文件系统FTP服务器管理.docx
《文件系统FTP服务器管理.docx》由会员分享,可在线阅读,更多相关《文件系统FTP服务器管理.docx(49页珍藏版)》请在冰豆网上搜索。
文件系统FTP服务器管理
FTP服务器架设详细图解
FTP是FileTransferProtocol(文件传输协议)的缩写,用来在两台计算机之间互相传送文件。
FTP服务作为Internet最古老的服务之一,无论在过去还是现在都有着不可替代的作用。
在企业中,对于一些大文件的共享,通常采用FTP这种形式来完成,并且由于FTP能消除操作系统之间的差异,对于不同的操作系统之间共享文件的作用就显得尤为突出。
一、FTP服务器的工作方式
FTP协议有两种工作方式:
PORT方式和PASV方式,中文意思为主动式和被动式。
其中PORT(主动)方式的连接过程是:
客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。
当需要传送数据时,服务器从20端口向客户端的空闲端口发送连接请求,建立一条数据链路来传送数据。
而PASV(被动)方式的连接过程是:
客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。
当需要传送数据时,客户端向服务器的空闲端口发送连接请求,建立一条数据链路来传送数据。
FTP服务器可以以两种方式登录,一种是匿名登录,另一种是使用授权账号与密码登录。
其中,一般匿名登录只能下载FTP服务器的文件,且传输速度相对要慢一些,当然,这需要在FTP服务器上进行设置,对这类用户,FTP需要加以限制,不宜开启过高的权限,在带宽方面也尽可有的小。
而需要授权账号与密码登录,他需要管理员将账号与密码告诉网友,管理员对这些账号进行设置,比如他们能访问到哪些资源,下载与上载速度等,同样管理员需要对此类账号进行限制,并尽可能的把权限调低,如没十分必要,一定不要赋予账号有管理员的权限。
二、利用WINDOWS组件IIS来构件FTP
服务器在架设FTP网站时,对于仅仅作为共享文件这种服务而没有其他特殊要求的,可通过WindowsXP/2000/2003操作系统的IIS组件来完成。
下面我们来简单进行说明:
1.IIS安装,可按照“开始”——>“设置”——>“控制面板”——>“添加/删除程序”,打开“添加/删除程序”对话框,选中“添加/删除Windows组件”出现如下图
图1
2.选中“Internet信息服务(IIS)”,查看其详细信息,如图2
图2
3.选中图2中的“文件传输协议(FTP)服务器”项后,单击确定,接下来按照向导至安装完成。
4.打开“开始”——>“程序”——>“管理工具”——>“Internet信息服务”,打开IIS控制台。
如图3
图3
5.单击“默认FTP站点”,在右键快捷菜单中选中“属性”,打开“默认FTP站点属性”对话框,如图4
图4
6.在“FTP站点”选项卡中,需要修改“说明”为容易识别的标识,如阿九的FTP站,IP地址修改为当前主机的某个IP地址(在主机具备多IP地址的情况下)。
如本机修改为私有地址“192.168.112.128”,“TCP端口”为默认的FTP端口“21”。
如图5
图5
7.在“安全帐号”中选中“允许匿名连接”,如果对于客户端登陆时需要进行身份验证,则可通过“浏览”来选中服务器的Windows用户。
如图6、图7
图6
图7
8.在“消息”选项卡中添加FTP服务器的登陆欢迎信息和退出信息,如图8
图8
9.在“主目录”选项卡中选择FTP服务器向外提供服务的主目录,此处可选择“此计算机上的目录”,通过浏览进行选择,或者选择“另一计算机上的共享位置”,这是FTP服务器向外提供服务的主目录就在其他主机上,格式为“\\{服务器}\{共享名}”,在FTP站点目录下的“读取”、“写入”、“日志访问”对FTP站点的权限进行配置,如在此处,我们出于安全考虑为匿名anonymous用户通过分配“读取”而不分配“写入”如图9所示
