深入研究  Windows  系統服務 效能調校與故障排除 曹祖聖 台灣微軟資深講師   MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT
講師簡介   How am I ? <ul><li>姓名:曹祖聖  Jimy Cao </li></ul><ul><li>郵件: [email_address] </li></ul><ul><li>證照: MCP, MCP+I, MCSA, M...
講師簡介   How am I ? <ul><li>經歷: </li></ul><ul><ul><li>華彩教育訓練中心、資策會教育訓練中心講師 </li></ul></ul><ul><ul><li>巨匠電腦認證中心兼任講師、專任講師、顧問講師...
<ul><li>系統服務的功能介紹 </li></ul><ul><li>系統服務依存性 </li></ul><ul><li>系統服務啟動順序修改 </li></ul><ul><li>系統服務資源競爭問題處理 </li></ul><ul><li>...
Windows   系統服務 <ul><li>Windows  系統 服務由  3  個部分組成 : </li></ul><ul><ul><li>服務應用程式  :  服務程式本身,包含一個或多個服務 </li></ul></ul><ul><u...
Windows   系統服務 <ul><li>Windows  系統服務 的啟動方式 : </li></ul><ul><ul><li>自動 –  Windows  啟動時自動載入服務 </li></ul></ul><ul><ul><li>手動 ...
Windows   系統服務 <ul><li>機碼設定 </li></ul><ul><ul><li>HKEY_LOCAL_MACHINE      SYSTEM      CurrentControlSet      Service s </l...
服務啟動帳戶與系統安全 <ul><li>服務啟動帳戶的選擇 : </li></ul><ul><ul><li>本機系統帳戶 </li></ul></ul><ul><ul><ul><li>Local System </li></ul></ul></...
什麼是緩衝區溢位  ? <ul><li>攻擊者傳送超過緩衝區大小且包含惡意程式碼的訊息 </li></ul><ul><li>訊息中的惡意程式碼剛好覆蓋掉原本要執行的程式碼 </li></ul><ul><li>如果這個服務啟動帳戶具有足夠權限,惡...
服務啟動失敗的處理
Windows  系統啟動流程  ( 一 ) BIOS  載入  MBR  並執行, MBR  會尋找開機磁區 1 開機磁區載入並執行作業系統的第一個檔案  NTLDR 2 NTLDR  將系統切換到  32  位元保護模式 3 NTLDR  ...
Windows Server  架構 Executive Services API I/O System Security Monitor Processes/ Threads Object Services Memory Mgmt Win32...
Windows Server  架構 Executive Services API I/O System Security Monitor Processes/ Threads Object Services Memory Mgmt Win32...
Windows  系統啟動流程  ( 二 ) <ul><li>基本的系統啟動過程 </li></ul><ul><ul><li>smss.exe Session Manager 系統第一個建立的行程 負責啟動  csrss.exe  與  win...
Windows  系統啟動流程  ( 二 ) <ul><li>基本的系統啟動過程 </li></ul><ul><ul><li>lsass.exe Local Security Authentication (LSA) Server , 管理  ...
工作管理員
Alerter  服務 <ul><li>名稱 : Alerter ( svchost.exe -k LocalService) </li></ul><ul><li>功能 :  接收系統管理警示訊息,如果停止這個服務, 主機將收不到任何系統管理警...
Application Layer Gateway Service <ul><li>名稱 :  ALG (alg.exe) </li></ul><ul><li>功能 :  提供應用程式層級通訊協定外掛程式的支援, 以及啟用網路 / 通訊協定連線...
Application Management <ul><li>服務 :  AppMgmt (vchost.exe -k netsvcs) </li></ul><ul><li>功能 :  為  Active Directory IntelliMi...
ASP.NET Admin Service <ul><li>服務 :  aspnet_admin (aspnet_admin.exe) </li></ul><ul><li>功能 :  提供設定  ASP .NET 應用程式組態與管理功能。 </...
ASP.NET State Service <ul><li>服務 :  aspnet_state (aspnet_state.exe) </li></ul><ul><li>功能 :  以行程外  (out-of-process)  的方式儲存、...
更改  ASP .NET State Service  的連接埠號碼
Automatic Updates <ul><li>服務 : wuauserv (svchost.exe -k netsvcs) </li></ul><ul><li>功能 :  啟用重要  Windows  更新的下載及安裝。 </li></u...
Background Intelligent Transfer Service <ul><li>服務 : BITS (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : </li></ul><ul><u...
Background Intelligent Transfer Service 5.  等待或取得工作 BITS 1.  建立工作 2.  加入檔案 工作包含來源與 目的檔案的資訊 3.  設定通知 4.  繼續工作  ( 續傳 ) 開始傳輸 ...
BITS  伺服器延伸設定
Certificate Services <ul><li>服務 :  CertSvc (certsrv.exe) </li></ul><ul><li>功能 :  建立、管理、並移除如  S/MIME  及  SSL  等應用 程式的  X.50...
