FTP-Sites maken en configureren in Windows Server 2003
in een vorig artikel zagen we dat Internet Information Services 6 (IIS 6) is een krachtig platform voor het bouwen en hosten van websites voor zowel het Internet en zakelijke intranetten. IIS 6 is ook nuttig voor het instellen van FTP-sites voor openbaar of zakelijk gebruik, en in dit artikel gaan we door het proces van het maken en configureren van FTP-sites met behulp van zowel de GUI (IIS-beheer) en scripts in Windows Server 2003. De specifieke taken die we zullen doorlopen in dit artikel zijn:
- een FTP-Site aanmaken
- toegang tot een FTP-Site beheren
- FTP-Sitelogging configureren
- FTP-Sites stoppen en starten
- FTP-gebruikersisolatie implementeren
omwille van de interesse, zullen we deze taken opnieuw uitleggen in de context van een fictief bedrijf genaamd TestCorp, aangezien het FTP-sites inzet voor zowel zijn corporate intranet als voor anonieme gebruikers op het Internet.
voorlopige stappen
zoals vermeld in het vorige artikel, wordt IIS niet standaard geïnstalleerd tijdens een standaard installatie van Windows Server 2003, en als u IIS hebt geïnstalleerd met uw Server beheren zoals beschreven in het vorige artikel, installeert dit de WWW-service, maar niet de FTP-service. Dus voordat we FTP-sites kunnen maken, moeten we eerst de FTP-service op onze IIS-machine installeren. Hiervoor moeten we een extra component toevoegen aan de rol van toepassingsserver die we aan onze machine hebben toegewezen toen we uw Server beheren gebruikten om IIS te installeren.
begin met het openen van programma ‘ s toevoegen of verwijderen in het Configuratiescherm en selecteer Windows-onderdelen toevoegen / verwijderen. Selecteer vervolgens het selectievakje voor toepassingsserver:
klik op Details en schakel het selectievakje voor Internet Information Services (IIS):
klik op Details en schakel het selectievakje voor FTP-Services (File Transfer Protocol) in.
Klik twee keer op OK en vervolgens op Volgende om de FTP-service te installeren. Tijdens de installatie moet u uw Windows Server 2003-product-CD invoegen of naar een netwerkdistributiepunt bladeren waar de Windows Server 2003-installatiebestanden zich bevinden. Klik op Voltooien als de wizard klaar is.
een FTP-Site
net als bij websites is de eenvoudigste manier om elke FTP-site op uw machine te identificeren, het toewijzen van elk van hen een apart IP-adres, dus laten we zeggen dat onze server drie IP-adressen (172.16.11.210, 172.16.11.211 en 172.16.11.212) toegewezen heeft. Onze eerste taak zal zijn om een nieuwe FTP-site voor de afdeling Human Resources te creëren, maar voordat we dat doen laten we eerst de standaard FTP-Site bekijken die werd gemaakt toen we de FTP-service op onze machine installeerden. Open IIS-beheer in Systeembeheer, selecteer FTP-Sites in de consolestructuur en klik met de rechtermuisknop op standaard FTP-Site en selecteer Eigenschappen:
net als de standaard website, is het IP-adres voor de standaard FTP Site ingesteld op alle niet toegewezen. Dit betekent dat elk IP-adres dat niet specifiek is toegewezen aan een andere FTP-site op de machine de standaard FTP-Site opent in plaats daarvan, dus op dit moment openen ofwel ftp://172.16.11.210, ftp://172.16.11.211 of ftp://172.16.11.212 in Internet Explorer zal de inhoud van de standaard FTP-Site weer te geven.
