Im dritten Teil der Anleitung „Windows 10 als Server einrichten“ erklären wir wie man Zugriff auf den Server über das Internet von außen bekommt, Portforwarding einrichtet und einen FTP Server einrichtet um Daten hoch- und runterladen zu können.

Zugriff auf den Server über das Internet

Je mehr Daten auf dem Server liegen, umso mehr kann der Wunsch bestehen, auf diese Daten nicht nur im internen Netzwerk, sondern auch von außen über das Internet zugreifen zu können. Zwar gibt es mittlerweile sehr viele Angebote von (kostenlosem) Cloudspeicher, beim Betrachten der Nutzungsbedingungen und der Überlegung, wo denn die dazugehörigen Server stehen und wer darauf Zugriff hat, möchte vielleicht nicht jeder diese Angebote nutzen.

Es ist also verlockend, den eigenen Server so einzurichten, dass Zugriff von außen möglich ist. Dabei muss man sich aber immer vor Augen halten, dass die Sicherheit vor unerwünschtem Zugriff möglicherweise nicht so hoch ist, wie man sie gerne hätte. Es muss hier jeder abwägen, welche Daten er wirklich von außen zugänglich macht. Zu den Daten, die besser nicht im Zugriff stehen sollten, gehören also alle sensible Informationen für Zugänge zu irgendwelchen Accounts oder sonstige persönliche Informationen.

Grundsätzlich muss für den externen Zugang die eigene öffentliche IP-Adresse bekannt sein. Also nicht die Adresse des Servers im internen Netzwerk, sondern die Adresse, die der Router nach außen hat. Die lässt sich sehr einfach über die Bedienoberfläche des Routers oder alternativ auch über einen der vielen Internetdienste abfragen. Die Kenntnis der eigenen Adresse ist aber keine dauerhafte Lösung, weil die meisten Internetprovider dynamische Adressen vergeben, die sich ändern können. Abhilfe dafür bieten DynDNS-Dienste. Da hier die Angebote einem häufigen Wandel unterliegen, können hier keine Empfehlungen gegeben oder Vorschläge gemacht werden, welcher Dienst der beste oder geeignetste ist. Hat man einen passenden Dienst gefunden lässt man sich dort eine URL geben, die dann meist die Form hat

MeinWunschname.DyndnsAnbieter.com

Im Router wird dann eingetragen, dass er sich bei diesem DynDNS Anbieter anmelden soll. Damit ist die aktuelle IP-Adresse diesem Anbieter bekannt und der verteilt die Adresse an die verschiedenen Namensserver im Internet, so dass zukünftig MeinWunschname.DyndnsAnbieter.com richtig aufgelöst wird und mit der aktuellen IP-Adresse beantwortet wird. Gibt man nun im Browser als URL ein

www. MeinWunschname.DyndnsAnbieter.com

landet man auf dem eigenen Router, der mit dieser Anfrage aber noch nichts anfangen kann, weil der Router – in den meisten Fällen- nicht für den externen Zugriff auf seine Konfigurationsoberfläche eingerichtet ist. Dahin soll der Zugriff auch gar nicht gehen. Der Zugriff muss weitergeleitet werden auf den eigenen Server.

 

Portweiterleitung

Jeder Zugriff von außen auf die IP-Adresse des Routers landet im Router. Meist ist aber nicht der Router das gewünschte Ziel, sondern ein Dienst auf dem Server. Der Router muss so konfiguriert werden, dass eine ankommende Anfrage an den Server und dort an den richtigen Dienst weitergeleitet wird.

Angenommen, es soll der Zugriff über FTP auf den Server erfolgen (Näheres zur Einrichtung von FTP siehe unten), muss ein FTP-Zugriff von außen auf den FTP-Dienst des Servers weitergeleitet werden.

Der Zugriff auf einen Dienst erfolgt immer über eine Kombination von IP-Adresse und Portnummer. Die Portnummern sind für viele Dienste standardisiert. Der FTP-Dienst arbeitet meistens unter Port 21 (22 für gesichertes FTP). Für den FTP-Zugriff von außen muss der Router so eingestellt werden, dass Anfragen an Port 21 auf das Port 21 an der internen IP-Adresse des Servers weitergeleitet werden. Da der Weg zur entsprechenden Einstellung natürlich vom Modell des Routers abhängig ist, kann hier nur allgemein der Hinweis gegeben werden, dass im Router nach Einstellungen für Portweiterleitung oder Portfreigaben oder allgemein Freigaben gesucht werden muss. Beispielhaft soll hier die Einstellung für eine Fritz!Box® gezeigt werden.

