Crearea și configurarea site-urilor FTP în Windows Server 2003
într-un articol anterior am văzut că Internet Information Services 6 (IIS 6) este o platformă puternică pentru construirea și găzduirea site-urilor web atât pentru Internet, cât și pentru intranet-urile corporative. IIS 6 este, de asemenea, la fel de util pentru configurarea site-urilor FTP pentru uz public sau corporativ, iar în acest articol”vom parcurge procesul de creare și configurare a site-urilor FTP utilizând atât GUI (IIS Manager), cât și scripturile incluse în Windows Server 2003. Sarcinile specifice pe care le ” vom parcurge în acest articol sunt:
- crearea unui site FTP
- controlul accesului la un site FTP
- Configurarea jurnalizării site-ului FTP
- oprirea și pornirea site-urilor FTP
- implementarea izolării utilizatorilor FTP
din motive de interes,”vom explica din nou aceste sarcini în contextul unei companii fictive numite TestCorp, deoarece implementează site-uri FTP atât pentru intranetul său corporativ, cât și pentru utilizatorii anonimi de pe Internet.
pași preliminari
după cum sa menționat în articolul precedent, IIS nu este instalat în mod implicit în timpul unei instalări standard de Windows Server 2003, și dacă ați instalat IIS folosind Gestionare Server așa cum este descris în articolul precedent acest instalează serviciul WWW, dar nu serviciul FTP. Deci, înainte de a putea crea site-uri FTP, trebuie mai întâi să instalăm serviciul FTP pe mașina noastră IIS. Pentru a face acest lucru, trebuie să adăugăm o componentă suplimentară la rolul serverului de aplicații pe care l-am atribuit mașinii noastre atunci când am folosit gestionați serverul pentru a instala IIS.
începeți prin deschiderea Adăugare sau eliminare programe în Panoul de Control și selectând Adăugare/eliminare componente Windows. Apoi bifați caseta de selectare pentru Application Server:
Faceți clic pe detalii și bifați caseta de selectare pentru Internet Information Services (IIS):
Faceți clic pe detalii și bifați caseta de selectare pentru serviciile FTP (File Transfer Protocol).
Faceți clic pe OK de două ori și apoi pe lângă instalați serviciul FTP. În timpul instalării, ” va trebui să introduceți CD-ul produsului Windows Server 2003 sau să navigați la un punct de distribuție în rețea unde se află fișierele de configurare Windows Server 2003. Faceți clic pe Terminare când expertul este terminat.
crearea unui site FTP
ca și în cazul site-urilor web, cea mai simplă abordare pentru identificarea fiecărui site FTP de pe mașina dvs. este de a atribui fiecăruia o adresă IP separată, așa că permiteți”să spunem că serverul nostru are trei adrese IP (172.16.11.210, 172.16.11.211 și 172.16.11.212) atribuite acestuia. Prima noastră sarcină va fi să creăm un nou site FTP pentru Departamentul de resurse umane, dar înainte de a face acest lucru, să examinăm mai întâi site-ul FTP implicit care a fost creat atunci când am instalat serviciul FTP pe mașina noastră. Deschideți IIS Manager în instrumente Administrative, selectați site-uri FTP în arborele consolei și faceți clic dreapta pe site-ul FTP implicit și selectați Proprietăți:
la fel ca site-ul Web implicit, adresa IP pentru site-ul FTP implicit este setată la toate Neatribuite. Aceasta înseamnă că orice adresă IP care nu este atribuită în mod specific unui alt site FTP de pe mașină deschide în schimb site-ul FTP implicit, deci chiar acum se deschide fie ftp://172.16.11.210, ftp://172.16.11.211 sau ftp://172.16.11.212 în Internet Explorer se va afișa conținutul site-ului FTP implicit.
să ” s atribuie adresa IP 172.16.11.210 pentru site-ul FTP Resurse Umane și să facă D:\HR dosarul în care se află conținutul său. Pentru a crea noul site FTP, faceți clic dreapta pe nodul FTP Sites și selectați New –> FTP Site. Aceasta pornește Expertul de creare a site-ului FTP. Faceți clic pe Următorul și tastați o descriere pentru site:
Faceți clic pe Următorul și specificați 172.16.11.210 ca adresă IP pentru noul site:
Faceți clic pe Următorul și selectați nu izolați utilizatorii, deoarece acesta va fi un site pe care oricine (inclusiv utilizatorii invitați) va avea acces liber:
Faceți clic pe Următorul și specificați C:\HR ca locație a directorului rădăcină pentru site:
Faceți clic pe Următorul și lăsați permisiunile de acces setate la numai citire, deoarece acest site va fi utilizat numai pentru descărcarea formularelor pentru angajații prezenți și potențiali:
Faceți clic pe Următorul și apoi terminați pentru a finaliza expertul. Noul site FTP de Resurse Umane poate fi văzut acum în Managerul IIS sub nodul site-uri FTP:
pentru a vizualiza conținutul acestui site, accesați un desktop Windows XP din aceeași rețea și deschideți adresa URL ftp://172.16.11.210 utilizarea Internet Explorer:
rețineți în bara de stare din partea de jos a ferestrei IE că sunteți conectat ca utilizator anonim. Pentru a vizualiza toți utilizatorii conectați în prezent la site-ul FTP Resurse Umane, faceți clic dreapta pe site-ul din Internet Service Manager și selectați Proprietăți, apoi pe fila site FTP faceți clic pe butonul sesiuni curente pentru a deschide dialogul sesiuni utilizator FTP:
rețineți că utilizatorii anonimi care utilizează IE sunt afișați ca ieuser@ sub utilizatori conectați.
