Configuración del servidor FTP Windows IIS

Aquí mostraremos cómo configurar el servidor FTP de Windows IIS. Si quieres configurar un servidor FTP con los medios de a bordo de Windows, los Servicios de Información de Internet (IIS), puede convertirse rápidamente en un molestia en el culo para cualquier persona que no trata con frecuencia con él. Desgraciadamente, su configuración no es tan intuitiva como podría pensarse, y existen muchos escollos que impiden alcanzar el éxito deseado. Así que pueden pasar de horas a varios días antes de que haya resuelto todos los problemas como administrador ocasional.

Bestseller No. 1

Habilitar los servicios FTP

En primer lugar, hay que activar al menos la consola de administración de IIS y el servicio FTP en Características de Windows.
Para ello, accede a Características de Windows a través de Panel de control -> Programas y características -> Activar o desactivar características de Windows.
En el árbol, vaya a Servicios de información de Internet y active Servicio FTP en Servidor FTP y Servicio de administración de IIS y Consola de administración de IIS en Herramientas de administración web.
windows-features

A continuación, abra el Administrador de Servicios de Información de Internet (IIS), por ejemplo, a través de Inicio -> Herramientas administrativas de Windows.

Crea una nueva página FTP

En el gestor de IIS, crea un nuevo sitio FTP con Añadir sitio FTP haciendo clic derecho en la ventana izquierda sobre Sitios.Añadir sitio FTP en el Administrador de IIS

Ahora hay que asignar un nombre de sitio FTP, que puede ser individual, y definir la ruta física bajo la que se almacenarán los documentos y archivos. El acceso FTP desde el exterior se realiza entonces a esta ruta. En la imagen de ejemplo, se ha seleccionado el directorio por defecto del servidor web. Sin embargo, también son posibles otras carpetas físicas. Más adelante, también se pueden definir directorios virtuales que hagan referencia a rutas fuera de la ruta física especificada. Sin embargo, esto no se tratará más aquí.
A continuación, haga clic en Siguiente.
Introduzca la información del sitio FTP Nombre del sitio y ruta física

Configuración de enlace y SSL

En los ajustes de enlace y SSL, puede realizar ajustes para el cifrado, así como asignar nombres de host o direcciones IP específicos al servicio FTP

La asignación de una dirección IP queda vacía en nuestro caso. Si gestiona varios sitios de servidores FTP, cada uno debe estar vinculado a su propia dirección IP. Si es necesario, puede cambiar el puerto si el puerto estándar FTP ya está ocupado y se utiliza en otro lugar. Por defecto, está configurado en el puerto 21.Nombres de host virtuales se pueden utilizar cuando se trabaja con nombres de dominio en la red interna.
En este punto tampoco nos interesan los nombres de host virtuales. Esto es interesante en redes más grandes donde, por ejemplo, se trabaja con nombres de dominio (controladores de dominio) o si se quieren vincular varios servidores FTP a una dirección IP.
En cualquier caso, debes activar SSL permitido o mejor SSL requerido para que la conexión FTP esté cifrada en el futuro. También hay que seleccionar un certificado SSL. En nuestro caso, seleccionamos un certificado existente. El gestor de IIS también ofrece la posibilidad de crear un certificado propio (autofirmado). Por supuesto, esto no es aceptado por todos los clientes y hay mensajes de advertencia correspondientes. Para evitarlo, se necesita un certificado público de una autoridad de certificación (CA) correspondiente.
Configuración FTP y SSL

Información sobre autenticación y autorización

El siguiente paso es la información de autenticación y autorización. Aquí dejamos de momento la configuración por defecto. Esto se ajustará de nuevo más adelante.
Para información: Si deja Anónimo activado, puede iniciar sesión con el nombre de usuario Anónimo y la dirección de correo electrónico como contraseña.
Estándar requiere el inicio de sesión en el servidor FTP mediante nombre de usuario y contraseña. A continuación, se pueden definir grupos de usuarios dedicados (también de un ActiveDirectory) o cuentas de usuario a las que se permite el acceso.

