FTP-сервер на Windows Server: настройка через IIS, FTPS, пользователи и firewall

FTP-сервер на Windows Server используют, когда нужно организовать передачу файлов между пользователями, приложениями, сайтами, интеграциями или внешними системами. Например, для загрузки файлов на сервер, обмена документами, выгрузок из учетной системы, технических архивов или интеграций со старым программным обеспечением.
В Windows Server FTP обычно настраивают через IIS. Для этого устанавливают компонент FTP Server, создают FTP-сайт, указывают каталог, настраивают пользователей, права доступа, firewall и, если сервер используется в рабочей среде, включают FTPS — защищенный FTP через SSL/TLS.
Обычный FTP передает данные без шифрования, поэтому его не стоит использовать для логинов, паролей и рабочих файлов в открытых сетях. Для бизнес-задач лучше сразу настраивать FTPS или рассмотреть альтернативы: SFTP, VPN, защищенное хранилище, WebDAV или обмен через приложение.
В этой статье разберем, как настроить FTP-сервер на Windows Server через IIS, какие права выдать пользователям, зачем нужен пассивный диапазон портов, как включить FTPS и что проверить, если подключение не работает.
Когда нужен FTP-сервер на Windows Server
FTP-сервер подходит для задач, где нужно регулярно передавать файлы на сервер или с сервера. Но перед настройкой важно понять, действительно ли нужен именно FTP, а не более современный или безопасный способ обмена.
Типичные сценарии
- загрузка файлов на Windows-сервер;
- выгрузка отчетов, документов или архивов;
- обмен файлами между внутренними системами;
- интеграция со старым ПО, которое поддерживает только FTP или FTPS;
- публикация файлов для ограниченного круга пользователей;
- технический обмен между сайтом, CRM, 1С или другим приложением;
- временный канал для передачи больших файлов.
Когда FTP лучше не использовать
- нужно передавать персональные данные без шифрования;
- пользователи будут подключаться из публичных сетей;
- требуется удобная совместная работа с файлами;
- нужна детальная история изменений документов;
- требуется двухфакторная аутентификация;
- нужно безопасно выдавать доступ внешним подрядчикам;
- есть возможность использовать SFTP, VPN или защищенное хранилище.
FTP, FTPS и SFTP: в чем разница
| Вариант | Что это | Когда использовать |
|---|---|---|
| FTP | Классический протокол передачи файлов без шифрования. | Только во внутренней доверенной сети или для неважных данных. |
| FTPS | FTP с защитой через SSL/TLS. | Когда нужен FTP-совместимый обмен, но с шифрованием. |
| SFTP | Передача файлов поверх SSH. Это отдельный протокол, не FTP. | Когда нужна защищенная передача файлов и инфраструктура поддерживает SSH. |
В IIS на Windows Server речь обычно идет именно о FTP и FTPS. SFTP в IIS не является тем же самым механизмом и настраивается другими средствами.
Как работает FTP-сервер в IIS
В Windows Server FTP-сервер работает как часть IIS. Администратор устанавливает компонент FTP Server, создает FTP-сайт, указывает физический каталог и настраивает, кто может подключаться и что может делать: читать файлы, загружать новые или изменять существующие.
Общая схема
FTP/FTPS-клиент
FileZilla / WinSCP / приложение
│
▼
FTP или FTPS
порт 21 + пассивные порты
│
▼
IIS FTP Server
FTP-сайт и правила доступа
│
▼
Каталог на Windows Server
файлы, права NTFS, логи
Что нужно подготовить
- Windows Server с административным доступом;
- установленную или готовую к установке роль IIS;
- компонент FTP Server;
- каталог для FTP-файлов;
- учетные записи пользователей;
- понимание, кому нужен доступ на чтение и запись;
- SSL-сертификат, если будет использоваться FTPS;
- открытые порты на Windows Firewall и внешнем firewall;
- решение, будет ли сервер доступен из интернета или только из внутренней сети/VPN.
Установка FTP Server на Windows Server
FTP-компонент устанавливается через Server Manager или PowerShell. Если IIS уже используется для сайтов, можно добавить только нужные компоненты FTP. Если IIS еще не установлен, вместе с FTP будут установлены необходимые компоненты веб-сервера.
Установка через Server Manager
- Откройте Server Manager.
- Выберите Add roles and features.
- Перейдите к выбору ролей сервера.
