我們?cè)谝郧暗奈恼轮薪榻B了服務(wù)器要想完成特定角色的功能所應(yīng)該打開(kāi)的基本端口。如果服務(wù)器使用靜態(tài)的 IP 地址，這些端口已經(jīng)足夠。如果需要提供更多的功能，則可能需要打開(kāi)更多的端口。打開(kāi)更多的端口將使得您的環(huán)境下的 IIS 服務(wù)器更容易管理，但是這可能大大降低服務(wù)器的安全性。

由于在域成員和域控制器之間有大量的交互，尤其是 RPC 和身份驗(yàn)證通信，在 IIS 服務(wù)器和全部域控制器之間，您應(yīng)該允許所有的通信。通信還可以被進(jìn)一步限制，但是大多數(shù)環(huán)境都需要為有效保護(hù)服務(wù)器而創(chuàng)建更多的過(guò)濾器。

這將使得執(zhí)行和管理 IPSec 策略非常困難。您應(yīng)該為每一個(gè)將與 IIS 服務(wù)器進(jìn)行交互的域控制器創(chuàng)建類(lèi)似的規(guī)則。為了提高 IIS 服務(wù)器的可靠性和可用性，您需要為環(huán)境中的所有域控制器添加更多規(guī)則。

如果環(huán)境中運(yùn)行了 Microsoft 操作管理器 (MOM)，那么在執(zhí)行 IPSec 過(guò)濾器的IIS 服務(wù)器和 MOM 服務(wù)器之間，應(yīng)該允許傳輸所有的網(wǎng)絡(luò)通信。這是必須的，因?yàn)樵?MOM 服務(wù)器和 OnePoint 客戶(hù)端（向 MOM 控制臺(tái)提供報(bào)告的客戶(hù)端應(yīng)用程序）之間存在大量的交互過(guò)程。

其它管理軟件可能也具有類(lèi)似的需求。如果需要更高級(jí)別的安全性，則可以配置 OnePoint 客戶(hù)端的過(guò)濾操作，從而協(xié)調(diào) IPSec 和 MOM 服務(wù)器。

該 IPSec 策略將有效地阻止通過(guò)任意一個(gè)高端口的通信，因此它不允許遠(yuǎn)程過(guò)程調(diào)用 (RPC) 通信。這可能會(huì)使得IIS 服務(wù)器的管理非常困難。由于已經(jīng)關(guān)閉了許多端口，您可以啟用終端服務(wù)。這樣一來(lái)，管理員便可以執(zhí)行遠(yuǎn)程管理。

【編輯推薦】

1. 保護(hù)眾所周知IIS 服務(wù)器帳戶(hù)的安全
2. IIS 服務(wù)器向用戶(hù)權(quán)限分配手動(dòng)添加***的安全組
3. IIS 服務(wù)器基礎(chǔ)知識(shí)及日志的講解
4. 啟用 IIS 服務(wù)器上的 IIS 日志的知識(shí)
5. 學(xué)習(xí)如何設(shè)置 IIS Web 站點(diǎn)權(quán)限