[Win] Windows Server 2008 R2 架設 FTP Server 教學 (含 SSL 憑證與防火牆設定)

📝 前言：
因為影印機掃描檔案太大無法透過 Email 寄送，且該機器沒有 USB 介面，加上 NAS SMB 認證相容性問題，決定在 Windows Server 2008 上直接架設 FTP Server。雖然第三方軟體（如 FileZilla Server）很方便，但本篇紀錄的是利用 Windows 內建 IIS 架設 FTP 的詳細過程。

Step 1：啟動 IIS 管理員

從「系統管理工具」開啟 IIS 管理員，即可在介面中看到 FTP 的相關選項。

Step 2：建立自我簽署 SSL 憑證

為了確保傳輸安全，建議採用 SSL 加密。由於是內部封閉環境使用，採用 IIS 內建的「自我簽署憑證」即可快速架設。

輸入一個容易識別的憑證名稱（如：FTP_SSL）並點選確定完成建立。

Step 3：新增 FTP 站台

在 IIS 管理員左側的「站台」按滑鼠右鍵，選擇「新增 FTP 站台」。

輸入站台名稱並指定掃描檔案存放的實體路徑。在 SSL 設定中，請選擇剛才建立的憑證，並勾選「需要 SSL」。

Step 4：身分驗證與授權設定

身分驗證選擇「基本 (Basic)」。授權部分則選擇「指定的使用者」或「指定的群組」，並賦予讀取與寫入的權限（影印機掃描需要寫入權限）。

Step 5：防火牆與被動模式 (Passive Mode) 配置

由於 FTP 會使用被動模式傳輸資料，必須手動限制 Port 範圍以便防火牆放行。請點擊伺服器節點，找到「FTP 防火牆支援」。

設定資料通道連接埠範圍（例如 50000-50010）以及對外的外部 IP 地址。

系統防火牆命令設定

請以管理員身分開啟 CMD，執行以下指令以開放 FTP 服務並停用全域 Stateful FTP（解決常見連線被阻斷問題）：

Windows Firewall Commands

netsh advfirewall firewall add rule name="FTP Service" action=allow service=ftpsvc protocol=TCP dir=in netsh advfirewall set global StatefulFTP disable

Step 6：連線測試 (FileZilla Client)

在 FileZilla 中輸入伺服器 IP 與帳密。注意：加密選項請務必選取 「需要透過外顯 TLS 的 FTP (Explicit FTP over TLS)」，否則會因加密層級不符而連線失敗。

⚠️ 關鍵提醒 (網管心法)：
全部設定完後若權限顯示正確但仍無法連線，記得將 Windows Server 重新開機！
小弟在架設過程中遇到多次規則變更後不即時生效的情況，特別是防火牆與服務狀態。重開機後一切就正常了。

sungshu手札筆記本