图9
10.在“目录安全性”选项卡中对FTP服务器的访问控制权限进行分配,可通过此处将FTP服务器的访问权限授权给某部分IP用户或者拒绝来自某些IP用户的访问。
注意当选择了“授权访问”后,在下表中的IP地址将被拒绝,如选择“拒绝访问”,下表中的IP地址用户将被授权。
如图10
图10
11.至此,FTP服务器架设成功。
三、测试FTP服务器
1.打开“开始”——>“程序”——>“附件”——>“命令提示符”,在光标处输入“FTP192.168.112.128”,如图11
图11
2.输入匿名帐户anonymous,密码为自己的邮件地址,如图12
图12
3.这时可通过FTP的命令对FTP服务器进行操作,如图13
图13
4.通过IE来验证或者获取FTP服务,在IE的地址栏中输入“ftp:
//192.168.112.128/”如图14
图15
5.此外还可以通过一些FTP客户端软件来访问,如FLASHFTP、CUTEFTP等。
四、虚拟目录及多站点的配置
1.在FTP的配置过程中,我们经常需要对一个主机提供多个FTP站点来进行FTP共享,此时建立多站点的形式来完成,完成时可通过新建站点的形式,根据新建站点向导一步步完成。
如图16
图16
2.这时,可通过一个主机上的不同IP地址来架设,或者通过同一个IP地址,不同的端口号来进行识别。
如图17,我们使用端口2121来构建第二个FTP站点。
图17
3.在FTP的配置过程中,我们经常需要对多个不同路径的目录进行FTP共享,此时可通过虚拟目录来完成,如图16中的新建虚拟目录。
通过新建虚拟目录向导完成。
虚拟目录是在主目录下通过某一个文件夹链接到其他目录的形式,在主目录中实际不存在此文件夹中的内容,该内容在其他目录下实际存在。
如图18,图19所示
图18
图19
4.这时,注意需要在提供FTP站点服务的主目录即F:
\01虚拟仿真下建立一个名为virtualdirectory的文件夹,否则虚拟目录无法提供FTP共享服务。
如图20
图20
图21
五、IIS构建FTP服务器安全性探讨
对于通过IIS构建的FTP服务器,无论是匿名帐户或者是通过授权帐户及密码来访问FTP服务器,由于FTP服务的帐户和密码身份验证的方式均采用明文形式在网络上传播的,任何主机只要采用数据包截取软件均可截获FTP服务器登陆的帐户及密码。
所以其安全性还需要通过其他方式来增强。
六、小结
对于通过IIS来构建FTP服务器,需要注意其硬盘的格式,如该盘为NTFS格式,还需要将其目录设置为共享或者使FTP客户的帐户具备此文件夹的访问权限,如果是FAT32格式,则可通过上述方法来构建。
对于其FTP服务器的帐户的安全性,还需要通过SSL加密等形式来加强安全性的验证,以防止帐号被他人截获。
文件系统管理
在文件系统管理中,WindowsServer2003R2提供了丰富而且非常重要的各种管理功能,如文件夹共享及共享权限、NTFS安全访问权限、DFS(分布式文件系统)和EFS(加密文件系统)等。
文件夹共享权限和NTFS文件访问权限不仅关系到用户对象的实际文件操作权限,还关系到整个网络系统的安全,特别是NTFS文件访问权限,它涉及到了WindowsServer2003域管理的各个方面。
它是本章的重点与难点。
另外,在WindowsServer2003中,文件资源的管理通常是通过文件服务器管理器来集中管理的。
本章也将介绍文件服务器的安装与使用。
DFS为网络中文件资源的共享和管理提供了极大的便利,在一些较大的企业域网络中应用非常广泛。
这也是本章的重点之一。
因为EFS技术和应用已在本系列丛书《网管员必读——网络安全》(第2版)一书中有详细介绍,故在此不再赘述。
本章重点
