Der Homeserver als zentrale Dateiablage - so geht's
Im vierten und letzten Teil unserer Homeserver-Serie geht es um den Fernzugriff: Wir zeigen, wie sich der Mini-PC als sicherer Fileserver unter Windows 11 im Heimnetz und von unterwegs nutzen lässt.
In diesem vierten Teil des Workshops soll es darum gehen, wie Dateien nicht nur im Heimnetzwerk, sondern auch von unterwegs sicher und zuverlässig abgerufen werden können. Ein Heimserver ist mehr als nur eine zentrale Medienzentrale. Neben der Bereitstellung von Filmen, Musik und Fotos im Heimnetz...
In diesem vierten Teil des Workshops soll es darum gehen, wie Dateien nicht nur im Heimnetzwerk, sondern auch von unterwegs sicher und zuverlässig abgerufen werden können. Ein Heimserver ist mehr als nur eine zentrale Medienzentrale. Neben der Bereitstellung von Filmen, Musik und Fotos im Heimnetzwerk kann er auch als leistungsfähiger Fileserver genutzt werden.
So lassen sich wichtige Dokumente, Projektdateien und Backups an einem Ort speichern und von verschiedenen Geräten in Ihrem Heimnetz abrufen. Doch ein guter Fileserver kann noch viel mehr: Er erlaubt auch den sicheren Fernzugriff, sodass Nutzer ihre Daten von überall aus abrufen oder synchronisieren können. Wer seinen Mini-PC als vollwertigen Netzwerkspeicher nutzen möchte, muss dazu die richtigen Einstellungen und Dienste konfigurieren.
Nicht immer befinden sich alle benötigten Dateien auf dem lokalen Rechner. Wer von unterwegs arbeiten oder auf private Daten zugreifen möchte, benötigt eine Möglichkeit, sich mit dem Heimserver zu verbinden. Dafür gibt es verschiedene Methoden, die sich direkt in Windows 11 einrichten lassen. Wir gehen nun durch die wichtigsten Methoden: FTP-Server, WebDAV und WireGuard.
Einen FTP-Server einrichten
Windows 11 bringt eine integrierte Möglichkeit mit, einen FTP-Server bereitzustellen. Und so richten Sie ihn ein: Zunächst müssen die notwendigen Komponenten aktiviert werden. Öffnen Sie die Systemsteuerung und navigieren Sie zu Programme/Programme und Features sowie Windows-Features aktivieren oder deaktivieren. Dort setzen Sie ein Häkchen bei Internetinformationsdienste (IIS) und FTP-Server und bestätigen mit OK. Die Änderungen werden im Rahmen eines Neustarts vorgenommen.
Anschließend öffnen Sie die IIS-Verwaltung über das Startmenü. Dort klicken Sie mit der rechten Maustaste auf den PC-Namen in der linken Spalte und wählen FTP-Site hinzufügen. Im folgenden Fenster vergeben Sie einen Namen für die Site, beispielsweise Heimserver-FTP, und wählen den Ordner aus, der für den FTP-Zugriff freigegeben werden soll. Im nächsten Schritt legen Sie die IP-Adresse fest. Falls Sie den Zugriff über das Internet erlauben möchten, wählen Sie Keine zugewiesenen. Danach folgen die SSL-Einstellungen.
Hier kann ausgewählt werden, ob kein SSL, SSL zulassen, SSL erforderlich oder ein vorhandenes SSL-Zertifikat genutzt werden soll. Wenn kein verschlüsselter Zugriff geplant ist, reicht Kein SSL. Im darauffolgenden Dialog wird die Authentifizierung auf Standard gesetzt. Aktivieren Sie zusätzlich die gewünschten Autorisierungsregeln, etwa Lese- und Schreibrechte für bestimmte Benutzer.
Nach Abschluss der Einrichtung ist der FTP-Server über die Adresse ftp://Ihre-IP-Adresse oder – bei aktivierter DDNS – über die entsprechende Domain erreichbar. Um die richtige lokale IP-Adresse des Heimservers zu ermitteln, öffnen Sie die Eingabeaufforderung (CMD) und geben den Befehl ipconfig ein. Die gesuchte Adresse wird unter der IPv4-Adresse des aktiven Netzwerkadapters angezeigt.
Für den externen Zugriff benötigen Sie die öffentliche IP-Adresse Ihres Internetanschlusses. Diese kann auf Webseiten wie wieistmeineip.de eingesehen werden. Da die öffentliche IP-Adresse bei den meisten Internetanbietern regelmäßig wechselt, empfiehlt sich die Nutzung von dynamischem DNS (DDNS). Damit erhalten Sie eine feste Adresse, die sich automatisch aktualisiert, sobald sich Ihre IP-Adresse ändert.
