故事：服务器到期，给这个网站租了个新服务器，开始选的是阿里云的活动机型 ECS，在 IIS 上配置 FTP 时出了些问题，客户端连接第一次好像能成功，但是却不能刷新列出目录，上传文件时也只能传个空壳文件夹，传输数据会卡住，这情况极其像是防火墙屏蔽了端口。我检查了 Windows Server 自带的防火墙，默认是关闭的，只剩阿里云后台配置的外部防火墙了，但是仔细检查过后发现 21、20 端口都是放行的，这让我想了很久，也跟售后沟通了许久，但是他们售后应该不是搞这方面技术的，一直都说没有测通 20 端口；我起初怀疑是阿里云的系统镜像有什么问题、或者是组网方式、外部防火墙配置的问题，不过考虑到毕竟是独立云服务器嘛，这些只有虚拟机才会有的问题应该不会，然后我就提交了专门的技术工单，结果那边的技术给我配置了使用被动模式连接 FTP 成功连通，我就问为什么要用被动模式，为什么不能使用主动模式连接呢？技术人员没有给我明确的答复，只是说解决问题就好。

我想了想之前用的腾讯云的独立云服务器，也有外部独立防火墙，但是那边在独立防火墙中放行 21、20 端口客户端就可以使用主动模式连接 FTP 了呀，为什么阿里云这边不行呢，我把我的疑问告诉了阿里云的技术人员，那边居然回复说主动模式不好、更不安全什么什么的，更可气的是，先前那个售后还一直说是我客户端配置的问题，说什么国产低端路由器不支持高位端口这么些话，让我开放所有端口不就好了，交谈中态度一点都不好，我一气之下选择了退款、并换了腾讯云的轻量云服务器，没想到这一换我就似乎明白了什么。

腾讯云的轻量云服务器也不支持主动模式连接 FTP，只能与阿里云的配置方法一样，只能用被动模式 FTP，我猜测是轻量云并不是完全独立组网的服务器，这里面一定有蹊跷，轻量云服务器和独立云服务器有些网络模式上的差别，至少证明了轻量云和独立云并不一样，比如我猜可能也用到了类似虚拟机的模式，或者是用的公共带宽、公共网络等等，不然为什么轻量云服务器会有月流量限制的操作呢。而我之前用的真正独立的腾讯云服务器并没有遇到这些问题，我的客户端使用的 FTP 默认从来都是主动模式，这也就是为什么我之前客户端在默认情况下只放行 21、20 端口能连接通 FTP 而现在却不能的原因之一吧。

这次体验让我觉得阿里云在这方面并不怎么实诚可靠，他们的那个活动机型 ECS 实际应该就是类似于腾讯的轻量云吧，并不是独立云服务器，但销售人员却会说与腾讯的轻量云不一样，是独立的。

好了，上面写了这么多关于我这次的经历体验，下面发出我在 IIS 上配置被动模式 FTP 服务时踩的坑和步骤。

这个 Windows Server 自带的防火墙是关闭的，所以不用管，IIS 上的 FTP 站点有个叫“FTP 防火墙支持”的配置，这个就是用于被动模式 FTP 数据传输放开的服务器端口范围，注意这个配置不能在单独的 FTP 站点中修改，需要在整个 IIS 服务器配置的地方才能修改，不然像下面这样，文本框是灰色的：

是的，只有在“起始页”下面那个整体 IIS 配置中才能修改，不能在网站中单独配置。

其中“数据通道端口范围”指的就是服务器端开放的用于被动模式 FTP 传输数据的端口范围，根据 FTP 协议的要求，这个端口范围需要在 1023 ~ 65535 范围内，这个地方指定的端口范围同样也要在服务商后台的外部防火墙中配置为一样，放行这些端口范围；“防火墙的外部 IP 地址”这里填上服务器的公网 IP 地址就行。配置好后 FTP 服务的被动模式网络这一块算是就 OK 了。

【2025 年 6 月 5 日】

据我最新的研究测试结果得知，在 IIS 的此处设置的“FTP 防火墙支持”相关字段似乎并不会影响实际 FTP 被动模式的连通性，就是说配置这个地方似乎没有用；
我在通过比较华为云与腾讯云虚拟云服务器的情况下得知，这些云服务器在其服务商控制面板的网络配置中对 FTP 被动模式所用的端口做出了不一样的响应，我那个腾讯云服务器用的是 60000 ~ 60100 的端口范围供 FTP 被动模式用，而我新租用的华为云服务器用的则是 47500 ~ 50000 的端口范围；
经过我使用 FTP 进行传输文件时的情况来看，这些端口范围可能会不定时地再次变动，我猜测端口范围应该是云服务提供商规定的，可能不同云服务器会不一样，要是嫌配置麻烦的话干脆把端口全部放开吧；
“FTP 防火墙支持”中的配置默认就可以，甚至随意乱填都可以，目前尚不清楚此功能的作用；
还有一种可能性，就是我用的 FTP 客户端与 IIS 提供的 FTP 服务本身的问题，现在的互联网开发商本身也不一定会遵守那些规范、协议的约定。

我的心情很复杂，也真难过。

相关环境：Windows Server 2016、IIS 10。