การตั้งค่าเซิร์ฟเวอร์ FTP ที่ปลอดภัย (FTPS) บน Windows (2024)

นอกจากเว็บเซิร์ฟเวอร์แล้ว Internet Information Services (IIS) ยังมีเซิร์ฟเวอร์ FTP มันถูกรวมเข้ากับผู้ใช้ Windows และการจัดการการอนุญาตและสร้างกฎไฟร์วอลล์ที่จำเป็นระหว่างการติดตั้ง เพื่อการถ่ายโอนที่ปลอดภัย รองรับ FTP ผ่าน TLS/SSL (FTPS) แต่ไม่รองรับ SFTP ที่ใช้ SSH

สารบัญ

  1. ติดตั้งเซิร์ฟเวอร์ FTP
  2. กำหนดค่าไซต์ผ่าน IIS Manager
  3. ปรับแต่งไซต์เริ่มต้น
  4. การจัดการสิทธิ์ในภายหลัง
  5. สร้างใบรับรอง
  6. กำหนดค่าการเชื่อมต่อ SSL
  7. กำหนดค่าไฟร์วอลล์สำหรับโหมดพาสซีฟ
  8. ไดเรกทอรีเสมือนและตัวกรอง
  9. สรุป
  • ผู้เขียน
  • โพสต์ล่าสุด

โวล์ฟกัง ซอมเมอร์กุท

Wolfgang Sommergut มีประสบการณ์มากกว่า 20 ปีในด้านสื่อสารมวลชนไอที เขายังทำงานเป็นผู้ดูแลระบบและเป็นที่ปรึกษาด้านเทคนิคอีกด้วย วันนี้เขาดำเนินการตีพิมพ์ภาษาเยอรมันWindowsPro.de.

กระทู้ล่าสุด โดย โวล์ฟกัง ซอมเมอร์กุท(ดูทั้งหมด)

  • ติดตั้ง Windows Subsystem for Linux (WSL) บน Windows รุ่นต่างๆ และ Server Core- ศุกร์ที่ 22 ธ.ค. 2566
  • Windows Server 2025 Hyper-V: การแบ่งพาร์ติชัน GPU, การขจัดข้อมูลซ้ำซ้อนสำหรับ VHD, การโยกย้ายสดแบบไร้โฆษณา- อ. 19 ธ.ค. 2023
  • Notepad++: ค้นหาและแทนที่ด้วย regex และปลั๊กอิน- จันทร์ที่ 18 ธ.ค. 2566

File Transfer Protocol มักจะพิสูจน์ได้ว่าเป็นวิธีที่ง่ายที่สุดในการถ่ายโอนไฟล์ระหว่างคอมพิวเตอร์ โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่แตกต่างกัน อย่างไรก็ตาม คุณควรหลีกเลี่ยงการถ่ายโอนที่ไม่ได้เข้ารหัสหากเป็นไปได้ ดังนั้นควรกำหนดค่าเซิร์ฟเวอร์สำหรับ FTPS

ติดตั้งเซิร์ฟเวอร์ FTP

แม้ว่าเซิร์ฟเวอร์ FTP จะสามารถจัดการได้เหมือนกันบนระบบปฏิบัติการทุกรูปแบบผ่านทางคอนโซล IIS Manager แต่การติดตั้งบนไคลเอนต์และเซิร์ฟเวอร์จะแตกต่างกัน

ใน Windows 10/11 คุณติดตั้งเซิร์ฟเวอร์ FTP ผ่านแผงควบคุมด้านล่างโปรแกรมและคุณสมบัติ>เปิดหรือปิดคุณสมบัติ Windows. ที่นั่น คุณขยายต้นไม้ด้านล่างบริการข้อมูลทางอินเทอร์เน็ตและเลือกเซิร์ฟเวอร์เอฟทีพี>บริการเอฟทีพีและเครื่องมือการจัดการเว็บ>คอนโซลการจัดการ IIS.

