• Articles
• admin

In einem früheren Artikel haben wir gesehen, dass Internet Information Services 6 (IIS 6) eine leistungsstarke Plattform zum Erstellen und Hosten von Websites sowohl für das Internet als auch für Unternehmensintranets ist. IIS 6 ist auch gleichermaßen nützlich für die Einrichtung von FTP-Sites für öffentliche oder Unternehmensnutzung, und in diesem Artikel werden wir“ll durch den Prozess der Erstellung und Konfiguration von FTP-Sites mit Hilfe der GUI (IIS-Manager) und Skripte in Windows Server 2003 enthalten gehen. Die spezifischen Aufgaben, die wir“ll gehen durch in diesem Artikel sind:

• Erstellen einer FTP-Site
• Steuern des Zugriffs auf eine FTP-Site
• Konfigurieren der FTP-Site-Protokollierung
• Stoppen und Starten von FTP-Sites
• Implementieren der FTP-Benutzerisolierung

Aus Gründen des Interesses, wir“ll erklären wieder diese Aufgaben im Zusammenhang mit einer fiktiven Firma namens TestCorp, wie es FTP-Sites sowohl für seine Unternehmens-Intranet und für anonyme Nutzer im Internet bereitstellt.

Vorbereitende Schritte

Wie im vorherigen Artikel erwähnt, wird IIS bei einer Standardinstallation von Windows Server 2003 nicht standardmäßig installiert. Bevor wir also FTP-Sites erstellen können, müssen wir zuerst den FTP-Dienst auf unserem IIS-Computer installieren. Dazu müssen wir der Anwendungsserverrolle, die wir unserem Computer zugewiesen haben, eine zusätzliche Komponente hinzufügen, als wir Ihren Server zur Installation von IIS verwendet haben.

Öffnen Sie zunächst Programme hinzufügen oder entfernen in der Systemsteuerung und wählen Sie Windows-Komponenten hinzufügen/entfernen aus. Aktivieren Sie dann das Kontrollkästchen für Anwendungsserver:

Klicken Sie auf Details und aktivieren Sie das Kontrollkästchen für Internetinformationsdienste (IIS):

Klicken Sie auf Details und aktivieren Sie das Kontrollkästchen für FTP-Dienste (File Transfer Protocol).

Klicken Sie zweimal auf OK und dann auf Weiter, um den FTP-Dienst zu installieren. Während der Installation müssen Sie“ll Ihre Windows Server 2003 Produkt-CD einlegen oder zu einem Netzwerk-Verteilungspunkt navigieren, wo die Windows Server 2003 Setup-Dateien befinden. Klicken Sie auf Fertig stellen, wenn der Assistent fertig ist.

Erstellen einer FTP-Site

Wie bei Websites, der einfachste Ansatz zur Identifizierung jeder FTP-Site auf Ihrem Computer ist jeder von ihnen eine separate IP-Adresse zuweisen, so lassen Sie „s sagen, dass unser Server drei IP-Adressen hat (172.16.11.210, 172.16.11.211 und 172.16.11.212) zugewiesen. Unsere erste Aufgabe wird es sein, eine neue FTP-Site für die Personalabteilung zu erstellen, aber bevor wir das tun lassen“s zunächst die Standard-FTP-Site untersuchen, die erstellt wurde, als wir den FTP-Dienst auf unserem Rechner installiert. Öffnen Sie IIS Manager in Verwaltung, wählen Sie FTP-Sites in der Konsolenstruktur aus, klicken Sie mit der rechten Maustaste auf Standard-FTP-Site und wählen Sie Eigenschaften:

Genau wie die Standardwebsite wird die IP-Adresse für die Standard-FTP-Site auf Alle nicht zugewiesen festgelegt. Dies bedeutet, dass jede IP-Adresse, die nicht speziell einer anderen FTP-Site auf dem Computer zugewiesen ist, stattdessen die Standard-FTP-Site öffnet ftp://172.16.11.210, ftp://172.16.11.211 oder ftp://172.16.11.212 im Internet Explorer wird der Inhalt der Standard-FTP-Site angezeigt werden soll.

