WINDOWS ServerでのFTPサイトの作成と構成2003
以前の記事では、インターネットインフォメーションサービス6(IIS6)は、インターネットと企業イントラネットの両方のwebサイトを構築およびホストするた この記事では、GUI(IISマネージャー)とwindows Server2003に含まれているスクリプトの両方を使用してFTPサイトを作成および構成するプロセスについて説明します。 この記事で説明する具体的なタスクは次のとおりです:
- FTPサイトの作成
- FTPサイトへのアクセスの制御
- FTPサイトのロギングの設定
- FTPサイトの停止と起動
- FTPユーザー分離の実装
興味のために、TestCorpと呼ばれる架空の会社の文脈で、企業イントラネットとインターネット上の匿名ユーザーの両方にFTPサイトを展開するときに、これらのタス
予備手順
前の記事で説明したように、WINDOWS Server2003の標準インストール時にIISは既定でインストールされず、前の記事で説明したようにサーバーの管理を使用してIIS そのため、FTPサイトを作成する前に、まずIISマシンにFTPサービスをインストールする必要があります。 これを行うには、Iisをインストールするためにサーバーの管理を使用したときにマシンに割り当てたアプリケーションサーバーの役割に追加のコンポーネ
まず、コントロールパネルでプログラムの追加と削除を開き、Windowsコンポーネントの追加と削除を選択します。 次に、”アプリケーションサーバー”のチェックボックスをオンにします:
“詳細”をクリックし、”インターネットインフォメーションサービス(IIS)”のチェックボックスをオンにします):
“詳細”をクリックし、”ファイル転送プロトコル(FTP)サービス”のチェックボックスをオンにします。
[OK]を2回クリックし、[次へ]をクリックしてFTPサービスをインストールします。 インストール中に、Windows Server2003製品CDを挿入するか、Windows Server2003セットアップファイルがあるネットワーク配布ポイントを参照する必要があります。 ウィザードが完了したら、”完了”をクリックします。
FTPサイトの作成
webサイトと同様に、マシン上の各FTPサイトを識別する最も簡単なアプローチは、それぞれに別々のIPアドレスを割り当てることです。 私たちの最初のタスクは、人事部門のための新しいFTPサイトを作成することになりますが、我々はそれを行う前に、我々は私たちのマシンにFTPサービスをイ 管理ツールでIISマネージャーを開き、コンソールツリーでFTPサイトを選択し、既定のFTPサイトを右クリックしてプロパティを選択します:
デフォルトのWEBサイトと同様に、デフォルトのFTPサイトのIPアドレスはAll Unassignedに設定されています。 これは、マシン上の別のFTPサイトに特に割り当てられていないIPアドレスが代わりにデフォルトのFTPサイトを開くことを意味します。ftp://172.16.11.210,ftp://172.16.11.211 またはftp://172.16.11.212 Internet Explorerでは、デフォルトのFTPサイトの内容が表示されます。
人事FTPサイトのIPアドレス172.16.11.210を割り当ててみましょうD:\HR コンテンツが配置されているフォルダ。 新しいFTPサイトを作成するには、[FTP Sites]ノードを右クリックし、[New–>FTP Site]を選択します。 これにより、FTPサイト作成ウィザードが開始されます。 “次へ”をクリックし、サイトの説明を入力します:
“次へ”をクリックし、新しいサイトのIPアドレスとして172.16.11.210を指定します:
これは、誰も(ゲストユーザーを含む)が自由にアクセスできるサイトになるためです:
“次へ”をクリックして指定しますC:\HR サイトのルートディレクトリの場所として:
このサイトは現在および将来の従業員のためのフォームのダウンロードにのみ使用されるため、”次へ”をクリックして”読み取り専用”に設定されたア:
[次へ]をクリックし、[完了]をクリックしてウィザードを完了します。 新しい人事FTPサイトは、IISマネージャーのFTPサイトノードの下に表示されるようになりました:
このサイトのコンテンツを表示するには、同じネットワーク上のWindows XPデスクトップに移動し、URLを開きますftp://172.16.11.210 Internet Explorerを使用する:
