windows Server 2016/2012 R2 rendszerben
- FTP-hely beállítása a Windows Server rendszerben, jogok biztosítása a felhasználók számára
- Konfigurálja az FTP felhasználói elszigetelését a Windows Server 2016/2012 R2 alkalmazásban
- Konfigurálja a Windows tűzfalszabályokat az FTP-kiszolgáló eléréséhez
- Az FTP-kiszolgálóval való kapcsolat ellenőrzése egy Windows-ügyféltől
Az FTP kiszolgálói szerepkör telepítése a Windows Server 2016/2012 R2 rendszerben
Az FTP szolgáltatást a Kiszolgálókezelő konzolon keresztül telepítheti, a szakaszban megjegyezve Webszerver (IIS) -> FTP-kiszolgáló opciók FTP szolgáltatás és FTP kiterjeszthetőség.
Az FTP-kiszolgálói szerepkört egy PowerShell-paranccsal is telepítheti:Install-WindowsFeature Web-FTP-Server
Az FTP-kiszolgáló felügyeleti konzoljának telepítéséhez futtassa a következő parancsot:
Telepítés-WindowsFeature -Név "Web-Mgmt-Console"
FTP-hely beállítása a Windows Server rendszerben, jogok biztosítása a felhasználók számára
Indítsa el a Server Manager alkalmazást, és nyissa meg az Internet Information Service Manager (IIS) felügyeleti konzolt.
Hozzon létre egy új FTP-helyet (Webhelyek -> Hozzáadás FTP hely). 
FTP webhely neve: MyTestSite
Az FTP-hely gyökérkönyvtára: C: \ inetpub \ ftproot
A hálózaton továbbított ftp adatok védelme érdekében konfigurálható az SSL (ebben az esetben a hálózaton továbbított összes adat és az ftp felhasználók jelszavai / fiókjai titkosítva vannak), de a demonstrációnkhoz ez nem szükséges. Az összes többi beállítás alapértelmezés szerint marad..
Az FTP-helyet a PowerShell WebAdministration modul segítségével kezelheti. Például egy új FTP-hely létrehozásához hajtsa végre a következő parancsokat:Import-modul webes adminisztráció
# Állítsa be az FTP webhely nevét
$ FTPSiteName = 'Új FTP webhely'
# FTP webhely könyvtár
$ FTPRoot = 'E: \ www \ FTPRoot'
# FTP site port
$ FTPPort = 21
New-WebFtpSite -Name $ FTPSiteName -PhysicalPath $ FTPRoot -Port $ FTPPort
Válasszon egy új FTP-helyet és a szakaszban FTP hitelesítés (Hitelesítés) letiltja az anonim hitelesítést Névtelen hitelesítés. Alapvető hitelesítés engedélyezni kell.
Az FTP szolgáltatás a Windows Server 2016/2012 R2 rendszeren kétféle fiókot használhat: domain vagy helyi. A fiók típusától függően különbségek vannak az FTP könyvtárstruktúra és a felhasználói elkülönítési beállítások között. Helyi Windows-fiókokat fogunk használni.
Hozzon létre FTP-felhasználókat, ezek például ftp_user1, ftp_user2 és ftp_user3 fiókok lesznek. Hozzon létre egy ftp_users csoportot, amellyel ezeket a felhasználókat beillesztheti. A szakaszban felhasználókat hozhat létre helyi felhasználók és csoportok a konzol számítógép vezetés.
Felhasználókat és csoportokat is létrehozhat a parancssorból (vagy a PowerShell használatával). Hozzon létre egy helyi csoportot:net localgroup ftp_users / add
Hozzon létre új helyi felhasználót:
nettó felhasználó ftp_user1 / add *
Adja hozzá a felhasználót a csoporthoz:
net localgroup ftp_users ftp_user1 / add
Hozzon létre további két felhasználót ugyanúgy..
Biztosítsa a létrehozott ftp_users csoportokat (RW) a C: \ inetpub \ ftproot könyvtárhoz.