acum să”S crea un alt site FTP folosind un script în loc de GUI. Noi ” vom crea un site numit Ajutor și asistență cu directorul rădăcină C:\Support și adresa IP 172.16.11.211:
iată rezultatul rulării scriptului:
script-ul am folosit aici este Iisftp.vbs, care ca Iisweb.vbs și Iisvdir.vbs despre care am discutat în articolul precedent este unul dintre mai multe scripturi de administrare IIS disponibile atunci când instalați IIS pe Windows Server 2003. O sintaxă completă pentru acest script poate fi găsită aici. După ce creați un nou site FTP folosind acest script, puteți configura în continuare site-ul folosind IIS Manager în mod obișnuit.
notă: FTP prin crearea de directoare virtuale, iar acest lucru se face în același mod ca și a fost descris în articolul precedent pentru lucrul cu site-uri web.
controlul accesului la un site FTP
la fel ca pentru site-urile web, există patru moduri în care puteți controla accesul la site-urile FTP pe IIS: permisiuni NTFS, permisiuni IIS, restricții de adresă IP și metodă de autentificare. Permisiunile NTFS sunt întotdeauna prima linie de apărare, dar nu le putem acoperi în detaliu aici. Permisiunile IIS sunt specificate în fila Director de pornire din foaia de proprietăți a site-ului FTP:
rețineți că permisiunile de acces pentru site-urile FTP sunt mult mai simple (Numai citire și scriere) decât pentru site-urile web și, în mod implicit, este activată doar permisiunea de citire, ceea ce permite utilizatorilor să descarce fișiere de pe site-ul dvs. Dacă permiteți accesul la scriere, utilizatorii vor putea încărca fișiere și pe site. Și, desigur, permisiunile de acces și permisiunile NTFS se combină în același mod în care o fac pentru site-urile web.
la fel ca Site-urile web, restricțiile de adresă IP pot fi utilizate pentru a permite sau a refuza accesul la site-ul dvs. de către clienții care au o anumită adresă IP, o adresă IP într-o serie de adrese sau un anumit nume DNS. Aceste restricții sunt configurate în fila Securitate Director la fel cum sunt pentru site-uri web, iar acest lucru a fost acoperit în articolul precedent, astfel încât nu le vom discuta mai departe aici.
site-urile FTP au, de asemenea, mai puține opțiuni de autentificare decât site-urile web, după cum se poate observa selectând fila Conturi de securitate:
în mod implicit permite conexiuni anonime este selectată, iar acest lucru este bine pentru site-uri FTP publice de pe Internet, dar pentru site-uri FTP private pe un intranet corporative poate doriți să debifați această casetă de selectare pentru a preveni accesul anonim la site-ul dvs. Ștergerea acestei casete are ca rezultat faptul că site-ul FTP utilizează în schimb autentificarea de bază, iar utilizatorilor care încearcă să acceseze site-ul li se prezintă o casetă de dialog autentificare:
rețineți că autentificarea de bază trece acreditările utilizatorului prin rețea în text clar, astfel încât acest lucru înseamnă că site-urile FTP sunt inerent nesigure (nu acceptă autentificarea integrată Windows). Deci, dacă aveți de gând să implementați un site FTP privat în rețeaua internă, asigurați-vă că închideți porturile 20 și 21 de pe firewall pentru a bloca traficul FTP de la utilizatorii externi de pe Internet.
Configurarea înregistrării în jurnal a site-ului FTP
ca și în cazul site-urilor web, formatul implicit de înregistrare în jurnal pentru site-urile FTP este formatul de fișier jurnal extins W3C, iar jurnalele de site FTP sunt stocate în foldere denumite
%SystemRoot% \ system32 \ LogFiles \ Msftpsvcnnnnnnnnnnnnnnn
unde nnnnnnnnnn este numărul de identificare al site-ului FTP. Și la fel ca în cazul site-urilor web, puteți utiliza Microsoft Log Parser, parte a instrumentelor IIS 6.0 Resource Kit, pentru a analiza aceste jurnale de site FTP.
oprirea și pornirea site-urilor FTP
dacă un site FTP devine indisponibil, poate fi necesar să îl reporniți pentru a-l face să funcționeze din nou, lucru pe care îl puteți face folosind IIS Manager făcând clic dreapta pe site-ul FTP și selectând Stop și apoi Start. Din linia de comandă puteți tasta net stop msftpsvc urmată de net start msftpsvc sau utilizați iisreset pentru a reporni toate serviciile IIS. Nu uitați că repornirea unui site FTP este o ultimă soluție, deoarece toți utilizatorii conectați în prezent la site vor fi deconectați.