文件服务器的主要功能与安装
共享文件夹的创建与权限配置
在文件服务器上管理共享文件夹、共享会话和打开的共享文件
NTFS文件和文件夹访问权限及配置
DFS的主要特性
DFS配置与管理(包括DFS根目录、DFS根目标、DFS链接、DFS目标)
5.1.1文件服务器的主要功能
5.1 文件服务器的配置
在WindowsServer2003系统的文件系统中,引入了许多新的或改进特性,如DFS(分布式文件系统)、EFS(加密文件系统)、共享文件夹的卷影副本、远程文档共享、SAN技术支持等。
具体参见本书的第1章相关内容。
5.1.1 文件服务器的主要功能
在企业网络中,为了有效地进行各项文件管理功能,通常是把一台运行WindowsServer2003系统的成员服务器配置成"文件服务器"(并非一定是域控制器)。
文件服务器提供网络上的中心位置,可供存储文件并通过网络与用户共享文件。
当用户需要重要文件(如项目计划)时,他们可以访问文件服务器上的文件,而不必在各自独立的计算机之间传送文件。
如果网络用户需要对相同文件和可通过网络访问的应用程序访问权限,就要将该计算机配置为文件服务器。
默认情况下,文件服务器角色安装有下列功能。
1.文件服务器管理
文件服务器管理控制台为管理文件服务器提供集中的工具。
使用文件服务器管理,可以创建和管理共享,设置配额限制,创建存储利用情况报告,将数据复制到文件服务器和从文件服务器中复制数据,管理存储区域网络(SAN),以及与UNIX和Macintosh系统共享文件。
2.存储报告
使用存储报告,可以分析服务器上的磁盘空间是如何使用的。
例如,可以生成识别重复文件的按需或计划报告。
然后删除这些复制文件以便回收磁盘空间。
3.配额和文件屏蔽
使用配额,可以限制卷或文件夹子树大小。
可以将Windows配置为在达到配额限制时通知您。
使用文件屏蔽,可以防止某些类型的文件被保存到文件夹或卷。
文件屏蔽有助于确保用户不在服务器上保存某些可能导致用户违反知识产权法的非关键性数据和文件。
4.DFS管理
使用"DFS管理"管理单元,可以管理从分支机构中的服务器到集线器数据中心中的服务器的数据复制。
这样,数据可以被集中备份,而不必在在分支机构备份数据。
使用"DFS管理"管理单元,还可以对位于不同服务器上的共享文件夹进行分组并将其作为虚拟文件夹树(称为"名称空间")提供给用户。
名称空间可以提供很多好处,包括提高数据的可用性、分担负载和简化数据迁移。
5.1.2文件服务器配置之前的准备
5.1.2 文件服务器配置之前的准备
将计算机配置为文件服务器之前,要验证是否具备以下条件。
1.正确配置操作系统
在WindowsServer2003家族产品中,文件服务依赖于操作系统及其服务的适当配置。
如果采用的是新安装的WindowsServer2003操作系统,则可使用默认的服务设置。
没有必要执行进一步的操作。
如果是通过以前版本系统升级到WindowsServer2003操作系统,或者想要确认现行的服务是否为最佳性能和安全性做了正确配置,则可通过将其与默认服务设置中的表格对比来验证服务设置。
2.计算机作为成员服务器已加入到ActiveDirectory域中
如果希望验证客户端的身份,或者将共享文件夹发布到ActiveDirectory,文件服务器就必须加入域中。
如果不需要执行这两个任务,文件服务器就不需要加入域中。
3.分配所有可用磁盘空间
可以使用“磁盘管理”或DiskPart.exe命令从未分配的空间中创建新分区,具体参见本章前面介绍。
所有现有的磁盘卷最好都使用NTFS文件系统,FAT32卷缺乏安全性,而且不支持文件和文件夹压缩、磁盘配额、文件加密或单个文件权限配置。
在添加文件服务器角色之前必须了解的信息如表5-1所示。
表5-1 添加文件服务器前需了解的信息
添加角色之前需了解的项目
注释
