IIS の FTP (File Transfer Protocol) サービスに関する情報

文書翻訳 文書翻訳
文書番号: 283679 - 対象製品
この記事は、以前は次の ID で公開されていました: JP283679
マイクロソフトでは、Microsoft Windows Server 2003 で実行される Microsoft インターネット インフォメーション サービス (IIS) 6.0 にアップグレードすることを、すべてのユーザーに強く推奨します。IIS 6.0 により、Web インフラストラクチャのセキュリティが大幅に強化されます。IIS のセキュリティ関連のトピックについては、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/prodtech/iis.mspx
すべて展開する | すべて折りたたむ

概要

FTP (File Transfer Protocol) のインストールされた Internet Information Server (IIS) では、以下の種類の接続がサポートされます。
  • アクティブモード FTP
  • パッシブモード FTP
この資料では、それぞれのモードでの FTP 接続について説明します。

詳細

IIS ベースの FTP サービス (MSFTPSVC) では、アクティブ モード接続とパッシブ モード接続の両方がサポートされています。実際に使用されるモードは、クライアントが指定する接続方法に依存します。IIS ではアクティブ モード接続またはパッシブ モード接続を無効にすることはできません。これは、RFC 959 でそのような機能が規定されていないためです。HTTP やインターネット上で利用されるその他の多くのプロトコルとは異なり、FTP プロトコルではセッション中に最低 2 つの接続を使用します。制御用の半二重の接続とデータ転送用の全二重の接続です。デフォルトでは、サーバーでは TCP ポート 21 を制御用の接続に使用しますが、データ用の接続のポートはクライアントがサーバーに接続する方法によって異なります。

アクティブモード FTP 接続

アクティブモード FTP は、"クライアント制御" とも呼ばれます。これは、クライアントが制御用の接続を介してサーバーに PORT コマンドを発行し、サーバー側の TCP ポート 20 と PORT コマンドで指定したクライアント側の TCP ポートを使用してデータ接続を確立するようにサーバーに対して要求するためです。

FTP クライアントは、FTP サーバーに以下の形式で PORT コマンドを発行します。
PORT 192,168,0,3,19,243
コンマで区切られた最初の 4 つの値は、クライアントの IP アドレスのオクテットに対応しています。5 番目と 6 番目の値は、16 ビットのポート番号の上位および下位のビットを表します。上位および下位のビットをポート番号 (10 進数) に変換するには、5 番目の値に 256 を掛け、6 番目の値を加算します。上記の例では、TCP ポート (10 進数) は (256 x 19) + 243 = 5107 となり、クライアントはサーバーに対し 192.168.0.3:5107 へのデータ接続を確立するように指示していることになります。デフォルトでは、FTP クライアントはデータ接続ポートとして ephemeral (一時利用) ポートを選択します。ephemeral ポートは、1024 〜 65535 の範囲で利用可能なポートの中からランダムに選択されます。

: Windows NT 4.0 および Windows 2000 では、有効な ephemeral ポートの範囲はデフォルトで 1024 〜 5000 です。Windows NT 4.0 および Windows 2000 で ephemeral ポートの範囲を拡大するには、システム レジストリに値を追加する必要があります。 デフォルトの ephemeral ポートの範囲を拡大する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
196271 5000 を超える番号の TCP ポートから接続しようとすると 'WSAENOBUFS (10055)' エラーが表示される
アクティブモード FTP 接続の標準的なシーケンスは以下のとおりです。

元に戻す全体を表示する
説明 送信元 送信先
USER ユーザー名 192.168.4.29:8190 10.0.0.10:21
PASS パスワード 192.168.4.29:8190 10.0.0.10:21
CWD / 192.168.4.29:8190 10.0.0.10:21
250 CWD command successful. 10.0.0.10:21 192.168.4.29:8190
PORT 192,168,4,29,31,255 192.168.4.29:8190 10.0.0.10:21
200 PORT command successful. 10.0.0.10:21 192.168.4.29:8190
LIST 192.168.4.29:8190 10.0.0.10:21
<ファイル一覧の転送> 10.0.0.10:20 192.168.4.29:8191
226 Transfer complete. 10.0.0.10:21 192.168.4.29:8190

パッシブモード FTP 接続

パッシブモード FTP 接続は、"サーバー管理" とも呼ばれます。これは、クライアントが PASV コマンドを発行すると、サーバーはその PASV コマンドに対し、サーバーがデータ接続用のポートとして使用する ephemeral ポートを割り当てて応答するためです。クライアントがデータ接続コマンドを発行すると、サーバーは、クライアントが制御用の接続に使用したポートの次の番号のポートを使用してクライアントに接続します。パッシブモード FTP 接続の標準的なシーケンスは以下のとおりです。

元に戻す全体を表示する
説明 送信元 送信先
USER ユーザー名 192.168.4.29:7971 10.0.0.10:21
PASS パスワード 192.168.4.29:7971 10.0.0.10:21
CWD / 192.168.4.29:7971 10.0.0.10:21
250 CWD command successful. 10.0.0.10:21 192.168.4.29:7971
PASV 192.168.4.29:7971 10.0.0.10:21
227 Entering Passive Mode (192,168,4,29,9,227). 10.0.0.10:21 192.168.4.29:7971
LIST 192.168.4.29:7971 10.0.0.10:21
<ファイル一覧の転送> 10.0.0.10:2531 192.168.4.29:7972
226 Transfer complete. 10.0.0.10:21 192.168.4.29:7971

