博客 (7)

客户端：Failed to connect to host.

服务端：无任何日志

原因：可能是域名、IP 或端口有误，或端口未开放。

客户端/服务端：530 Login incorrect.

原因：用户名或密码错误。

客户端/服务端：503 Use AUTH first.

原因：服务端开启了 FTPS 协议（FTP over TLS），且禁止了 FTP 协议（plain FTP）。

解决方法：不建议服务端恢复不安全的 FTP 协议，客户端应配置 client.Config 的 EncryptionMode、DataConnectionEncryption、SslProtocols、ValidateCertificate 等参数。

客户端/服务端：530 This server does not allow plain FTP. You have to use FTP over TLS.

原因：服务端启用了 FTPS。

解决方法：给 client.Config.EncryptionMode 正确的赋值（FtpEncryptionMode.Explicit 或 FtpEncryptionMode.Auto）。

服务端：[Error] TLS session of data connection not resumed.

原因：证书版本有误。

解决方法：给 client.Config.SslProtocols 赋值正确的 TLS 版本。

服务端：521 PROT P required

原因：服务端开启了“Require TLS session resumption on data connection when using PROT P”

解决方法：client.Config.DataConnectionEncryption = true;

客户端/服务端：450 TLS session of data connection has not resumed or the session does not match the control connection

原因：TLS 与控制连接不匹配，即服务端开启了“Require TLS session resumption on data connection when using PROT P”

解决方法：我暂时还不知道原因，临时关闭了“Require TLS session resumption on data connection when using PROT P”（不建议）。该问题出现在 FileZilla Server 0.x 版本，在 1.x 版本中没有该配置选项。

默认端口带来安全隐患，建议更改为 50000-60000 之间的端口号。

Windows 远程桌面（RDP）(3389)

1. 在 Windows 防火墙中放行新端口：在“入站规则”中找到“Open RDP Port 3389”复制并粘贴该规则，修改端口和名称。

   若没有这个规则：新建规则 - 端口 - TCP - 特定本地端口（填写新的端口号）- 允许连接 - 名称

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）
   

3. 打开注册表（regedit），展开到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，右侧双击“PortNumber”切换到“十进制”，将 3389 改为新端口号

4. 重启生效

5. 在防火墙和安全组中禁止原默认端口

SSH (22) 之 CentOS

1. 在外部防火墙中放行新的端口号（如阿里云 ECS 的安全组）

2. 在内部防火墙中放行新的端口号（如 firewalld 或 iptables），使用宝塔面板的直接在面板“安全”页面设置即可

3. 打开 SSH 配置文件

   sudo vi /etc/ssh/sshd_config

4. 找到并编辑 Port 行的商品号并启用

   #Port 22

5. 重新加载使生效

   sudo systemctl reload sshd

6. 在防火墙和安全组中禁止原默认端口

7. 建议使用 SSH 密钥对代替传统账号密码登录

FTP (21) 之 FileZilla Server Windows 版

1. 一般地，在 Windows Defender 防火墙中是以添加应用 filezilla-server.exe 的方式允许的，所以不需要更改端口。如果以端口方式允许的，那么在入站规则中允许新的端口。

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）

3. 打开 Administer FileZilla Server，打开菜单 - Server - Configure - Server listeners，右侧窗口中将 Port 改为新端口（强烈建议将 Protocol 改为“Require explicit FTP over TLS”，即禁止 FTP 协议，改为使用 FTPS 协议）

4. 从防火墙和安全组移除 21 端口

FTP (21) 之 Pure-Ftpd（宝塔面板）

1. 在防火墙中放行新的端口号（如阿里云 ECS 的安全组）

2. 进入宝塔面板，打开“安全”，添加端口规则 TCP

3. 在宝塔面板中进入软件商店，找到 Pure-Ftpd 并打开，切换到“配置修改”，搜索“Bind”，删除开头的“#”，将端口号 21 改为新端口号，保存（强烈建议将 TLS 项改为 2，即禁止 FTP 协议，仅允许 FTPS 协议）

4. 切换到“服务”选项卡，点击“重启”

5. 从防火墙和安全组移除 21 端口

MySQL (3306) 之阿里云云数据库 RDS MySQL 版

1. 打开控制台 RDS 实例页，左侧菜单点击“白名单与安全组”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 RDS 实例页，左侧菜单点击“数据库连接”，点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）

PolarDB (3306)

1. 打开控制台 PolarDB 集群实例页，左侧菜单点击“集群白名单”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 PolarDB 集群实例页，左侧菜单点击“基本信息”，点击“主地址”和“集群地址”的“配置”，在“网线信息”中点击“更多”更改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

MSSQL (1433) 之阿里云云数据库 RDS SQL Server 版

1. 打开控制台 RDS 实例页，左侧菜单点击“白名单与安全组”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 RDS 实例页，左侧菜单点击“数据库连接”，点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

Redis (6379) 之阿里云云数据库 Redis 版

1. 打开控制台 Redis 实例页，左侧菜单点击“白名单设置”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 Redis 实例页，在“连接信息”中点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