确定是否要配置磁盘配额
使用磁盘配额跟踪和控制NTFS卷的以卷为单位的磁盘空间使用情况。
配额可防止用户由于在超过指定的磁盘空间限制值时记录事件而超出设定的磁盘空间
确定是否要使用索引服务
索引服务可以创建本地硬盘驱动器及共享网络驱动器上的文档的内容和属性索引。
这些索引可允许用户执行更快速、更便捷的搜索。
索引服务可能会降低服务器的运行速度,因此,只有在用户要经常搜索该服务器上的文件内容时才使用它
确定要在计算机上共享的文件夹,并指定文件夹名称和说明
用户根据文件名查看该文件服务器上的共享资源。
建议创建容易记住并能说明文件夹内容的共享名称。
例如,假设向用户各提供2GB的空间,用于在文件服务器上存储其私有信息。
可以将文件服务器上的顶层文件夹命名为“PersonalFolders”,然后根据用户的域名来命名每个子文件夹
决定要在文件夹上设置什么类型的权限
指派最具限制的权限,该权限仍允许用户执行需要的任务。
NTFS文件系统上的访问控制比单独的共享权限提供了更多的安全性
5.1.3配置文件服务器
5.1.3 配置文件服务器
WindowsServer2003系统在域控制器安装时就会自动把当前服务器配置成文件服务器角色。
但如果是成员服务器,则需要另外手动配置。
文件服务器的配置是通过“配置您的服务器向导”进行的,非常简单。
打开这个向导又有两种不同途径的选择:
一是通过直接运行【管理工具】菜单下的【配置您的服务器向导】命令;二是通过“管理您的服务器”界面中单击【添加或删除角色】按钮(如图5-1所示)来打开。
下面是利用“配置您的服务器向导”配置文件服务器的具体步骤。
(1)执行【开始】→【管理工具】→【配置您的服务器】菜单命令,打开如图5-2所示向导首页对话框。
或者在如图5-1所示窗口中单击【添加或删除角色】按钮,在打开的对话框中直接单击[下一步]按钮,同样可以打开如图5-2所示向导对话框。
图5-1“管理您的服务器”窗口
图5-2“欢迎使用‘配置您的服务器向导’”对话框
2)单击【下一步】按钮,打开如图5-3所示的对话框。
在这个对话框中选择要配置的服务器角色——文件服务器(当然,文件服务器的当前的“已配置”状态必须为“否”)。
图5-3“服务器角色”对话框
3)单击【下一步】按钮,打开如图5-4所示的对话框。
在“文件服务器索引服务”对话框中,为服务器的索引服务进行选择配置,完成下列操作之一。
如果用户定期对服务器上的文件内容进行搜索,选择“是,启用索引服务”单选按钮。
如果想保留CPU和内存资源,选择“不,不启用索引服务”单选按钮,索引服务可能会降低服务器的性能。
索引服务为用户提供了搜索本地或网络上的信息的快速、方便和安全的方式。
用户可以通过【开始】菜单上的【搜索】命令或者浏览器上的HTML页面搜索不同格式和语言的文件。
但这种服务器在带来查找方便的同时,也将给服务器性能带来一定的负面影响。
(4)单击【下一步】按钮,打开如图5-5所示的对话框。
在这个对话框中总结以上几步的配置。
图5-4“文件服务器索引服务”对话框
图5-5“选择总结”对话框
4)单击【下一步】按钮,弹出如图5-6所示的对话框。
这是一个共享文件夹配置向导,用于为文件服务器配置共享文件夹。
共享文件夹也可在文件服务器配置完成后再自己手动配置或添加。
(5)单击【下一步】按钮,打开如图5-7所示的对话框。
在“文件夹路径”文本框中,指定希望共享的文件夹的路径。
要搜索文件夹,请单击【浏览】按钮。
其实这时考虑可以不配置,直接单击【下一步】按钮,因为毕竟一个文件服务器上要配置的共享文件夹远不止一个,可以在文件服务器配置好后再另行配置。
后面的配置也一样。
4)单击【下一步】按钮,弹出如图5-6所示的对话框。
这是一个共享文件夹配置向导,用于为文件服务器配置共享文件夹。
共享文件夹也可在文件服务器配置完成后再自己手动配置或添加。