laten we het IP-adres 172.16.11.210 toewijzen voor de Human Resources FTP-site en maken D:\HR de map waar de inhoud zich bevindt. Om de nieuwe FTP site aan te maken, klik met de rechtermuisknop op het knooppunt FTP Sites en selecteer Nieuw –> FTP Site. Hiermee start u de wizard FTP-Site aanmaken. Klik op Volgende en typ een beschrijving voor de site:
Klik op Volgende en geef 172.16.11.210 als het IP-adres voor de nieuwe site:
Klik op Volgende en selecteer gebruikers niet isoleren, aangezien dit een site die iedereen (inclusief guest gebruikers) gratis toegang:
Klik op Volgende en geef C:\HR als de locatie van de root-directory voor de site:
Klik op Volgende en laat de toegang tot de machtigingen zijn ingesteld op alleen-Lezen als op deze site zal alleen gebruikt worden voor het downloaden van formulieren voor de huidige en potentiële medewerkers:
klik op Volgende en vervolgens op Voltooien om de wizard te voltooien. De nieuwe FTP-site voor Human Resources is nu te zien in IIS-beheer onder het knooppunt FTP-Sites:
om de inhoud van deze site te bekijken, gaat u naar een Windows XP-bureaublad op hetzelfde netwerk en opent u de URL ftp://172.16.11.210 Internet Explorer gebruiken:
merk in de statusbalk onderaan het IE-venster op dat u bent verbonden als een anonieme gebruiker. Als u alle gebruikers wilt weergeven die momenteel verbonden zijn met de FTP-site voor Human Resources, klikt u met de rechtermuisknop op de site in Internet Service Manager en selecteert u Eigenschappen en klikt u vervolgens op het tabblad FTP-Site op de knop Huidige sessies om het dialoogvenster FTP-gebruikerssessies te openen:
merk op dat anonieme gebruikers die IE gebruiken worden weergegeven als IEUser@ onder verbonden gebruikers.
laten we nu een andere FTP-site maken met behulp van een script in plaats van de GUI. We ” ll maken een site genaamd Help en ondersteuning met root directory C:\Support en IP-adres 172.16.11.211:
hier is het resultaat van het uitvoeren van het script:
het script dat we hier gebruikten is Iisftp.vbs, zoals Iisweb.vbs en Iisvdir.vbs die we in het vorige artikel hebben besproken, is een van de verschillende IIS-beheerscripts die beschikbaar zijn wanneer u IIS op Windows Server 2003 installeert. Een volledige syntaxis voor dit script is hier te vinden. Zodra u met dit script een nieuwe FTP-site hebt gemaakt, kunt u de site verder configureren met IIS-beheer op de gebruikelijke manier.
Noot: Op dit punt kunt u structuur toevoegen aan uw FTP site door het creëren van virtuele mappen, en dit wordt gedaan op dezelfde manier als werd beschreven in het vorige artikel voor het werken met websites.
toegang tot een FTP-Site
net als bij websites kunt u de toegang tot FTP-sites op IIS op vier manieren beheren: NTFS-machtigingen, IIS-machtigingen, IP-adresbeperkingen en verificatiemethode. NTFS-machtigingen zijn altijd je eerste verdedigingslinie, maar we kunnen ze hier niet in detail behandelen. IIS-machtigingen worden opgegeven op het tabblad Persoonlijke map van het eigenschappenvenster van uw FTP-site:
merk op dat toegangsmachtigingen voor FTP-sites veel eenvoudiger zijn (alleen lezen en schrijven) dan voor websites, en standaard is alleen leesmachtiging ingeschakeld, waardoor gebruikers bestanden van uw FTP-site kunnen downloaden. Als u schrijftoegang toestaat, kunnen gebruikers ook bestanden uploaden naar de site. En natuurlijk toegangsrechten en NTFS machtigingen combineren op dezelfde manier als ze doen voor websites.
net als websites kunnen IP-adresbeperkingen worden gebruikt om toegang tot uw site toe te staan of te weigeren voor clients met een specifiek IP-adres, een IP-adres in een adresbereik of een specifieke DNS-naam. Deze beperkingen worden geconfigureerd op het tabblad Directory Security net zoals ze zijn voor websites, en dit werd behandeld in het vorige artikel, dus we zullen ze hier niet verder bespreken.