FTP で発生する一般的な問題

インターネット経由で FTP を使用するときに発生する問題は、一般に、プロキシ、ファイアウォール、または NAT (Network Address Translation) デバイスなどの NBSD (Network Boundary Securing Device) を経由して転送する場合に発生します。多くの場合、NBSD では TCP ポート 21 を使用して制御用の接続を確立することが許可されています (ユーザーは FTP サーバーにログオンできます)。しかし、ユーザーが DIR、LS、GET、または PUT などのデータ転送を試行すると、クライアントが指定したデータ接続用のポートが NBSD でブロックされているため、FTP クライアントが応答を停止したように見えます。NBSD がログをサポートしている場合は、NBSD の接続の拒否に関するログを参照することでポートがブロックされていることを確認できます。

FTP は、NBSD のシステム管理上の問題を引き起こすだけでなく、一般的にはセキュリティで保護されたデータ転送の手段であると誤解されています。これは、FTP サーバーがアクセスを許可する前に有効なユーザー名とパスワードの組み合わせを要求するように構成できるためです。しかし、ログオン時に入力する資格情報およびデータは暗号化されることも、何らかの方法でエンコードされることもありません。すべての FTP データは、FTP クライアントと FTP サーバー間のネットワーク上のあらゆるステーションから簡単に盗聴し、解析することができます。

マイクロソフトが提供する FTP クライアント

以下の表は、マイクロソフトが提供する FTP クライアントとそれぞれのクライアントがサポートする接続モードの一覧です。

元に戻す全体を表示する
FTP クライアント 転送モード
コマンド ライン アクティブ (非パッシブ)
Internet Explorer 5.1 以前 パッシブ
Internet Explorer 5.5 以降 両方
FrontPage 1.1 (Windows XP) アクティブ

その他のファイル転送手段

FTP には NBSD の構成やセキュリティ上の問題があるため、標準の FTP の代わりに使用できるいくつかの方法があります。FTP に代わる一般的な方法は HTTP をファイル転送に使用することです。多くのファイアウォールでは TCP 80 経由の HTTP 接続と TCP 443 経由の HTTPS 接続が許可されています。マイクロソフトではこれまで、FrontPage Server Extensions や Posting Acceptor などの製品で HTTP ベースのファイル転送をサポートしてきましたが、HTTP でのファイル転送の標準として認知されているのは、分散オーサリングとバージョン管理のための HTTP 拡張機能である WebDAV です。WebDAV は RFC 2518 で定義されており、IIS 5.0 に実装されているため、ユーザーはネットワーク共有とまったく同じように WebDAV 共有 (WebDAV が有効な Web サーバー上で公開されたフォルダ) を使用することができます。ただし、接続するクライアントが WebDAV を使用して通信可能である (Internet Explorer 5.0 以降など) 必要があります。

: RFC 2518 の詳細については、以下の Web サイトを参照してください。
RFC 2518
http://www.faqs.org/rfcs/rfc2518.html
IIS の FTP サービスでは、SSL (Secure Sockets Layer) 経由の FTP はサポートされていません。通信をセキュリティで保護することが重要で、要求される転送プロトコルが (SSL 経由の WebDAV ではなく) FTP である場合は、ポイント ツー ポイント トンネリング プロトコル (PPTP) または IPSec でセキュリティ保護された仮想プライベート ネットワーク (VPN) などの暗号化されたチャネル経由で FTP を使用することをお勧めします。SSL 経由の FTP (FTP over SSL) については RFC 2228 を参照してください。

関連情報

その他の FTP リソース

FTP サービスの詳細については、以下のリソースを参照してください。
RFC 959 - File Transfer Protocol (FTP)
http://www.faqs.org/rfcs/rfc959.html

『Microsoft Internet Information Server オフィシャル マニュアル』
http://www.microsoft.com/japan/learning/books/JPN_ViewMsPress.aspx?Book_id=290&list_id=1
著者 : Leonid Braginski and Matthew Powell
ISBN : 4-7561-2177-2
出版会社 : アスキー出版局 1998 年 9 月
FTP (File Transfer Protocol) の詳細については、以下の Web サイトの資料「FTP Reviewed」を参照してください。
http://pintday.org/whitepapers/ftp-review.shtml
他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載している情報に対して、いかなる責任も負わないものとします。


WebDAV、WebFolder、および MSIPP のリソース

WebDAV、WebFolders、および Microsoft Internet Publishing Provider の詳細については、以下のリソースを参照してください。
Distributed Authoring and Versioning Extensions for HTTP Enable Team Authoring
http://www.microsoft.com/msj/0699/dav/dav.aspx

IETF WEBDAV Working Group
http://ftp.ics.uci.edu/pub/ietf/webdav/

WebDAV in 2 Minutes
http://www.xmlpitstop.com/VisitPage17627.aspx

MSDN ライブラリ
http://msdn.microsoft.com/library/ja/modcore/html/deconWorkingWithExchangeWebStore.asp
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
290111 WebDAV を使用してフォルダの項目を移動またはコピーする方法
245359 Internet Publishing Provider を使用してドキュメントを開く方法
248501 [SAMPLE] Visual C++ から Microsoft OLE DB Provider for Internet Publishing を使用する
195851 Internet Explorer 5 の Web フォルダの概要
ネットワーク接続のセキュリティ保護に関するリソース

IP ネットワークをセキュリティ保護する方法の詳細については、以下のリソースを参照してください。この方法により、FTP を使用して転送される情報を保護するためのセキュリティ機能を追加することができます。
PPTP (Point-to-Point Tunneling Protocol)
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/intwork/inbe_vpn_naxe.mspx?mfr=true
関連情報については、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
161410 [NT]PPTP を使ってプライベート ネットワークを設定する
231585 Windows 2000 における IPSec を使用した IP 通信のセキュリティ保護の概要

プロパティ

文書番号: 283679 - 最終更新日: 2006年11月8日 - リビジョン: 9.1
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Server 3.0
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
キーワード:?
kbinfo KB283679
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com