SistemasyServiciosenRed

ConfiguracinServicioFTPenWindows2012Serverr2

1. Objetivos
En esta prctica se aprende a cmo instalar un servidor FTP. Primero realizaremos una
configuracin bsica y posteriormente aprenders a realizar configuraciones ms avanzadas.
Tambinaprendersacmorealizarconfiguracionessegurasmediantecertificados.Alfinalde
laprcticaseindicanlasherramientasquedeberasusarpararealizarlastareasderesolucin
deincidenciasconsultandolosregistrosquegeneralaaplicacin.
PararealizarestaprcticapartimosdelainstantneabsicadelservidorWindows2012cr2y
delclienteWindows8.1.Laorganizacindeestaprcticaseresumeenlossiguientespasos:
2. Preparativos
3. Direccionamiento
4. Instalacin
5. InstalacinserviciowebIIS
6. InstalacinServicioFTP
7. Configuracinbsica
8. Configuracinavanzada
9. ConfiguracinSegura
10.Crearuncertificado
11.Consultaderegistros
12.Creacindecuotasdeusuario

2. Preparativos
Elprimerpasoparafacilitarlaidentificacindelasmquinasescambiarelnombredestas.
PodremosFTPWyalclienteyalotenemoscomocliente.
Proceda pues a dar de nombre ftpw. El dominio seguir siendo grupoXX.net. Recuerde
Inicio(botnderecho)Sistema
Reinicielamquinaparaqueseproduzcaelcambiodenombre.

3. Direccionamiento
Elpasosiguienteesconfigurarlatarjetadereddelservidor.
NIC1:
DireccinIP: 10.XX.99.219
MscaradeSubred: 255.255.255.0
PuertadeEnlace: 10.XX.99.1
ServidorDNSPreferido: 158.42.250.65
ServidorDNSAlternativo: 158.43.250.195
NIC2:
DireccinIP: 10.XX.100.219
MscaradeSubred: 255.255.255.0
 SistemasyServiciosenRed
4. Instalacin
HemosdetenerencuentaquelaaplicacindelservicioFTPnecesitaquesehagapreviamente
lainstalacindelserviciowebIISyposteriormenteprocederemosarealizarlospasosnecesarios
paralainstalacindelservicioFTP.

5. InstalacinserviciowebIIS
EnPanelAdministradordelServidoraccedemosaAdministrarAgregarRolesyCaractersticas.

Vamos clicando en siguiente por varias pantallas hasta llegar a roles del servidor, nos
desplazamosporlabarradeslizantehastaencontrarServidorweb(IIS).

Loseleccionamosyprocedemosaagregarcaractersticas:

 SistemasyServiciosenRed
Clicamossucesivamenteensiguientehastallegaralaventanadeconfirmacin,dondeclicamos
en Reiniciar automticamente el servidor de destino en caso necesario. Hacemos clic en
Instalar

DeestaformayatenemosinstaladoelserviciowebIISprevioalainstalacindelservicioFTP.
UnavezinstaladanosindicaquelainstalacinescorrectayclicamosenCerrar.

6. InstalacinServicioFTP
PaneldelAdministradordelServidorAdministrarAgregarrolesycaractersticas.
VamosclicandopordiferentespantallashastallegaraRolesdeservidorydesplegamosServidor
Web(IIS),talcomoseobservaenlasiguientefigura.

Clicamos en Servidor FTP y confirmamos tiene seleccionado tanto Servicio FTP como
ExtensibilidaddeFTP.

 SistemasyServiciosenRed

ClicamosensiguientehastallegaralapantalladeConfirmacindondeseleccionamosReiniciar
automticamenteelservidordedestinoencasonecesarioyprocedemosainstalar.

Una vez nos indique que la instalacin es correcta, cerramos el asistente de roles y
caractersticas.

7. Configuracinbsica
A continuacin se indica cmo realizar una configuracin bsica y donde encontrar las
herramientasparaadministrarelservidorFTP.AccederemosdesdeelpaneldelAdministrador
delServidoraHerramientasAdministradordeInternetInformationServices(IIS)

 SistemasyServiciosenRed
Seabreunaventanapararealizarnuestraconfiguracin.
ClicenlapestaadeFTPW,nosabreunaventana,respondemosqueno,yclicamosenqueno
vuelvaarepetirla.NosponemossobrelacarpetaSitios,clicamosconelbotnderechodelratn
yclicamosenAgregarsitioFTP

Seabreunapantallaparaindicarellugarylarutadondesetienequeencontrarloscontenidos
del servicio. En este caso, por ejemplo, utilizaremos la carpeta C:\inetpub\wwwroot. Como
nombreporejemploleponemosftpXX_2012,siendoXXelnmerodevuestrogrupo.