宝塔面板 (8888)

1. 在防火墙中放行新的端口号（如阿里云 ECS 的安全组）

2. 进入宝塔面板，打开面板设置，切换到“安全设置”页，找到“面板端口”，点击“设置”

3. 在防火墙和安全组中禁止原默认端口

IIS 管理服务（Web 部署）(8172)

1. 在 Windows 防火墙中放行新端口：在“入站规则”中找到“Web 管理服务(HTTP 流量入站)”因其为预定义规则且复制也无法修改，所以按其设置新建一个，并指定新的端口。

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）

3. 打开 IIS 管理器 - 管理服务，右侧停止，左侧修改端口，右侧启动

4. VS 中发布配置修改“服务器(E)”项添加端口

5. 在防火墙和安全组中禁止原默认端口

!! [FTP Server] Couldn't bind on x.x.x.x:21. Reason: WSAEADDRNOTAVAIL - Cannot assign requested address. Retrying in 1 seconds.

更改客户端连接的连接模式为：主动连接。

用过 FlashFXP 的朋友可能会它强大的功能赞不绝口，但不免费啊，用破解版对咱们的账号安全也存在一定风险。所以平常用得最多的是免费开源的 FileZilla。

今天我把觉得 FileZilla 最应该支持的“计划任务”和“站点对传”两个功能在官方论坛进行了咨询。据 FileZilla 官方回复，暂时没有支持“计划任务”的时间表，而且由于不兼容 SFTP 的原因，服务器对服务器的直接传输也无法实现。（他可能误解了我说的“站点对传”的意思了吧）

这是一篇可能解决困扰了 .NET 程序猿多年的文章！

首先，使用 Visual Studio 2019 创建一个 ASP.NET WEB 应用程序，直接选用了 MVC 模板。

直接发布项目，默认的设置如下图：

对于小型项目，按默认设置发布基本可满足正常运行，首次运行打开第一个页面基本在 5~6 秒（视服务器配置），其它页面的首次打开也基本在 1~2 秒完成，非首次瞬间打开。

一旦项目功能变得复杂，文件增多，会导致发布后首次运行打开第一个页面 30 秒以上，其它页面的首次打开 10 秒左右，非首次瞬间打开。

这是因为项目在发布时没有进行预编译，而是在用户访问网页时动态编译，一旦应用程序池回收，或项目文件改动，都会重新编译，再次经历缓慢的“第一次”，这是不能忍的。

于是咱们来研究一下“预编译”。

在发布页面勾选“在发布期间预编译”，这时发布会在“输出”窗口显示正在执行编译命令（编译时间会比较长）：

该选项对发布后的文件结构和内容影响不大，因此对首次执行效率的提升也不大，重要的在后面。

在“高级预编译设置”窗口中：

我们针对预编译选项和合并选项分别做测试。

不勾选“允许更新预编译站点”，会致 bin 目录中生成许多 .compiled 文件，而所有 .cshtml 文件的内容都是：

这是预编译工具生成的标记文件，不应删除!

如果是 Web From 网站，.aspx/.ashx 等文件内容同上。

尝试打开网站页面，你会发现，除了项目启动后的第一个页面仍然需要 1~2 秒（无 EF），其余每个页面的首次都是瞬间打开的（EF 的首次慢不在本文讨论范围）。这让我对预编译有一种相见恨晚的感觉！

这里偷偷地告诉你，把 Views 目录删掉也不影响网页正常打开哦~为什么不让删，咱也不敢问，咱也不敢删。

目的达到了，有一些后遗症需要解决，比如 bin 目录内杂乱无章。

选“不合并。为每个页面和控件创建单独的程序集”，结果是 bin 多出许多 App_Web_*.dll 文件。

选“将所有输出合并到单个程序集”，填写程序集名称。这时会发现“输出”窗口执行了命令：

如果程序集名称跟已有名称冲突，会发生错误：

合并程序集时出错: ILMerge.Merge: The target assembly '******' lists itself as an external reference.

查看 bin 目录，.compiled 文件还在，但 App_Web_*.dll 合并成了一个程序集。FTP 的“不合并”也是把所有 App_Web_*.dll 上传一遍，所以不存在相对于“合并”的增量发布优势。

是不是勾了“视为库组件删除(AppCode.compiled 文件)”.compiled 文件就会不见？意外之外，情理之中，bin 没有什么变化。

继续选择“将各个文件夹输出合并到其自己的程序集”，呃，bin 中文件数不降反增。

最后选择“将所有页和控件输出合并到单个程序集”，同样程序集名称不能冲突。结局令人失望，bin 中仍然一大堆 .compiled 和 App_Web_*.dll。

整理成表格：

bin 目录下，页面的程序集文件（App_Web_*.dll）增多的原因是编译后的文件名不固定，发布到会导致残留许多无用的程序集文件。

相比较，如果第 3 种能实现 FTP 稳定的增量上传的话是比较完美的（还有一个缺点是：如果页面有删除，目标 bin 内对应该页面的 .compiled 和 .dll 不会删除，这跟“允许更新预编译站点”是一个情况），那么第 4 种 或第 5 种也是不错的选择（同样有缺点：执行合并比较慢）。