IEウィンドウの下部にあるステータスバーに、匿名ユーザーとして接続されていることに注意してください。 現在Human Resources FTPサイトに接続しているすべてのユーザーを表示するには、Internet Service Managerでサイトを右クリックして[プロパティ]を選択し、[FTPサイト]タブで[現在のセ:
IEを使用している匿名ユーザーは、接続されているユーザーの下にIEUser@として表示されます。
GUIの代わりにスクリプトを使用して別のFTPサイトを作成しましょう。 私たちは、ルートディレクトリとヘルプとサポートと呼ばれるサイトを作成しますC:\Support IPアドレス172.16.11.211:
スクリプトを実行した結果は次のとおりです:
ここで使用したスクリプトはIisftpです。Iiswebのようなvbs、。vbsおよびIisvdir。前の記事で説明したvbsは、WINDOWS Server2003にIISをインストールするときに使用できるいくつかのIIS管理スクリプトのいずれかです。 このスクリプトの完全な構文はここにあります。 このスクリプトを使用して新しいFTPサイトを作成したら、通常の方法でIISマネージャーを使用してサイトをさらに構成できます。
: この時点で、仮想ディレクトリを作成してFTPサイトに構造を追加することができ、これはwebサイトを操作するための前の記事で説明したのと同じ
FTPサイトへのアクセスの制御
WEBサイトと同様に、IIS上のFTPサイトへのアクセスを制御するには、NTFSアクセス許可、IISアクセス許可、IPアドレス制限、認証 NTFSのアクセス許可は常にあなたの最初の防衛線ですが、ここではそれらを詳細にカバーすることはできません。 IISのアクセス許可は、FTPサイトのプロパティシートのホームディレクトリタブで指定します:
FTPサイトのアクセス許可は、webサイトのアクセス許可よりもはるかに簡単で(読み取りと書き込みのみ)、既定では読み取り権限のみが有効になってい 書き込みアクセスを許可すると、ユーザーはサイトにファイルをアップロードすることもできます。 もちろん、アクセス許可とNTFSアクセス許可は、webサイトの場合と同じ方法で組み合わせます。
webサイトと同様に、IPアドレス制限を使用して、特定のIPアドレス、アドレスの範囲内のIPアドレス、または特定のDNS名を持つクライアントによるサイトへのアクセスを許可または拒否することができます。 これらの制限は、Webサイトと同様にディレクトリセキュリティタブで構成されており、これは前の記事で説明したので、ここではさらに説明しません。
FTPサイトには、セキュリティアカウントタブを選択するとわかるように、webサイトよりも認証オプションが少なくなります:
デフォルトでは匿名接続を許可するが選択されており、これはインターネット上のパブリックFTPサイトでは問題ありませんが、企業イントラネット上の このボックスをオフにすると、FTPサイトでは代わりに基本認証が使用され、サイトにアクセスしようとするユーザーに認証ダイアログボックスが表示さ:
基本認証は、ネットワーク経由でユーザーの資格情報をクリアテキストで渡すため、FTPサイトは本質的に安全ではありません(Windows統合認証をサポートしていません)。 したがって、内部ネットワークにプライベートFTPサイトを展開する場合は、ファイアウォール上のポート20と21を閉じて、インターネット上の外部ユーザーからの
FTPサイトログの設定
webサイトと同様に、FTPサイトのデフォルトのログ形式はW3C拡張ログファイル形式であり、FTPサイトログは名前のフォル
%SystemRoot%\system32\LogFiles\Msftpsvcnnnnnnnnn
ここで、nnnnnnnnnnはFTPサイトのID番号です。 また、webサイトと同様に、IIS6.0リソースキットツールの一部であるMicrosoft Log Parserを使用して、これらのFTPサイトログを分析できます。
FTPサイトの停止と起動
FTPサイトが使用できなくなった場合は、FTPサイトを右クリックして停止してから開始を選択することで、IISマネージャーを使 コマンドラインから、net stop msftpsvcと入力した後にnet start msftpsvcを入力するか、iisresetを使用してすべてのIISサービスを再起動できます。 FTPサイトの再起動は、現在サイトに接続しているすべてのユーザーが切断されるため、最後の手段であることに注意してください。
FTPユーザー分離の実装