Clicamosensiguiente,
EnestapantallaindicaremosladireccinIPdondeseencuentraactivoelservicio,ennuestro
caso10.XX.99.219.Elpuertodebeserelqueaparecepordefecto.Paraestaconfiguracinbsica
hemosdeindicarquenoutilizaremoscifradoSSL,lapantalladebequedar.

 SistemasyServiciosenRed
Clicamosensiguienteynosapareceunapantalladondeconfiguramoseltipodeautentificacin,
ascomo,losusuariosqueestnautorizados.Conlasopcionesqueaparecenmarcadasenla
siguientefigura,estamospermitiendoelaccesoannimodelecturayelaccesototalparatodos
losusuarioscreadosenelservidor:

Clicamosenfinalizar.Laventanadebemostrarlosiguiente:

Paracomprobarelcorrectofuncionamiento,hemosdecrearunusuario.Paraelloaccedimosa
AdministracindeEquipos.Paraello.
Sobreeliconoinicio(botnderecho)Administracindeequipos

 SistemasyServiciosenRed
Apareceunaventanadondeharemosclic,enlazonadeusuarios(panelizquierdo)hacemosclic
yveremosdespliegadoscarpetas:UsuariosyGrupos.Botnderechodelratnsobrelacarpeta
UsuarioyseleccionamosUsuarionuevo...

Se abre una pantalla, donde indicaremos el nombre de usuario, una contrasea y que la
contraseanuncaexpira.ComonombrepondremosusuarioXX.

Despusdecrear,aparecelasiguienteventana:

Pero todava nos hemos terminado, ya que a pesar de haberle dado permiso de escritura y
lectura,hemosdeindicaresospermisosenlascarpetasdelmismoservidor.Accederemos,en
consecuencia, a la carpeta donde el servicio FTP ha de trabajar. (Recordad
C:/Inetpub/wwwroot).
Para ello clicamos en el icono carpeta de nuestro servidor, para acceder al Explorador de
Windows.

 SistemasyServiciosenRed
Vamos a Disco Local (C:) Inetpubwwwroot. Botn derecho ratn y seleccionamos
propiedades:

ClicamospestaaSeguridadyclicamosenEditar...

SeleccionamosenNombresdegruposousuariosaUsuarios(FTPW\Usuarios)yenPermisos
deUsuariosclicamosenEscritura.

 SistemasyServiciosenRed

Clicamos en Aplicar, de esta forma, los usuarios de FTPW tendrn acceso a escritura en la
carpetawwwrootyalcontenidodelamisma.
Elpasosiguienteesindicaralfirewall(cortafuegos)delsistemaquehayunservicioFTPactivoy
porlotantodebepermitirelaccesodesdeelexterior.ElservicioFTPutilizadospuertos,uno
paracontrolyotroparalosdatos,quesedeterminadeformadinmica.
Para indicrselo al cortafuegos, accedemos al Administrador del
servidorherramientasFirewalldeWindowsconseguridadavanzada

SeabreunaventanaysobreReglasdeentradahacemosclicybotnderechodelratn,clicamos
sobreNuevaRegla.

MarcamosPuertocomoeltipodereglaquedeseamoscrear.

 SistemasyServiciosenRed
Clicensiguiente,yleindicamosprotocoloTCPycomopuertolocalespecfico21,

Clicsiguiente,ymarcamospermitirlaconexin:

Clicensiguienteenlasopcionespordefecto:

ClicsiguienteyponemoscomonombredelareglaFTP,damosaFinalizar.

 SistemasyServiciosenRed

ObservamosnosaparecelareglaFTP,hacemosclicenFirewall deWindows conseguridady
clicamosenActualizar.

Paracomprobarqueelservicioseencuentraactivoconsultaremosculessonlospuertosqueel
servidorgestionaconelcomandonetstata.ElpuertoqueusaFTPesel21:

Reiniciamoselservidor,

A continuacin desde la mquina cliente Windows 8.1 vamos a comprobar que funciona
adecuadamente.
Enlamquinacliente,configuramoslaIP10.XX.99.102yquetienelosservidoresDNSdelaUPV.
Desdeelcliente,abrimoselexploradordeWindowsyescribimosftp://usuarioXX@10.XX.99.219
 SistemasyServiciosenRed

Nosabreunaventanadondeintroducimoslacontrasea:

Clicamoseniniciarsesin.Ysitodohaidobien,nosabrireldirectorioquehemosindicadoen
elservidor.Creadunacarpetaconvuestronombreyverisapareceescritaenelservidor:

Sinosvamosalservidor.Nosaparecelacarpetacreada,

 SistemasyServiciosenRed

Tambin podemos descargar e instalar Filezilla, hacemos clic en ArchivoGestor de sitios y
configuramosunnuevositiodenombreFTPW_XX,rellenamosconlosdatosseindicanenla
figura (recordad vuestro usuario es usuarioXX) y la contrasea la que indicasteis en la
configuracin).

