Internet技术及其应用第4讲FTP服务器的配置与应用.ppt

学习目标 熟悉FTP协议的功能及FTP服务的工作原理掌握在Windows Server 2003上利用IIS组建FTP服务器的方法掌握FTP站点的创建和使用方法了解具有特殊功能的FTP站点的创建和使用方法,第4讲 FTP服务器的配置与应用,重点难点 熟悉FTP协议的功能及FTP服务的工作原理掌握在Windows Server 2003上利用IIS组建FTP服务器的方法掌握FTP站点的创建和使用方法,4.1 FTP概述,文件传输协议（File Transfer Protocol，FTP）是一个用于简化IP网络上系统之间文件传送的协议。采用FTP协议可使用户高效地从Internet或Internet上的FTP服务器下载大信息量的数据文件，以达到资源共享和传递信息的目的。,4.1.1 FTP的工作方式一个FTP站点可以是公用的，私有的，或者两者兼有之。我们可以为FTP帐号定义权限，让它可以访问整个FTP服务的目录结构，或者只是特定的区域。FTP服务器可以设置为允许任何人连接和传输文件，这种访问方式被称为匿名访问。当我们使用匿名方式登录到FTP站点时，系统默认使用“anonymous”作为用户名，用“guest”或某个E-Mail地址作为密码。实际上，FTP已经包含于Internet Explorer浏览器中，因此用户可以使用浏览Web的程序同时浏览FTP服务器,1 FTP服务的控制连接和数据连接FTP包含两种连接模式：控制连接和数据连接。（1）控制连接。控制连接用于传递客户端的命令和服务器端对命令的响应，它使用服务器的21端口。（2）数据连接。数据连接用于传输文件和其它数据，例如目录列表等。这种连接在需要数据传输时建立，而一旦数据传输结束就关闭，每次使用的端口不一定相同。而且，数据连接既可能是客户端发起的，也可能是服务器端发起的。,2 FTP服务数据连接的主动模式和被动模式FTP的数据连接也存在两种模式：主动模式和被动模式。主动（PORT）模式是从服务器端向客户端发起连接；被动（PASV）模式是客户端向服务器端发起连接。,4.1.2 FTP服务的主要应用对于企业和校园网络来说，FTP是网络应用中必不可少的网络服务，它被广泛应用于软件下载、Web网站管理以及计算机之间的文件传输。1软件下载与超文本传输协议（HTTP）不同，FTP使用两个端口进行传输，一个端口用于发送文件，另外一个端口则用于接收文件。所以，对于文件传输而言，FTP要比HTTP的效率高得多。因此，即使在Web服务同样能够提供软件下载的今天，FTP服务依然是各专业软件下载站点提供下载服务的主要方式。2Web网站管理一个Web网站在发布后，必须对其内容进行及时更新，同时根据需要还需要对网站的结构和内容进行适时地调整。一般情况下，即使是你与Web服务器之间近在咫尺，对Web网站的管理也是远程进行的。由于FTP可以自由的上传和修改文件及其内容，所以在Web网站的管理中FTP的应用非常广泛。4.计算机之间的文件传输FTP和所有的TCP/IP家族成员一样，都是与平台无关的。也就是说，无论是什么样的计算机，无论使用什么操作系统，只要计算机安装有TCP/IP协议，那么这些计算机之间即可实现通信。这一特性对于在不同类型的计算机之间（如PC和Macintosh之间），以及安装不同操作系统的计算机之间（如Windows、UNIX和Linux之间）实现数据传输具有非常重要的意义。,4.2 FTP服务器的安装和测试,在Windows Server 2003中，FTP服务是通过FTP组件来实现的。在安装IIS时，默认情况下系统不会安装FTP组件，而必须单独安装。在本例中，FTP服务器的计算机名为server1，IP地址为172.16.1.10，使用的访问域名为。在安装FTP组件之前，需要在DNS服务器的区域下添加一条记录ftp，其IP地址指向172.16.1.10。4.2.1 安装FTP服务器,4.2.2 测试已安装的FTP服务器在通过以上方法安装好FTP组件后，我们还需要对FTP站点进行测试，以确保FTP服务已经正常运行。