การเพิ่มเซิร์ฟเวอร์ FTP และเครื่องมือการจัดการเป็นคุณสมบัติของ Windows

หรือคุณสามารถเพิ่มเซิร์ฟเวอร์ FTP ในเซสชัน PowerShell ที่มีสิทธิ์ระดับสูงได้ดังนี้:

เปิดใช้งาน WindowsOptionalFeature - ออนไลน์ - ชื่อคุณลักษณะ IIS-WebServerManagementTools, IIS-ManagementConsole, IIS-FTPServer, IIS-FTPSvc

การติดตั้งเซิร์ฟเวอร์ FTP เป็นคุณลักษณะเสริมด้วย PowerShell

บน Windows Server ให้เรียกใช้ไฟล์เพิ่มตัวช่วยสร้างบทบาทและคุณสมบัติและเลือกบทบาทของเว็บเซิร์ฟเวอร์ (IIS). ในบริการตามบทบาทกล่องโต้ตอบ ให้ยกเลิกการเลือกเว็บเซิร์ฟเวอร์และตรวจสอบส่วนประกอบที่จำเป็นภายใต้เอฟทีพีเซิร์ฟเวอร์และเครื่องมือการจัดการ.

การติดตั้งเซิร์ฟเวอร์ FTP โดยใช้ตัวช่วยสร้างในตัวจัดการเซิร์ฟเวอร์

หากคุณต้องการ PowerShell ให้ป้อนคำสั่งนี้:

ติดตั้ง WindowsFeature Web-FTP-Server, Web-Mgmt-Console

กำหนดค่าไซต์ผ่าน IIS Manager

หลังจากการติดตั้งเสร็จสิ้น ให้เริ่มการทำงานผู้จัดการบริการข้อมูลทางอินเทอร์เน็ต (IIS)โดยใช้ฟังก์ชันการค้นหาหรือโดยการพิมพ์InetMgr.exe. การกำหนดค่าของเซิร์ฟเวอร์ FTP จะมีเฉพาะไฟล์เว็บไซต์เริ่มต้นซึ่งชี้ไปที่ C:\inetpub\wwwroot และไม่ได้เปิดใช้งาน

อย่างไรก็ตาม ในทางปฏิบัติ คุณมีแนวโน้มที่จะสร้างเว็บไซต์ของคุณเองมากขึ้น โดยเปิดไฟล์เพิ่มไซต์ FTPคำสั่งจากเว็บไซต์เมนูบริบท

การเพิ่มไซต์ FTP ใหม่ผ่าน IIS Manager

เราใช้เว็บไซต์เริ่มต้นในบทช่วยสอนนี้ แต่การกำหนดค่าจะเหมือนกันสำหรับแต่ละไซต์

ปรับแต่งไซต์เริ่มต้น

หากคุณใช้เว็บไซต์เริ่มต้น คุณควรย้ายไดเรกทอรีรากเริ่มต้นไปยังโฟลเดอร์ %SystemDrive%\inetpub\ftproot เนื่องจากเซิร์ฟเวอร์ FTP จะใช้สิ่งนี้ตามค่าเริ่มต้น โดยดำเนินการคำสั่งการตั้งค่าพื้นฐานในแถบการดำเนินการ

ปรับแต่งไดเร็กทอรีรากสำหรับเว็บไซต์เริ่มต้น

จากนั้นดำเนินการเพิ่มการเผยแพร่ FTPคำสั่งสำหรับการกำหนดค่าเพิ่มเติม ซึ่งเรียกใช้วิซาร์ด ในทางกลับกัน หากคุณสร้างไซต์ FTP ใหม่ คุณจะไปอยู่ที่หน้าแรกของวิซาร์ดนี้โดยอัตโนมัติหลังจากป้อนข้อมูลพื้นฐาน

ในกล่องโต้ตอบแรก คุณสามารถเลือกผูกบริการกับที่อยู่ IP ที่ระบุได้ คุณสามารถเขียนทับพอร์ตเริ่มต้น 21 ได้ที่นี่ นอกจากนี้ ชื่อโฮสต์เสมือนสามารถกำหนดให้กับไซต์ FTP ได้

กำหนดค่าไซต์ FTP สำหรับการเผยแพร่โดยใช้ตัวช่วยสร้าง

เมื่อสร้างไซต์ FTP หลายไซต์ แต่ละไซต์จะต้องมีที่อยู่ IP ของตัวเองเพื่อเชื่อมโยง ในทางกลับกัน โฮสต์เสมือนนั้นน่าสนใจหากคุณต้องการให้บริการเซิร์ฟเวอร์ FTP หลายเซิร์ฟเวอร์ผ่านที่อยู่ IP เดียว

