FTP-Server unter Windows 7 und 8 mit IIS einrichten

    FTP-Konfiguration im IIS-ManagerDas gute alte File Transfer Protocol erweist sich oft noch als einfachste Möglichkeit, um Dateien zwischen PCs auszutauschen - vor allem dann, wenn diese unter verschiedenen Betriebs­systemen laufen. Windows 7/8 bringt einen eigenen FTP-Server mit, der im Vergleich zu einigen freien Produkten recht mächtig ist. Der Preis dafür ist indes eine umständliche Konfiguration.

    Wenn man einen FTP-Server unter Windows nur gelegentlich für Ad-hoc-Transfers benötigt, dann sollte man eher zu unkomplizierten Lösungen wie Quick `n Easy oder FileZilla greifen. Damit ist man schnell startklar, um die gewünschten Dateien hinauf- oder herunterzuladen. Der in die Internet Information Services eingebaute FTP-Server hat seine Stärke vor allem in der Integration mit der Benutzer- und Berechtigungsverwaltung von Windows. Dafür muss man aber mehr Aufwand in Kauf nehmen.

    FTP-Server als Teil der Internetinformationsdienste

    Die eigentliche Installation des FTP-Servers ist noch recht einfach. Sie erfolgt in der Systemsteuerung unter Programme => Windows-Funktionen aktivieren oder deaktivieren. Dort klappt man die Struktur unterhalb von Internetinformationsdienste auf und aktiviert unter FTP-Server die Checkbox für FTP-Dienst und unter Webverwaltungstools jene für IIS-Verwaltungskonsole.

    Der FTP-Server von Windows 7/8 ist Teil der Internet Information Services.

    Nach Abschluss der Installation startet man Internet­informations­dienste (IIS)-Manager unter Systemsteuerung => System und Sicherheit => Verwaltung. Dort findet man eine Konfiguration vor, die nur die Default Web Site enthält. Sie verweist per Voreinstellung auf C:\inetpub\ftproot und ist nicht als FTP-Site aktiviert.

    Default-Site anpassen

    Wenn man die Default-Site nutzen möchte, dann kann man die Einstellung beim genannten Verzeichnis belassen oder sie auf einen anderen Ordner umpolen, den man als FTP-Root verwenden möchte.

    Um Letzteres zu bewerkstelligen, führt man in der Aktionsleiste den Befehl Grundeinstellungen aus. Er bietet die Möglichkeit, ein anderes Verzeichnis auszuwählen. Alternativ zu Default kann man über das Kontextmenü von Sites seine eigene FTP-Site hinzufügen.

    Mit dem Internet­informations­dienste (IIS)-Manager lassen sich neben der Default-Site weitere FTP-Sites hinzufügen.

    Egal, ob man die vorgegebene Site nimmt oder eine eigene hinzufügt, beide sind erst nur angelegt und so nicht über FTP erreichbar. Vielmehr ist es notwendig, dass man sie über den Befehl FTP-Publishing hinzufügen dafür konfiguriert.

    In diesem Prozess bindet man den Dienst bei Bedarf an eine bestimmte IP-Adresse, weist ihm einen virtuellen Hostnamen zu (wie z.B. ftp.contoso.com) und bestimmt, ob die Kommunikation über SSL verschlüsselt werden soll.

    Wenn man mehrere FTP-Sites anlegt, dann benötigt jede eine eigene IP-Adresse, an die sie gebunden werden kann. Virtual Hosts sind dagegen dann interessant, wenn man mehrere FTP-Server über eine IP-Adresse bereitstellen möchte.

    Will man FTP über SSL (FTPS) verwenden, dann kann man im Wizard zum Veröffentlichen einer neuen Site nur die entsprechende Option an- oder abwählen. Das für die SSL-Verschlüsselung nötige Zertifikat wird im Pulldown-Menü nur angezeigt, wenn zuvor ein solches importiert oder selbst ausgestellt hat.

    Der Wizard für das FTP-Publishing bietet im ersten Dialog die Optionen für die IP-Bindung und für SSL.

    Authentifizierung, Autorisierung, Berechtigungen

    Im zweiten Dialog des Wizards legt man fest, wie sich Benutzer authentifizieren müssen und welche Berechtigungen sie bekommen. Aktiviert man Anonym, dann reicht es, wenn sich User mit der Kennung FTP oder Anonymous und ihrer Mail-Adresse als Passwort anmelden. In diesem Fall wird man im Abschnitt Autorisierung für Anonyme Benutzer den Zugriff gewähren.

    Die Konfigurationen von Authentifizierung und Autorisierung bedürfen nach dem Ende des Wizards meistens weiterer Anpassungen.

    Erzwingt man die Anmeldung über Benutzername und Passwort, dann kann man die Zugriffsrechte für bestimmte Konten bzw. Gruppen von Windows erteilen. Zu diesem Zweck trägt man entweder bestehende User ein oder man legt eine eigene Gruppe für FTP an.

    In diese könnte man nicht nur lokale, sondern auch AD-Konten aufnehmen. Zu beachten ist, dass diese auf NTFS-Ebene die nötigen Rechte in den festgelegten Verzeichnissen haben. Für den anonymen Zugriff muss man diese dem Benutzer IUSR erteilen.

    Rechte-Management nach dem Anlegen der Site

    Man kann zwar innerhalb des Wizards zum Publishing von FTP-Sites beide Formen der Authentifizierung auszuwählen, aber benannte und anonyme User lassen sich nicht gleichzeitig im Abschnitt Autorisierung eintragen.

