Eigentlich ist es ganz einfach: Man fügt dem Windows Server 2008R2 die Rolle “Webserver (IIS)” hinzu, aktiviert dabei ausschließlich die beiden Rollendienste “Verwaltungsprogramme/IIS-Verwaltungskonsole” und “FTP-Server/FTP-Dienst” und fügt anschließend im IIS-Manager unter “Sites” eine neue FTP-Site hinzu. Der Assistent stellt eigentlich alle relevanten Fragen und fügt auch diverse ein- und ausgehende Regeln zu der “Windows-Firewall mit erweiterter Sicherheit” hinzu.

Nur leider funktioniert so der Zugriff von extern nur wenn man die Firewall komplett deaktiviert, was natürlich keine Lösung ist. All die letztlich gleichlautenden Tipps, die man mit Google findet und die – meist per CLI und “netsh advfirewall ….” – zusätzliche Regeln zur Firewall hinzufügen helfen nicht. Bestenfalls bekommt man einen Passwort-Dialog und kann sich anmelden, aber eine Auflistung der Dateien wird man so nie bekommen.

Nach langem Suchen bin ich bei Microsoft Connect auf den Artikel Default FTP firewall (Port 21) rule is broken in Windows 2008 R2 gestoßen, das Problem ist ganz einfach ein Bug!

Nach Eingabe von “sc qsidtype ftpsvc” wird einem angezeigt, dass “SERVICE_SID_TYPE: UNRESTRICTED” ist. Wenn man jetzt genau dies noch einmal explizit festlegt mit

sc sidtype ftpsvc unrestricted

und anschließend den FTP-Server-Dienst beendet und startet, funktioniert FTP völlig problemlos, ohne dass man irgendetwas an der automatischen Firewall-Konfiguration verändert hat.