Let“s weisen die IP-Adresse 172.16.11.210 für die Human Resources FTP-Site und machen D:\HR der Ordner, in dem sich der Inhalt befindet. Um die neue FTP-Site zu erstellen, klicken Sie mit der rechten Maustaste auf den Knoten FTP Sites und wählen Sie New –> FTP Site. Dies startet den FTP-Site-Erstellungsassistenten. Klicken Sie auf Weiter und geben Sie eine Beschreibung für die Site ein:

Klicken Sie auf Weiter und geben Sie 172.16.11.210 als IP-Adresse für die neue Site an:

Klicken Sie auf Weiter und wählen Sie Benutzer nicht isolieren aus, da dies eine Site ist, auf die jeder (einschließlich Gastbenutzer) zugreifen kann:

Klicken Sie auf Weiter und geben Sie an C:\HR als Speicherort des Stammverzeichnisses für die Site:

Klicken Sie auf Weiter und lassen Sie die Zugriffsberechtigungen auf Schreibgeschützt festgelegt, da diese Website nur zum Herunterladen von Formularen für gegenwärtige und potenzielle Mitarbeiter verwendet wird:

Klicken Sie auf Weiter und dann auf Fertig stellen, um den Assistenten abzuschließen. Die neue Personal-FTP-Site kann jetzt im IIS-Manager unter dem Knoten FTP-Sites angezeigt werden:

Um den Inhalt dieser Site anzuzeigen, rufen Sie einen Windows XP-Desktop im selben Netzwerk auf und öffnen Sie die URL ftp://172.16.11.210 verwenden von Internet Explorer:

Beachten Sie in der Statusleiste am unteren Rand des IE-Fensters, dass Sie als anonymer Benutzer verbunden sind. Um alle Benutzer anzuzeigen, die derzeit mit der FTP-Site Human Resources verbunden sind, klicken Sie im Internet Service Manager mit der rechten Maustaste auf die Site, wählen Sie Eigenschaften und klicken Sie dann auf der Registerkarte FTP-Site auf die Schaltfläche Aktuelle Sitzungen, um das Dialogfeld FTP-Benutzersitzungen zu öffnen:

Beachten Sie, dass anonyme Benutzer, die IE verwenden, unter Verbundene Benutzer als IEUser@ angezeigt werden.

Nun lassen Sie“s Erstellen Sie eine andere FTP-Site mit einem Skript anstelle der GUI. Wir“ll Erstellen Sie eine Website namens Hilfe und Support mit root-Verzeichnis C:\Support und IP-Adresse 172.16.11.211:

Hier ist das Ergebnis der Ausführung des Skripts:

Das Skript, das wir hier verwendet haben, ist Iisftp.vbs, die wie Iisweb.vbs und Iisvdir.vbs, das wir im vorherigen Artikel besprochen haben, ist eines von mehreren IIS-Verwaltungsskripten, die verfügbar sind, wenn Sie IIS unter Windows Server 2003 installieren. Eine vollständige Syntax für dieses Skript finden Sie hier. Sobald Sie mit diesem Skript eine neue FTP-Site erstellt haben, können Sie die Site mit IIS Manager wie gewohnt weiter konfigurieren.

Hinweis: Zu diesem Zeitpunkt können Sie Ihrer FTP-Site Struktur hinzufügen, indem Sie virtuelle Verzeichnisse erstellen.

Steuern des Zugriffs auf eine FTP-Site

Genau wie bei Websites gibt es vier Möglichkeiten, den Zugriff auf FTP-Sites unter IIS zu steuern: NTFS-Berechtigungen, IIS-Berechtigungen, IP-Adresseinschränkungen und Authentifizierungsmethode. NTFS-Berechtigungen sind immer Ihre erste Verteidigungslinie, aber wir können sie hier nicht im Detail behandeln. IIS-Berechtigungen werden auf der Registerkarte Startverzeichnis des Eigenschaftenblatts Ihrer FTP-Site angegeben:

Beachten Sie, dass die Zugriffsberechtigungen für FTP-Sites viel einfacher sind (nur Lesen und Schreiben) als für Websites und standardmäßig nur die Leseberechtigung aktiviert ist, mit der Benutzer Dateien von Ihrer FTP-Site herunterladen können. Wenn Sie Schreibzugriff zulassen, können Benutzer auch Dateien auf die Site hochladen. Und natürlich kombinieren Zugriffsberechtigungen und NTFS-Berechtigungen die gleiche Weise wie für Websites.