Viele Router bieten DDNS-Dienste an, etwa über Anbieter wie No-IP oder DynDNS. Nach der Anmeldung bei einem DDNS-Dienst erstellen Sie eine Adresse wie etwa meinserver.ddns.net und hinterlegen die Zugangsdaten in Ihrem Router unter Dynamischer DNS. Um den Zugriff von außen zu ermöglichen, müssen Sie den Port 21 im Router weiterleiten. Melden Sie sich im Router an und erstellen Sie eine Weiterleitung für Port 21 an die interne IP-Adresse Ihres Heimservers. Externe Geräte verbinden sich über ftp://meinserver.ddns.net
Windows 11: WebDAV einrichten
Wer lieber eine verschlüsselte Verbindung nutzen möchte, kann stattdessen WebDAV verwenden. Dies ist besonders für den Zugriff auf Dokumente praktisch. Wichtig: WebDAV lässt sich grundsätzlich nur unter Windows 11 Pro, Education oder Enterprise als Server einrichten. WebDAV ist unter Windows 11 Pro also grundsätzlich verfügbar, erscheint aber nicht immer sichtbar in der Systemsteuerung im Fenster Programme/Programme und Features sowie Windows-Features aktivieren oder deaktivieren.
Entscheidend ist aber, ob die Funktion im IIS-Manager aktiv ist. Das können Sie so überprüfen: Öffnen Sie das Startmenü, geben Sie IIS ein und starten Sie den Internetinformationsdienste (IIS)-Manager. Wird im mittleren Fenster der Eintrag WebDAV-Erstellungsregeln angezeigt, ist WebDAV bereits installiert und kann verwendet werden.
Ist der Eintrag nicht sichtbar, gehen Sie folgendermaßen vor: Öffnen Sie PowerShell mit Administratorrechten – z. B. über Ausführen mit [Windows]+[R], dann powershell sowie [Strg]+[Umschalt]+[Enter] und geben Sie den Befehl Enable-WindowsOptionalFeature -Online -FeatureName IIS-Web- DAV ein. Starten Sie den PC neu. Öffnen Sie dann über Start/IIS den IIS-Manager und rechtsklicken Sie auf den Computernamen in der linken Spalte.
Erstellen Sie eine neue Site über Website hinzufügen, wählen Sie frei einen Site-Namen, den freizugebenden Ordner und legen Sie HTTP oder HTTPS als Protokoll fest. Wichtig: Verschlüsselt ist die Verbindung allerdings nur über HTTPS, was für einen Zugriff aus dem Internet essenziell wichtig ist. Für HTTPS benötigen Sie ein Zertifikat, das Sie im ISS-Manager einbinden müssen. Das Zertifikat erhalten Sie unter anderem bei Let’s Encrypt, eine genaue Beschreibung zur Vorgehensweise finden Sie im Kasten links. Ist im IIS-Manager alles ausgefüllt, bestätigen Sie mit OK.
Danach aktivieren Sie im Mittelfenster des IIS-Managers das Modul WebDAV-Erstellungsregeln und fügen dort Benutzerrechte hinzu. Leiten Sie dann im Router Port 80 oder 443 auf die IP-Adresse des Servers weiter. Anschließend können Sie im Windows-Explorer Netzlaufwerk verbinden auswählen und WebDAV über http:// meinserver.ddns.net oder https://meinserver. ddns.net einbinden. Auch für Web-DAV sollte DDNS verwendet werden, um eine feste Adresse zu erhalten. Externe Nutzer können den WebDAV-Server dann im Windows-Explorer als Netzwerklaufwerk hinzufügen, indem sie Netzlaufwerk verbinden wählen und die URL http://meinserver.ddns.net eingeben.
Sicherer Fernzugriff mit WireGuard
Eine besonders sichere Möglichkeit für den Zugriff auf den Heimserver ist die Nutzung von WireGuard, denn im Gegensatz zum Windows-VPN basiert WireGuard auf moderner Kryptografie. Um den Heimserver per WireGuard erreichbar zu machen, installieren Sie die Software von Ihrer Heft-DVD (hier können Sie die Ausgabe beziehen) oder von der Website. Nach dem Start der Anwendung wird über Tunnel hinzufügen/Einen leeren Tunnel hinzufügen ein neues Profil angelegt. Die Software generiert automatisch ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, die notwendig sind, um eine verschlüsselte Verbindung zwischen Server und Client aufzubauen. Rechtsklicken Sie in der linken Spalte auf den Namen der Verbindung und wählen Sie Ausgewählten Tunnel bearbeiten.
