虽然 Windows Server 2008 已经非常老旧,不推荐用于生产环境(因为它已停止安全更新),但了解其配置过程对于维护旧系统或在特定实验环境中仍然很有价值。
我们将涵盖以下内容:
- 安装 FTP 服务
- 配置 FTP 站点(基本设置)
- 配置用户隔离(非常重要)
- 配置防火墙规则
- 连接 FTP 服务器
- 安全建议与最佳实践
第 1 步:安装 FTP 服务
你需要通过“服务器管理器”来安装 FTP 服务。
- 打开 服务器管理器。
- 在右侧的 “ 面板中,点击 “添加角色”。
- 在 “添加角色向导” 的欢迎页面,点击 “下一步”。
- 在 “选择服务器角色” 页面,勾选 “Web 服务器 (IIS)”。
- 系统可能会提示你添加必需的功能,点击 “添加必需的功能” 并继续。
- 在 “Web 服务器 (IIS)” 的角色说明页面,直接点击 “下一步”。
- 在 “角色服务” 页面,展开 “FTP 服务器”,然后勾选以下两项:
- FTP 服务:这是核心 FTP 服务组件。
- FTP 扩展:提供管理和其他功能的支持。
- (可选) FTP 日志记录:用于记录 FTP 服务器活动。
- 点击 “安装”,等待安装完成,然后点击 “关闭”。
FTP 服务已经成功安装,你可以在 “管理工具” 中找到 “Internet Information Services (IIS) 管理器”,在这里进行后续配置。
第 2 步:配置 FTP 站点(基本设置)
IIS 默认会创建一个名为 "FTP Site" 的默认站点,我们可以直接修改它或创建一个新站点,这里我们以修改默认站点为例。
- 打开 “Internet Information Services (IIS) 管理器”。
- 在左侧展开你的服务器节点,然后展开 “站点”。
- 右键点击 “FTP 站点”,选择 “属性”。
- (或者右键点击“FTP 站点” -> “管理网站” -> “新建” -> “FTP 站点”来创建一个全新的站点)
基本设置
-
FTP 站点 标识:
- 描述: 为你的 FTP 站点起一个描述性的名称,"公司文件 FTP"。
- IP 地址: 选择服务器上用于 FTP 服务的 IP 地址,如果服务器有多个网卡,请指定正确的 IP,如果不确定,可以留空 ,表示使用所有未分配的 IP。
- TCP 端口: FTP 默认使用 21 端口,通常保持默认即可。
- SSL 证书: 我们将在安全部分处理 SSL/TLS。
-
FTP 站点 安全帐户:
- 允许匿名连接: 如果希望任何人都能访问而不需要用户名密码,可以勾选。出于安全考虑,强烈建议不勾选此项。
- 允许匿名连接: 如果勾选了,需要指定一个 Windows 用户账户作为匿名用户,默认是
IUSR_计算机名。 - 基本身份验证: 必须勾选此项,这是最常用的身份验证方式,用户名和密码以明文形式传输(除非配合 SSL/TLS 加密)。
- 提示凭据: 如果勾选,用户在连接时会弹出一个登录框,而不是直接在地址栏输入。
-
FTP 站点 消息:
这里可以设置用户连接时、断开连接时以及服务器已满时显示的欢迎或提示信息。
(图片来源网络,侵删) -
主目录:
- 这是用户登录后能访问的根文件夹。
- 本地路径: 点击 “浏览” 选择一个文件夹,
D:\FTP_Files。 - 读取: 允许用户下载文件。
- 写入: 允许用户上传文件或修改文件夹,根据需要勾选。
第 3 步:配置用户隔离(非常重要)
“用户隔离”是 FTP 服务器的一个核心安全功能,它确保每个 FTP 用户只能访问自己专属的文件夹,而无法看到其他用户的文件。在生产环境中,强烈建议启用此功能。
-
在 “FTP 站点属性” 窗口中,切换到 “目录安全” 选项卡。
-
点击 “编辑”。
-
在弹出的 “FTP 站点用户隔离” 对话框中,选择以下选项之一:
- 隔离用户: 这是最常用的选项,它会将每个用户限制在其主目录下,用户的主目录路径格式为:
主目录\用户名,如果你的主目录是D:\FTP_Files,用户user1的访问路径将是D:\FTP_Files\user1。 - 使用 Active Directory 域隔离的帐户: 如果你的服务器是域环境,并且希望基于 Active Directory 组成员身份进行更精细的控制,可以选择此项,配置相对复杂。
- 不隔离用户: 不推荐,所有用户都能看到主目录下的所有文件和文件夹。
- 隔离用户: 这是最常用的选项,它会将每个用户限制在其主目录下,用户的主目录路径格式为:
-
点击 “确定” 保存设置。
操作准备:
启用用户隔离后,你需要在之前指定的主目录(D:\FTP_Files)下,为每个需要访问 FTP 的 Windows 用户创建一个与用户名完全相同的文件夹,并设置正确的权限。
第 4 步:配置防火墙规则
Windows Server 2008 自带的防火墙可能会阻止 FTP 流量,你需要创建入站规则来允许 FTP。
- 打开 “控制面板” -> “Windows 防火墙”。
- 在左侧点击 “允许程序或功能通过 Windows 防火墙”。
- 点击 “允许其他程序...”。
- 在列表中找到 “文件传输协议 (FTP)”,勾选它,并确保 “域”、“专用”、“公用” 复选框中至少有一个被勾选(通常选择“域”或“专用”)。
- 点击 “确定”。
注意:FTP 使用两个端口:
- 控制通道 (端口 21):用于发送命令(如登录、列出目录)。
- 数据通道 (端口 20 或随机高位端口):用于传输实际文件。
上述规则已经为 FTP 设置了正确的例外,它会自动处理这些端口。
第 5 步:连接 FTP 服务器
配置完成后,你可以从客户端计算机进行测试。
-
使用 Windows 资源管理器:
- 在地址栏输入
ftp://你的服务器IP地址。 - 系统会弹出登录对话框,输入你之前配置好的 Windows 用户名和密码。
- 登录成功后,你应该只能看到自己专属的文件夹。
- 在地址栏输入
-
使用命令行:
- 打开命令提示符 (cmd)。
- 输入
ftp 你的服务器IP地址。 - 输入
用户名。 - 输入
密码。 - 使用
dir命令列出文件,get下载文件,put上传文件,bye退出。
-
使用 FTP 客户端软件:
- 推荐使用 FileZilla、WinSCP 等工具,它们功能更强大,界面更友好。
- 主机: 你的服务器IP地址
- 端口: 21
- 用户名: 你的 Windows 用户名
- 密码: 你的 Windows 密码
第 6 步:安全建议与最佳实践
Server 2008 的 FTP 不安全! 默认的 FTP 是明文传输,非常容易被窃听。强烈建议启用 SSL/TLS 加密。
如何启用 FTPS (FTP over SSL/TLS)
- 在 IIS 管理器中,右键点击你的 FTP 站点,选择 “属性”。
- 切换到 “FTP 站点 安全通信” 选项卡。
- 点击 “服务器证书”。
- 注意: Server 2008 的 IIS 不支持 Let's Encrypt 等免费证书,你需要从受信任的 CA(如 DigiCert, GlobalSign)购买证书,或者创建一个自签名证书(仅用于测试,不安全)。
- 获取证书后,返回 **“安全通信