Vom Hauptmenü erreicht man die Einstellungen über

Internet -> Freigaben ->  Portfreigaben -> Neue Portfreigabe

 

portweiterleitung-0

 

Daraufhin erscheint das Menü zur Konfiguration einer neuen Freigabe:

 

portweiterleitung-1

 

Darin wird eingetragen wofür die Freigabe aktiv sein und an welchen Computer die Freigabe weitergeleitet werden soll. Hier im Beispiel ist FTP als Anwendung eingetragen, dann übernimmt die Fritz!Box automatisch die Portnummer 21 in die Einstellungen.  Als Ziel wird der Server aus der Liste verfügbarer Rechner ausgewählt. Sollte der hier nicht zu finden sein, kann auch eine Manuelle Adresseingabe erfolgen, dann wird die Adresse eingetragen, die dem Server eingangs als feste IP-Adresse zugewiesen wurde.

Nach dem die Einstellung mit ok übernommen ist, dauert es einen kleinen Augenblick bis die Einstellungen wirksam werden.  Ab jetzt landen FTP-Anfragen für

www. MeinWunschname.DyndnsAnbieter.com

beim Server, bewirken dort aber noch nichts. Bisher ist dort noch kein FTP-Server eingerichtet, was im folgenden Abschnitt gemacht werden soll.

 

FTP-Server einrichten

Zur Einrichtung des FTP-Servers brauchen wir zunächst einen Ordner, auf den der FTP-Server zugreifen kann. Dieser Ordner kann an beliebiger Stelle in der Filestruktur des Servers liegen und darf auch eine beliebige Unterstruktur haben.

Die nötigen Funktionen für den FTP Server sind in Windows vorhanden, im Allgemeinen aber noch nicht freigeschaltet. Die Freischaltung erreicht man unter:

Systemsteuerung -> Programme und Features -> Windows-Features aktivieren oder deaktivieren

Damit öffnet sich die Liste der Windows Features:

 

ftp-0

 

In dieser Liste werden die Internetinformationsdienste gesucht, mit Klick auf das davorstehende + erweitert. Auch die Einträge FTP-Server und Webverwaltungstools wird erweitert. Dann werden Häkchen gesetzt bei FTP-Dienst, FTP-Erweiterbarkeit und IIS-Verwaltungskonsole. Alle anderen Einträge bleiben unverändert. Nach der Übernahme mit OK werden die zugehörigen Komponenten in Windows installiert. Das kann einen Moment dauern.  Jetzt sind die erforderlichen Dienste installiert, nun müssen wir eine FTP-Site anlegen und konfigurieren. Die Konfiguration erreichen wir über

Systemsteuerung -> Verwaltung -> Internetinformationsdienste (IIS)-Manager

In der linken Spalte des Fensters erweitern wir Server und danach Sites.

 

ftp-1

 

Nach einem Rechtsklick auf Sites wählen wir „FTP-Site hinzufügen“ und es öffnet sich der Dialog zum Anlegen einer neuen FTP-Site.

 

ftp-2

 

Der Name für die Site kann beliebig gewählt werden. Der Physische Pfad muss auf das Verzeichnis zeigen, das wir vorher für den FTP-Server angelegt haben. Über den Button … rechts kann das Dateisystem nach diesem Ordner durchsucht werden.

Nach Eingabe von Name und Pfad und nach Klick auf Weiter werden IP-Adresse, Port Nummer, Startbedingung und Verschlüsselung abgefragt:

 

ftp-3

 

Die Adresse muss lokale IP- Adresse des Servers sein, Port Nummer ist standardmäßig 21. Hier kann auch eine andere Portnummer eingetragen werden, diese darf dann aber nicht an anderer Stelle verwendet werden und muss auch in der weiter oben beschriebenen Portweiterleitung im Router entsprechend eingetragen werden.

FTP-Site automatisch starten ist für einen Server sicherlich sinnvoll, andernfalls ist die FTP-Site nach einem durch Update ausgelösten Neustart nicht aktiv und muss von Hand gestartet werden.

Die Verschlüsselung ist ein kritisches Thema. Es gibt die Möglichkeit, zwingend ohne Verschlüsselung zu fahren, verschlüsselte und unverschlüsselte Anfragen zu erlauben, oder Verschlüsselung zu erzwingen.  Grundsätzlich ist die Verschlüsselung natürlich die sicherere Variante, da bei unverschlüsselter Übertragung nicht nur die Daten im Klartext übertragen werden, sondern auch Username und Passwort, was den Dienst recht unsicher werden lässt.