A C: \ inetpub \ ftproot könyvtárban hozzon létre egy könyvtárat a névvel helyi_felhasználó (a névnek teljesen konzisztensnek kell lennie, ez fontos!!!). Ezután a C: \ inetpub \ ftproot \ LocalUser belül hozzon létre három könyvtárat a létrehozott felhasználók nevével: ftp_user1, ftp_user2, ftp_user3.
megjegyzés. A fiókok típusától függően létre kell hoznia a következő könyvtárstruktúrát (% FtpRoot% \ az FTP hely gyökérét értjük, esetünkben C: \ inetpub \ ftproot \):
| Fiók típusa | Kezdőlap könyvtárak szintaxisa |
| Névtelen felhasználók | % FtpRoot% \ LocalUser \ Public |
| Windows helyi fiók | % FtpRoot% \ LocalUser \% UserName% |
| Windows tartományi fiók | % FtpRoot% \% UserDomain% \% UserName% |
| Speciális IIS Manager vagy ASP.NET fiókok | % FtpRoot% \ LocalUser \% UserName% |
Vissza az IIS konzolhoz és a webhely részhez FTP engedélyezési szabályok hozzon létre egy új szabályt (Adja hozzá az Engedélyezési szabályt), amely azt jelzi, hogy az ftp_users csoportnak olvasási és írási jogosultságokkal kell rendelkeznie (Olvasási és írási engedélyek). 
Konfigurálja az FTP felhasználói elszigetelését a Windows Server 2016/2012 R2 alkalmazásban
Folytassuk az FTP felhasználói elszigeteltség beállításával. Az FTP-felhasználók elkülönítése az FTP-hely szintjén van beállítva, nem az egész kiszolgálón, és lehetővé teszi, hogy minden felhasználó számára saját otthoni könyvtárat rendezzen. Az FTP-hely beállításaiban nyissa meg az elemet FTP használó szigetelés.
Ebben a szakaszban számos beállítás található. Az első kettő nem jelenti a felhasználó elszigeteltségét:
- FTP gyökér telefonkönyv (ftp - a felhasználói munkamenet az ftp webhely gyökérkönyvtárával kezdődik);
- használó név telefonkönyv (a felhasználó egy fizikai / virtuális könyvtárral kezdődik a felhasználónévvel. Ha a könyvtár hiányzik, akkor a munkamenet az ftp webhely gyökérkönyvtárából indul).
A következő 3 lehetőség képviseli a felhasználói elkülönítési módokat:
- használó név telefonkönyv (disable globális VirtualDirectories) - feltételezi, hogy a felhasználó ftp munkamenetét egy fizikai vagy virtuális könyvtár izolálja, amelynek neve megegyezik az ftp felhasználónévvel. A felhasználók csak a saját könyvtárat látják (számukra ez a gyökérkönyvtár), és nem léphetnek túl rajta (az FTP fa magasabb könyvtárában). A globális virtuális könyvtárakat nem veszik figyelembe;
- használó név fizikai telefonkönyv (engedélyez globális tényleges könyvtárak) - Feltételezzük, hogy a felhasználó FTP munkamenetét korlátozza (izolálja) az FTP felhasználói fiók nevű fizikai könyvtár. A felhasználó az FTP struktúrában nem léphet át a könyvtár fölé. A felhasználónak azonban hozzáférése van az összes létrehozott globális virtuális könyvtárhoz;
- Az Active Directory-ban konfigurált FTP otthoni könyvtár - Az FTP-felhasználó el van különítve az Active Directory-fiókjának beállításaiban megadott otthoni könyvtárban (FTPRoot és FTPDir tulajdonságok).
Válassza ki a kívánt elkülönítési módot (a második opciót használom az ftp felhasználói elkülönítéshez).
Az IIS FTP-helyének beállításaival kapcsolatos módosítások esetén ajánlatos újraindítani a Microsoft FTP szolgáltatást (FTPSVC)..Konfigurálja a Windows tűzfalszabályokat az FTP-kiszolgáló eléréséhez
Az FTP-kiszolgálói szerepkör telepítésekor a Windows tűzfal beállításainál az összes szükséges szabály automatikusan aktiválódik az FTP felhasználói hozzáféréshez.