Unavezcompletadoclicenconectar.

 SistemasyServiciosenRed
8. Configuracinavanzada
Habitualmente,pormotivosdeseguridad,nosedejaquelosusuariospuedannavegarportodo
elrboldedirectorios,yelespacionavegablesedebelimitarsloasudirectorio.Siquieresesta
configuracinhasderealizarlossiguientespasos:
PanelAdministradorServidorHerramientasAdministradorIIS,clicamosenFTPWyhacemos
cliceneliconodeAislamientodeusuarioFTP

Se abre la siguiente pantalla, tras leer los que se nos indica seleccionamos Directorio de
nombresdeusuario(deshabilitarlosdirectoriosvirtualesglobales)yposteriormenteenlaparte
derecha de esta pantalla vemos que aparece la opcin aplicar. Clicamos en Aplicar para que
surjanloscambios.

Nosindicarqueloscambiosseguardaroncorrectamente.
Adems,hemosdecrear,dentrodelacarpetadondehemosdichotrabajaelFTP(enestecaso
C:/inetpub/wwwroothemosdecrearunacarpetaquellamaremosLocalUser:

Dentrodeestacarpetahemosdecrearunaconelmismonombrequeelusuariocreado.En
nuestrocasogrupoXX:
 SistemasyServiciosenRed

AccedednuevamentedesdeFilezillaodesdeelExploradoryveremosqueahoraeldirectorioal
queaccedeestvacoynopodemossalirdel.

9. ConfiguracinSegura
EltrficoenunservidorFTPvasincifrar.Peroporseguridadpodemosconfigurarquelaconexin
seaseguramedianteprotocolosdecifradoSSL(securesockedlayer).
HaydiferentestiposdeconfiguracionesdeservidoresFTP,tambinconocidoscomoFTPS(file
transferprotocoloverSSL/TLS).Losmshabitualessonlossiguientes:
FTPsobreTLS(explicitencryption).UtilizaunaconexinsobreservidoressegurosTLS.
El canal seguro es establecido sobre la conexin (esta conexin se pone en marcha
usandoelcomandoAUTHTLS).Seutilizaelpuerto21.
FTPsobreSSL(explicitencryption).UtilizaunaconexinsobreservidoressegurosSSL.El
canalseguroesestablecidosobrelaconexinestaconexinseponeenmarchausando
elcomandoAUTHSSL).Seutilizaelpuerto21.
FTPsobreSSL/TLS(implicitencryption).Utilizaunaconexinsobreservidoresseguros
SSL. El canal seguro es establecido antes de acceder al servidor (esta conexin suele
utilizarelpuerto990)
Pararealizarestaconfiguracinsegurasehaceusodeuncertificadocreadaconunaentidad
certificadoraexterna.
Vamosahoraacrearuncertificado.

10. Crearuncertificado
PaneldelAdministradordelServidorAdministrarAgregarRolesycaractersticas,hacemos
clicensiguiente hastallegarRolesde servidor.MarcamosServiciosdecertificadosdeActive
Directory.

 SistemasyServiciosenRed
AgregamoslascaractersticasyclicamosensiguientehastallegaralapantallaServiciosdeRoly
aadimosInscripcinwebdeentidaddecertificacin.

Agregamoslascaractersticas,confirmamosindicandoreiniciesiesnecesarioeinstalamos.
Unaconsideracinimportante,unavezinstaladounAutoridadCertificadora,yanopodemos
cambiarelnombreyelgrupodelamquina.
Ahorahayqueconfigurarelserviciodecertificadosinstalados:ADCS.
ClicamosenelpanelenADCS.

