Mit der Auslieferung von Windows 2008 zog der neue Internet Information Server 7.0 in die Läden. Eine komplett überarbeitet Engine und der modulhafte Aufbau gestalten die Administration und Konfiguration deutlich komfortabler und hinterlassen einen stabilen Eindruck. Umso ärgerlicher erscheint es, dass mit Windows 2008 der alte FTP Server des IIS 6.0 mitgeliefert wird, da einerseits die Verwaltung nicht mit der eigtl. IIS 7 Konsole zu bewerkstelligen ist, sondern zusätzlich die IIS 6 Managementkonsole mitinstalliert werden muss. Ausserdem scheinen jegliche lang ersehnte Verbesserungen bzw. Neuerungen nicht geliefert zu werden. Pünktlichkeit eines Releases scheint seinen Preis zu haben. Doch seit Februar hat das Warten ein sein Ende gefunden

Link: http://www.iis.net/downloads/default.aspx?tabid=3

Neuerungen und Verbesserungen

Zu den Neuerungen zählen die Unterstützung von FTPS (FTP über SSL), die Unterstützung von Hostheadern, um mehrere FTP-Sites unter einer IP Adresse zu hosten und die nahtlose Einbindung in die IIS 7 Managementoberfläche. Eine kleine Erweiterung gibt es hinsichtlich der Verwaltung von Home -Directories für Benutzer. Im folgenden werden die wichtigsten Aspekte zum Betreiben einer sicheren FTP-Site beschrieben.

Installation

Die Installation des ca. 1,6 MB großen FTP Servers geht rel. schnell von statten und bedarf weder eines „iisreset“ noch eines Windows Reboots. Falls der mit Windows 2008 mitgelieferte FTP Server installiert wurde, muss er vorher deinstalliert werden.

Tipp:

Sollten Sie unter Vista, die UAC (User Access Control) aktiviert haben , loggen Sie sich als Administrator ein und führen die Eingabeaufforderung als Administrator aus. Geben Sie dort „msiexec /i ftp_x86_rtw.msi bzw. ftp_x64_rtw.msi für die 64-bit Variante ein.

Der FTP Server 7.0 ist übrigens nur für Windows 2008 und Vista designed und quittiert eine Installation bei älteren Betriebssystemen mit „This version is not supported. FTP Services can be installed only on Windows 2008“

FTP Services Integration – Anlegen neuer FTP Sites

Die wohl auffälligste und zugleich angenehmste Neuerung des FTP Server ist die nahtlose Integration in die IIS 7 Management Konsole. Für die Pflege der Dateien per up- bzw. download ist es nicht mehr notwendig eigens eine FTP-Site anzulegen, wie das noch im IIS 6.0 noch der Fall war, sondern es reicht neben der Bindung für http eine weitere Bindung für das ftp Protokoll vorzunehmen. Der entsrepchende Punkt im Kontextmenü lautet „Add FTP-Publishing“.

Bild 1: Kontextmenü im IIS 7 Managementkonsole für bestehende Websites

Bild 2: Binden einer Website an das ftp Protokoll - Bindung für ftp 1

Optisch wird die neue Bindung lediglich durch das Fragezeichen in Website Icon.

Bild 3: Bindung mehrerer Protokolle an eine Site

In der Abbildung „Bild 2“ läßt sich bereits eine der weiteren Neuerungen erkennen. FTP Seiten sind ebenso wie Websites per Hostheader erreichbar. Was bedeutet das? Wie Sie sich vorstellen können, stehen nicht genügend IP Adressen für die Abermillionen von Webseiten zur Verfügung. Ein Ausweg aus dem Dilemma wäre, jeder weiteren FTP Seite einen anderen Port als 21 zuzuweisen, bspw. 10021. Doch das würde aus administrativer und Usersicht auf eine Bedienungskatastrophe hinauslaufen. Mit der Angabe eines Hostheaders kann der IIS eine Website bzw. FTP-Site genau identifizieren und Anfragen gezielt weiterleiten.