具体方法如下：,请确认该默认FTP站点的“状态”为“正在运行”。如果“状态”为“停止”，可在选取“FTP站点”后，单击鼠标右键，在出现的快捷菜单中选择“启动”选项来启动FTP服务。如果无法启动FTP服务，可能的原因主要有三种：一是该服务器上安装有其他的FTP服务软件（如Serv-U），这时请将已有的FTP服务软件关闭或删除，然后再重新启动FTP服务。二是TCP协议的21号端口被其他软件占用，因为FTP系统默认的TCP端口为21，如果该端口被其他软件占用，则FTP服务无法正常启动。这时，可修改已占用21端口的软件，将TCP端口改为其他未被使用的端口，也可以重新修改FTP软件的端口，如使用2121。三是“文件传输协议（FTP）服务”组件的安装有问题，这时可先删除该组件，然后再重新安装。,接下来，我们可以在任何一台客户端计算机上测试“默认FTP站点”的运行情况，一般有两种方法：一种是利用命令行进行测试。,IIS中FTP站点的发布功能相对来说没有Web网站的强，在IIS中可以利用“主机头名”来在一台服务器上同时发布多个主Web网站（例如和），但却无法同时发布多个主FTP站点，这也是IIS中FTP服务的一个不足。提示：这里所说的“主FTP站点”，是指使用系统默认的TCP端口（21）和主目录发布的FTP站点。为此，当一台服务器只有1个IP地址时，只能够发布一个主FTP站点，而其他FTP站点的发布只能通过不同的TCP端口或虚拟目录的方式来发布。如果要在同一台FTP服务器上同时发布多个主FTP站点，只能在一台FTP服务器上设置多个IP地址，使每一个IP地址对应一个主FTP站点。这种方法在局域网中比较实用，但是在Internet中不可取，因为一般用户很少有那么多的公网IP地址。,4.3 发布FTP站点,4.3.1利用“默认FTP站点”发布主FTP站点发布第一个主FTP站点。一般有两种方法：一种是将要发布的内容复制到“默认FTP站点”的主目录下；另一种通过其他主目录发布主FTP站点。本小节先介绍利用“默认FTP站点”发布主FTP站点的方法。如果要通过“默认FTP站点”发布主FTP站点，就可以将要发布的内容全部复制到“默认FTP站点”的主目录“e:inetpubftproot”（其中“e:”为Windows Server 2003的安装分区）中即可。之后，在一台与该FTP服务器连接的客户端的浏览器地址栏中输入ftp:/172.16.1.10就可以访问到该FTP站点下的内容，如图9所示。,4.3.2 利用其他主目录发布主FTP站点利用“默认FTP站点”发布主FTP站点，虽然操作方便、简单，但却存在一些不足和缺点。例如，由于“默认FTP站点”与Windows Server 2003位于同一个硬盘分区，所以FTP站点的内容在安全性和空间上都受到了限制。另外，由于“默认FTP站点”的许多设置都是系统默认性，主要用于在安装FTP组件后对FTP服务的测试，所以“默认FTP站点”的功能也很有限。所以，对于一些较大型的、在Internet上发布的网站，一般不使用“默认FTP站点”，而是利用其他主目录方式来发布主FTP站点。,提示：在利用其他主目录发布主FTP站点之前，一定要停止“默认FTP站点”。其方法是在“Internet信息服务（IIS）管理器”窗口中，选取“默认FTP站点”后，单击鼠标右键，在出现的快捷菜单中选择“停止”选项，使“默认FTP站点”处于停止状态。在此基础上，下面我们介绍利用其他主目录（f:soft）发布主FTP站点的方法，假设主FTP站点的域名为，IP地址为172.16.1.10。,4.3.3 发布虚拟目录FTP站点我们将发布主FTP站点的目录称为实际目录（Physical Directory），例如前面介绍主FTP站点对应的主目录e:soft。以实际目录发布的主FTP站点为依托，也可以将位于本地计算机或网络中其他计算机上的目录发布成主FTP站点的虚拟目录（Virtual Directory）FTP站点。