ClipBook <ul><li>名稱 : ClipSrv (clipsrv.exe) </li></ul><ul><li>功能 : 啟用剪貼簿檢視器以儲存資訊並與遠端電腦 共用。如果這個服務被停止,剪貼簿檢視器 將無法與遠端電腦共用資訊。 <...
COM+ Event System <ul><li>名稱 : EventSystem (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 支援  System Event Notification S...
COM+ System Application <ul><li>名稱 : COMSysApp (dllhost.exe /Processid: {02D4B3F1-FD88-11D1-960D-00805FC79235}) </li></ul>...
COM+  應用程式管理介面
Computer Browser <ul><li>名稱 : Browser (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 維護網路上更新的電腦清單,並將這個清單 提供給做為瀏覽器的電腦。如果這個...
Computer Browser  機制  ( 一 ) <ul><li>在網路中有以下幾種不同角色的  Browser </li></ul><ul><ul><li>Domain Master Browser </li></ul></ul><ul...
Computer Browser  機制  ( 一 ) <ul><li>在網路中有以下幾種不同角色的  Browser </li></ul><ul><ul><li>Backup Browser </li></ul></ul><ul><ul><u...
Computer Browser  機制  ( 二 ) <ul><li>當一部電腦開機完成時 :  </li></ul><ul><ul><li>廣播自己的電腦名稱、群組名稱或網域名稱、 IP </li></ul></ul><ul><ul><li...
Computer Browser  機制  ( 三 ) <ul><li>當一部  client  端電腦打開網路上的芳鄰時 :  </li></ul><ul><ul><li>該電腦會發出廣播,尋找該子網路中的  Master Browser <...
Computer Browser  機制  ( 四 ) <ul><li>為什麼明明電腦已經開了,別人卻無法在網路芳鄰中看到? </li></ul><ul><ul><li>那是因為電腦開機時的廣播, Master Browser  沒處理,所以在...
Computer Browser  機制  ( 五 ) <ul><li>為什麼打開網路芳鄰時,會等粉久? ( 一支手電筒在那裡照來照去 )  </li></ul><ul><ul><li>那是因為  Master Browser  或  Back...
如何自訂  Browser  角色  ? <ul><li>修改  Registry  </li></ul><ul><ul><li>HKEY_LOCAL_MACHINE  SYSTEM  CurrentControlSet  Services  ...
如何隱藏電腦  ? <ul><li>修改  Registry  </li></ul><ul><ul><li>HKEY_LOCAL_MACHINE  System  CurrentControlSet  Services  LanmanServe...
如何跨子網路瀏覽電腦  ? <ul><li>問題 : </li></ul><ul><ul><li>如果  Master Browser  或  Backup Browser  剛好就是兩個子網路之間的路由器,那麼這部電腦不就會記錄兩個子網路的 ...
Cryptographic Services <ul><li>名稱 : CryptSvc (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 提供三個管理服務 :  </li></ul><ul><ul...
DHCP Client <ul><li>名稱 : Dhcp (svchost.exe -k NetworkService) </li></ul><ul><li>功能 : 為這個電腦登錄及更新  IP  位址和  DNS  記錄。 如果這個服務被...
Distributed File System <ul><li>名稱 : Dfs (Dfssvc.exe) </li></ul><ul><li>功能 : 將分散檔案共用整合成單一的邏輯名稱區, 管理分散於本機或廣域網路的邏輯磁碟區。 </li>...
Distributed Link Tracking Client <ul><li>名稱 : TrkWks (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 讓用戶端程式能夠追蹤檔案連結,不論是從 N...
Distributed Link Tracking Server <ul><li>名稱 : TrkSvr (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 啟用相同網域內的分散式連結追蹤用戶端服務 ...
Distributed Link Tracking
DirectX Debug Service <ul><li>名稱 : DXDebug (DXDebugService.exe) </li></ul><ul><li>功能 : 支援  DirectX  應用程式的偵錯 </li></ul><ul>...
Distributed Transaction Coordinator <ul><li>名稱 : MSDTC (msdtc.exe) </li></ul><ul><li>功能 : 協調跨越多個資源管理員的交易,例如資料庫 、訊息佇列及檔案系統。...
Distributed Transaction Coordinator
DNS Client <ul><li>名稱 : Dnscache (svchost.exe -k NetworkService) </li></ul><ul><li>功能 : 讓主機將解析出來的  DNS  名稱快取下來。如果 這個服務被停止,...
DNS Client  服務
Error Reporting Service <ul><li>名稱 : ERSvc (svchost.exe -k WinErr) </li></ul><ul><li>功能 : 蒐集、儲存、以及報告非預期的應用程式當機 事件給  Micros...
Windows  錯誤報告
Event Log <ul><li>名稱 : Eventlog (services.exe) </li></ul><ul><li>功能 : 啟用  Windows  為主的程式和元件所發出的事件 日誌訊息可以在事件檢視器中檢視。 </li></...
