Windows Server 2016でFTPサイトの構築手順

Windows Server 2016でFTPサイトを構築する際の検討事項と手順をまとめました。
普段ファイル転送にはセキュリティーの観点からSSHを使用することが多いかと思いますが、社内の内部ネットワークのみであればFTPを使うということも少なくありません。FTPについて改めてまとめてみました。
 
【FTPとは】
ファイル転送のプロトコル。通信は暗号化されないが、SSLで通信することで暗号化できる(FTPS)。
 

【パッシブモードとアクティブモード】
FTPで通信する場合はパッシブモードとアクティブモードの2つのモードがある。それぞれのモードにより通信するポートと向きが違ってくるので、接続元とサーバ間でFWがあり穴あけする際に間違えないように注意する必要がある。詳細はこちらのサイトが分かりやすかったです。
https://go-journey.club/archives/545 
 
 
【Windows ServerでのFTPサイト構築時の検討事項】
サイト構成について検討する必要がある。どのような運用にするかで細かいサイト構成が決まってくる。特にサーバの台数が多い場合はよく考えておかないと、運用メンバーが増えるたびにユーザ作成、FW申請など色々やることが増えると大変なので要検討。主な検討内容について以下に記載します。
 
・1サイト構成にするか複数サイト構成にするか
よっぽどな理由がなければ、わざわざ複数サイト構成にすることはないでしょう。

・共有ユーザにするか、個人ユーザにするか
共有ユーザにすれば運用メンバーが増えても新たなユーザ作成が不要で運用は楽だが、誰が操作したかが分からない。そのためセキュリティー監査の観点で、共有ユーザはNGな場合その場合も多い。そのような場合は各メンバーごとに個人ユーザで運用する必要がある。
 
・ドメインユーザにするか、ローカルユーザにするか
アクティブディレクトリ構成ならば、ドメインユーザとして1度作成すればドメイン配下の全てのホストで使用できるので楽ちん。アクティブディレクトリ構成なのにローカルユーザにする意味はないと思う。
 
・ユーザーのセキュリティーポリシー
ユーザーのパスワード期限はどうする?
リモートデスクトップ接続は許可しない?  ←忘れがち
 
・中継サーバをたてるか、各作業端末から接続させるか
FTPサイトの設定で接続元を制限する場合や、接続元とサーバ間でFWがある場合などは考慮する必要がある。各個人端末から接続させる場合は、運用メンバーの入れ替わりにより定期的に接続元の増減があるため、その度にFTPサイトの設定やFWの穴あけ申請等が必要になる可能性がある。中継サーバを用意しておけば、接続端末は常に変わらないので前述の懸念はなくなる。
 
・通信暗号化の要否
FTPの通信は暗号化されていないため、暗号化通信のSSLを必須とするかどうかを検討する必要がある。導入する場合は証明書の運用も必要となる。
 
 
 
【FTPサイトの構築手順】

1.FTPのインストール
[スタートメニュー]→[サーバーマネージャー]→[クイックスタート]の[②役割と機能の追加]をクリック

 
[開始する前に]の画面が表示されるので、[次へ]をクリック

 
[インストールの種類]の画面が表示されるので、[役割ベースまたは昨日ベースのインストール]を選択して、[次へ]をクリック

 
[対象サーバの選択]画面が表示されるので、自サーバが選択状態で[次へ]をクリック

 
[サーバーの役割の選択]画面が表示されるので、[Web Server (IIS)]を選択、[役割と機能の追加ウィザード]の画面が表示されるので[機能の追加]ボタンをクリックし、[サーバーの役割の選択]画面に戻ったら[次へ]ボタンをクリック

 

[機能の選択]画面が表示されるのが、そのまま[次へ]ボタンをクリック

 
IISの機能の説明画面が表示されるのが、そのまま[次へ]ボタンをクリック

 
[役割サービスの選択]画面が表示されるので、[FTPサーバー]と[FTPサービス]にチェックをいれた状態で(FTP拡張はチェックなしの状態で)、[次へ]ボタンをクリック