每个虚拟目录都有一个别名，通过在主FTP站点的名称后加上“/虚拟目录别名”就可以访问到该虚拟目录站点。例如，主FTP站点的域名为，在发布的FTP站点的存放目录为f:web，对应的虚拟目录别名为web，则访问该虚拟目录FTP站点的地址为,4.3.4 如何在同一台FTP服务器上同时发布多个主FTP站点在实际应用中，用户经常需要在同一台FTP服务器上同时发布多个主FTP站点。在本讲前面已经介绍了主FTP站点（对应的IP地址为172.16.1.10）的发布和使用方法。下面，将介绍在该FTP服务器上发布另一个FTP站点（对应的IP地址同样为172.16.1.10，发布的主目录为f:pkw2005）的方法。首先在DNS服务器上必须创建一个IP地址指向该FTP服务器（172.16.1.10）的域名。然后，根据通过以下的方法来创建该FTP站点。,还需要说明的是，如果在一台FTP服务器上同时设置了多个IP地址，可以给每一个IP地址设置一个主FTP站点，而所有的主FTP站点全部使用系统默认的21端口。例如，使用的IP地址为172.16.1.10，而使用的是另一个IP地址192.168.0.10。如果有足够的IP可用，就可以建立这种一对一的关系。这种情况下，在发布FTP站点时，当出现如图4.26所示的对话框时，只需要给要发布的FTP站点分配一个IP地址即可。,4.4.1 更改FTP站点的主目录对于已发布的FTP站点的主目录并不是一成不变的。在实际应用中，我们有时需要更改FTP站点主目录的路径、权限和目录列表样式等内容。具体方法是在“Internet信息服务（IIS）管理器”窗口中选取要更改的FTP站点的名称（如firstFTP），单击鼠标右键，在出现的快捷菜单中选择“属性”，并且在打开的对话框中选择“主目录”标签项，打开如图27所示的对话框,4.4 FTP站点的基本配置,4.4.2 设置FTP站点的标识、连接限制及日志记录在FTP站点的“属性”对话框中，打开如图30所示的“FTP站点”标签项，在该对话框中可以设置站点的标识、连接限制和日志等内容。,1FTP站点标识在同一台FTP服务器上可以同时创建多个FTP站点，为了区别不同的站点，每个站点需要设置不同的FTP站点标识。其中：描述。设置站点的说明文字。描述信息只用于站点管理，客户端无法看到该信息。IP地址。如果此计算机上存在多个IP地址时，可以指定仅通过某个IP地址才可以连接该FTP站点。如果选择“全部未分配”，通过每个IP地址都会连接该FTP站点。TCP端口。FTP站点使用的默认TCP端口为21，当发布不同的FTP站点时，为避免TCP端口的冲突，则要求不同的FTP站点设置不同的TCP端口。但在设置了非系统默认的其他端口后，客户端在访问该FTP站点时必须在地址后面加上该端口。例如当使用2121端口时，客户端应输入类似ftp:/:2121的形式。,2FTP站点连接“FTP站点连接”用于限制同时最多可以有多少个连接。如果对连接数不作限制，则可以选取“不受限制”选项；当选择了“连接限制为”选项后，可以设置最大连接数和“连接超时”。3 日志在选择了“启用日志记录”后，所有连接到该FTP站点的记录，都会被存储到指定的日志文件内。,4.4.3 设置FTP站点的消息提示在客户端登录FTP站点时，为了增强与客户端之间的信息沟通，可以为FTP站点设置消息提示。方法是在打开站点的“属性”对话框后，在如图31所示的“消息”标签项中进行设置。,4.4.4 设置用户身份验证目前，用户访问网络中的大部分FTP站点时是不需要进行身份验证的，即用户使用匿名方式访问这些站点。但是，也有一些FTP站点在用户访问时需要输入正确的用户名和密码，否则无法进行访问。在“Internet信息服务（IIS）管理器”窗口中选取要设置的FTP站点，单击鼠标右键，在出现的快捷菜单中选择“属性”选项，然后选择“安全账户”标签项，打开如图34所示的对话框。FTP站点提供了两种验证方式。,1匿名FTP验证方式当选取“允许匿名连接”选项后，表示用户可以利用匿名FTP验证（Anonymous FTP Authentication）方式来访问FTP站点。