Om bestanden te downloaden en uploaden van/naar je Windows Server kun je gebruik maken van een FTPS- of SFTP-server. De belangrijkste verschillen tussen FTPS en SFTP in Windows Server komen neer op:
- FTPS: Maakt gebruik van IIS, gebruikt poort 21 + een passieve poortreeks en vereist een TLS/SSL-certificaat.
- SFTP: Gebruikt SSH op poort 22. Handig als je al SSH gebruikt of geen IIS wilt installeren.
Beide varianten versleutelen je dataverkeer; de keuze hangt vooral af van de eisen van je omgeving en je FTP-client. In deze handleiding zet je stap voor stap een veilige FTPS-bestandsserver op in Windows Server 2022 of nieuwer. Voor SFTP, zie onze SFTP-handleiding voor Windows Server.
Een FTPS-server installeren (IIS)
Stap 1
Verbind met je Windows Server via Remote Desktop, de VPS-console (VPS) of de OpenStack-console (OpenStack-instance).
Stap 2
Doorloop de installatie van IIS met een FTPS-server door via PowerShell of de ‘Add Roles and Features’-wizard. Beide leveren hetzelfde resultaat, maar via PowerShell is iets sneller en je hebt PowerShell verderop in deze handleiding ook nodig.
IIS installeren via PowerShell
Stap 1
Klik op de Windows Start-knop, type 'PowerShell' en klik op de optie 'Run as Administrator'.
Stap 2
Voer het volgende commando uit om IIS te installeren:
Install-WindowsFeature -name Web-Server -IncludeManagementToolsHet is mogelijk om optionele componenten gelijk mee te installeren door een comma-separated-list te gebruiken, bijvoorbeeld als volgt:
Install-WindowsFeature -name Web-Server, Web-ASP -IncludeManagementToolsEen volledig overzicht van features die je op deze manier met IIS mee kunt installeren vind je in de paragraaf ‘Overzicht IIS role services en PowerShell-namen’. De Web-Ftp-Server feature is een aparte, maar gerelateerde role-service en wordt daarom niet in dit overzicht genoemd.
IIS installeren via de 'Add Roles and Features'-wizard
Stap 1
Klik op de Windows Start-knop en vervolgens op 'Server Manager'.
Stap 2
Klik vervolgens op 'Add roles and features'.
Stap 3
Je krijgt nu de 'Before You Begin' pagina te zien. Je kunt selecteren dat je deze pagina niet nogmaals ziet wanneer je in de toekomst roles & features toevoegt. Klik op 'Next' nadat je de punten onder 'before you continue' hebt doorgenomen.
Stap 4
Onder 'Installation Type' kun je kiezen uit 'Role-based or feature-based' en 'Remote Desktop Services installation'. Kies voor 'Role-based or feature-based' en ga verder naar de volgende stap.
Rollen voegen software gericht op specifieke taken zoals het hosten van websites toe aan Windows Servers, features voegen extra functionaliteit toe aan die software.
Stap 5
Kies vervolgens op welke server je de installatie wil uitvoeren. Standaard zal hier de server geselecteerd zijn waarop je de installatie doorloopt. Klik op volgende om door te gaan.
Wanneer je gebruik maakt van een server pool om roles te installeren en beheren vanuit één centrale server, krijg je meerdere servers te zien en selecteer je hier de gewenste server.
Stap 6
Selecteer ‘Web Server (IIS)’ in het overzicht van features.
Je krijgt nu direct een pop-up-venster te zien waarin wordt gevraagd of je de vereiste features voor IIS wil installeren. Klik op ‘Add Features’ om dit te accepteren.
Stap 7
Maak geen aanpassingen in het ‘Features’-overzicht en klik op ‘Next’.
Sla eveneens de intro-pagina van de Web Server Role (IIS) installatie over.
Selecteer in het ‘Role Services’-overzicht de FTP Server en klik op ‘Next’.
Stap 8
Vink optioneel de optie ‘Restart the destination server automatically if required’ aan en klik op ‘Install’ om je keuzes uit de vorige stappen te bevestigen en IIS te installeren.
Stap 3 - optioneel
Installeer optioneel een SSL-certificaat in IIS om je FTP-verbinding te beveiligen, zie onze handleiding ‘Een SSL-certificaat in IIS installeren’. Dit is niet verplicht maar wel aan te raden uit veiligheidsoverwegingen.
Voor testdoeleinden kun je (eveneens optioneel) een zelfondertekend certificaat aanmaken in PowerShell. Vervang hier ftp.jouw-domein.tld door het (sub)domein dat je wil gebruiken om via FTPS mee te verbinden en c:\Mycerts\ door de locatie waar je het certificaat wil opslaan.
New-SelfSignedCertificate -DnsName "ftp.jouw-domein.tld" -CertStoreLocation c:\Mycerts\
Stap 4
Open de IIS Manager: Klik hiervoor in de Server Manager bovenaan rechts op 'Tools' > 'Internet Information Services (IIS) Manager'.
Stap 5
Klik op ‘Connect to a server…’.
Stap 6
Geef je servernaam op in het venster dat opent en klik op ‘Next’. Gebruik bijvoorbeeld de hostname van je server, of een (sub)domein dat naar je server verwijst.
Stap 7
De server die je zojuist hebt toegevoegd is in IIS Manager in het linkermenu zichtbaar. Klik hier met de rechter muisknop op en selecteer ‘Add FTP Site’.
Stap 8
De ‘Add FTP Site’-wizard opent vervolgens. Geef op de eerste pagina een naam op voor de FTP Site en de directory waar bestanden van/naar gedownload/geüpload mogen worden en klik op ‘Next’.