- Выберите Web Server (IIS), если роль еще не установлена.
- В составе IIS отметьте FTP Server.
- Выберите FTP Service.
- При необходимости добавьте FTP Extensibility.
- Завершите установку.
- Откройте Internet Information Services (IIS) Manager.
Установка через PowerShell
Установить FTP Server можно командой:
Install-WindowsFeature Web-Ftp-Server -IncludeManagementToolsЕсли на сервере еще нет IIS, может потребоваться установка роли веб-сервера и связанных компонентов. После установки откройте IIS Manager и проверьте, что доступна возможность создать FTP-сайт.
Проверка службы
После установки проверьте, что служба FTP доступна:
Get-Service FTPSVCЕсли служба остановлена, ее можно запустить:
Start-Service FTPSVCДля постоянной работы также проверьте тип запуска службы и журналы событий, если служба не стартует.
Создание FTP-сайта в IIS
После установки компонента FTP нужно создать FTP-сайт. Для простого сценария потребуется имя сайта, физический каталог, IP-адрес или привязка, порт, режим SSL, способ аутентификации и правила авторизации.
Подготовьте каталог
Создайте отдельную папку для FTP-файлов, например:
D:\FTP\PublicНе стоит использовать случайные системные каталоги или хранить FTP-файлы вперемешку с важными данными приложения. Отдельный каталог проще защищать, резервировать и контролировать.
Создайте FTP-сайт
- Откройте IIS Manager.
- В дереве сервера нажмите правой кнопкой на Sites.
- Выберите Add FTP Site.
- Укажите имя FTP-сайта.
- Укажите физический путь к каталогу.
- Выберите IP-адрес и порт, обычно
21. - Настройте SSL: отключить, разрешить или требовать.
- Выберите тип аутентификации.
- Настройте правила авторизации.
- Завершите создание сайта.
Аутентификация
Для рабочего сервера лучше использовать учетные записи пользователей, а не анонимный доступ. Анонимный FTP может быть допустим только для публичной раздачи файлов без возможности записи, но для бизнес-данных это плохая практика.
Обычно используют:
- Basic Authentication с Windows-учетными записями;
- отдельных локальных пользователей для FTP;
- доменные учетные записи, если сервер входит в домен;
- изолированные каталоги пользователей, если нужно разделить доступ.
Авторизация
В правилах авторизации нужно указать, кто имеет доступ и какие действия разрешены: чтение, запись или оба варианта.
Пример логики:
| Пользователь или группа | Доступ | Когда подходит |
|---|---|---|
| Пользователь выгрузки | Read | Может только забирать файлы с сервера. |
| Пользователь загрузки | Read + Write | Может загружать и читать файлы в своем каталоге. |
| Администратор | Read + Write | Может управлять файлами и проверять работу обмена. |
| Анонимный пользователь | Только Read или не использовать | Подходит только для публичных файлов без конфиденциальных данных. |
Права NTFS и изоляция пользователей
Одна из частых ошибок при настройке FTP в IIS — настроить правила FTP, но забыть про права NTFS. В результате пользователь видит ошибку доступа, хотя в IIS ему вроде бы разрешили чтение или запись.
FTP-права и NTFS-права работают вместе
Для успешного доступа должны совпасть два уровня:
- разрешение в настройках FTP-сайта;
- права NTFS на физический каталог.
Если в IIS разрешена запись, но в NTFS у пользователя нет права записывать в папку, загрузка файла не сработает.
Минимальная логика прав
- не давать пользователям доступ к системным каталогам;
- создавать отдельные папки для разных задач;
- выдавать только нужные права: чтение или чтение/запись;
- не использовать группу Everyone для рабочих данных;
- не давать лишние права администратора;
- разделять пользователей и приложения;
- проверять наследование прав на папках.
Изоляция пользователей
Если FTP используется несколькими пользователями, лучше настроить так, чтобы каждый видел только свой каталог. Это снижает риск случайного удаления чужих файлов и утечки данных между пользователями.
Изоляция особенно важна, если:
- к серверу подключаются внешние подрядчики;
- FTP используется для нескольких клиентов или отделов;
- через сервер проходят разные интеграции;
- пользователи должны загружать файлы независимо друг от друга;
- на сервере есть конфиденциальные документы.
FTPS, SSL-сертификат и безопасный доступ
Если FTP-сервер используется не только в полностью доверенной внутренней сети, лучше включить FTPS. Это позволит шифровать соединение между клиентом и сервером.