Tipp:

Um bestehende Websites über FTP per Hostheader zu erreichen, müssen keinen anderen Namen angeben als wie den für die Website selbst, beispielsweise ftp.meineseite.de. Es steht ihnen absolut frei den gleichen Namen zu verwenden, denn Hostheader, IP und Port werden als ein Paket zur Identifizierung verwendet.

Bild 4: Erstellen eines neuen FTP Verzeichnisses

Das Anlegen eines neuen FTP Verzeichnisse gestaltet sich im Prinzip genauso leicht, wie das hinzufügen einer FTP Bindung. Über das Kontextmenü der Maus steht der Punkt „Add FTP Site“ zur Verfügung.

Bild 4: Hinzufügen einer neuen FTP Site

Im nachfolgenden Assistent werden sie nach den üblichen Verdächtigen gefragt. Im ersten Schritt vergeben Sie einen Namen für die FTP Seite, sowie den obligatorischen Pfad zu den Dateien.

Neue FTP Site 2

Bild 5: Schritt 1 – Angabe des Namens und des physikalischen Verzeichnisses

Anschliessend vergeben Sie die IP Adresse, Hostheader und Port. An dieser Stelle stoßen Sie übrigens auf eine weitere Neurung: FTPS. Ebenso wie bei Websites können Sie nun den Kanal zwischen Client und Server mit Hilfe eines Zertifikats per SSL absichern und gegenbenfalls sogar erzwingen. Anders wie bei SFTP werden hier alle Daten in der FTP Verbindung verschlüsselt, anstatt die Verbindung über SSH teilweise zu tunneln.

Tipp:

Das dazu passende Zertifikat können Sie nach wie vor mit Hilfe der Zertifikatsdienste erstellen. Die entrechende Rolle unter Windows 2008 Server heißtActive Dreictory Zertifikatsdienste. Lassen Sie sich dabei nicht von dem Begriff Active Directory irritieren. Sie können auch eine eigenständige – also ohne Active Directory – Zertifierungsstelle einrichten.

Bild 6: Schritt 2 – Angabe von IP Adresse, Port, Hostheader und SSL

Bild 7: Schritt 3 – Angabe der Zugriffsberechtigung

In der abschließenden Maske des Assistenten stellen Sie noch die Berechtigung für den Zugriff auf die FTP Sites ein. Wobei Sie hier unterscheiden können, auf welche Art man sich authentifizieren kann und welche User Zugriff in Form von Lesen und Schreiben bekommen.

Tipp:
Das Hinzufügen einer FTP Site, sowie sämtlicher Eintellungen ist natürlich auch über die applicationhost.config möglich. Näheres dazu unter finden Sie auf der http://www.iss.net Seite.

Zugriff per Hostheader

Auf eine kleine Besonderheit sollte man gefasst sein, wenn es um den Zugriff per Hostheader geht. Auf dem Server ist eine FTP Site neu eingerichtet worden mit dem Hostheader ftp.fumus.local. Der Eintrag im DNS ist gemacht und die Authentifizierung auf anonymous eingestellt, so daß der Zugriff ohne weiteres möglich sein sollte.

Allerdings bedarf es nun noch eines kleinen „Drehs“, um eine Anmeldung an der FTP-Site zu bewerkstelligen. Der Anmeldename setzt sich zusammen aus <hostname|Anmeldename>. Das sollte man ins besondere bei der Anmeldung für den anonymen Gastzugang beachten, da bei den üblichen FTP Client Tools die vordefinierten Einstellungen für Anonym nicht funktionieren. Hier ist es ebenso notwendig den Zugang in der Form <hostname|anonymous> einzugeben.

Bild 9+10: Anonymer Gastzugang mit und ohne Hostheader

Bild 11: Übersicht der angemeldeten User

Tipp:

Sollten Sie eine Fehlermeldung erhalten, dass sich das Verzeichnis nicht auflisten lässt, dann lässt sich das häufig auf den Transfer Modus zurückzuführen. Versuchen Sie es mit den aktiven Modus, der für den Verbindungsaufbau den Port 20 und für die Datenübertragung den Port 21 verwendet. Der passive Modus eignet sich für Clients, die hinter einer Firewall sitzen und nicht direkt vom FTP Server erreichbar sind. Genaueres können sie unter Wikipedia nachlesen.