(5)单击【下一步】按钮,打开如图5-7所示的对话框。
在“文件夹路径”文本框中,指定希望共享的文件夹的路径。
要搜索文件夹,请单击【浏览】按钮。
其实这时考虑可以不配置,直接单击【下一步】按钮,因为毕竟一个文件服务器上要配置的共享文件夹远不止一个,可以在文件服务器配置好后再另行配置。
后面的配置也一样。
图5-6“欢迎使用共享文件夹向导”对话框
图5-7“文件夹路径”对话框
(6)单击【下一步】按钮,打开如图5-8所示的对话框。
在这个对话框中配置以下选项信息。
在“共享名”文本框中,输入要用于共享资源的名称,共享名是必需的,选择简短且具有说明性的名称,以便于用户识别。
在“描述”文本框中,输入对共享资源的说明,描述是可选的。
如果要共享若干个资源,说明就可能有助于组织和标识这些资源。
所输入的说明显示在“文件服务器管理”和“共享文件夹”的“描述”列中。
在“脱机设置”文本框中,指定希望以何种方式让用户在不与网络连接时能够使用共享文件夹中的内容。
如果希望由用户指定哪些文件可以脱机使用,就可以接受默认设置。
若要更改脱机设置,单击【更改】按钮,打开如图5-9所示的对话框。
如果选择“只有用户指定的文件和程序才能在脱机状态下可用”单选按钮,则表明希望由用户来控制哪些文件可以脱机使用。
如果选择“用户从该共享打开的所有文件和程序将自动在脱机状态下可用”单选按钮,则表明希望允许用户从共享文件夹中打开的所有文件都自动在脱机状态下可用。
如果选择“已进行性能优化”复选框,则所有程序都会自动缓存,以便用户能在本地运行它们。
该选项对于宿主应用程序的文件服务器特别有用,因为它会减少网络流量,并改进服务器的可伸缩性。
如果选择“该共享上的文件或程序将在脱机状态下不可用”单选按钮,则表明希望防止用户在脱机状态下存储文件。
图5-8“名称、描述和设置”对话框
图5-9“脱机设置”对话框
说明:
将包含系统文件和资源的文件夹共享时,要确保指定的文件夹或资源不包含不希望用户访问的信息。
(7)单击【下一步】按钮,打开如图5-10所示的对话框。
在“权限”选项卡中,要指定共享文件夹的共享权限。
为确保只有授权用户才可以访问文件夹中的信息,必须对已创建的文件夹进行权限设置。
共享权限仅应用于通过网络访问资源的用户,它们不应用于那些能够访问在存储资源计算机上的资源的用户。
以下是对话框中各单选按钮的选择说明。
如果选择“所有用户有只读访问权限”单选按钮,则将所有用户对此共享文件夹的访问权限都限制为只读。
图5-10“权限”对话框
如果选择“管理员有完全访问权限;其他用户有只读访问权限”单选按钮,则表明用户可查看位于共享资源中的文件和运行其中的程序,但只有Administrators组的成员可以更改、添加或删除文件。
此外,也只有Administrators组的成员可以更改共享资源上的NTFS文件权限。
如果选择“管理员有完全访问权限;其他用户有读写访问权限”单选按钮,则表明将访问权限限制为对Administrators组成员以外的所有用户都是可以读和写的。
如果选择“使用自定义共享和文件夹权限”单选按钮,则表明希望自己对指定用户或组授予或拒绝访问权限。
应指派限制性最强但又允许用户执行必要功能的权限。
(8)单击【完成】按钮,打开如图5-11所示的对话框。
这是一个共享成功的提示框。
在这个“共享成功”提示框中,“共享文件夹向导”会显示选定内容的状态和总结。
如果希望将另一个文件夹共享,则选择“当单击‘关闭’时,再次运行该向导来共享另一个文件夹”复选框,在单击【关闭】按钮后,程序会再次运行以上共享向导,重新对新的共享文件夹进行共享设置。
全部完成后,取消对“当单击‘关闭’时,再次运行该向导来共享另一个文件夹”复选框的选择,再单击【关闭】按钮就直接退出共享设置了。
此时出现了一个“此服务器现在是一个文件服务器”的向导完成选项卡,如图5-12所示。
