我們在以前的文章中介紹了服務(wù)器要想完成特定角色的功能所應(yīng)該打開的基本端口。如果服務(wù)器使用靜態(tài)的 IP 地址，這些端口已經(jīng)足夠。如果需要提供更多的功能，則可能需要打開更多的端口。打開更多的端口將使得您的環(huán)境下的 IIS 服務(wù)器更容易管理，但是這可能大大降低服務(wù)器的安全性。

由于在域成員和域控制器之間有大量的交互，尤其是 RPC 和身份驗證通信，在 IIS 服務(wù)器和全部域控制器之間，您應(yīng)該允許所有的通信。通信還可以被進一步限制，但是大多數(shù)環(huán)境都需要為有效保護服務(wù)器而創(chuàng)建更多的過濾器。

這將使得執(zhí)行和管理 IPSec 策略非常困難。您應(yīng)該為每一個將與 IIS 服務(wù)器進行交互的域控制器創(chuàng)建類似的規(guī)則。為了提高 IIS 服務(wù)器的可靠性和可用性，您需要為環(huán)境中的所有域控制器添加更多規(guī)則。

如果環(huán)境中運行了 Microsoft 操作管理器 (MOM)，那么在執(zhí)行 IPSec 過濾器的IIS 服務(wù)器和 MOM 服務(wù)器之間，應(yīng)該允許傳輸所有的網(wǎng)絡(luò)通信。這是必須的，因為在 MOM 服務(wù)器和 OnePoint 客戶端（向 MOM 控制臺提供報告的客戶端應(yīng)用程序）之間存在大量的交互過程。

其它管理軟件可能也具有類似的需求。如果需要更高級別的安全性，則可以配置 OnePoint 客戶端的過濾操作，從而協(xié)調(diào) IPSec 和 MOM 服務(wù)器。

該 IPSec 策略將有效地阻止通過任意一個高端口的通信，因此它不允許遠程過程調(diào)用 (RPC) 通信。這可能會使得IIS 服務(wù)器的管理非常困難。由于已經(jīng)關(guān)閉了許多端口，您可以啟用終端服務(wù)。這樣一來，管理員便可以執(zhí)行遠程管理。

【編輯推薦】

1. 保護眾所周知IIS 服務(wù)器帳戶的安全
2. IIS 服務(wù)器向用戶權(quán)限分配手動添加***的安全組
3. IIS 服務(wù)器基礎(chǔ)知識及日志的講解
4. 啟用 IIS 服務(wù)器上的 IIS 日志的知識
5. 學(xué)習(xí)如何設(shè)置 IIS Web 站點權(quán)限