Ao criar o site FTP no IIS, você tem a escolha de quais portas dinâmicas usar. Quaisquer que sejam as portas configuradas, precisa estar aberto no firewall.
Ou, você precisa usar um cliente FTP que suporte o modo PASV, que força todas as transferências pela porta FTP. Mas a linha de comando da Microsoft não suporta isso.
A outra opção que você tem seria habilitar a inspeção de estado do firewall por FTP. Depois de abrir a porta FTP (21), emita o seguinte comando no servidor na linha de comando:
netsh advfirewall set global StatefulFtp enable
Acredito que só funcionem em servidores "Vista, Windows 7 e 2K8".