Seobservacomoapareceunalneadeaviso(confondocoloramarillo)enlaquesenosindica
que Requiere configuracin para Servicios de certificados), en esa lnea aparece Ms...
(clicamossobreMs...).Obiendirectamentedesdeeliconobandera,tenemosunavisoydesde
alltambinpodemosaccederalaconfiguracin.
Seabreunaventana,dondeclicaremosenConfigurarServiciosdeCertificacin,

 SistemasyServiciosenRed
Ya estaremos pues en la ventana de Configuracin de AD CS, clicamos en siguiente y
seleccionamosEntidaddecertificacineInscripcinwebdeentidaddecertificacin

Clicamosensiguiente,

ClicamosenSiguiente.SeleccionamosCAraz,

Siguiente,leindicamosCrearunaclaveprivadanueva,
 SistemasyServiciosenRed

Dejamoslasopcionespordefecto,cifradoRSA,longituddeclave2048yalgoritmohashoresum
SHA1:

Clicamosensiguiente,ydejamoselnombrepordefectoqueofreceelasistente,quehadeser
laasignadaparalaentidaddecertificacincreada:

Dejamosperododevalidezde5aos,

 SistemasyServiciosenRed

Clicamosensiguiente,apareceunapantalladondeinstalarlosregistrosdeesteservidor:

Clicamosensiguiente,dondetenemosqueconfirmar,clicandoenConfigurar.

Si todo ha ido bien, nos aparece una pantalla que nos indica que la Configuracin ha sido
correcta.
 SistemasyServiciosenRed

Clicamosencerrar,
Unavezcreadalaentidadcertificadoravamosaprocederaobteneruncertificadodelservidor.

EnprimerlugarPanelAdministradordelservidorHerramientasAdministradordeInternet
InformationServices(IIS),nosdesplazamosporlabarrahastaencontrarCertificadosdeServidor

El proceso que vamos hacer es crear una solicitud de certificado que ms adelante
completaremos.

enlabarraAcciones(menizquierdo),clicamosenCrearunasolicituddecertificado,seabre
unapantallapararellenarlasPropiedadesdenombredistintivo.
 SistemasyServiciosenRed

Clicamosensiguiente,aceptamoslalongitudyelproveedornosdapordefecto,clicsiguientey
especificamosunnombreparalasolicitud:

Clicamosenfinalizar.
Vamosaabririnternetexplorer,peroantesdeello,vamosadesactivarlaseguridadparapoder
crearadecuadamenteelcertificado:PaneldelAdministradordelservidorServidorlocal(men
izquierda)

LeemosqueconfiguracindeseguridadmejoraddeIEestActivado,hemosdedesactivarlo.
DobleclicsobreActivado.
 SistemasyServiciosenRed

Ymarcamoslasopcionesdesactivado,clicAceptar,
Ahoraabrimosinternetexplorardelservidor.
Paraello,enprimerlugar,tenemosquepermitiraInternetExplorerADMITIRcontrolesActiveX.
AbrimosInternetExplorerenelservidor,yseleccionamosOpcionesdeInternet,

ClicamosenlapestaaseguridadyluegoclicenSitiosdeConfianza,posteriormenteclicamos
enNivelPersonalizado.

 SistemasyServiciosenRed
NosdesplazamosporlabarraparabuscarlaopcinInicializarygenerarscriptsdeloscontroles
ActiveXnomarcadoscomosegurosparascripts.Lahabilitaremos.

Damosaaceptar,
Acontinuacin,introducimosenelnavegadorlaruta:http://10.XX.99.219/certsrv/

Clicamosensolicitaruncertificado,

Clicamosen:Obienenveunasolicitudavanzadadecertificado

Yseleccionamoslasegundaopcin,vemosquesenosabrelasiguientepantalla.

 SistemasyServiciosenRed

Vamosalacarpetadondehemosguardadocertificado.txtylaabrimos

Copiamoselcontenido,ylopegamosenlaventanadesolicituddelcertificado,

Clicamosenenviar,
 SistemasyServiciosenRed

Ahoravamosacrearelcertificadoparacifrarnuestraconexinftp,paraello,primerovamosa
PanelAdministradorServidorHerramientasEntidaddecertificacin.

Enlaentidaddecertificacinlocal,clicamosenlacarpetasolicitudespendientes,clicamosbotn
derechosobrenuestrasolicitudTodaslasTareasEmitir

Posteriormente,veremosqueapareceenlacarpetacertificadoemitidos.

Ahoravolvemosalnavegador,http://10.XX.99.219/certsrv

 SistemasyServiciosenRed

Yclicamosenverelestadodeunasolicituddecertificadopendiente.Noaparece,

Clicamos en la solicitud y descargamos el certificado, observamos se ha generado el fichero

certnew.cer

Sirecordamos,annosquedabacompletarlasolicituddelcertificadoparanuestroservidor:

Clicamosencompletarsolicitud:Buscamoselcertificadodescargadoycomonombredescriptivo
ponemos el nombre de servidor , si tuvisemos DNS, habr que poner ftpW.grupo0.net, en
nuestrocasohemosdeponerlaIP(10.XX.99.219)
 SistemasyServiciosenRed

Damosaaceptar.
Acontinuacin,hemosdecrearunlugarseguro.Comovausarelmismopuerto,desactivamos
elquetenamos:

Aparecerunpuntonegroloquenosindicaestparado.
Botnderechoratn,enSitios,AgregarsitioFTP:

Siguiente,indicamosRequerirSSLalaIP,10.0.99.219yseleccionamoselcertificadocreado.

