Acerca de la esquizofrenia de IIS 6.

0 y FTP
The bad news: IIS6 is slightly schizophrenic The good news: If you're running Windows Server 2008, you can remove the FTP server from IIS6 (or, preferably, remove IIS6 entirely if that's all 1 you're using it for), and download FTP 7.5 for IIS7

Tomado del foro oficial de IIS.net

Un poco de historia:
Si se echa un vistazo al men de Herramientas Administrativas del servidor, se percatar que contiene un enlace al Administrador de Internet Information Services (IIS), y otro enlace al Administrador de Internet Information Services (IIS) 6.0. Hay una muy buena razn para esto. Cuando Microsoft cre Windows Server 2008, una de sus metas fue modernizar completamente el Servidor FTP. Sin embargo, el nuevo cdigo no se complet para cuando se lanz Windows Server 2008. Ya que Microsoft no quera lanzar Windows Server 2008 sin soporte para FTP, terminaron acoplando la versin 6.0 de IIS de los Servicios FTP de Windows 2 Server 2003, en Windows Server 2008.

CASO 1 El Problema:
Una vez terminada la configuracin e instalacin del Servidor FTP, IIS, DNS, y todo lo necesario, al querer acceder al contenido del Servidor FTP desde un navegador remoto, simplemente no es posible:

El sitio FTP est iniciado, y con algn contenido aleatorio dentro

Para este caso se usa el nombre de dominio ftp.example.com.pe:

Ahora probemos usando el navegador predeterminado del Servidor, el cual nos mostrar el contenido sin problema:

Pero, desde un navegador en un equipo cliente:

El error detalla un problema de permisos, lo cual podra llevar a jugar con la configuracin de seguridad de la carpeta que aloja el sitio FTP:

Servidor: Modificacin de los permisos NTFS dndole Control Total al usuario Todos

pero sin xito en el cliente.

El error se repite. La prueba de desactivar el firewall es satisfactoria, pero no es la idea de dejar un sistema vulnerable para habilitar un servicio que supone debe hacer los cambios respectivos para permitir conexiones remotas:

Tras desactivar el firewall del Servidor, el acceso se logra.

La Solucin:
Un poco de investigacin nos lleva a un procedimiento que involucra la activacin (o desactivacin) de una caracterstica del navegador (el modo FTP pasivo): El modo FTP Pasivo es usado por algunos recientes servidores FTP en la Internet para trabajar mejor con los cortafuegos. Microsoft Internet Explorer incluye una configuracin para modo FTP Pasivo (llamado tambin PASV). Puede que Ud. requiera activar o no esta configuracin para permitir a Internet Explorer trabajar 3 como un Cliente FTP con un Servidor FTP dado. El procedimiento es relativamente sencillo, ya que slo se necesita ir a la pestaa de Opciones Avanzadas, dentro de las Opciones de Internet:

Usar FTP Pasivo Activada por defecto

Esta caracterstica est presente (y activada por defecto) en todas las versiones recientes (y no tanto) de Internet Explorer: 6,7,8,9,10 (Windows 8 Developer Preview). Sin embargo, para Mozilla Firefox y Google Chrome, no hay tal caracterstica, lo que conlleva a usar algn complemento de Cliente FTP bajo los navegadores mencionados. La desactivacin de la casilla no requiere reiniciar el navegador, basta con actualizar la pgina:

El contenido se muestra satisfactoriamente. A esta altura, el firewall del Servidor estaba ya activado

Y qu ocurrira si usamos un software de Cliente FTP? Alternativas hay muchas, la vctima utilidad usada en este caso es FileZilla en su ltima versin hasta el momento 3.5.3.

Ventana principal de FileZilla

Configuramos una conexin a nuestro servidor, con las opciones por defecto:

En men Archivo -> Gestor de Sitios, se puede configurar una conexin

Al darle clic en Conectar, una serie de comandos aparecen siendo ejecutados, pero tras LIST, la respuesta es que No se puede abrir la conexin de datos, seguido de Error al recuperar el listado del directorio. Al alcanzar el lmite de tiempo para establecer una conexin, la misma es rechazada:

Revisando un poco ms la configuracin de la conexin que fue hecha desde el Gestor de Sitios previamente, en el men Opciones de Transferencia encontramos las siguientes opciones:

Al parecer, al dejarlo en Por Defecto, establece una conexin pasiva, como se alcanza apreciar en la captura de los comandos:

Al cambiar a modo Activo y conectando nuevamente

la conexin es establecida:

Conexin establecida: El listado del directorio del sitio FTP se muestra en los paneles de la derecha. La transferencia de archivos es tan simple como arrastrar algn contenido hacia los directorios locales de los paneles de la izquierda.

La Explicacin:
La explicacin de esta incidencia escapa del conocimiento del autor de esta nota.