单击【完成】按钮,即完成了全部的文件服务器角色配置过程。
图5-11“共享成功”对话框
图5-12“此服务器现在是一个文件服务器”对话框
要审阅由“配置的服务器向导”对服务器所做的所有更改,或者要确保新的角色已成功安装,可单击此选项卡中的“配置您的服务器向导”链接,打开日志文件,在其中详细记录了整个服务器(不仅包括文件服务器)的配置过程。
“配置的服务器向导”日志位于Systemroot\Debug\ConfigureYourServer.log路径下,也可直接在资源管理器中打开。
配置了文件服务器后,接下来就可以进行各项文件管理了,首先了解一下WindowsServer2003系统中的文件夹共享配置。
5.2文件夹共享
5.2 文件夹共享
在WindowsNT4.0Server系统中,就开始用“共享文件夹”替换“控制面板”中与资源相关组件来管理共享文件资源了。
在没有配置文件服务器的系统中,“共享文件夹”选项只是在“计算机管理”控制台中,如图5-13所示。
而在配置了文件服务器后,在专门的文件服务器管理控制台中也有这个“共享文件夹”选项,如图5-14所示。
图5-14是执行【开始】→【管理工具】→【文件服务器管理】菜单命令,或者单击“管理您的服务器”窗口“文件服务器”项中的【管理此服务器】按钮后打开的。
图5-13“计算机管理”控制台中的“共享文件夹”选项
图5-14“文件服务器管理”控制台中的“共享文件夹”选项
其实“计算机管理”和“文件服务器管理”两控制台在文件管理方面的功能基本一样(文件服务器管理没有卷影副本配置功能等)。
在此仅以“文件服务器管理”控制台上的相应功能进行介绍,“计算机管理”工具的文件管理方法完全一样,参照即可。
使用“共享文件夹”管理可以查看本地和远程计算机的连接和资源使用情况的摘要。
共享文件夹的管理是整个服务器文件管理的一个非常重要的方面,它既关系到网络用户的文件共享使用,也严重关系到网络系统的安全。
本节要通过“文件服务器管理”实现介绍WindowsServer2003系统中有关文件夹共享的几个主要方面的内容。
“共享文件夹”选项中的共享文件图标上都有一个手形向上托的标志(参见图5-13),这就是共享标志,凡有这个标志的文件夹都表示是共享资源,当然具体哪个用户具有这个共享资源的使用权限要视共享文件夹的共享权限配置而定。
5.2.1文件服务器中的"文件夹共享"选项
5.2.1 文件服务器中的"文件夹共享"选项
"文件夹共享"其目的就是使网络用户通过网络共同使用文件资源,而无关客户端计算机使用何种文件系统格式。
单机状态下,在不支持NTFS文件格式系统中不能访问本地磁盘中的NTFS格式下的驱动器、文件夹和文件;但对文件夹进行共享设置后,用户通过网络就可以按相应用户访问权限配置访问任何文件格式(当然仅是指Windows系统所支持的FAT、FAT32和NTFS这3种主要文件格式)的驱动器、文件夹和文件了,使得整个网络部署更随意。
自WindowsNT4.0系统以来,使用"共享文件夹"选项(集成在"计算机管理"和"文件服务器管理"两个管理工具中),管理员可以进行如下应用。
创建、查看和设置共享资源的权限。
查看通过网络连接到计算机的所有用户列表,并断开一个或全部用户。
查看由远程用户打开的文件列表,并关闭一个或全部打开的文件。
如图5-13所示界面中的"共享文件夹"中的子文件夹包含本地文件服务上所有的共享资源、会话和打开文件的相关信息,并按列排列。
如果已安装Macintosh服务,也会列出该服务管理的资源的信息。
"共享文件夹"包括以下3个方面的共享信息。
1.共享
如果是本地共享,可直接在如图5-14所示的"共享文件夹"界面查看。
在界面右边详细列表列出该计算机上所包含的可用共享资源信息,各列的解释如下。
共享名:
列出计算机中的可用共享资源。
在某些情况下,与打印机的连接作为与命名管道的