Wie bei Websites können IP-Adresseinschränkungen verwendet werden, um Clients mit einer bestimmten IP-Adresse, einer IP-Adresse in einem Adressbereich oder einem bestimmten DNS-Namen den Zugriff auf Ihre Website zuzulassen oder zu verweigern. Diese Einschränkungen werden auf der Registerkarte Verzeichnissicherheit genau wie für Websites konfiguriert, und dies wurde im vorherigen Artikel behandelt, sodass wir sie hier nicht weiter diskutieren werden.

FTP-Sites haben auch weniger Authentifizierungsoptionen als Websites, wie Sie auf der Registerkarte Sicherheitskonten sehen können:

Dies ist für öffentliche FTP-Sites im Internet in Ordnung, aber für private FTP-Sites in einem Unternehmens-Intranet sollten Sie dieses Kontrollkästchen deaktivieren, um den anonymen Zugriff auf Ihre Site zu verhindern. Das Deaktivieren dieses Felds führt dazu, dass Ihre FTP-Site stattdessen die Standardauthentifizierung verwendet und Benutzern, die versuchen, auf die Site zuzugreifen, ein Authentifizierungsdialogfeld angezeigt wird:

Beachten Sie, dass die Standardauthentifizierung Benutzeranmeldeinformationen im Klartext über das Netzwerk weitergibt, sodass FTP-Sites von Natur aus unsicher sind (sie unterstützen keine integrierte Windows-Authentifizierung). Wenn Sie also eine private FTP-Site in Ihrem internen Netzwerk bereitstellen möchten, schließen Sie die Ports 20 und 21 Ihrer Firewall, um eingehenden FTP-Datenverkehr von externen Benutzern im Internet zu blockieren.

Konfigurieren der FTP-Site-Protokollierung

Wie bei Websites ist das Standardprotokollierungsformat für FTP-Sites das erweiterte W3C-Protokolldateiformat, und FTP-Site-Protokolle werden in Ordnern mit dem Namen

% SystemRoot%\system32\LogFiles\MSFTPSVCnnnnnnnnnn

wobei nnnnnnnnnn die ID-Nummer der FTP-Site ist. Und genau wie bei Websites können Sie den Microsoft Log Parser, Teil der IIS 6.0 Resource Kit-Tools, verwenden, um diese FTP-Site-Protokolle zu analysieren.

Stoppen und Starten von FTP-Sites

Wenn eine FTP-Site nicht mehr verfügbar ist, müssen Sie sie möglicherweise neu starten, damit sie wieder funktioniert. In der Befehlszeile können Sie net stop msftpsvc gefolgt von net start msftpsvc eingeben oder iisreset verwenden, um alle IIS-Dienste neu zu starten. Denken Sie daran, dass der Neustart einer FTP-Site ein letzter Ausweg ist, da alle Benutzer, die derzeit mit der Site verbunden sind, getrennt werden.

Implementieren der FTP-Benutzerisolation

Abschließend möchten wir uns ansehen, wie die neue FTP-Benutzerisolationsfunktion von IIS in Windows Server 2003 implementiert wird. Wenn eine FTP-Site diese Funktion verwendet, verfügt jeder Benutzer, der auf die Site zugreift, über ein FTP-Home-Verzeichnis, das ein Unterverzeichnis unter dem Stammverzeichnis für die FTP-Site ist. Dies bedeutet, dass Benutzer daran gehindert werden, die Dateien in den FTP-Home-Verzeichnissen anderer Benutzer anzuzeigen, was den Vorteil hat, dass die Dateien jedes Benutzers sicher sind.

Erstellen wir eine neue FTP-Site namens Staff, die diese neue Funktion nutzt, indem wir C:\Staff Ordner als Stammverzeichnis für die Site und 172.16.11.212 für die IP-Adresse der Site. Starten Sie den FTP-Site-Erstellungsassistenten wie zuvor und durchlaufen Sie ihn, bis Sie die Seite FTP-Benutzerisolierung erreichen und auf dieser Seite die Option Benutzer isolieren auswählen:

Fahren Sie mit dem Assistenten fort und geben Sie Benutzern Lese- und Schreibberechtigungen, damit sie Dateien hochladen und herunterladen können.