CASO INTERMEDIO
Este es un lo de IIS 7.0

El Problema:
Agregar un directorio virtual a una pgina web o sitio FTP no suena tan difcil, pero si de repente la carpeta que lo contiene est alojada dentro de la carpeta del usuario (C:\Users\%username%), o en alguna otra carpeta especial que no sea wwroot (en el caso de un sitio web) o ftproot (en caso de una sitio FTP), un error de permisos es mostrada en el navegador:

Error mostrado en el navegador del mismo servidor

En este caso, nuestra web es www.dirvirtual.com.pe, y el directorio virtual virtual1 est alojado en la carpeta Mis Documentos, del usuario Administrador del servidor:

Tampoco hay mucha suerte en el navegador cliente:

Error mostrado en el navegador de un equipo cliente

La Solucin:
Leyendo el mensaje de error en el navegador del Servidor, hallamos algo sobre los permisos:

Permisos insuficientes

El texto completo es: No se puede leer el archivo de configuracin porque los permisos son insuficientes

Bien, otra vez recurriendo a la investigacin en la Internet, encontramos: Configurar permisos de control en Windows 7 para una nueva pgina web alojada en wwwroot no es difcil, porque no hay que hacer nada. Pero si ests alojando una pgina web desde un directorio virtual que no est en wwwroot, puedes llegar a este error: (Imagen del error) Necesitas conceder permisos a 2 entidades usando los Controles de Seguridad del Explorador de Windows: IUSR: La nueva cuenta por defecto usada para autenticacin annima. IIS_IUSRS: Un nuevo grupo integrado que acta como contenedor para todas 4 las identidades de grupo de aplicacin Ya que Windows 7 (6.1) es, siendo estrictos, una actualizacin de Windows Vista (6.0), los pasos son idnticos: Nos dirigimos a la carpeta del directorio virtual:

Ubicacin del directorio virtual en Mis Documentos

Ahora, en la pestaa Seguridad, agregamos a las 2 entidades mencionadas previamente:

Asignado derechos de usuario

Dejamos las opciones por defecto, y aceptamos todo. Finalmente actualizamos el navegador, en este caso por ejemplo, el del cliente:

Tras dar los permisos debidos, la pgina predeterminada del directorio virtual es mostrada

La Explicacin:
Normalmente, cuando creamos una carpeta dentro de wwwroot, o en la raz de la unidad, heredan permisos de la carpeta superior. Por ejemplo, cuando creamos una carpeta en wwwroot, recibe los permisos de inetpub:

Como se observa, ya estn IIS_IUSRS y IUSR (este ltimo est dentro del grupo Usuarios), por tanto no haba nada que hacer. Pero, si se crea una carpeta (como en el problema visto), en Mis Documentos, o Escritorio, al ser stas, carpetas dentro de %username%, slo hereda los permisos del usuario respectivo y los del sistema, ya que ningn otro debera poder ver el contenido. Es por eso que no vemos a la entidad Usuarios:

Una carpeta creada en otros directorios no reciben los derechos necesarios

Lo cual deja un poco de mal sabor de boca, ya que sera interesante que al asignar a una carpeta el ser Directorio Virtual en el Administrador de IIS, el servicio se encargue de asignar los permisos respectivos.

CASO 2 El Problema:
A pesar de darle permisos de escritura a una carpeta que aloja un sitio FTP, sin importar si es directorio virtual o no, el permiso nunca se efecta, y no se puede modificar el contenido de la carpeta del sitio FTP:

Dar permisos de escritura a la carpeta de un sitio FTP

no hace efecto.

En este caso nuestra carpeta del sitio FTP es la asignada por defecto ftproot.

Podemos suponer jugar con los permisos de usuarios otra vez, despus de todo, ya se sabe a quines se les debe asignar los permisos, slo que ahora hay que agregar el permiso de escritura. Pero tampoco funciona:

El mtodo de solucin del problema anterior no funciona en esta ocasin

La Solucin:
El mensaje revela otra vez un problema de permisos:

Acceso Denegado

Acaso no se asign ya los permisos de la carpeta? S, pero hay que tomar un detalle en cuenta. En las Propiedades del sitio FTP (Default FTP Site en este caso) en la pestaa Cuentas de Seguridad hay una cuenta de usuario que hace las conexiones annimas:

IUSR_MUNASQUI (segn el nombre de su servidor)

No se ha asignado ningn derecho a este usuario, as que probemos hacerlo:

Se aprecia un detalle:

Tal cuenta de usuario es la Cuenta de Invitado para Internet. Una vez dado los permisos de escritura requeridos, actualizando el navegador:

Arrastrando

objetivo logrado

La Explicacin:
Todo apuntara a la siguiente razn: Al haber habilitado la opcin de permitir Conexiones Annimas en las Propiedades del sitio FTP, se especifica la cuenta de usuario predeterminada para realizarlas, pero una vez ms, lamentablemente al parecer, la carpeta designada para alojar el sitio no recibe los permisos requeridos, ni siquiera al darle Escritura en la misma ventana de Propiedades->Directorio Particular. Lo malo de esta justificacin es lo siguiente: Si supuestamente sta carpeta no hereda los permisos de la configuracin del sitio FTP, tampoco debera ser leda (Lectura est marcada por defecto en Propiedades->Directorio Particular). Sin embargo, s se puede acceder a ella desde un navegador cliente, el nico problema es en la Escritura.

Por tanto:

La explicacin de esta incidencia escapa (otra vez) del conocimiento del ignorante autor de esta nota.

Referencias:
Nota aclaratoria: Durante la realizacin de esta nota, NO SE USO A MEGAUPLOAD PARA DESCARGAR LAS HERRAMIENTAS, SOFTWARE, O DOCUMENTACION MOSTRADA AQU.

1. Virtual Directory not visible in FTP site http://forums.iis.net/p/1168744/1947389.aspx

2. Configuring IIS To Host an FTP Site (Part 2) http://www.windowsnetworking.com/articles_ tutorials/Configuring-IIS-Host-FTP-SitePart2.html

3. How To Enable or Disable Passive FTP mode in Internet Explorer http://compnetworking.about.com/cs/novellgr oupwise/ht/setpassiveftpie.htm

4. IIS7 Permissions IUSRS and IIS_IUSR http://bryanpanjavan.net/post/2011/12/17/IIS 7-Permissions-e28093-IUSRS-and-IIS_IUSR.aspx