implementarea izolării utilizatorilor FTP
în cele din urmă, să încheiem analizând modul de implementare a noii caracteristici de izolare a utilizatorilor FTP din IIS în Windows Server 2003. Când un site FTP utilizează această caracteristică, fiecare utilizator care accesează site-ul are un director FTP home Care este un subdirector sub directorul rădăcină pentru site-ul FTP și, din perspectiva utilizatorului, directorul FTP home pare a fi folderul de nivel superior al site-ului. Aceasta înseamnă că utilizatorii sunt împiedicați să vizualizeze fișierele din directoarele de acasă FTP ale altor utilizatori, ceea ce are avantajul de a oferi securitate pentru fișierele fiecărui utilizator.
să creăm un nou site FTP numit personal care folosește această nouă caracteristică, folosind C:\Staff foldere ca director rădăcină pentru site și 172.16.11.212 pentru adresa IP a site-ului. Porniți Expertul de creare a site-ului FTP așa cum am făcut-o anterior și parcurgeți-l până ajungeți la pagina de izolare a utilizatorilor FTP și selectați opțiunea izolați utilizatorii de pe această pagină:
continuați cu expertul și asigurați-vă că acordați utilizatorilor permisiunea de citire și scriere, astfel încât să poată încărca și descărca fișiere.
acum să presupunem că aveți doi utilizatori, Bob Smith (bsmith) și Mary Jones (Mjones) care au conturi într-un domeniu al cărui nume pre-Windows 2000 este TESTTWO. Pentru a oferi acestor utilizatori directoare FTP de acasă pe serverul dvs., creați mai întâi un subfolder numit \TESTTWO sub \foldere de personal (directorul rădăcină FTP). Apoi creați subfoldere \bsmith și \ mjones sub folderul \ Accounts. Structura folderului dvs. ar trebui să arate acum astfel:
C:\ Dosare de personal
\ TESTTWO
\bsmith
\ mjones
pentru a testa izolare utilizator FTP să punem un document nume de fișier Bob.doc în subfolderul \ bsmith și documentul lui Mary.doc în subfolderul \mjones. Acum mergeți la un desktop Windows XP și deschideți Internet Explorer și încercați să deschideți ftp://172.16.11.212, care este adresa URL a site-ului FTP personal pe care tocmai l-am creat. Când faceți acest lucru, apare o casetă de dialog de autentificare și, dacă sunteți Bob, puteți introduce numele de utilizator (folosind formularul DOMAIN \ username) și parola astfel:
când Bob face clic pe butonul Log on conținutul directorului său FTP acasă sunt afișate:
rețineți că atunci când creați un nou site FTP utilizând izolarea utilizatorilor FTP, nu îl puteți converti într-un site FTP obișnuit (unul care nu are activată izolarea utilizatorilor FTP). În mod similar, un site FTP obișnuit nu poate fi convertit într-unul folosind izolarea utilizatorilor FTP.
mai trebuie să explorăm încă o opțiune și aceasta este a treia opțiune din pagina de izolare a utilizatorilor FTP din Expertul de creare a site-ului FTP, și anume izolarea utilizatorilor care utilizează Active Directory. Din moment ce am rămas fără adrese IP, să ștergem mai întâi site-ul help and support FTP pentru a elibera 172.16.11.211. O modalitate prin care putem face acest lucru este prin deschiderea unui prompt de comandă și tastarea iisftp /șterge „ajutor și Asistență” folosind iisftp.script de comandă vbs. Apoi porniți din nou Expertul de creare a site-ului FTP și selectați a treia opțiune menționată mai sus (vom numi acest nou Management al site-ului):
Faceți clic pe Următorul și introduceți un cont de administrator în domeniu, parola pentru acest cont și numele complet al domeniului:
Faceți clic pe Următorul și confirmați parola și completați expertul în mod obișnuit. Veți observa că nu vi s-a solicitat să specificați un director rădăcină pentru noul site FTP. Acest lucru se datorează faptului că atunci când utilizați această abordare fiecare utilizator FTP home director este definit de două variabile de mediu: % ftproot % care definește directorul rădăcină și poate fi oriunde, inclusiv o cale UNC la o cotă de rețea pe o altă mașină, cum ar fi \\test220\docs, și %ftpdir% care poate fi setat la %username%, astfel încât, de exemplu, directorul FTP acasă Bob Smith ar fi \\test220\docs\bsmith și acest folder ar trebui să fie creat în prealabil pentru el. Puteți seta aceste variabile de mediu folosind un script de conectare și puteți atribui scriptul folosind Politica de grup, dar acest lucru depășește domeniul de aplicare al acestui articol.
rezumat
în acest articol am explicat cum să creați și să configurați site-uri FTP în diferite moduri pe IIS 6. Cu excepția izolării utilizatorilor FTP, tot ceea ce am acoperit aici se aplică și IIS 5 pe Windows 2000. Dacă doriți să aflați mai multe despre IIS 6 și capacitățile sale, a se vedea cartea mea IIS 6 administrare (Osborne/McGraw-Hill).