Angenommen, Sie haben zwei Benutzer, Bob Smith (bsmith) und Mary Jones (mjones), die Konten in einer Domäne haben, deren Name vor Windows 2000 TESTTWO lautet. Um diesen Benutzern FTP-Home-Verzeichnisse auf Ihrem Server zu geben, erstellen Sie zuerst einen Unterordner namens \TESTTWO unter \Staff Folders (Ihr FTP-Stammverzeichnis). Erstellen Sie dann Unterordner \ bsmith und \ mjones unter dem Ordner \ Accounts. Ihre Ordnerstruktur sollte nun wie folgt aussehen:

C:\Staff Folders
\TESTTWO
\bsmith
\mjones

Um die Isolation des FTP-Benutzers zu testen, geben wir einen Dateinamen für Bobs Dokument ein.doc im Unterordner \bsmith und Marys Dokument.doc im Unterordner \mjones. Gehen Sie nun zu einem Windows XP-Desktop und öffnen Sie den Internet Explorer und versuchen Sie zu öffnen ftp://172.16.11.212 , das ist die URL für das Personal FTP-Site, die wir gerade erstellt. Wenn Sie dies tun, wird ein Authentifizierungsdialogfeld angezeigt, und wenn Sie Bob sind, können Sie Ihren Benutzernamen (über das Formular DOMAIN \ Benutzername) und Ihr Kennwort wie folgt eingeben:

Wenn Bob auf die Schaltfläche Anmelden klickt, wird der Inhalt seines FTP-Home-Verzeichnisses angezeigt:

Beachten Sie, dass Sie beim Erstellen einer neuen FTP-Site mithilfe der FTP-Benutzerisolierung diese nicht in eine normale FTP-Site konvertieren können (eine Site, für die die FTP-Benutzerisolierung nicht aktiviert ist). Ebenso kann eine normale FTP-Site nicht mithilfe der FTP-Benutzerisolierung in eine konvertiert werden.

Wir müssen noch eine weitere Option untersuchen, und das ist die dritte Option auf der Seite FTP-Benutzerisolierung des FTP-Site-Erstellungsassistenten, nämlich Benutzer mithilfe von Active Directory isolieren. Da uns die IP-Adressen ausgegangen sind, löschen wir zuerst die Hilfe- und Support-FTP-Site, um 172.16.11.211 freizugeben. Eine Möglichkeit, dies zu tun, besteht darin, eine Eingabeaufforderung zu öffnen und iisftp / delete „Help and Support“ mithilfe von iisftp einzugeben.vbs-Befehlsskript. Starten Sie dann den FTP-Site-Erstellungsassistenten erneut und wählen Sie die dritte oben erwähnte Option (wir nennen diese neue Site-Verwaltung):

Klicken Sie auf Weiter, und geben Sie ein Administratorkonto in der Domäne, das Kennwort für dieses Konto und den vollständigen Namen der Domäne ein:

Klicken Sie auf Weiter, bestätigen Sie das Kennwort und schließen Sie den Assistenten wie gewohnt ab. Sie werden feststellen, dass Sie nicht aufgefordert wurden, ein Stammverzeichnis für die neue FTP-Site anzugeben. Dies liegt daran, dass bei diesem Ansatz das FTP-Home-Verzeichnis jedes Benutzers durch zwei Umgebungsvariablen definiert wird: %ftproot%, das das Stammverzeichnis definiert und überall sein kann, einschließlich eines UNC-Pfads zu einer Netzwerkfreigabe auf einem anderen Computer wie \\test220\docs , und %ftpdir%, das auf %username% gesetzt werden kann, so dass zum Beispiel Bob Smiths FTP-Home-Verzeichnis \\test220\docs\bsmith und dieser Ordner vorher für ihn erstellt werden müsste. Sie können diese Umgebungsvariablen mithilfe eines Anmeldeskripts festlegen und das Skript mithilfe von Gruppenrichtlinien zuweisen.

Zusammenfassung

In diesem Artikel habe ich erklärt, wie Sie FTP-Sites auf verschiedene Arten in IIS 6 erstellen und konfigurieren. Mit Ausnahme der FTP-Benutzerisolierung gilt alles, was wir hier behandelt haben, auch für IIS 5 unter Windows 2000. Wenn Sie mehr über IIS 6 und seine Funktionen erfahren möchten, lesen Sie mein Buch IIS 6 Administration (Osborne / McGraw-Hill).