Sicher mit SSL

Auch was den Punkt Sicherheit angeht, hat sich einiges getan. Hervorzuheben wäre in erster Linie die Möglichkeit Verbindungen per SSL zwingend verschlüsseln zu lassen. Dazu ist ein Serverzertifikat notwendig, das man entweder für gutes Geld kaufen kann oder mit Hilfe der Windows Server eigenen Zertifikatsdienste erstellen kann.

Im Bereich der Computers befindet sich das Feature für Serverzertifikate. Wenn man das Feature öffnet, stehen folgende Aktionen zur Verfügung: Zertifikatsanforderungen erstellen, um bspw. bei Thawte oder VeriSign ein Zertifikat anzufordern oder selbstsignierende Zertifikate zu erstellen.

Bild 11: Serverzertifikate

Sofern Sie sich in einer Domäne befinden, wirdüber die Aktion Domänenzertifikat der im Active Directory registrierte Zertifikatsserver zur Verfügung gestellt

Nachdem man die notwendigen Angaben - wie Ort, Organisation und Name der Site, für die das Zertifikat ausgestellt werden soll - gemacht hat, steht das Zertifikat zur Verfügung und kann in den FTP-SSL Einstellungen verwendet werden.

Bild 12 + 13: SSL Einstellungen der FTP Site

In den FTP SSL Settings stellt man ein, welches Zertifikat verwendet werden soll und eine Verbindung zwingend per SSL zwingend erforderlich ist. In den erweiterten Einstellungen unter Custom ließe sich sogar getrennt nach Daten- und Kontrollkanal entscheiden, wie SSL zu behandeln ist.

SSL via Hostname

Eine Kleinigkeit am Rande sollte noch erwähnt sein. Der Zugriff per SSL funktioniert perfekt sofern Sie bswp. mit Filezilla das Protkoll FTPES wählen. Der FTP Service stellt seine Lauscher auf den Port 21 ein handelt hier den SSL Tunnel aus. Alle anderen Protokolle wie FTPS oder SFTP scheitern.

Bild 14: Clientzugriff per SSL

Sobald Sie jedoch mit Hostheadern arbeiten, stellt sich ein kleines Problem ein. Der Zugriff auf die FTP Site scheitert mit folgender Meldung:

Antwort: 220 Microsoft FTP Service
Befehl: AUTH TLS
Antwort: 534-Local policy on server does not allow TLS secure connections.
Antwort: Win32 error:
Antwort: Error details: SSL certificate was not configured.
Antwort: 534 End
Befehl: AUTH SSL
Antwort: 534-Local policy on server does not allow TLS secure connections.
Antwort: Win32 error:
Antwort: Error details: SSL certificate was not configured.
Antwort: 534 End

Die eigenartige Fehlermeldung ist darauf zurückzuführen, dass man bei Angabe von Hostheadern bereits auf Computerlevel das Zertifikat angeben muss. Et voila, es funktioniert.

Fazit

Erst die Version 7.0 des FTP Servers enthält seitens der Sicherheit die notwendigen Eigenschaften um eine sichere Dateiübertragung zu gewährleisten. Mit den zusätzlichen Neuerungen wie Hostheader Unterstützung rückt er deutlich an die Konkurrenz heran. Ein unschlagbares Kriterium allerdings ist die Integration in den IIS 7 bzw. Windows 2008. Dadurch stehen nicht nur viele Funktionen zur Verfügung, wie Authentifizierung über einen Membershipprovider, Integration in die IIS 7 Managementkonsole oder Quotas zur Regulierung von Speichplatz, sondern unterstützt auch UTF-8 und IP v6. Detailierte Fehlermeldungen runden das Bild zu einem must-have für IIS Admins ab.