ในเอสเอสแอลส่วนเราเลือกไม่มี SSLตัวเลือกในขณะนี้เนื่องจากเรายังไม่ได้นำเข้าหรือออกใบรับรอง

ในกล่องโต้ตอบที่สองของตัวช่วยสร้าง ให้กำหนดวิธีที่ผู้ใช้รับรองความถูกต้องของตนเองและสิทธิ์ที่พวกเขาได้รับ หากคุณเปิดใช้งานไม่ระบุชื่อก็เพียงพอแล้วหากผู้ใช้เข้าสู่ระบบด้วยชื่อเอฟทีพีหรือไม่ระบุชื่อและที่อยู่อีเมลเป็นรหัสผ่าน

ตั้งค่าการอนุญาตสำหรับไซต์ FTP

หากคุณตัดสินใจเข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่าน คุณสามารถให้สิทธิ์การเข้าถึงบัญชีหรือกลุ่ม Windows บางบัญชีได้ เพื่อจุดประสงค์นี้ คุณสามารถป้อนผู้ใช้ที่มีอยู่หรือสร้างกลุ่มแยกต่างหากสำหรับ FTP

คุณสามารถรวมไม่เพียงแต่บัญชีท้องถิ่นเท่านั้น แต่ยังรวมถึงบัญชี AD ในกลุ่มนี้ด้วย ควรสังเกตว่าสิ่งเหล่านี้ต้องมีสิทธิ์ที่จำเป็นในไดเร็กทอรีที่ระบุในระดับ NTFS

การจัดการสิทธิ์ในภายหลัง

คุณสามารถเลือกการรับรองความถูกต้องได้ทั้งสองรูปแบบในตัวช่วยสร้าง แต่ไม่สามารถป้อนผู้ใช้ที่มีชื่อและไม่ระบุชื่อในตัวช่วยสร้างได้การอนุญาตส่วนในเวลาเดียวกัน อย่างไรก็ตาม หลังจากเปิดตัวเว็บไซต์แล้วการรับรองความถูกต้อง FTPแอพเพล็ตสามารถใช้เพื่อกำหนดค่าการเข้าสู่ระบบทั้งสองประเภทได้หากจำเป็น ต่อมาได้รับมอบหมายสิทธิผ่านทางการอนุญาต FTP. ที่นี่ คุณสามารถเพิ่มกฎอนุญาตและปฏิเสธจำนวนเท่าใดก็ได้สำหรับผู้ใช้และกลุ่มเพื่อควบคุมสิทธิ์ในการอ่านและเขียน

สร้างใบรับรอง

หากต้องการกำหนดค่าการเชื่อมต่อ SSL คุณต้องมีใบรับรอง ที่ผู้จัดการบริการข้อมูลทางอินเทอร์เน็ต (IIS)จัดให้มีฟังก์ชันสำหรับการสร้างคำขอ (CSR) และการออกใบรับรองโดเมนหรือใบรับรองที่ลงนามด้วยตนเอง ส่วนหลังเหมาะสำหรับใช้ภายในหรือทดสอบเป็นหลัก

เมื่อต้องการทำเช่นนี้ ให้สลับไปยังไดเร็กทอรีราก (เช่น ชื่อของเซิร์ฟเวอร์) ในไฟล์การเชื่อมต่อหน้าต่างและเปิดไฟล์ใบรับรองเซิร์ฟเวอร์แอปเพล็ตในหน้าต่างหลัก ตอนนี้คุณสามารถดำเนินการสร้างใบรับรองที่ลงนามด้วยตนเองคำสั่งในหน้าต่างการดำเนินการ

ออกใบรับรองที่ลงนามด้วยตนเองสำหรับเซิร์ฟเวอร์ FTP

ในกล่องโต้ตอบที่ปรากฏขึ้น ให้ป้อนชื่อใบรับรอง ชื่อนี้มีไว้เพื่อวัตถุประสงค์ในการอธิบายเท่านั้น และไม่เกี่ยวข้องกับชื่อสามัญหรือชื่อสำรองของหัวเรื่อง สำหรับสภาพแวดล้อมที่มีขนาดเล็ก ให้เลือกส่วนตัวเป็นร้านค้า หลังจากส่งกล่องโต้ตอบ คุณจะได้รับใบรับรองที่มีอายุหนึ่งปี