    Die abschließende Gewährung von Lese- und Schreibrechten gilt daher nur für eine Sorte der zugelassenen Benutzer. Daher wird man das differenzierte Rechte-Management auf die anschließende Konfiguration der FTP-Site verlegen.

    Die Feinabstimmung des FTP-Server erfolgt nach dem Durchlauf des Wizards mit den Applets des IIS-Managers.

    Bevor man sich an diese machen kann, muss man die Site aktualisieren und ggf. manuell starten. Danach steht im Hauptfenster das Applet FTP-Authentifizierung zur Verfügung, über die man die beiden Anmeldetypen verwalten kann.

    Die detaillierte Rechtevergabe erfolgt indes über FTP-Autorisierung. Hier kann man beliebig viele Zulassungs- und Ablehnungsregeln für User und Gruppen hinzufügen, um Lese- und Schreiberechte zu steuern.

    SSL-Verbindungen konfigurieren

    Auch die beim Anlegen einer FTP-Site getroffene Entscheidung für oder gegen SSL ist nur vorläufig und fällt relativ undifferenziert aus. Über die nachträgliche Konfiguration mit Hilfe des Applets SSL-Einstellungen für FTP kann man die Security-Anforderungen feiner abstufen.

    FTP über SSL kann man als verpflichtend festlegen oder daneben auch unsichere Verbindungen zulassen.

    Die Option SSL-Verbindungen erforderlich lässt keine unverschlüsselte Kommunikation zu, während SSL-Verbindung zulassen dem Client die Möglichkeit einräumt, alle Daten inklusive der Anmeldeinformationen im Klartext zu übertragen.

    Zwischen diesen beiden Varianten existiert noch eine benutzerdefinierte Einstellung, bei der man beispielsweise erzwingen kann, dass Passwörter kodiert werden, aber der Client für alle anderen Daten eine unverschlüsselte Verbindung nutzt.

    Zertifikat ausstellen

    Für die Konfiguration einer SSL-Verbindung benötigt man ein Zertifikat, wobei der Internetinformationsdienste (IIS)-Manager eine Funktion zum Erstellen eines selbstsignierten Zertifikats bietet. Ein solches eignet sich primär für den internen Gebrauch oder für Tests.

    Im einfachsten Fall stellt man das Zertifikat für FTP über SSL selbst aus.

    Zu diesem Zweck wechselt man im Fenster Verbindungen zum Wurzelverzeichnis (also zum Namen des Servers) und wählt im Hauptfenster die Feature-Ansicht. Dort öffnet man das Applet für Serverzertifikate und kann dann im Aktionsfenster den entsprechenden Befehl ausführen.

    Virtuelle Verzeichnisse und Filter

    Nach dieser Basiskonfiguration kann man noch einige fortgeschrittene Funktionen des FTP-Servers in Anspruch nehmen, um die Site auf die individuellen Anforderungen anzupassen. Dazu zählt etwa die Definition von virtuellen Verzeichnissen.

    Sie dienen dazu, um Ordner außerhalb des festgelegten FTP-Verzeichnisbaumes in diesen einzuhängen. Zum Beispiel könnte man c:\users\public\bilder für Clients unter /bilder zugänglich machen, auch wenn das Stammverzeichnis der FTP-Site unter c:\inetpub\ftproot liegt.

    Ein weitere Funktion für die Anpassung des FTP-Servers sind die so genannten Anforderungsfilter. Mit ihrer Hilfe lässt sich festlegen, welche Dateitypen er übertragen soll und welche er blockiert. Weitere Filter lassen sich anwenden, um bestimmte IP-Adressen oder Domänen explizit zuzulassen oder auszuschließen.

    Firewall-Blockade überwinden

    Grundsätzlich stünde einer Verbindung einer solcherart eingerichteten FTP-Site nichts mehr im Wege. Als Spielverderber könnte sich jedoch wieder einmal die Windows-Firewall erweisen. Dabei treten Probleme gar nicht bevorzugt auf der Server-Seite auf, wo die Installation des FTP-Servers die nötigen Firewall-Regeln erzeugt.

    Aufgrund der Charakteristik von FTP, wo Client und Server erst einen Port für die Datenübertragung aushandeln und der Server schließlich die Verbindung initiiert, hakt es häufig auf der Client-Seite. Microsoft hat dieses Dokument zusammengestellt, das bei der Beseitigung von Verbindungsproblemen hilft, die von der Firewall verursacht werden. Die Konfiguration der Regeln erfolgt dort über das Kommandozeilen-Tool netsh.

    4 Kommentare

    Bild von Hans Wurst
    Hans Wurst sagt:
    12. Mai 2014 - 11:57

    Leider fehlt der Schritt, der einem sagt, dass man den IIS-Manager starten muss. Wenn man das noch hinzugfügt ist es eine sehr gute Anleitung. mfg

    Bild von Benedikt
    Benedikt sagt:
    21. Mai 2014 - 9:01

    Hallo Hans mein guter Freund Wolfgang hat das wohl vergessen. Ich habe ihm bereits Bescheid gesagt. Er wird sich demnächst darum kümmern.

    Liebe Grüße Benedikt

    Bild von Benedikt
    Benedikt sagt:
    21. Mai 2014 - 9:05

    Hallo ich habe da mal mehrer Fragen:

    • Wie komm ich nach dem groben Einrichten auf den Ftp-Server, über welchen Client ?
    Bild von iirusger
    iirusger sagt:
    19. September 2017 - 15:45

    auf den FTP-Server kommt man lokal lesend mit jedem Browser:
    ftp://192.168.0.99 wenn 192.168.0.99 die IP des Rechners ist.