Información sobre autenticación y autorización FTP

Configurar usuario FTP para acceso desde el exterior.

Para el acceso desde el exterior, debe existir un usuario/usuario independiente que sea conocido por el sistema Windows y que disponga de las autorizaciones adecuadas.
Hay que configurar un usuario independiente en Windows. Esto lo hacemos a través de la consola con

net usuario ftpuser2 * /add

Consola Net-User-Add

Así, también puedes crear varias cuentas diferentes, por ejemplo, para asignar a cada persona autorizada su propia cuenta.
Ahora hay que asignar a la nueva cuenta FTP los permisos adecuados a la carpeta del sitio FTP. Esto se puede hacer a través de la consola con

ICACLS c:\inetpub\wwwroot /grant ftpuser:(OI)(CI)(M)

O puede hacer clic con el botón derecho del ratón en el gestor de IIS sobre el sitio FTP y seleccionar Editar permisos -> seguridad. Alternativamente, Windows Explorer clic derecho sobre la carpeta FTP -> Propiedades > Seguridad.

Ahora seleccionamos de nuevo nuestro sitio FTP en el gestor de IIS y vamos a Autenticación FTP y desactivamos allí la autenticación anónima.

Desactivar autenticación FTP autenticación anónima

A continuación, vaya a Autorización FTP -> Añadir regla de permiso y añada el usuario FTP configurado con Lectura y Escritura permisos.

Añadir regla de permiso de autorización

Autorización FTP FTPUser Permitir Lectura y Escritura

Ahora se podría pensar que el acceso desde un cliente FTP teóricamente ya debería funcionar desde tu propia red. Sin embargo, en la mayoría de los casos esto no funcionará porque el cortafuegos de Windows del ordenador en el que se ejecuta el servidor FTP debe estar desactivado para realizar pruebas o configurado en consecuencia para el puerto especificado.
Para ello, abra el firewall de Windows a través del menú Inicio o utilice Panel de control->Sistema y seguridad->Firewall de Windows. Vaya a Configuración avanzada -> Reglas entrantes -> Nueva regla… -> Puerto y ahí liberar los puertos necesarios. Como veremos en un momento, aquí al final también hay que liberar un rango de puertos dinámico.

Liberación de puertos del Firewall de Windows

A más tardar, el acceso con nuestra cuenta de usuario creada desde la red local desde un cliente FTP debería funcionar.
Lo que no funcionará es el acceso desde fuera de la red local, por ejemplo desde Internet. Para ello, también hay que configurar las liberaciones de puertos correspondientes en el cortafuegos hardware o en el router. La forma de realizar estos ajustes depende del dispositivo correspondiente. Con el FRITZ!Box, esto se puede hacer en Internet -> Acciones -> Puertos compartidos.

RebajasBestseller No. 1
Qnap TS-433-4G NAS System 4-Bay
  • Qnap TS-433-4G NAS System 4-Bay

Puertos compartidos FTP pasivo

En la mayoría de los casos, uno configurará acceso FTP pasivo porque el acceso FTP activo puede causar problemas del lado del cliente, ya que con el FTP activo la conexión al puerto de datos la inicia el servidor, que a menudo es bloqueado por los cortafuegos del lado del cliente.
Si desea configurar FTP pasivo, debe saber que para ello se requiere un rango de puertos dinámico (>puerto 1024). Aquí el cliente establece las dos conexiones de puerto para la conexión de control y para la conexión de datos. El cliente indica al servidor con el comando PASSV que está a la escucha en el puerto XXXXX. Para ello, sin embargo, el rango de puertos correspondiente debe estar habilitado en el lado del servidor.
En el Administrador de IIS, seleccione el nodo superior en la estructura de árbol de la izquierda y, a continuación, seleccione Soporte de cortafuegos FTP. Introduzca ahora un rango de puertos (>1024) en Rango de puertos del canal de datos. El intervalo de puertos definido aquí debe liberarse ahora también en el cortafuegos de Windows y en el router o cortafuegos de hardware. (Debe seleccionarse el nodo superior porque las liberaciones de puertos se aplican a todos los sitios FTP si, por ejemplo, tiene varios)

Nota: Antes de hacer esto, debe comprobar qué intervalos de puertos compartidos permite su router o firewall de hardware. Con la versión actual de FRITZ!Box, sólo se puede compartir un rango de puertos de 255 puertos a la vez.