กำหนดค่าการเชื่อมต่อ SSL

สำหรับการกำหนดค่า SSL นั้น IIS Manager จะจัดเตรียมไฟล์การตั้งค่า FTP SSLแอพเพล็ต ที่นั่น คุณเลือกใบรับรองที่ออกก่อนหน้านี้ จากนั้นจึงตัดสินใจเกี่ยวกับนโยบาย SSL

เลือกใบรับรองและนโยบาย SSL

ที่จำเป็นต้องมีการเชื่อมต่อ SSLตัวเลือกไม่อนุญาตให้มีการสื่อสารที่ไม่ได้เข้ารหัสในขณะที่อนุญาตการเชื่อมต่อ SSLอนุญาตให้ไคลเอนต์ส่งข้อมูลทั้งหมด รวมถึงข้อมูลการเข้าสู่ระบบในรูปแบบข้อความที่ชัดเจน

นอกจากนี้ยังมีการตั้งค่าแบบกำหนดเอง เช่น คุณสามารถบังคับให้เข้ารหัสรหัสผ่านได้ แต่ไคลเอนต์ใช้การเชื่อมต่อที่ไม่ได้เข้ารหัสสำหรับข้อมูลอื่น ๆ ทั้งหมด

กำหนดค่าไฟร์วอลล์สำหรับโหมดพาสซีฟ

เซิร์ฟเวอร์ IIS FTP รองรับทั้งโหมดแอคทีฟและพาสซีฟ ความแตกต่างระหว่างทั้งสองคือใครเป็นผู้สร้างการเชื่อมต่อข้อมูลหลังจากการร้องขอครั้งแรกของไคลเอนต์ (ผ่านพอร์ต 21) ในโหมดพาสซีฟ นี่คือไคลเอ็นต์ ในโหมดแอคทีฟจะเป็นเซิร์ฟเวอร์

โหมดแอ็กทีฟมักจะนำไปสู่ปัญหากับไฟร์วอลล์ในฝั่งไคลเอ็นต์ เนื่องจากโดยปกติแล้วจะบล็อกการเชื่อมต่อขาเข้า โหมดนี้ได้รับการกำหนดค่าผ่านไคลเอนต์ ในขณะที่ ftp.exe ที่รวมอยู่ใน Windows รองรับเฉพาะโหมดที่ใช้งานอยู่และไม่มีการเชื่อมต่อ SSL

หลังจากติดตั้งเซิร์ฟเวอร์ FTP แล้ว ไฟร์วอลล์ Windows จะมีกฎใหม่สามข้อที่คุณสามารถเปิดใช้งานได้:

  • เซิร์ฟเวอร์ FTP (การรับส่งข้อมูล FTP): ซึ่งจะเปิดพอร์ต 21 ซึ่งจำเป็นสำหรับช่องควบคุมในการส่งคำสั่ง FTP
  • เซิร์ฟเวอร์ FTP แบบพาสซีฟ (FTP Passive Traffic-In): นี่เป็นการกำหนดช่วงพอร์ตสำหรับไคลเอนต์เพื่อสร้างการเชื่อมต่อข้อมูล
  • เซิร์ฟเวอร์ FTP ปลอดภัย (การรับส่งข้อมูล FTP SSL): FTP ผ่าน SSL ใช้พอร์ต TCP 990 และกฎนี้จะเปิดขึ้นมา

โดยเปิดไฟร์วอลล์ Windows Defender พร้อมความปลอดภัยขั้นสูงสลับไปที่รายการกฎขาเข้า และเปิดใช้งานโดยใช้เปิดใช้งานกฎสั่งการ.

กฎไฟร์วอลล์สำหรับโหมดพาสซีฟเซิร์ฟเวอร์ FTP

นอกจากจะเปิดใช้งานแล้วFTP Passive Traffic-เข้า, เปิดรองรับไฟร์วอลล์ FTPแอปเพล็ตโดยไปที่โหนดบนสุดด้านล่างการเชื่อมต่อในตัวจัดการ IIS ที่นั่น คุณควรตรวจสอบว่าช่วงพอร์ตตรงกับช่วงในกฎไฟร์วอลล์หรือไม่ หากคุณคลิกแอปเพล็ตนี้ในบริบทของไซต์ ช่องป้อนข้อมูลสำหรับช่วงพอร์ตจะเป็นสีเทา

ปรับแต่งช่วงพอร์ตสำหรับการเชื่อมต่อในโหมดพาสซีฟ

ท้ายที่สุด ขอแนะนำเป็นอย่างยิ่งให้เริ่มบริการ FTP ใหม่เพื่อให้กฎไฟร์วอลล์มีผล และคุณไม่จำเป็นต้องกังวลกับการค้นหาสาเหตุของการเชื่อมต่อ FTP ที่ถูกปฏิเสธโดยไม่จำเป็น

ในเซสชัน PowerShell ที่มีสิทธิ์ระดับสูง ให้ป้อนคำสั่งต่อไปนี้:

เริ่มบริการ FTPSVC ใหม่

ตอนนี้ไคลเอนต์ควรจะสามารถเชื่อมต่อกับเซิร์ฟเวอร์ FTP ได้ หากคุณใช้ใบรับรองที่ลงนามด้วยตนเอง คุณจะได้รับคำเตือนว่าไม่น่าเชื่อถือ สิ่งนี้สามารถหลีกเลี่ยงได้ในอนาคต เช่น ใน FileZilla โดยเลือกตัวเลือกที่เกี่ยวข้อง

คำเตือนไคลเอ็นต์ FTP เกี่ยวกับใบรับรองที่ไม่น่าเชื่อถือ

หากการสื่อสารล้มเหลวด้วยข้อผิดพลาด 530 ขั้นตอนแรกของคุณควรตรวจสอบว่าไดเร็กทอรีรากที่ถูกต้องถูกเก็บไว้ในการกำหนดค่าไซต์หรือไม่ คุณควรใช้โอกาสนี้เพื่อให้แน่ใจว่าสิทธิ์การเข้าถึงนั้นเพียงพอ นี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่เข้าสู่ระบบซึ่งอยู่ในโฮมไดเร็กตอรี่ของตน คุณสามารถกำหนดไดเร็กทอรีนี้ได้ใน IIS Manager ภายใต้การแยกผู้ใช้ FTP.

ไดเรกทอรีเสมือนและตัวกรอง

ไดเร็กทอรีเสมือนใช้เพื่อเมานต์โฟลเดอร์ภายนอกลงในแผนผังไดเร็กทอรี FTP ตัวอย่างเช่น คุณสามารถทำให้ไคลเอ็นต์เข้าถึง c:\users\public\images ภายใต้ /images ได้ แม้ว่าไดเรกทอรีรากของไซต์ FTP จะอยู่ภายใต้ c:\inetpub\ftproot ก็ตาม

สร้างไดเร็กทอรีเสมือนสำหรับเซิร์ฟเวอร์ FTP

อีกฟังก์ชั่นสำหรับปรับแต่งเซิร์ฟเวอร์ FTP คือการกรองคำขอ FTP. สามารถใช้เพื่อระบุประเภทไฟล์ที่ควรถ่ายโอนและควรบล็อก

ป้องกันการถ่ายโอนไฟล์ปฏิบัติการด้วยตัวกรองคำขอ

สามารถใช้ตัวกรองเพิ่มเติมเพื่ออนุญาตหรือยกเว้นที่อยู่ IP หรือโดเมนบางอย่างได้อย่างชัดเจน

สรุป

Windows มีเซิร์ฟเวอร์ FTP ทั้งในระบบปฏิบัติการไคลเอนต์และเซิร์ฟเวอร์ ซึ่งสามารถเพิ่มเป็นคุณสมบัติหรือบทบาทเสริมได้ มีการจัดการผ่าน GUI ของตัวจัดการ IIS

คุณสามารถกำหนดค่าการตั้งค่าที่จำเป็นทั้งหมดได้ รวมถึงสิทธิ์ผู้ใช้และตัวเลือก SSL ในการถ่ายโอนไฟล์อย่างปลอดภัย คุณสามารถสร้างใบรับรองที่ลงนามด้วยตนเองจากคอนโซล IIS หรือส่งคำขอไปยัง AD CA หรือผู้ออกใบรับรองภายนอก

สมัครรับจดหมายข่าว 4sysops!

