我們在以前的文章中介紹了服務器要想完成特定角色的功能所應該打開的基本端口。如果服務器使用靜態的 IP 地址，這些端口已經足夠。如果需要提供更多的功能，則可能需要打開更多的端口。打開更多的端口將使得您的環境下的 IIS 服務器更容易管理，但是這可能大大降低服務器的安全性。

由于在域成員和域控制器之間有大量的交互，尤其是 RPC 和身份驗證通信，在 IIS 服務器和全部域控制器之間，您應該允許所有的通信。通信還可以被進一步限制，但是大多數環境都需要為有效保護服務器而創建更多的過濾器。

這將使得執行和管理 IPSec 策略非常困難。您應該為每一個將與 IIS 服務器進行交互的域控制器創建類似的規則。為了提高 IIS 服務器的可靠性和可用性，您需要為環境中的所有域控制器添加更多規則。

如果環境中運行了 Microsoft 操作管理器 (MOM)，那么在執行 IPSec 過濾器的IIS 服務器和 MOM 服務器之間，應該允許傳輸所有的網絡通信。這是必須的，因為在 MOM 服務器和 OnePoint 客戶端（向 MOM 控制臺提供報告的客戶端應用程序）之間存在大量的交互過程。

其它管理軟件可能也具有類似的需求。如果需要更高級別的安全性，則可以配置 OnePoint 客戶端的過濾操作，從而協調 IPSec 和 MOM 服務器。

該 IPSec 策略將有效地阻止通過任意一個高端口的通信，因此它不允許遠程過程調用 (RPC) 通信。這可能會使得IIS 服務器的管理非常困難。由于已經關閉了許多端口，您可以啟用終端服務。這樣一來，管理員便可以執行遠程管理。

【編輯推薦】

1. 保護眾所周知IIS 服務器帳戶的安全
2. IIS 服務器向用戶權限分配手動添加***的安全組
3. IIS 服務器基礎知識及日志的講解
4. 啟用 IIS 服務器上的 IIS 日志的知識
5. 學習如何設置 IIS Web 站點權限