Annak érdekében, hogy az Északi FTP passzív FTP módban helyesen működjön, a felhasználóknak csatlakozniuk kell az RPC porttartományhoz (1025-65535). Annak elkerülése érdekében, hogy ezeket a portokat egy külső tűzfalon nyissa meg, korlátozhatja az adatátvitelhez használt dinamikus TCP-portok tartományát.
- Ehhez nyissa meg az elemet az IIS FTP-helyének beállításaiban FTP tűzfal támogatás és a szántóföldön adat csatorna kikötő tartomány adja meg az FTP-kapcsolatokhoz használni kívánt porttartományt. Például - 50000-50100;
- Mentsd el a módosításokat, és indítsd újra az IIS-t (iisreset);
- Nyissa meg a vezérlőpultot, és lépjen a Vezérlőpult \ Rendszer és biztonság \ Windows tűzfal \ Engedélyezett alkalmazások elemre;
- Győződjön meg arról, hogy a tűzfalon keresztül hozzáférést engedélyező alkalmazások listájához vannak engedélyek FTP szerver.
Ezután a Speciális biztonsági beállításokkal rendelkező Windows tűzfalban ellenőrizze, hogy a következő szabályok engedélyezve vannak-e:
- FTP szerver (FTP forgalom-bemenet) - TCP, 21. port;
- FTP szerver Passzív (FTP Passive Traffic-In) - helyi port címe 1024-65535 (vagy 50000-50100, mint a példánkban);
- FTP szerver biztonságos (FTP SSL forgalom-bemenet) - (FTP használatakor SSL-vel) 990-es port;
- FTP szerver (FTP forgalom kimenet) - 20. port;
- FTP szerver biztonságos (FTP SSL forgalom kimenet) - (ha FTP-t használ SSL-vel) 989-es port.
Ennek megfelelően ezeket a portokat ki kell nyitni az átjárón (tűzfalon) a külső FTP-felhasználók csatlakoztatása érdekében.
Az FTP-kiszolgálóval való kapcsolat ellenőrzése egy Windows-ügyféltől
Ellenőrizheti a portok elérhetőségét az FTP-kiszolgálón a Test-NetConnection parancsmag segítségével:
Test-NetConnection -ComputerName yourftpservername -Port 21
Vagy használja az ftp parancsot:
ftp yourftpservername
Próbáljon meg bármilyen FTP-klienssel vagy közvetlenül az Intézőből csatlakozni az FTP-webhelyéhez (a címsoron adja meg az ftp: // saját szervernév /.
Írja be a felhasználónevet és a jelszót.
Ennek eredményeként látni fogja a felhasználói könyvtár tartalmát a felhasználói fájlokkal (amely a felhasználó FTP-helyének gyökere). Mint láthatja, a felhasználói munkamenet el van különítve, és a felhasználó csak a fájljait látja az ftp szerveren. 
Az FTP-kiszolgálóhoz való felhasználói hozzáféréssel kapcsolatos információk megtekintéséhez használhat FTP-naplókat, amelyeket alapértelmezés szerint a könyvtár tárol c: \ inetpub \ logs \ logfiles formátumú fájlokban u_exYYMMDD.log.
A kiszolgálóval aktuális felhasználói kapcsolatok megtekintéséhez használhatja az IIS felhasználói számlálókat a PowerShell vagy az IIS konzol Aktuális FTP-munkamenetek szolgáltatásán keresztül. Ebben a konzolban megnézheti az FTP-felhasználó nevét és IP-címét, és szükség esetén leválaszthatja a munkamenetet.
Tehát megvizsgáltuk, hogyan állítsunk be egy FTP-helyet felhasználói elkülönítéssel a Windows Server 2016/2012 R2 alapján. Elkülönítési módban a felhasználók hitelesítik az FTP-t helyi vagy tartományi fiókjaik alatt, ezután hozzáférést kapnak a felhasználónévnek megfelelő gyökérkönyvtárhoz..