FTP-sites hebben ook minder verificatieopties dan websites, zoals te zien is door het tabblad Beveiligingsaccounts te selecteren:
standaard is anonieme verbindingen toestaan geselecteerd, en dit is prima voor openbare FTP-sites op het Internet, maar voor privé FTP-sites op een corporate intranet kunt u dit selectievakje uitschakelen om anonieme toegang tot uw site te voorkomen. Het wissen van dit vak heeft als gevolg dat uw FTP-site in plaats daarvan Basisverificatie gebruikt, en gebruikers die toegang proberen te krijgen tot de site, een authenticatie-dialoogvenster wordt getoond:
merk op dat Basisverificatie gebruikersreferenties in duidelijke tekst over het netwerk doorgeeft, dus dit betekent dat FTP-sites inherent onveilig zijn (ze ondersteunen geen Windows geïntegreerde verificatie). Dus als je een privé FTP-site op je interne netwerk gaat implementeren, zorg er dan voor dat je poorten 20 en 21 op je firewall sluit om inkomend FTP-verkeer van externe gebruikers op het Internet te blokkeren.
FTP-Sitelogboek configureren
net als bij websites is het standaard logboekformaat voor FTP-sites het W3C Extended Log – bestandsformaat en worden FTP-sitelogboeken opgeslagen in mappen met de naam
%SystemRoot% \ system32 \ LogFiles\Msftpsvcnnnnnnnnnnnnnnnnnnnnnnnn
waarbij nnnnnnnnnnn het ID-nummer van de FTP-site is. En net als bij websites kunt u de Microsoft Log Parser, onderdeel van de IIS 6.0 Resource Kit Tools, gebruiken om deze FTP-sitelogboeken te analyseren.
FTP-Sites stoppen en starten
als een FTP-site niet beschikbaar is, moet u deze mogelijk opnieuw opstarten om deze weer aan de praat te krijgen, wat u kunt doen met IIS-beheer door met de rechtermuisknop op de FTP-site te klikken en stoppen te selecteren en vervolgens Start te selecteren. Vanaf de opdrachtregel kunt u net stop msftpsvc typen, gevolgd door net start msftpsvc of iisreset gebruiken om alle IIS-services opnieuw te starten. Vergeet niet dat het herstarten van een FTP-site een laatste redmiddel is omdat alle gebruikers die momenteel verbonden zijn met de site de verbinding zullen verbreken.
FTP-gebruikersisolatie implementeren
laten we tot slot kijken hoe we de nieuwe FTP-Gebruikersisolatiefunctie van IIS in Windows Server 2003 kunnen implementeren. Wanneer een FTP-site deze functie gebruikt, heeft elke gebruiker die toegang heeft tot de site een FTP-thuismap die een subdirectory is onder de hoofdmap van de FTP-site, en vanuit het perspectief van de gebruiker lijkt hun FTP-thuismap de hoogste map van de site te zijn. Dit betekent dat gebruikers worden verhinderd om de bestanden te bekijken in FTP-thuismappen van andere gebruikers, wat het voordeel heeft van het bieden van beveiliging voor de bestanden van elke gebruiker.
laten we een nieuwe FTP-site maken, notenbalk genaamd, die gebruik maakt van deze nieuwe functie, met C:\Staff mappen als de root directory voor de site en 172.16.11.212 voor het IP-adres van de site. Start de FTP Site Creation Wizard zoals we eerder deden en stap er doorheen totdat u de FTP gebruiker isolatie pagina bereikt en selecteer de optie Gebruikers isoleren op deze pagina:
ga verder met de wizard en zorg ervoor dat gebruikers zowel Lees-als schrijfrechten krijgen, zodat ze bestanden kunnen uploaden en downloaden.