FTP Firewall Support Set Data Channel Port Range

¿Funciona o no funciona?

Ahora ha llegado el momento en que el acceso FTP desde el exterior a través de Internet también debe funcionar. ¡Y se te erizan los pelos de la nuca con la cabeza enrojecida y el pulso a 180 cuando sigue sin funcionar después de esta odisea! Tal era mi caso, así que la búsqueda de la causa continuaba, pero me faltaban los planteamientos de más fuentes de error ¡Aarrrrgh!

Ahora observaba los mensajes y comandos de mi cliente FTP, en mi caso Total Commander. En algún momento observé el siguiente mensaje:

227 Entrando en Modo Pasivo (188,103,164,96,228,201)

Generalizado: 227 Entrando en Modo Pasivo (A,B,C,D,m,n)

En la expresión del corchete, pude identificar los cuatro primeros bloques de dígitos como la dirección IP (188.103.164.96) que obtuve del ISP. Ahora suponía que los dos bloques de dígitos restantes tenían algo que ver con el puerto. Sin embargo, se trata de una notación inusual. Si alguien sabe en qué norma o directriz se especifica esta notación, por favor, que lo comente aquí. En cualquier caso, el número de puerto se puede calcular usando m y n; es más o menos una ecuación en línea recta:

Port=256*m+n

Mediante este cálculo, pude determinar que el puerto dirigido 58.569=256*228+201 estaba muy lejos del rango de puertos liberados. ¿Cómo es posible? Perplejidad de nuevo.

Rango dinámico de puertos en Windows

Bajo Windows, se definen valores por defecto para el Rango dinámico de puertos. En la consola puedes ver este rango de puertos con

netsh int ipv4 show dynamicport tcp

para que se muestre.

Consola netsh int ipv4 show dynamicport tcp

El resultado aquí muestra un rango de puertos de 49152-65536. El puerto mencionado 58.569 también se encuentra dentro de este rango. Es difícil juzgar si se trata de un error. Sin embargo, si el rango de puertos dinámico se establece en el rango de puertos definido en el servidor FTP de IIS, el acceso a través de Internet desde el exterior también funciona. El nuevo rango de puertos también se puede establecer a través de la consola con :

netsh int ipv4 set dynamicport tcp start=56792 num=255

Después de haber completado todos estos pasos, nada debería interponerse en el camino de un acceso FTP exitoso. Por un lado, esto demuestra la potencia del servidor FTP de Windows, que probablemente no deja nada que desear a la mayoría de los administradores, y por otro, la gran cantidad de configuraciones adicionales del sistema Windows, de las que ni siquiera se sabe si se trata de un error o de una característica.

RebajasBestseller No. 1
Microsoft Windows 10 Pro per Postbrief
  • ✅Aktivierungsinformationen befinden sich auf der versendeten Rechnung
  • ✅Sie erhalten KEINE CD, BOX oder USB-Stick
  • ✅Überprüfen Sie auch Ihr Emailpostfach und Spamordner
RebajasBestseller No. 2
Microsoft Windows 11 Home
  • Aufgeräumt und ruhig. Erreichen Sie mühelos Ihre Ziele dank des überarbeiteten Designs von...
  • Biometrische Anmeldung und fortschrittlicher Schutz vor Viren. So sind Sie umfassend gegen die...
  • Nutzen Sie mit Snap-Layouts Ihre Bildschirmfläche optimal aus

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *