FTP-сервер на Windows Server: настройка через IIS, FTPS, пользователи и firewall

09.06.26
FTP-сервер на Windows Server: настройка через IIS, FTPS, пользователи и firewall

FTP-сервер на Windows Server используют, когда нужно организовать передачу файлов между пользователями, приложениями, сайтами, интеграциями или внешними системами. Например, для загрузки файлов на сервер, обмена документами, выгрузок из учетной системы, технических архивов или интеграций со старым программным обеспечением.

В Windows Server FTP обычно настраивают через IIS. Для этого устанавливают компонент FTP Server, создают FTP-сайт, указывают каталог, настраивают пользователей, права доступа, firewall и, если сервер используется в рабочей среде, включают FTPS — защищенный FTP через SSL/TLS.

Обычный FTP передает данные без шифрования, поэтому его не стоит использовать для логинов, паролей и рабочих файлов в открытых сетях. Для бизнес-задач лучше сразу настраивать FTPS или рассмотреть альтернативы: SFTP, VPN, защищенное хранилище, WebDAV или обмен через приложение.

В этой статье разберем, как настроить FTP-сервер на Windows Server через IIS, какие права выдать пользователям, зачем нужен пассивный диапазон портов, как включить FTPS и что проверить, если подключение не работает.

Когда нужен FTP-сервер на Windows Server

FTP-сервер подходит для задач, где нужно регулярно передавать файлы на сервер или с сервера. Но перед настройкой важно понять, действительно ли нужен именно FTP, а не более современный или безопасный способ обмена.

Типичные сценарии

    • загрузка файлов на Windows-сервер;
    • выгрузка отчетов, документов или архивов;
    • обмен файлами между внутренними системами;
    • интеграция со старым ПО, которое поддерживает только FTP или FTPS;
    • публикация файлов для ограниченного круга пользователей;
    • технический обмен между сайтом, CRM, 1С или другим приложением;
    • временный канал для передачи больших файлов.

Когда FTP лучше не использовать

    • нужно передавать персональные данные без шифрования;
    • пользователи будут подключаться из публичных сетей;
    • требуется удобная совместная работа с файлами;
    • нужна детальная история изменений документов;
    • требуется двухфакторная аутентификация;
    • нужно безопасно выдавать доступ внешним подрядчикам;
    • есть возможность использовать SFTP, VPN или защищенное хранилище.
Важно: FTP и FTPS — не одно и то же. Обычный FTP не шифрует соединение. FTPS использует SSL/TLS и подходит лучше, если нужно передавать файлы через недоверенные сети.

FTP, FTPS и SFTP: в чем разница

ВариантЧто этоКогда использовать
FTPКлассический протокол передачи файлов без шифрования.Только во внутренней доверенной сети или для неважных данных.
FTPSFTP с защитой через SSL/TLS.Когда нужен FTP-совместимый обмен, но с шифрованием.
SFTPПередача файлов поверх SSH. Это отдельный протокол, не FTP.Когда нужна защищенная передача файлов и инфраструктура поддерживает SSH.

В IIS на Windows Server речь обычно идет именно о FTP и FTPS. SFTP в IIS не является тем же самым механизмом и настраивается другими средствами.

Как работает FTP-сервер в IIS

В Windows Server FTP-сервер работает как часть IIS. Администратор устанавливает компонент FTP Server, создает FTP-сайт, указывает физический каталог и настраивает, кто может подключаться и что может делать: читать файлы, загружать новые или изменять существующие.

Общая схема


        FTP/FTPS-клиент
   FileZilla / WinSCP / приложение
                │
                ▼
          FTP или FTPS
        порт 21 + пассивные порты
                │
                ▼
          IIS FTP Server
        FTP-сайт и правила доступа
                │
                ▼
       Каталог на Windows Server
        файлы, права NTFS, логи
Как читать схему: FTP-клиент подключается к FTP-службе IIS, но фактический доступ к файлам определяется не только настройками FTP-сайта. Важны также права NTFS на каталог, учетная запись пользователя, firewall и режим подключения.

Что нужно подготовить

  • Windows Server с административным доступом;
  • установленную или готовую к установке роль IIS;
  • компонент FTP Server;
  • каталог для FTP-файлов;
  • учетные записи пользователей;
  • понимание, кому нужен доступ на чтение и запись;
  • SSL-сертификат, если будет использоваться FTPS;
  • открытые порты на Windows Firewall и внешнем firewall;
  • решение, будет ли сервер доступен из интернета или только из внутренней сети/VPN.

Установка FTP Server на Windows Server

FTP-компонент устанавливается через Server Manager или PowerShell. Если IIS уже используется для сайтов, можно добавить только нужные компоненты FTP. Если IIS еще не установлен, вместе с FTP будут установлены необходимые компоненты веб-сервера.

Установка через Server Manager

    1. Откройте Server Manager.
    2. Выберите Add roles and features.
    3. Перейдите к выбору ролей сервера.
    4. Выберите Web Server (IIS), если роль еще не установлена.
    5. В составе IIS отметьте FTP Server.
    6. Выберите FTP Service.
    7. При необходимости добавьте FTP Extensibility.
    8. Завершите установку.
    9. Откройте Internet Information Services (IIS) Manager.

Установка через PowerShell

Установить FTP Server можно командой:

Install-WindowsFeature Web-Ftp-Server -IncludeManagementTools

Если на сервере еще нет IIS, может потребоваться установка роли веб-сервера и связанных компонентов. После установки откройте IIS Manager и проверьте, что доступна возможность создать FTP-сайт.

Проверка службы

После установки проверьте, что служба FTP доступна:

Get-Service FTPSVC

Если служба остановлена, ее можно запустить:

Start-Service FTPSVC

Для постоянной работы также проверьте тип запуска службы и журналы событий, если служба не стартует.

Создание FTP-сайта в IIS

После установки компонента FTP нужно создать FTP-сайт. Для простого сценария потребуется имя сайта, физический каталог, IP-адрес или привязка, порт, режим SSL, способ аутентификации и правила авторизации.

Подготовьте каталог

Создайте отдельную папку для FTP-файлов, например:

D:\FTP\Public

Не стоит использовать случайные системные каталоги или хранить FTP-файлы вперемешку с важными данными приложения. Отдельный каталог проще защищать, резервировать и контролировать.

Создайте FTP-сайт

    1. Откройте IIS Manager.
    2. В дереве сервера нажмите правой кнопкой на Sites.
    3. Выберите Add FTP Site.
    4. Укажите имя FTP-сайта.
    5. Укажите физический путь к каталогу.
    6. Выберите IP-адрес и порт, обычно 21.
    7. Настройте SSL: отключить, разрешить или требовать.
    8. Выберите тип аутентификации.
    9. Настройте правила авторизации.
    10. Завершите создание сайта.

Аутентификация

Для рабочего сервера лучше использовать учетные записи пользователей, а не анонимный доступ. Анонимный FTP может быть допустим только для публичной раздачи файлов без возможности записи, но для бизнес-данных это плохая практика.

Обычно используют:

    • Basic Authentication с Windows-учетными записями;
    • отдельных локальных пользователей для FTP;
    • доменные учетные записи, если сервер входит в домен;
    • изолированные каталоги пользователей, если нужно разделить доступ.

Авторизация

В правилах авторизации нужно указать, кто имеет доступ и какие действия разрешены: чтение, запись или оба варианта.

Пример логики:

Пользователь или группаДоступКогда подходит
Пользователь выгрузкиReadМожет только забирать файлы с сервера.
Пользователь загрузкиRead + WriteМожет загружать и читать файлы в своем каталоге.
АдминистраторRead + WriteМожет управлять файлами и проверять работу обмена.
Анонимный пользовательТолько Read или не использоватьПодходит только для публичных файлов без конфиденциальных данных.

Права NTFS и изоляция пользователей

Одна из частых ошибок при настройке FTP в IIS — настроить правила FTP, но забыть про права NTFS. В результате пользователь видит ошибку доступа, хотя в IIS ему вроде бы разрешили чтение или запись.

FTP-права и NTFS-права работают вместе

Для успешного доступа должны совпасть два уровня:

    • разрешение в настройках FTP-сайта;
    • права NTFS на физический каталог.

Если в IIS разрешена запись, но в NTFS у пользователя нет права записывать в папку, загрузка файла не сработает.

Минимальная логика прав

    • не давать пользователям доступ к системным каталогам;
    • создавать отдельные папки для разных задач;
    • выдавать только нужные права: чтение или чтение/запись;
    • не использовать группу Everyone для рабочих данных;
    • не давать лишние права администратора;
    • разделять пользователей и приложения;
    • проверять наследование прав на папках.

Изоляция пользователей

Если FTP используется несколькими пользователями, лучше настроить так, чтобы каждый видел только свой каталог. Это снижает риск случайного удаления чужих файлов и утечки данных между пользователями.

Изоляция особенно важна, если:

    • к серверу подключаются внешние подрядчики;
    • FTP используется для нескольких клиентов или отделов;
    • через сервер проходят разные интеграции;
    • пользователи должны загружать файлы независимо друг от друга;
    • на сервере есть конфиденциальные документы.
Типичная ошибка: создать один общий FTP-каталог для всех и выдать всем пользователям право записи. Через некоторое время становится непонятно, кто загрузил файл, кто его удалил и почему один пользователь видит данные другого.

FTPS, SSL-сертификат и безопасный доступ

Если FTP-сервер используется не только в полностью доверенной внутренней сети, лучше включить FTPS. Это позволит шифровать соединение между клиентом и сервером.

Что нужно для FTPS

    • SSL-сертификат на имя сервера;
    • доступный порт FTP, обычно 21;
    • настройка SSL в FTP-сайте IIS;
    • поддержка FTPS на стороне клиента;
    • корректные настройки firewall;
    • проверка режима подключения: explicit FTPS или другой вариант, если он используется.

Настройка SSL в IIS

В настройках FTP-сайта можно выбрать режим SSL. Для рабочих данных лучше требовать SSL, а не просто разрешать его.

Общая логика:

    1. Установить SSL-сертификат на сервер.
    2. Открыть настройки FTP-сайта в IIS.
    3. Выбрать сертификат для FTP-сайта.
    4. Установить требование SSL, если нужен только защищенный доступ.
    5. Сохранить настройки.
    6. Проверить подключение FTPS-клиентом.

Что проверить в клиенте

На стороне FTP-клиента важно выбрать правильный протокол и режим шифрования. Если сервер требует FTPS, обычное FTP-подключение без SSL не пройдет.

Проверьте:

    • выбран ли FTPS, а не обычный FTP;
    • правильно ли указан порт;
    • доверяет ли клиент сертификату;
    • совпадает ли имя сервера с сертификатом;
    • не блокирует ли firewall пассивные порты;
    • не используется ли устаревший клиент без поддержки нужного TLS.
Важно: если пользователи привыкли игнорировать предупреждения о сертификате, это снижает безопасность. Для рабочего FTPS лучше использовать корректный сертификат на то имя, по которому подключаются клиенты.

Firewall и пассивный режим FTP

FTP сложнее с точки зрения firewall, чем многие другие протоколы. Он использует управляющее соединение и отдельные соединения для передачи данных. Поэтому часто возникает ситуация: логин проходит, а список файлов не открывается или загрузка зависает.

Активный и пассивный режим

В современных сетях чаще используют пассивный режим. Он удобнее для клиентов за NAT и firewall, но требует настроить диапазон пассивных портов на сервере и открыть их на сетевом экране.

Что нужно открыть

Минимально для FTP/FTPS обычно нужны:

    • порт 21 для управляющего соединения;
    • пассивный диапазон портов для передачи данных;
    • порт 990, если используется implicit FTPS, но чаще применяют explicit FTPS на 21;
    • правила Windows Firewall;
    • правила внешнего firewall или NAT, если сервер доступен из интернета.

Настройка пассивного диапазона

В IIS есть раздел FTP Firewall Support. Там можно указать диапазон портов для пассивных соединений и внешний IP-адрес, если сервер находится за NAT.

Пример логики настройки:

Пассивный диапазон портов: 50000-50100
Внешний IP-адрес: публичный IP сервера или firewall

После этого такой же диапазон нужно разрешить в Windows Firewall и на внешнем firewall. Недостаточно прописать диапазон только в IIS: сетевые правила тоже должны пропускать соединения.

Проверка firewall

На сервере можно проверить, слушается ли порт FTP:

netstat -ano | findstr :21

С клиентского компьютера можно проверить доступность порта:

Test-NetConnection ftp.example.ru -Port 21

Но успешная проверка порта 21 еще не гарантирует, что передача файлов будет работать. Для пассивного режима должны быть доступны и порты из пассивного диапазона.

Диагностика типичных ошибок FTP/FTPS

Если FTP-сервер не работает, важно понять, на каком этапе возникает ошибка: подключение к серверу, ввод логина и пароля, получение списка файлов, загрузка, скачивание или установка защищенного соединения.

СимптомВозможная причинаЧто проверить
Клиент не подключается к серверуFTP-служба не запущена, порт закрыт, firewall блокирует доступ.Службу FTPSVC, порт 21, Windows Firewall, внешний firewall.
Логин не принимаетсяНеверная учетная запись, пароль, тип аутентификации или запрет входа.Пользователя Windows, Basic Authentication, домен, блокировку учетной записи.
Ошибка 530Проблема аутентификации или авторизации.Логин, пароль, FTP Authorization Rules, права пользователя.
Ошибка 550Нет прав на файл или каталог.NTFS-права, путь к каталогу, права чтения/записи.
Подключение есть, но список файлов не открываетсяПассивные порты закрыты firewall или неверный внешний IP.FTP Firewall Support, пассивный диапазон, NAT, firewall.
FTPS-клиент ругается на сертификатСертификат недоверенный, истек или выпущен на другое имя.Срок сертификата, домен, цепочку доверия, настройки клиента.
Загрузка файла обрываетсяПроблема канала, лимитов, firewall или прав записи.Логи IIS, размер файла, права, пассивные порты, стабильность сети.
Один пользователь видит чужие файлыНе настроена изоляция пользователей или общий каталог.User Isolation, структуру папок, NTFS-права.

