今回は、Windows Server 2008 R2のIIS 7.5が備えるFTPサーバ機能、FTPサイトのプロパティ設定について解説する。Windows Server 2008のIIS 7.0については、すでに第44回で解説しているので、そちらを参照いただきたい。

FTPサイトのプロパティ変更(IIS 7.5)

本連載でもすでに触れているように、Windows Server 2008 R2のIIS 7.5から、FTPサーバの管理ツールがIIS 7.x対応版に一本化された。そのため、基本的な操作方法はWebサイトのプロパティ設定と同じになっている。ただし、設定項目の内容については違いがある。

管理ツール左側のツリー画面でコンピュータ名を選択した時、画面中央にサーバ全体に共通する設定項目が現れる。一方、ツリー画面で[サイト]以下のFTPサイトを選択した時は、そのFTPサイトに固有の設定項目が現れる。

設定可能な項目には以下のものがある。これらのうち、IIS 7.5で新たに加わったものや設定の要領が大きく変わったものと、IIS 7.0以前と同じ要領で設定できるものがある。

設定項目 内容
FTP IPv4アドレスとドメインの制限 IPアドレス、ネットワーク アドレスあるいはドメイン名を指定して、アクセスを許可・拒否するための設定
FTPディレクトリの参照 FTPディレクトリの表示スタイル(MS-DOSまたはUNIX)、FTPディレクトリに追加表示する情報(仮想ディレクトリ、空き容量、西暦の4桁表示)を指定する
FTPメッセージ FTPクライアントに対して表示するメッセージを指定する
FTPログ ログファイルの作成単位、型式、記録する項目、上書きの有無などを設定する
FTPのSSL設定 SSL使用の可否(可能なら使用する設定と、使用を強制する設定の選択も可能)と、使用するサーバ証明書の選択を行う
FTPの承認規則 許可規則を追加して、誰にアクセスを許可するか、その際に読み取りと書き込みを認めるかどうかを設定する。複数の許可規則を追加することもできる
FTPファイアウォールのサポート パッシブFTP接続を受け入れるための設定で、データチャネルのポート範囲とファイアウォールの外部IPアドレスを指定する。ファイアウォールを介してFTPサーバにアクセスする際に必要な設定
FTPユーザーの分離 ユーザーごとにアクセス可能なディレクトリ(フォルダ)を分離して、他のユーザーのディレクトリにアクセスできないように設定する
FTP認証 基本認証と匿名認証について、有効化/無効化を設定する
FTP要求フィルタ 拡張子を使った許可/拒否設定などを行う
FTPの現在のセッション 接続中のユーザーに関する情報を表示する

IIS管理ツールでFTPサイトに対して表示する設定項目の一覧

このほか、左側のツリー画面でFTPサイトを選択した状態で、[操作]メニュー、右クリックメニューを使って、以下の設定を行える。ただし、通常は既定の状態を変更する必然性はあまりない。出番がありそうなのは主として、FTPサーバ機能の停止や再起動、仮想ディレクトリの追加ぐらいだろう。

  • アクセス許可の編集:FTPサイトに対応するフォルダのNTFSアクセス権設定
  • アプリケーションの追加:サーバで動作するアプリケーションを割り当てる設定
  • 仮想ディレクトリの追加:Webサイトと同じ要領で、仮想ディレクトリの追加が可能
  • バインドの編集:プロトコル・IPアドレス・宛先ポート番号・ホスト名の関連付け
  • FTPサイトの管理:[再起動][開始][停止][詳細設定]の指令が可能

FTPサーバに対するアクセス許可設定(IIS 7.5)

これらの設定項目のうち、必ず設定しなければならないものがある。

ISS 7.xのFTPサーバは従来のIISのFTPサーバと異なり、既定値ではアクセス許可エントリを追加しなければ誰も接続できない設定になっている。そのため、FTPサイトの追加に加えて、そのFTPサイトに対してコンピュータとユーザーのそれぞれについて、最低1個ずつのアクセス許可エントリを登録しなければならない。これらの設定を行うことで、許可エントリに合致するコンピュータとユーザーの組み合わせだけがFTPサーバにアクセスできるようになる仕組みだ。

まず、コンピュータに対するアクセス許可だが、これはIPアドレスで指定する方法を用いる。使用する設定項目は[FTP IPv4アドレスとドメインの制限]で、最初は一覧が空白になっている。そこで、右クリックメニューで[許可エントリの追加]あるいは[拒否エントリの追加]を選択して、アクセスを許可、あるいは拒否したいクライアントPCのIPアドレス、あるいはネットワークアドレスを指定すればよい。

[FTP IPv4アドレスとドメインの制限]で許可エントリの追加、あるいは拒否エントリの追加を指示すると表示するダイアログ。アクセスを認めるコンピュータは、IPアドレスかネットワークアドレスで指定する。複数の許可エントリを追加することも、明示的にアクセスを拒否するための拒否エントリを追加することもできる

こうして登録した許可エントリや拒否エントリは、右クリックメニューを使って編集、あるいは削除できるようになっている。なお、この許可/拒否エントリ一覧では、上部にある[グループ化]リストボックスを[グループなし]から[モード]に変更すると、登録したエントリを「許可」「拒否」に分けて表示するようになっている。多数のエントリを登録しているときに重宝するだろう。

一方、ユーザーに対するアクセス許可は、[FTPの承認規則]で設定する。これは接続を許可するユーザーを指定するもので、初期状態では許可エントリが空白になり、誰も接続できない。こちらも右クリックメニューで[許可エントリの追加]あるいは[拒否エントリの追加]を選択して、アクセスを許可、あるいは拒否する対象を指定する仕組みだ。

アクセス許可エントリの追加に関する考え方は、コンピュータを対象とする場合と同じだ。許可したい対象なら許可エントリ、明示的に拒否したい対象なら拒否エントリを使う。追加したエントリの削除や、許可エントリに加えて拒否エントリの登録が可能になっている点も同様だ。

[FTPの承認規則]画面で許可エントリの追加を指示して、ユーザー「kojii」に対して読み書きの両方を許可する設定を行っている例