Um ehrlich zu sein, hört sich das ganze für mich nach einer Bastellösung nach dem Motto "hauptsache es funktioniert" an...
Aber zu deiner konkreten Fragestellung:
Du sagst, die von dir eingesetzte Firewall ist die Windows Firewall. Ich kann (bzw. will) mir aber nicht vorstellen, dass du einen Windows Server mit dem Standard FTP Server und der Windows Firewall direkt ins Internet gestellt hast....
Wie auch immer... In der Batchdatei, die du kopiert hast, wird ftp.exe aufgerufen. Ich weiß ja nicht, welcher FTP-Client an dieser Stelle benutzt wird. Falls dies der Windows FTP-Client ist, dieser unterstüzt keinen passive mode.
Falls dein Lieferant also nur diesen Client benutzen kann, müßt du also den in deinem Windows FTP Server konfigurierten Port für die Datenverbindung in deiner Firewall freigeben.
Ein einfacherer Weg, wäre aber, wenn dein Lieferant einfach einen FTP-Client benutzt, der den passive mode kann.
Mit dem Active Mode holst du dir evtl. noch weitere Probleme ins Haus. Z.B. kann auch die Firewall beim Lieferant die Detenverbindung blockieren und manche NAT Router ordnen die Datenverbindung auch nicht dem richtigen Client zu.
Allgemein ist ein FTP-Server mit Actice Mode ein Relikt aus vergangenen Tagen. Und sowas benutzt heute kaum jemand mehr.
Und wie aktivierst du überhaupt TLS auf dem Standard Windows FTP Dienst?
Zertifikate von Lets Encrypt?
Ich weiß, ich wiederhole mich, aber ich sags nochmal: Ich würde einen SSH Server installieren und der Lieferant soll per SFTP hochladen.
Da gibst du nur einen Port frei und musst dir auch über Verschlüsselung keine Gedanken machen.