ความท้าทายพิเศษของ FTP คือการกำหนดค่าไฟร์วอลล์ การติดตั้งเซิร์ฟเวอร์ FTP จะเพิ่มกฎสามข้อที่ต้องเปิดใช้งานหากคุณต้องการสร้างการเชื่อมต่อที่ปลอดภัยในโหมดพาสซีฟ

อ่านข่าวไอทีล่าสุดและการอัพเดตชุมชน!

เข้าร่วมชุมชนไอทีของเราและอ่านบทความโดยไม่มีโฆษณา!

คุณต้องการเขียนสำหรับ 4sysops หรือไม่? เรากำลังมองหาผู้เขียนใหม่

As an expert in the field of Internet Information Services (IIS) and FTP server configuration, my extensive experience spans over two decades in IT journalism, systems administration, and technology consulting. I've actively contributed to the field, and my expertise is demonstrated through practical knowledge gained from hands-on experience.

Now, let's delve into the concepts covered in the provided article on configuring an FTP server within Internet Information Services (IIS):

  1. FTP Server Installation:

    • On Windows 10/11, the FTP server is installed via the Control Panel under Programs and Features > Turn Windows features on or off.
    • Alternatively, PowerShell can be used to add the FTP server and management tools as Windows features.
  2. IIS Manager Configuration:

    • After installation, the Internet Information Services (IIS) Manager is used to configure the FTP server.
    • Default Web Site is initially configured, but the article emphasizes the likelihood of creating a custom site.
  3. Site Customization:

    • Customization involves moving the default root directory to %SystemDrive%\inetpub\ftproot.
    • The article explains how to configure basic settings and add FTP publishing for further customization.
  4. User Authentication and Authorization:

    • Users can authenticate either anonymously or with a username and password.
    • Permissions and access rights for users and groups are configured during the FTP site setup.
  5. SSL Configuration:

    • SSL connections are configured using the IIS Manager's FTP SSL Settings applet.
    • The article details the process of creating a self-signed certificate for SSL connections.
  6. Firewall Configuration for Passive Mode:

    • The FTP server supports both active and passive modes. Passive mode often requires firewall adjustments.
    • Windows firewall rules are discussed, including those for the control channel (port 21) and passive mode data connection.
  7. FTP Service Restart:

    • After firewall rules are configured, it is advisable to restart the FTP service to ensure the rules take effect.
  8. Virtual Directories:

    • Virtual directories are explained as a method to mount external folders into the FTP directory tree.
  9. FTP Request Filtering:

    • FTP request filtering is introduced as a way to specify which file types can be transferred and which should be blocked.
  10. Summary:

    • The article concludes by summarizing the key points, including the inclusion of FTP server in Windows, IIS Manager administration, and the challenges of configuring the firewall for secure connections.

This comprehensive guide provides a step-by-step walkthrough of setting up and configuring an FTP server within the IIS framework, covering essential aspects from installation to SSL configuration and firewall adjustments. The information is presented by Wolfgang Sommergut, a seasoned professional with a wealth of experience in IT journalism and system administration.

การตั้งค่าเซิร์ฟเวอร์ FTP ที่ปลอดภัย (FTPS) บน Windows (2024)

References

Top Articles
Latest Posts
Article information

Author: Terrell Hackett

Last Updated:

Views: 6594

Rating: 4.1 / 5 (52 voted)

Reviews: 83% of readers found this page helpful

Author information

Name: Terrell Hackett

Birthday: 1992-03-17

Address: Suite 453 459 Gibson Squares, East Adriane, AK 71925-5692

Phone: +21811810803470

Job: Chief Representative

Hobby: Board games, Rock climbing, Ghost hunting, Origami, Kabaddi, Mushroom hunting, Gaming

Introduction: My name is Terrell Hackett, I am a gleaming, brainy, courageous, helpful, healthy, cooperative, graceful person who loves writing and wants to share my knowledge and understanding with you.