Где смотреть логи

Логи FTP в IIS помогают понять, кто подключался, какие команды выполнялись и на каком этапе возникла ошибка. Расположение логов зависит от конфигурации, но часто используется каталог IIS logs.

Типичный путь:

C:\inetpub\logs\LogFiles

Также полезно смотреть:

  • Event Viewer;
  • журналы IIS;
  • журналы Windows Firewall;
  • сообщения FTP-клиента;
  • логи внешнего firewall или NAT-устройства.

Практический чек-лист

  • Установлен компонент FTP Server.
  • Служба FTPSVC запущена.
  • Создан отдельный каталог для FTP.
  • Настроены FTP Authentication и Authorization Rules.
  • Права NTFS соответствуют правам в IIS.
  • Анонимный доступ отключен, если он не нужен.
  • Для рабочих данных включен FTPS.
  • SSL-сертификат действителен и соответствует имени сервера.
  • Открыт порт 21.
  • Настроен пассивный диапазон портов.
  • Пассивные порты открыты в Windows Firewall и внешнем firewall.
  • Проверены логи IIS и Event Viewer.
  • Пользователи изолированы по каталогам, если это требуется.
  • Настроено резервное копирование важных файлов.

Заключение

FTP-сервер на Windows Server через IIS можно настроить достаточно быстро, но рабочая конфигурация требует внимания к деталям. Недостаточно просто установить роль и создать FTP-сайт: нужно настроить пользователей, права NTFS, FTPS, firewall, пассивный диапазон портов, логи и резервное копирование.

Для бизнес-данных обычный FTP без шифрования лучше не использовать. Если протокол нужен из-за совместимости со старым ПО или внешней системой, безопаснее включить FTPS, использовать отдельные учетные записи, ограничить доступ по IP или VPN и не выдавать пользователям лишние права.

Большинство ошибок FTP связано с тремя вещами: неправильные права на каталог, закрытые пассивные порты и неверная настройка SSL. Если подключение проходит, но список файлов не открывается или загрузка зависает, почти всегда стоит проверять FTP Firewall Support, NAT и правила firewall.

Что почитать дальше

Если вы настраиваете Windows Server, удаленный доступ и серверную инфраструктуру, полезно также посмотреть связанные материалы:

  • Windows VPS — что такое виртуальный сервер на Windows и для каких задач он подходит.
  • Windows VDS для бизнеса — как выбрать виртуальный сервер под 1С, RDP, MS SQL и удаленную работу.
  • DNS в Windows 10/11 — как настроить DNS-клиент и когда нужен DNS-сервер на Windows Server.
  • Ошибки SSL-сертификата — диагностика HTTPS, цепочки сертификатов и mixed content.
  • Аренда Windows VPS — виртуальные серверы Windows в IPWAY.

Когда стоит обратиться к специалистам

Простой FTP-сайт во внутренней сети можно настроить самостоятельно. Но если сервер доступен из интернета, используется FTPS, есть внешние подрядчики, интеграции, персональные данные, несколько пользователей или важные бизнес-файлы, настройку лучше делать аккуратно.

Когда стоит обратиться к специалистам: если нужно настроить FTP/FTPS на Windows Server, открыть доступ через firewall, настроить пассивный режим, права пользователей, SSL-сертификат, изоляцию каталогов, резервное копирование или перенос файлового обмена на Windows VPS/VDS, важно проверить всю схему до передачи рабочих данных.

IPWAY помогает с размещением и сопровождением Windows VPS/VDS, настройкой Windows Server, удаленного доступа, IIS, SSL-сертификатов, резервного копирования и серверной инфраструктуры. Если FTP или FTPS нужен для рабочих процессов, лучше сразу продумать безопасность, права и дальнейшее сопровождение.

Кратко

  • FTP-сервер на Windows Server обычно настраивают через IIS.
  • Для установки нужен компонент FTP Server.
  • Обычный FTP не шифрует соединение, для рабочих данных лучше использовать FTPS.
  • Права доступа задаются не только в IIS, но и на уровне NTFS.
  • Для нескольких пользователей лучше настроить изоляцию каталогов.
  • Порт 21 отвечает только за управляющее соединение.
  • Для пассивного режима нужно настроить диапазон портов и открыть его в firewall.
  • Если логин проходит, но список файлов не открывается, часто виноваты пассивные порты или NAT.
  • Для FTPS нужен корректный SSL-сертификат.
  • Для важных файлов нужно настроить резервное копирование и контроль логов.

Мы используем файлы cookie и сервис веб-аналитики Яндекс Метрика для улучшения работы сайта. Оставаясь на сайте, вы соглашаетесь с Политикой конфиденциальности.