需要说明的是，虽然在安装IIS组件时系统并没有创建名称为anonymous的匿名账户，但却自动创建了一个用户账户“IUSR_计算机名称”，并默认用此账户来作为匿名连接时的账户。例如，在名称为“Server1”的计算机上，在安装了IIS后，系统默认的匿名账户名称则为IUSR_SERVER1。提示：如果该FTP服务器安装了活动目录（Active Directory），则“IUSR_计算机名称”的密码必须与活动目录数据库内的“IUSR_计算机名称”的密码相同；如果该FTP服务器未安装活动目录，则必须与本地安全性数据库内的“IUSR_计算机名称”的密码相同。否则，客户端无法通过匿名方式登录该FTP站点。还需要说明的是，由于系统默认是所有Web网站和FTP站点都使用“IUSR_计算机名称”来代表匿名账户，所以如果用户修改了活动目录数据库或本地安全性数据库中“IUSR_计算机名称”的密码，则必须同时修改所有Web网站和FTP站点设置内的“IUSR_计算机名称”的密码。,2基本FTP验证方式基本FTP验证（Basic FTP Authentication）要求客户端必须利用已设置的用户账户和密码来登录FTP站点。但需要说明的是，该用户账户和密码在网络是通过明文来传输，并不会被加密。在图4.34中，如果选取了“只允许匿名连接”，则所有用户都必须利用匿名方式来访问FTP站点，不可以利用在活动目录数据库或本地安全性数据库中创建的用户账户；如果取消了“允许匿名连接”，则所有用户只能使用正确的用户账户和密码来访问FTP站点，而不能通过匿名方式来访问；如果选择了“允许匿名连接”且取消了“只允许匿名连接”，则即可以匿名访问，也可以通过用户账户来访问。,4.4.5 利用IP地址来限制客户端的FTP站点连接如果需要，管理员也可以通过设置、允许或拒绝某一台或某一组计算机访问FTP站点。如果要对某FTP站点进行连接限制，则在“Internet信息服务（IIS）管理器”中选取该FTP站点名称后，在打开的“属性”对话框中选择“目录安全性”标签项，在打开的如图35所示的对话框中进行设置。,4.4.6 查看FTP站点的当前连接用户对于网络管理人员来说，需要定期查看FTP站点的连接用户，以便及时了解FTP站点的使用情况。具体方法是在“Internet信息服务（IIS）管理器”中选取该要查看的FTP站点名称后，在打开的“属性”对话框中选择“FTP站点”标签项，在打开的对话框中单击“当前会话”，在打开的如图38所示的对话框中将显示已登录的用户情况。,随着FTP应用的日渐普及，传统的匿名登录和简单的身份验证已无法满足部分用户的特殊要求。为此，在Windows Server 2003操作系统中提供了“FTP用户隔离”功能，通过该功能可以创建一些具有特殊要求的FTP站点。4.5.1 FTP用户隔离方式Windows Server 2003的IIS提供了“FTP用户隔离”功能，它可以让每个用户在同一台FTP服务器上分别拥有一个专用的文件夹。这样，当不同的用户登录FTP站点时，系统会根据不同的用户访问不同的文件夹，而且不允许不同文件夹之间的切换。IIS6.0提供了3种用户隔离方式来创建FTP站点。提示：Windows Server 2003中的IIS6.0提供的“FTP用户隔离”功能，必须在创建FTP站点时进行确认。同时，“FTP用户隔离”方式一旦确定后，将来不允许进行修改。,4.5 创建具有特殊要求的FTP站点,1不隔离用户当用户连接到该模式的FTP站点时，他们将全部直接访问该FTP站点的主目录。2隔离用户在隔离用户方式下，网络管理员必须在FTP站点的主目录下为每一个用户分别创建一个专用的子文件夹（即该子文件夹就是该用户的主目录），而且该子文件夹的名称必须与用户的登录账户名称相同。当用户登录该FTP站点时，将直接访问该用户的主目录。3用Active Directory隔离用户在用Active Directory（活动目录）隔离用户方式下，用户必须使用域用户账户来连接指定的FTP站点，同时必须在Active Directory的用户账户内指定其专用的主目录。