 
[インストールオプションの確認]画面が表示されるので、[インストール]ボタンをクリック

 
[インストールが正常に完了しました]のメッセージが表示されたら、[閉じる]ボタンをクリックし、サーバーマネージャーの画面の左メニューに[IIS]が追加されていることを確認する。


 

2.FTP用ユーザの作成
ローカルユーザを作成する

[スタートメニュー]→[コントロールパネル]→[アカウントの種類の変更]→[ユーザーアカウントの追加]をクリック

 
ユーザ名、パスワードなどを入力し、[次へ]ボタンをクリックし、ユーザを作成する

 

 
3.FTPサイト用の物理ディレクトリの作成
FTPサイトのルートディレクトリに指定する物理ディレクトリを作成する。

 
作成したディレクトリにFTP用ユーザでフルコントロールの権限を付与する
ディレクトリを右クリックし、プロパティーをクリック→セキュリティータブをクリックし、編集ボタンをクリック→追加ボタンをクリックし、FTP用ユーザ名を入力し名前の確認ボタンをクリックし、[OK]ボタンをクリック
 


 

画面に追加されたFTP用ユーザを選択し他状態で、画面下のアクセス許可のフルコントローラにチェックをいれて適用ボタンをクリック後に、[OK]ボタンを押して閉じる。


 
 
4.サーバ証明書の作成
[スタートメニュー]→[Windows管理ツール]→[インターネットインフォメーションサービス(IIS)マネージャー]をダブルクリック


 
左メニューの[(ホスト名)]を選択し、IISカテゴリの中の[サーバー証明書]をダブルクリック

 
画面右の操作メニューの[自己署名入り証明書の作成]をクリック

 
フレンドリ名に任意の値を入力し、[OK]ボタンをクリック

 
 
5.FTPサイトの作成
[(ホスト名)]を展開し、[サイト]を右クリックし、[FTPサイトの追加]をクリック

FTPサイト名と物理パスを選択し、[次へ]ボタンをクリック

 
IPアドレス→すべて未割り当て
仮想ホスト名を有効にする→チェックなし
FTPサイトを自動的に開始する→チェック
SSL→許可
SSL証明書→作成した証明書名を選択
次へボタンをクリック
 

 
認証→基本
アクセスの許可→指定されたユーザー
        FTP用ユーザ名を入力
アクセス許可→読み取りと書き込みにチェック
終了ボタンをクリック

 
 
6.データコネクションのポート指定(必要に応じて実施)
左メニューの[(ホスト名)]をクリックし、FTPカテゴリの[FTPファイアウォールのサポート]をダブルクリック

 
[データチャネルのポート範囲]に使用したいポート範囲を入力し、画面右側の[適用]をクリック、[OK]をクリック

 
左メニューの[サイト]の配下の新規作成したFTPサイトを選択し、FTPカテゴリの[FTPファイアウォールのサポート]をダブルクリック

 
[ファイアウォールの外部IPアドレス]に自サーバのIPアドレスを入力し、画面右側の[適用]をクリック、[OK]をクリック

 
 
7.仮想ディレクトリの作成(必要に応じて実施)
左メニューの[サイト]の配下の新規作成したFTPサイトを右クリックし、仮想ディレクトリの追加をクリック

 
エイリアスと物理パスを入力し、OKボタンをクリック

 
FTPサイトのルートディレクトリ直下に、先ほど作成した仮想ディレクトリのエイリアス名と同じ名前のディレクトリを作成する。

 
 
8.FTPサービスの再起動
スタートメニュー→Windows管理ツール→サービス→Microsoft FTP serverを右クリックして再起動を選択

スポンサーリンク
勉強wikiの下部広告
  • このエントリーをはてなブックマークに追加
スポンサーリンク
勉強wikiの下部広告

コメントをどうぞ

メールアドレスが公開されることはありません。

CAPTCHA