Andererseits funktioniert die Verschlüsselung nicht immer, wenn ein DYN-DNS dazwischengeschaltet ist. Das muss man ausprobieren. Wenn verschlüsselte Übertragung gewählt wird, muss aus der darunter befindlichen Auswahlbox noch ein verfügbares Zertifikat ausgewählt werden. In den meisten Fällen steht hier nur das „IIS Express Development Certificate“ zur Verfügung.

Für den ersten Test empfehle ich die unverschlüsselte Übertragung, später kann hier leicht umgeschaltet werden.

Der nächste Dialog legt fest, wer die FTP-Site nutzen darf

 

ftp-4

 

Als Authentifizierung wird Standard gewählt, es wird die Authentifizierung für bestimmte Benutzer zugelassen und schon mal ein Benutzer eingetragen. Hier kann jeder Windows Benutzer eingetragen werden, der an diesem Rechner eingetragen ist.

Schließlich folgt noch die Wahl der Zugriffsrechte. Mit „Fertig stellen“ werden die Einstellungen gespeichert, die FTP-Site ist aber immer noch nicht erreichbar. Die Firewall blockiert den Zugriff auf FTP, das wird im nächsten Schritt freigegeben:

 

Über Systemsteuerung -> Windows-Firewall öffnet sich der Dialog zur Konfiguration der Firewall

 

ftp-5

 

Hier wählen wir „Eine App oder ein Feature durch die Windows Firewall zulassen und kommen in folgenden Dialog:

 

ftp-6

 

In der Liste suchen wir den FTP-Server und geben den Zugang sowohl für private, als auch für öffentliche Netze frei. Um diese Freigabe zu erteilen, ist ein Klick oben rechts auf Einstellungen ändern erforderlich.

Jetzt muss der Rechner neu gestartet werden, damit die Einstellungen auch korrekt aktiviert werden. Nach dem Neustart ist der FTP-Server aktiv und kann angesprochen werden. Bisheriger einziger möglicher Benutzer ist der beim Anlegen der FTP-Site eingetragene Windows Nutzer. Es können weitere Nutzer eingetragen werden. Jeder User, der im Server eingetragen ist, kann für die Nutzung der FTP-Site freigegeben werden. Gegebenenfalls muss also zunächst ein weiterer Benutzer in Windows eingetragen werden.

Die Benutzerverwaltung erreichen wir mit

Systemsteuerung -> Verwaltung -> Computerverwaltung

 

ftp-7

 

Hier wird der Eintrag Lokale Benutzer und Benutzergruppen erweitert.  Rechts erscheint jetzt die Liste der eingetragenen Benutzer. Nach Rechtklick auf Benutzer oder in den rechten Teil des Fensters wählen wir „Neuen Benutzer anlegen“ und es öffnet sich der Dialog zum Anlegen eines neuen Benutzers, der auszufüllen ist.

 

ftp-8

 

Für das Passwort sollte keine Änderung weder bei der nächsten Anmeldung gefordert, noch überhaupt ermöglicht werden, denn bei der Nutzung von FTP ist eine Passwortänderung gar nicht möglich. Entsprechend darf das Kennwort natürlich nie ablaufen.

Nach der Übernahme mit „Erstellen“ muss dieser Nutzer noch für die FTP-Site freigegeben werden. Dazu öffnen wir wieder die Verwaltung der Internetdienste über

Systemsteuerung -> Verwaltung -> Internetinformationsdienste (IIS)-Manager

Hier wieder Sites erweitern und auf die vorher angelegte FTP-Site klicken.

 

ftp-9

 

Mit Klick auf FTP-Autorisierung geht es zum nächsten Dialog. Hier werden alle bisher für FTP eingetragenen Benutzer aufgeführt, bisher ist das nur einer.

 

ftp-10

 

Wahlweise klickt man jetzt im rechten Teil des Fensters auf „Zulassungsregel hinzufügen“, oder klickt mit rechts in den Bereich unter der Benutzerliste und wählt einen gleichnamigen Eintrag, was zu folgendem Dialog führt:

 

ftp-11

 

Hier im Dialog wird „Bestimmter Benutzer“ gewählt und der eben angelegte Benutzer mit seinem Namen „FTPBenutzer“ eingetragen. Darunter die Zugriffsrechte eingetragen. Mit OK, ist der Benutzer angelegt und kann FTP benutzen.

Schließlich können unterhalb des FTP-Verzeichnisses weitere Verzeichnisse angelegt werden, deren Zugriffsrechte für die einzelnen FTP Benutzer unterschiedlich geregelt werden können. Damit kann jedem Benutzer sein eigener Bereich zugewiesen werden.

Windows 10 als Server einrichten Teil I

Windows 10 als Server einrichten Teil II

Windows 10 als Server einrichten Teil III