Je bent vrij in de keuze van de naam, maar het is handig er een te gebruiken waarvan het doel makkelijk te herkennen is.
Selecteer vervolgens in de volgende pagina:
- IP Address: Het IP-adres dat je wil gebruiken om met de FTP-server te verbinden.
- Enable Virtual Host Names: Schakel optioneel een virtual host name in: dit maakt het eenvoudiger om te onthouden met welke server je verbindt (gebruik bijvoorbeeld een Active Directory domain name).
- SSL: Selecteer afhankelijk van je keuze in stap 3 ‘Require SSL’ (aanbevolen) of een van de andere opties en selecteer het bijbehorende SSL-certificaat.
Klik tot slot op ‘Next’ om verder te gaan.
Stel tot slot de authenticatie en autorisatie in en klik op ‘Finish’. We raden de volgende instellingen aan:
- Authentication: Selecteer enkel ‘Basic’. Anonymous authentication geeft publieke toegang tot je server zonder authenticatie.
- Allow access to: Alle gebruikers op je server/Active Directory, of specifieke gebruikers. Je bent hier geheel vrij in je keuze.
- Permissions: Read en/of write afhankelijk van je use case. Voor enkel downloaden volstaat ‘Read’. Wil je ook kunnen uploaden? Vink dan ook ‘Write’ aan.
Stap 9
Stel vervolgens de FTP passive ports in: FTP passive ports dienen om het opzetten van een dataverbinding voor bestandsoverdracht te vergemakkelijken wanneer een client zich achter een firewall bevindt.
Klik in IIS Manager op de in stap 6 gebruikte servernaam en dubbelklik op ‘FTP Firewall Support’.
Geef vervolgens een passive port range op onder ‘Data Channel Port Range’, bijvoorbeeld 50000-50100.
Gebruik je een externe firewall, bijvoorbeeld een pfSense-server die publieke verbindingen van je Windows Server verwerkt? Geef dan onder ‘External IP Address of Firewall’ het publieke IP-adres op van de firewall. Laat in alle andere gevallen dit veld leeg.
Klik tot slot op ‘Apply’.
Stap 10
Voeg zowel poort 21 als de passive port range toe aan de Windows Firewall via PowerShell of de Windows Defender Firewall with Advanced Security.
FTP-poorten openen via PowerShell
Stap 1
Klik op de Windows Start-knop, type 'PowerShell' en klik op de optie 'Run as Administrator'.
Stap 2
Voer het volgende commando uit om Poort 21 en je Passive Port range (in dit voorbeeld 50000-50100) in je firewall te openen:
New-NetFirewallRule -DisplayName "FTP (21/TCP)" -Direction Inbound -Protocol TCP -LocalPort 21 -Action Allow
New-NetFirewallRule -DisplayName "FTP Passive (50000-50100/TCP)" -Direction Inbound -Protocol TCP -LocalPort 50000-50100 -Action AllowFTP-poorten openen via Windows Defender with Advanced Security
Doorloop de stappen in deze handleiding voor het openen van poorten in Windows Firewall. Maak hierbij twee nieuwe regels aan (stap 3) voor TCP-poorten waarbij de 1e regel enkel voor poort 21 wordt aangemaakt en de tweede regel voor een poort range (50000-50100 stap 5).
Stap 11
Hoewel je een FTP Site hebt aangemaakt met SSL-configuratie, moet je ook op het niveau van de server uit stap 5 en 6 de FTP SSL-configuratie aanpassen. Wanneer je een verbinding maakt wordt die in feite doorgezet van de server naar de FTP Site. Het is daarom belangrijk dat beide dezelfde SSL-configuratie gebruiken (in ieder geval voor wat betreft of SSL vereist is of niet en het gebruik van een certificaat).
Selecteer in IIS Manager je server (niet de FTP Site) en dubbelklik op ‘FTP SSL Settings’.
Pas de configuratie naar wens aan en klik op ‘Apply’. Om veiligheidsredenen raden we aan om een SSL-certificaat te gebruiken en onder ‘SSL Policy’ daadwerkelijk SSL te vereisen (Require).
Klaar! Je kunt nu verbinden met je FTP-server via de instellingen in de volgende paragraaf.
Met je FTPS-server verbinden
Om met je FTP-server te verbinden, gebruik je simpelweg de instellingen die je in de vorige paragraaf al hebt gebruikt:
- Protocol: FTP - File Transfer Protocol (of FTPS als je FTP-applicatie die expliciet noemt)
- Host: Het IP-adres van je FTP-server of een (sub)domein dat ernaar verwijst. Het (sub)domein is dezelfde als degene die je hebt ingesteld als FTP Site en waarvan je een bijbehorend SSL-certificaat hebt geselecteerd.
- Port: 21
- Encryption: Gelijk aan je keuze in stap 8 van de vorige paragraaf. We raden ‘Require explicit FTP over TLS’ aan.
- Logon Type: normal (iig niet anonymous)
- User: Een gebruikersaccount op je Windows Server die toegang heeft tot je FTP Site (zoals ook ingesteld in stap 8 van de vorige paragraaf).
- Password: Het wachtwoord van de hierboven genoemde User.
In FileZilla ziet dit er als volgt uit onder ‘File’ > ‘Site Manager…’ > ‘New site’:
Hiermee zijn we aan het eind gekomen van onze handleiding over het opzetten van een FTPS-server op een Windows Server. Je kunt nu veilig je Windows Server gebruiken om bestanden van/naar te downloaden en uploaden.