 SistemasyServiciosenRed

Indicaremoslasopcionesdeautentificacintalcomoaparecenenlafigurasiguiente:

Yfinalizamos,vemosquenosapareceelnuevolugarcreadoyqueestoperativo.

Acontinuacinhemosdeindicarquecadausuarioslopuedeaccederasucarpeta.Paraello,
hacemos clic en el icono Aislamiento de usuario FTP y debe estar seleccionada la opcin
directoriodenombresdeusuario(deshabilitadolosdirectoriosvirtualesglobales),sinoesas,
lomarcamosyclicenAplicar.
ElpasosiguienteesindicarelcortafuegosquehayunservicioFTPydebedejaraccesodesdeel
exterior,paraelloInicioSmbolodelsistema.
 SistemasyServiciosenRed
>sc sidtype ftpsvc=unrestricted
>netsh advfirewall firewall add rule name=FTPS service=ftpsvc action=allow protocol=TCP
dir=in
>netsh advfirewall set global StatefulFtp disable

Actualizaryreiniciarservidor
Vamosacomprobarelfuncionamiento.Enlamquinacliente.
AbrimosFilezillayengestordesitiosconfiguramoscomonuevositioftps

Enl,hemosindicadoservidorFTPexplcitosobreTLS,alhacerclicenconectar,elservidorle
informadesucertificadoparaautenticarse

Conestainformacin,elclientepuedeevaluarsisetratadelservidorvlido,aceptamos:
 SistemasyServiciosenRed

AbreWiresharkycompruebaquetantoelusuariocomolacontraseavancifrados.

Nota:SeobservaqueFilezillatieneproblemasconelprotocoloTLS2,paralatransferenciade
ficheros,ensentidoclienteservidor.
Para resolver este problema, conviene descargarse otro programa para verificar el correcto
funcionamiento. El programa es cuteFtp, descargarlo en la mquina cliente. Pgina web de
descarga,www.cutefdp.es

 SistemasyServiciosenRed
11. Consultaderegistros
Portaldetenerelmayorcontroldelosservidores,esnecesarioconocerdondeseencuentran
losregistro.CualquiertipodeaccinquerealizaFTPquedaalmacenadoenestosregistros.
Accedemos al Explorador de Windows, (en el servidor ftp). Icono carpetaDisco local (C:)
InetpublogsLogfiles

Cadalugarhadetenerunacarpetaasignada.steesunejemplodeficheroderegistro.

12. Creacindecuotasdeusuario
Unfactorimportanteatenerencuentaeslimitarelespacioasignadoparaalmacenamientode
datos,ascomoinclusodequtipodeficherospuedenonoseralmacenadosenelespaciode
discoasignado.
Paraello,PaneldelAdministradordelservidorAdministrar>AgregarRoles
LlegamosalapantalladeRolesdeServidoryvemosServiciosdearchivosyalmacenamiento.
(yainstalado,peroquedanopciones),clicamosparadesplegar.

 SistemasyServiciosenRed

YveremosServiciosdeiSCIyarchivos.DesplegamosymarcamosAdministradorderecursosdel
servidor de archivos. Leed la descripcin y veris que indica la configuracin de cuotas de
carpetas

Seguimosavanzando,hastallegaralapantalladeconfirmacin,dondeprocederemosarealizar
lainstalacin.

Unavezrealizada,vamosaprocederaconfigurarlascuotas.

Paraello,PaneldelAdministradordelservidorHerramientasAdministradordeRecursosdel
servidor:

Seabreunaventana,abrimosAdministracindecuotas,botnderechosobrelacarpetacuota,
Crearcuota.
 SistemasyServiciosenRed

Nosabreunaventana,dondebuscaremoslascarpetasdeusuario0yleindicaremosqueslo
tienedisponible100Mb.
Buscamoslarutadelacarpeta,leeelresumendelaspropiedadesdecuotayverificasecumple
al ir subiendo ficheros. Observa como notifica por correo y en un denominado registro de
eventos.
Damosacrear:

Analizayencuentradichosficherostrasirsubiendoficheros.Paraverestosficheros,paneldel
AdminsitradorHerramientasVisordeeventos