与“隔离用户”方式不同，“用Active Directory隔离用户”的用户主目录不需要一定创建在FTP站点的主目录下，而可以创建在本地的其他分区或文件夹下，也可以创建在网络中的其他计算机上。当用户登录该FTP站点时，将根据登录的用户账户直接访问用户的主目录，而且无法进入其他用户的主目录。,4.5.2“隔离用户”FTP站点的创建和使用下面，以已创建的名称为“firstFTP”站点为例，介绍隔离用户FTP站点的创建和使用方法。其中“firstFTP”的主目录为f:soft，IP地址为172.16.1.10，域名为，使用系统默认的21端口。首先在该FTP站点下分别为wq2006和lfj创建隔离FTP站点，具体创建过程和方法如下：,4.5.3“用Active Directory隔离用户”FTP站点的创建和使用下面在FTP服务器上，为“网络中心”的所有工作人员创建一个“用Active Directory隔离用户”的FTP站点，凡是“网络中心”的人员，其FTP站点全部放置在“f:nicenter”目录下（也可以创建在网络中的其他计算机上），所以“f:nicenter”为根目录。在根目录下，为每一个用户创建一个子文件夹，如NIC1和NIC2子文件夹分别代表用户wq2006和lfj的用户主目录。这样，当用户wq2006访问FTP站点时会直接打开f:mocenternic1下的内容，而用户lfj访问FTP站点时会直接打开f:mocenternic2下的内容。具体创建过程和方法如下：,1 在Active Directory数据库中设置用户的主目录在Windows Server 2003域的Active Directory（活动目录）数据库中存在两个用来支持“用Active Directory隔离用户”的FTP站点的属性：FTPRoot和FTPDir，其中：FTPRoot。用来指定用户主目录所在的根目录，本例应为f:nicenter。FTPDir。用来指定FTPRoot根目录下的用户主目录（子文件夹），本例应为nic1、nic2等。下面需要设置用户的FTPRoot和FTPDir两个属性，一般有两种方法：第1种方法是运行iisftp.exe命令程序。现在，要将域用户wq2006的主目录指定到f:nicenternic1，则需要输入以下的命令（正确的操作过程如图48所示）：,第2种方法是利用“ADSI编辑器”。首先安装“Windows Support Tools”（为Windows Server 2003安装光盘的supporttoolssuptool.mci文件），安装完成后选择“开始运行”，在出现的文本框中输入adsiedit.msi，单击“确定”按钮后运行“ADSI编辑器”，打开如图50所示的窗口。,通过下的设置，我们要让“网络中心”中的用户都可以连接到此“用Active Directory隔离用户”FTP站点，这就要求“网络中心”中的用户（如lfj）有权限来读取“网络中心”单位内所有用户的FTPRoot和FTPDir两个属性，设置方法如下：,3 创建“用Active Directory隔离用户”的FTP站点,4 连接到“用Active Directory隔离用户”的FTP站点可以在任何一台与该FTP服务器连接的计算机的浏览器地址栏中输入ftp:/用户账户172.16.1.10:2166或ftp:/用户账户:2166，将出现如图63所示的登录对话框（登录用户的wq2006）。当输入正确的用户账户名称和密码后，就可以直接访问用户wq2006对应的f:nicenternic1文件夹下的内容，如图64所示。,与Windows 2000 Server中创建的FTP站点相比，基于Windows Server 2003的FTP站点无论在安全性还是可管理性等方面都要胜出一筹，尤其是Windows Server 2003 提供的“隔离用户”方式可以创建不同应用需求的FTP站点。本讲在内容安排上，将FTP站点的安装、创建、测试、应用和管理融为一体，在方便读者阅读的同时，也便于指导用户的操作。,本讲小结,