Что нужно для FTPS
- SSL-сертификат на имя сервера;
- доступный порт FTP, обычно
21; - настройка SSL в FTP-сайте IIS;
- поддержка FTPS на стороне клиента;
- корректные настройки firewall;
- проверка режима подключения: explicit FTPS или другой вариант, если он используется.
Настройка SSL в IIS
В настройках FTP-сайта можно выбрать режим SSL. Для рабочих данных лучше требовать SSL, а не просто разрешать его.
Общая логика:
- Установить SSL-сертификат на сервер.
- Открыть настройки FTP-сайта в IIS.
- Выбрать сертификат для FTP-сайта.
- Установить требование SSL, если нужен только защищенный доступ.
- Сохранить настройки.
- Проверить подключение FTPS-клиентом.
Что проверить в клиенте
На стороне FTP-клиента важно выбрать правильный протокол и режим шифрования. Если сервер требует FTPS, обычное FTP-подключение без SSL не пройдет.
Проверьте:
- выбран ли FTPS, а не обычный FTP;
- правильно ли указан порт;
- доверяет ли клиент сертификату;
- совпадает ли имя сервера с сертификатом;
- не блокирует ли firewall пассивные порты;
- не используется ли устаревший клиент без поддержки нужного TLS.
Firewall и пассивный режим FTP
FTP сложнее с точки зрения firewall, чем многие другие протоколы. Он использует управляющее соединение и отдельные соединения для передачи данных. Поэтому часто возникает ситуация: логин проходит, а список файлов не открывается или загрузка зависает.
Активный и пассивный режим
В современных сетях чаще используют пассивный режим. Он удобнее для клиентов за NAT и firewall, но требует настроить диапазон пассивных портов на сервере и открыть их на сетевом экране.
Что нужно открыть
Минимально для FTP/FTPS обычно нужны:
- порт
21для управляющего соединения; - пассивный диапазон портов для передачи данных;
- порт
990, если используется implicit FTPS, но чаще применяют explicit FTPS на21; - правила Windows Firewall;
- правила внешнего firewall или NAT, если сервер доступен из интернета.
- порт
Настройка пассивного диапазона
В IIS есть раздел FTP Firewall Support. Там можно указать диапазон портов для пассивных соединений и внешний IP-адрес, если сервер находится за NAT.
Пример логики настройки:
Пассивный диапазон портов: 50000-50100
Внешний IP-адрес: публичный IP сервера или firewallПосле этого такой же диапазон нужно разрешить в Windows Firewall и на внешнем firewall. Недостаточно прописать диапазон только в IIS: сетевые правила тоже должны пропускать соединения.
Проверка firewall
На сервере можно проверить, слушается ли порт FTP:
netstat -ano | findstr :21С клиентского компьютера можно проверить доступность порта:
Test-NetConnection ftp.example.ru -Port 21Но успешная проверка порта 21 еще не гарантирует, что передача файлов будет работать. Для пассивного режима должны быть доступны и порты из пассивного диапазона.
Диагностика типичных ошибок FTP/FTPS
Если FTP-сервер не работает, важно понять, на каком этапе возникает ошибка: подключение к серверу, ввод логина и пароля, получение списка файлов, загрузка, скачивание или установка защищенного соединения.
| Симптом | Возможная причина | Что проверить |
|---|---|---|
| Клиент не подключается к серверу | FTP-служба не запущена, порт закрыт, firewall блокирует доступ. | Службу FTPSVC, порт 21, Windows Firewall, внешний firewall. |
| Логин не принимается | Неверная учетная запись, пароль, тип аутентификации или запрет входа. | Пользователя Windows, Basic Authentication, домен, блокировку учетной записи. |
| Ошибка 530 | Проблема аутентификации или авторизации. | Логин, пароль, FTP Authorization Rules, права пользователя. |
| Ошибка 550 | Нет прав на файл или каталог. | NTFS-права, путь к каталогу, права чтения/записи. |
| Подключение есть, но список файлов не открывается | Пассивные порты закрыты firewall или неверный внешний IP. | FTP Firewall Support, пассивный диапазон, NAT, firewall. |
| FTPS-клиент ругается на сертификат | Сертификат недоверенный, истек или выпущен на другое имя. | Срок сертификата, домен, цепочку доверия, настройки клиента. |
| Загрузка файла обрывается | Проблема канала, лимитов, firewall или прав записи. | Логи IIS, размер файла, права, пассивные порты, стабильность сети. |
| Один пользователь видит чужие файлы | Не настроена изоляция пользователей или общий каталог. | User Isolation, структуру папок, NTFS-права. |
Где смотреть логи
Логи FTP в IIS помогают понять, кто подключался, какие команды выполнялись и на каком этапе возникла ошибка. Расположение логов зависит от конфигурации, но часто используется каталог IIS logs.