测试一个有 300 个页面的项目，compiler 用时约 2 分钟，merge 用时约 5 分钟，发布用时约 4 分钟。

这里有个槽点，执行预编译和合并是佛系的，CPU 和磁盘使用率永远保持在最低水平。

所以如果是要经常修改的项目，那么建议选择“不合并”的第 3 种发布方式：

“视为库组件（删除 AppCode.compiled 文件）”：移除主代码程序集（App_Code 文件夹中的代码）的 .compiled 文件。 如果应用程序包含对主代码程序集的显式类型引用，则不要使用此选项。

补充：

• 不允许更新预编译站点发布后，因为前端页面没有内容，因此无法单独修改发布（单独发布一个页面后，在访问时不会生效！），只能全站发布，耗时较长；bin 目录有变动将导致使用 InProc 方式存储的 Session 丢失。

• 预编译的另一个优点是可以检查 .aspx / .cshtml 页面 C# 部分的错误（特别是命名空间和路径引用）。

• 改为预编译发布后，可以将服务器上残留的 .master / .ascx / .asax 删除，但不能删除 .aspx / .ashx /.config 等。
  

• VS 发布到 FTP 经常会遗漏一些页面文件，不合并时会遗漏独立文件，合并后也会遗漏合并后的 .dll 的文件，合并的好处就是方便检查是否完全上传发布。

• 慎选“在发布前删除所有现有文件”！一旦勾选发布，世界就清静了，所有网友上传的图片附件以及网站运行产生的其它文件，消失得无影无踪。不管发布到文件系统还是发布到 FTP 都一样。当然，如果是先发布到文件系统，再通过 FileZilla 等 FTP 软件上传到服务器的，建议勾选此项。

• .NET Core 应用程序部署：https://docs.microsoft.com/zh-cn/dotnet/core/deploying/index

• 由于上传文件时 bin 目录文件较多，理论上 bin 目录内的文件有任何改动都会重启应用池，而且 VS 是单线程上传的，导致期间网站访问缓慢，服务器 CPU 升高，我的做法是：发布到文件系统，再使用专用 FTP 工具上传，上传用时约半分钟（如果大小不同或源文件较新则覆盖文件）。还嫌慢？那就打包上传，解压覆盖。

• 关于本文研究对象的官方解释：高级预编译设置对话框

• 出现“未能加载文件或程序集“***”或它的某一个依赖项。试图加载格式不正确的程序。”的问题时，先用改用 Debug 方式发布会报详细错误，一般是 .aspx 等客户端页面有 C# 语法问题，注意提示报错的是 /obj/ 目录下的克隆文件，应更改原文件。排除错误后关闭所有页面，再使用 Release 方式发布。

状态:正在连接 *.*.*.*:21...

状态:连接建立，等待欢迎消息...

响应:220-FileZilla Server

响应:220-written by Tim Kosse (tim.kosse@filezilla-project.org)

响应:220 Please visit https://filezilla-project.org/

命令:AUTH TLS

错误:无法连接到服务器

最终，没有连接到任何服务器。

服务端已允许被动连接，并且 VS 中的网站发布功能正常（FTP 方式），所以从 FileZilla 客户端入手查找问题。

在站点管理器中发现“加密”项，默认是“如果可用，使用显式的 FTP over TLS”，更改为“只使用普通 FTP (不安全)”即可连接。

这个问题一般出现在换了网络环境的情况下，研究一下 FTP over TLS 很有必要。

打开 FillZilla Server - Edit - Settings - 切换到 FTP over TLS settings 选项卡

勾选 Enable FTP over TLS support (FTPS)，点击 Generate new certificate...

填写需要生成的证书信息，其中“2-Digit country code”和“Save key and certificate to this file”必填，点击 Generate certificate 完成生成证书。

完成配置后 FillZilla Server 已支持 FTPS，启动页上的警告也会随之不见：

Warning: FTP over TLS is not enabled, users cannot securely log in.

安装过程就不介绍了，主要记一下被动模式和端口开放设置。

FileZilla Server 默认以 21 端口安装，阿里云的安全组配置“入方向”规则：

协议类型：自定义 TCP，端口范围：21/21，授权对象 0.0.0.0/0

如果要配置“被动模式”，那么在 FileZilla Server 菜单中选择“Edit”- Settings

切换到“Passive mode settings”，打勾“Use custom port range”，并填写端口范围，譬如 30000-40000，确定。

同样在阿里云安全组中配置“入方向”规则：

协议类型：自定义 TCP，端口范围：30000/40000，授权对象 0.0.0.0/0

这样就可以使用被动模式连接了。

如果无法连接，可尝试打开 Windows Server 2016 的“服务器管理器”，选择右上角“工具”-“高级安全 Windows 防火墙”-“入站规则”-“新建规则”，将上述端口设为允许连接。