最後に、WINDOWS Server2003でIISの新しいFTPユーザー分離機能を実装する方法を見てみましょう。 FTPサイトがこの機能を使用する場合、サイトにアクセスする各ユーザーには、FTPサイトのルートディレクトリの下にあるサブディレクトリであるFTPホームディ これは、ユーザーが他のユーザーのFTPホームディレクトリ内のファイルを表示できないことを意味し、各ユーザーのファイルにセキュリティを提供する利点があ
この新機能を利用したStaffという新しいFTPサイトを作成しましょう。C:\Staff サイトのルートディレクトリとしてのフォルダと、サイトのIPアドレスとしての172.16.11.212。 以前と同じようにFTPサイト作成ウィザードを起動し、FTPユーザー分離ページに到達し、このページでユーザーを分離オプションを選択するまで手順を実行します:
ウィザードを続行し、ファイルをアップロードおよびダウンロードできるように、ユーザーに読み取りと書き込みの両方の権限を与えてください。
さて、Windows2000より前の名前がTESTTWOであるドメインにアカウントを持っているBob Smith(bsmith)とMary Jones(mjones)の二人のユーザーがいるとしましょう。 これらのユーザーにサーバー上のFTPホームディレクトリを提供するには、まず\Staffフォルダ(FTPルートディレクトリ)の下に\TESTTWOという名前のサブフォルダを作成します。 次に、\Accountsフォルダの下にサブフォルダ\bsmithと\mjonesを作成します。 フォルダ構造は次のようになります:
C:\Staff Folders
\TESTTWO
\bsmith
\mjones
FTPユーザーの分離をテストするには、ファイル名Bob’S Documentを入れてみましょう。\bsmithサブフォルダ内のdocとMary’S Document。\mjonesサブフォルダ内のdoc。 今すぐWindows XPのデスクトップに移動し、Internet Explorerを開き、開こうとしますftp://172.16.11.212これは、私たちが作成したスタッフFTPサイトのURLです。 これを行うと、認証ダイアログボックスが表示され、Bobの場合は、次のようにユーザー名(DOMAIN\usernameフォームを使用)とパスワードを入力できます:
Bobがログオンボタンをクリックすると、FTPホームディレクトリの内容が表示されます:
FTPユーザー分離を使用して新しいFTPサイトを作成する場合、通常のFTPサイト(FTPユーザー分離が有効になっていないサイト)に変換することはできません。 同様に、通常のFTPサイトは、FTPユーザー分離を使用してFTPサイトに変換することはできません。
まだもう一つのオプションを探索する必要があり、それはFTPサイト作成ウィザードのFTPユーザー分離ページ、すなわちActive Directoryを使用してユーザーを分離する第三のオプ 私たちはIPアドレスを使い果たしてしまったので、最初に172.16.11.211を解放するためにヘルプとサポートFTPサイトを削除してみましょう。 これを行う方法の1つは、コマンドプロンプトを開き、iisftpを使用してiisftp/delete”Help and Support”と入力することです。vbsコマンドスクリプト。 次に、FTPサイト作成ウィザードを再度起動し、上記の3番目のオプションを選択します(この新しいサイト管理に名前を付けます):
“次へ”をクリックし、ドメインの管理者アカウント、このアカウントのパスワード、およびドメインの完全な名前を入力します:
“次へ”をクリックしてパスワードを確認し、通常の方法でウィザードを完了します。 新しいFTPサイトのルートディレクトリを指定するように求められていないことがわかります。 これは、この方法を使用すると、各ユーザーのFTPホームディレクトリが二つの環境変数で定義されるためです: ルートディレクトリを定義し、\\test220\docsなどの別のマシン上のネットワーク共有へのUNCパスを含むことができる%ftproot%、および%ftpdir%を%username%に設定できるため、たとえばBob SmithのFTP ログオンスクリプトを使用してこれらの環境変数を設定し、グループポリシーを使用してスクリプトを割り当てることはできますが、この記事の範囲
概要
この記事では、IIS6でさまざまな方法でFTPサイトを作成および構成する方法を説明しました。 FTPユーザーの分離を除いて、ここで説明したすべては、WINDOWS2000上のIIS5にも適用されます。 IIS6とその機能について詳しく知りたい場合は、私の本IIS6Administration(Osborne/McGraw-Hill)を参照してください。