stel nu dat je twee gebruikers hebt, Bob Smith (bsmith) en Mary Jones (mjones) die accounts hebben in een domein waarvan de pre-Windows 2000 naam TESTTWO is. Om deze gebruikers FTP-thuismappen op je server te geven, maak je eerst een submap genaamd \ TESTTWO onder \ Notenbalkmappen (je FTP-hoofdmap). Maak vervolgens submappen \bsmith en \mjones onder de map \ Accounts. Uw mapstructuur ziet er nu zo uit:
C:\Notenbalkmappen
\ TESTTWO
\ bsmith
\ mjones
om FTP-gebruikersisolatie te testen, zetten we een bestandsnaam Bob ‘ s Document.doc in de \ bsmith submap en Mary ‘ s Document.doc in de submap \mjones. Ga nu naar een Windows XP-bureaublad en Open Internet Explorer en probeer te openen ftp://172.16.11.212 dat is de URL voor de FTP site die we zojuist hebben gemaakt. Wanneer u dit doet verschijnt een authenticatie dialoogvenster, en als u Bob bent dan kunt u uw gebruikersnaam (met behulp van het domein\gebruikersnaam formulier) en wachtwoord als volgt invoeren:
wanneer Bob op de inlogknop klikt, wordt de inhoud van zijn FTP-thuismap weergegeven:
merk op dat wanneer u een nieuwe FTP-site maakt met FTP-gebruikersisolatie, u deze niet kunt converteren naar een gewone FTP-site (die geen FTP-gebruikersisolatie heeft ingeschakeld). Op dezelfde manier kan een gewone FTP-site niet worden geconverteerd naar één met FTP-gebruikersisolatie.
We moeten nog een optie verkennen en dat is de derde optie op de FTP-Gebruikersisolatiepagina van de FTP-Sitecreatiewizard, namelijk gebruikers isoleren met Active Directory. Aangezien we geen IP-adressen meer hebben, laten we eerst de Help en ondersteuning FTP-site verwijderen om 172.16.11.211 vrij te maken. Een manier waarop we dit kunnen doen is door een opdrachtprompt te openen en iisftp /Delete “Help and Support” te typen met behulp van de iisftp.vbs Commando script. Start dan de FTP Site Creation Wizard opnieuw en selecteer de derde optie hierboven vermeld (we zullen deze nieuwe site Beheer):
klik op Volgende en voer een administratoraccount in het domein, het wachtwoord voor dit account en de volledige naam van het domein in:
klik op Volgende en bevestig het wachtwoord en voltooi de wizard op de gebruikelijke manier. U zult merken dat u niet werd gevraagd om een root directory op te geven voor de nieuwe FTP site. Dit komt omdat wanneer u deze aanpak gebruikt de FTP-thuismap van elke gebruiker wordt gedefinieerd door twee omgevingsvariabelen: %ftproot % die de rootmap definieert en overal kan zijn inclusief een UNC-pad naar een netwerkshare op een andere machine zoals \\test220\docs, en %ftpdir% die kan worden ingesteld op %gebruikersnaam% zodat bijvoorbeeld Bob Smith ‘ S FTP-thuismap \\test220\docs\bsmith zou zijn en deze map van tevoren voor hem zou moeten worden aangemaakt. U kunt deze omgevingsvariabelen instellen met een aanmeldingsscript en het script toewijzen met Groepsbeleid, maar dat valt buiten het bereik van dit artikel.
samenvatting
In dit artikel heb ik uitgelegd hoe U FTP-sites op verschillende manieren kunt maken en configureren op IIS 6. Met uitzondering van FTP-gebruikersisolatie is alles wat we hier hebben behandeld ook van toepassing op IIS 5 op Windows 2000. Als u meer wilt weten over IIS 6 en de mogelijkheden ervan, raadpleegt u My book IIS 6 Administration (Osborne/McGraw-Hill).