Geben Sie bei Interface eine virtuelle IP-Adresse wie beispielsweise 10.0.0.1/24 ein. Diese Adresse nutzt WireGuard intern, um den VPN-Datenverkehr zu steuern. Zusätzlich wird ein Port für eingehende Verbindungen festgelegt, üblicherweise 51820/UDP. Nun muss im Router der Port 51820 an die normale IP-Adresse des Heimservers weitergeleitet werden, damit Verbindungen aus dem Internet den Server erreichen können. Damit der Server dauerhaft erreichbar bleibt, muss allerdings eine DDNS-Adresse wie meinserver.ddns.net verwendet werden. Diese Adresse wird später in der Client-Konfiguration benötigt. Auf dem Gerät, das sich mit dem Heimserver verbinden soll, wird ebenfalls die WireGuard-App installiert und ein Schlüsselpaar erzeugt.
In der Konfigurationsdatei des Clients wird dann die Zieladresse eingetragen, also etwa meinserver.ddns.net:51820. Zusätzlich muss der öffentliche Schlüssel des Heimservers hinterlegt werden. Auf der Serverseite wird der öffentliche Schlüssel des Clients eingetragen, damit sich beide Seite gegenseitig autorisieren. Sobald auf den Geräten die Konfiguration abgeschlossen ist, wird der Tunnel aktiviert. Die WireGuard- App zeigt den Status der Verbindung in Echtzeit an. Damit der Zugriff dauerhaft funktioniert, sollte die Konfiguration gesichert und die automatische Verbindung bei Bedarf über das Betriebssystem oder die App aktiviert werden.
Info: Ein SSL-Zertifikat erstellen
Um WebDAV über eine verschlüsselte Verbindung (HTTPS) abzusichern, kann ein kostenloses SSL-Zertifikat von Let’s Encrypt verwendet werden. Besonders einfach funktioniert das mit dem für Windows und IIS entwickelten Tool win-acme. Nach dem Download von der offiziellen Website unter www.win-acme.com wird das Programm in einen beliebigen Ordner auf dem Heimserver entpackt. Voraussetzung ist, dass die WebDAV-Site im IIS bereits eingerichtet wurde und über eine öffentlich erreichbare Domain verfügt, etwa über einen DDNS-Dienst wie meinserver.ddns.net.
Die Domain muss dabei auf den Server zeigen und über Port 80 erreichbar sein, da Let’s Encrypt die Inhaberschaft der Domain per HTTP-Validierung überprüft. Nach dem Start von wacs.exe mit Administratorrechten führt ein Assistent durch die Erstellung. Dabei kann man eine bestehende Bindung im IIS auswählen – das Tool übernimmt dann automatisch die Ausstellung, Installation und Bindung des Zertifikats. Die WebDAV-Seite ist anschließend über HTTPS erreichbar. Wichtig: Damit das Zertifikat nicht abläuft, richtet win-acme im Hintergrund einen geplanten Task ein, der die Erneuerung automatisch übernimmt. Voraussetzung dafür ist, dass Port 443 dauerhaft erreichbar bleibt und das Zertifikat nicht manuell verändert wird.
Info: Feste IP-Adresse mit DDNS
Ein typisches Problem beim Fernzugriff auf den Heimserver: Die öffentliche IP-Adresse des Internetanschlusses ändert sich regelmäßig, sodass der Server von außen nicht dauerhaft erreichbar ist. Die Lösung heißt Dynamic DNS (DDNS). Mit diesem Dienst wird die wechselnde IP-Adresse einer festen Internetadresse zugeordnet, etwa meinserver.ddns.net. Anbieter wie No-IP, Dynu oder DuckDNS bieten solche Dienste kostenfrei an.
In vielen Routern lässt sich DDNS direkt konfigurieren – oft im Menüpunkt Dynamischer DNS. Dort werden die Zugangsdaten eingetragen, und der Router aktualisiert bei jeder IP-Änderung automatisch die hinterlegte Domain. Wer seinen Heimserver nicht nur über FTP, sondern auch über WebDAV oder HTTPS verfügbar machen möchte, kann zusätzlich ein kostenloses SSL-Zertifikat einbinden – etwa über Let’s Encrypt. Damit wird die Verbindung zum Server verschlüsselt und lässt sich problemlos im Browser oder als Netzlaufwerk einbinden. Für NAS-Funktionen oder Cloud-Dienste wie Nextcloud ist DDNS ohnehin unverzichtbar. Auch WireGuard-Verbindungen funktionieren über eine DDNS-Adresse komfortabler, weil kein manuelles Nachschlagen der IP mehr nötig ist. Damit wird aus dem Mini-Server im Wohnzimmer ein 24/7 erreichbarer Heimserver.