Типичный путь:
C:\inetpub\logs\LogFilesТакже полезно смотреть:
- Event Viewer;
- журналы IIS;
- журналы Windows Firewall;
- сообщения FTP-клиента;
- логи внешнего firewall или NAT-устройства.
Практический чек-лист
- Установлен компонент FTP Server.
- Служба
FTPSVCзапущена. - Создан отдельный каталог для FTP.
- Настроены FTP Authentication и Authorization Rules.
- Права NTFS соответствуют правам в IIS.
- Анонимный доступ отключен, если он не нужен.
- Для рабочих данных включен FTPS.
- SSL-сертификат действителен и соответствует имени сервера.
- Открыт порт
21. - Настроен пассивный диапазон портов.
- Пассивные порты открыты в Windows Firewall и внешнем firewall.
- Проверены логи IIS и Event Viewer.
- Пользователи изолированы по каталогам, если это требуется.
- Настроено резервное копирование важных файлов.
Заключение
FTP-сервер на Windows Server через IIS можно настроить достаточно быстро, но рабочая конфигурация требует внимания к деталям. Недостаточно просто установить роль и создать FTP-сайт: нужно настроить пользователей, права NTFS, FTPS, firewall, пассивный диапазон портов, логи и резервное копирование.
Для бизнес-данных обычный FTP без шифрования лучше не использовать. Если протокол нужен из-за совместимости со старым ПО или внешней системой, безопаснее включить FTPS, использовать отдельные учетные записи, ограничить доступ по IP или VPN и не выдавать пользователям лишние права.
Большинство ошибок FTP связано с тремя вещами: неправильные права на каталог, закрытые пассивные порты и неверная настройка SSL. Если подключение проходит, но список файлов не открывается или загрузка зависает, почти всегда стоит проверять FTP Firewall Support, NAT и правила firewall.
Что почитать дальше
Если вы настраиваете Windows Server, удаленный доступ и серверную инфраструктуру, полезно также посмотреть связанные материалы:
- Windows VPS — что такое виртуальный сервер на Windows и для каких задач он подходит.
- Windows VDS для бизнеса — как выбрать виртуальный сервер под 1С, RDP, MS SQL и удаленную работу.
- DNS в Windows 10/11 — как настроить DNS-клиент и когда нужен DNS-сервер на Windows Server.
- Ошибки SSL-сертификата — диагностика HTTPS, цепочки сертификатов и mixed content.
- Аренда Windows VPS — виртуальные серверы Windows в IPWAY.
Когда стоит обратиться к специалистам
Простой FTP-сайт во внутренней сети можно настроить самостоятельно. Но если сервер доступен из интернета, используется FTPS, есть внешние подрядчики, интеграции, персональные данные, несколько пользователей или важные бизнес-файлы, настройку лучше делать аккуратно.
IPWAY помогает с размещением и сопровождением Windows VPS/VDS, настройкой Windows Server, удаленного доступа, IIS, SSL-сертификатов, резервного копирования и серверной инфраструктуры. Если FTP или FTPS нужен для рабочих процессов, лучше сразу продумать безопасность, права и дальнейшее сопровождение.
Кратко
- FTP-сервер на Windows Server обычно настраивают через IIS.
- Для установки нужен компонент FTP Server.
- Обычный FTP не шифрует соединение, для рабочих данных лучше использовать FTPS.
- Права доступа задаются не только в IIS, но и на уровне NTFS.
- Для нескольких пользователей лучше настроить изоляцию каталогов.
- Порт
21отвечает только за управляющее соединение. - Для пассивного режима нужно настроить диапазон портов и открыть его в firewall.
- Если логин проходит, но список файлов не открывается, часто виноваты пассивные порты или NAT.
- Для FTPS нужен корректный SSL-сертификат.
- Для важных файлов нужно настроить резервное копирование и контроль логов.