File Replication <ul><li>名稱 : NtFrs (ntfrs.exe) </li></ul><ul><li>功能 : 允許檔案在多個伺服器上進行自動複製及同步 。如果這個服務被停止,檔案複寫將不會發生 ,伺服器之間將無法...
Help and Support <ul><li>名稱 : helpsvc (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 讓說明及支援中心能夠在這台電腦上執行。 </li></ul><ul><l...
HID Input Service <ul><li>名稱 : HidServ (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 讓啟用對人體工學介面裝置  (HID)  的通用輸入 存取,包含 : ...
HTTP SSL <ul><li>名稱 : HTTPFilter (lsass.exe) </li></ul><ul><li>功能 : 處理  IIS  的  Secure Socket Layer (SSL)  功能,讓 Web  站台或虛擬...
IIS Admin Service <ul><li>名稱 : IISADMIN (inetinfo.exe) </li></ul><ul><li>功能 : 用來管理  WWW 、 FTP 、 NNTP  、 SMTP  服務。 </li></u...
IMAPI CD-Burning COM Service <ul><li>名稱 : ImapiService (imapi.exe) </li></ul><ul><li>功能 : 使用  Image Mastering Applications...
Indexing Service <ul><li>名稱 : CiSvc (cisvc.exe) </li></ul><ul><li>功能 : 管理本機和遠端電腦檔案的索引內容,讓檔案 搜尋更為快速。 </li></ul><ul><li>依存 :...
Internet Connection Firewall (ICF) /  Internet Connection Sharing (ICS) <ul><li>名稱 : SharedAccess (svchost.exe -k netsvcs)...
Intersite Messaging <ul><li>名稱 : IsmServ (ismserv.exe) </li></ul><ul><li>功能 : 讓網域控制站可以跨站台進行訊息交換。 </li></ul><ul><li>依存 : Se...
什麼是  Intersite Topology Generator ? IP Subnet A1 A2 Bridgehead  Server Replication B2 Bridgehead Server B1 Replication IP ...
如何指定  bridge head server
IPSEC Services <ul><li>名稱 : PolicyAgent (lsass.exe) </li></ul><ul><li>功能 : 提供  TCP/IP  網路上用戶端和伺服器間端點到 端點的安全性。 </li></ul><u...
Kerberos Key Distribution Center <ul><li>名稱 : kdc (lsass.exe) </li></ul><ul><li>功能 : 這個服務讓使用者能夠使用  Kerberos  驗證通訊 協定來登入網域。...
用戶端如何找到  KDC ?
使用者登入處理程序 Local  Security Subsystem 使用者登入 帳號  /  密碼  /  網域 1 Local Security Subsystem  向  DC  申請使用者的  Session Ticket 2 Loc...
跨網域存取資源 Forest trust Global catalog Global catalog Seattle vancouver.nwtraders.msft seattle.contoso.msft Vancouver Forest ...
License Logging <ul><li>名稱 : LicenseService (llssrv.exe) </li></ul><ul><li>功能 : 為作業系統的服務  ( 例如  IIS 、  Terminal Server  和 ...
Logical Disk Manager <ul><li>名稱 : dmserver (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 偵測及監視磁碟上的邏輯磁碟狀態。 </li></ul><ul>...
Logical Disk Manager Administrative Service <ul><li>名稱 : dmadmin (dmadmin.exe /com) </li></ul><ul><li>功能 : 設定硬碟磁碟及磁碟區,服務只執...
Machine Debug Manager <ul><li>名稱 : MDM (mdm.exe) </li></ul><ul><li>功能 : 支援  Visual Studio  本機和遠端偵錯  managed  codes  (assem...
Messenger <ul><li>名稱 : Messenger (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 在主機之間傳輸網路訊息、以及  Alerter  服務 訊息。如果這個服務被停止,...
Messenger  服務
Microsoft Search <ul><li>名稱 : MSSEARCH (mssearch.exe) </li></ul><ul><li>功能 : 在結構化與半結構化資料上建立全文索引, 讓這個資料能夠快速地進行語言搜尋。 </li></...
Microsoft Software Shadow Copy Provider <ul><li>名稱 : swprv (svchost.exe -k swprv) </li></ul><ul><li>功能 : 管理磁碟區陰影複製的服務 </li...
Net Logon <ul><li>名稱 : Netlogon (lsass.exe) </li></ul><ul><li>功能 : 維持這個電腦和網域控制站間用於驗證使用者 和服務的安全通道。網域控制站上的  Net Logon  服務會向 ...
NetMeeting Remote Desktop Sharing <ul><li>名稱 : mnmsrvc (mnmsrvc.exe) </li></ul><ul><li>功能 : 讓經過授權的使用者可以使用  NetMeeting  由遠 ...
Network Connections <ul><li>名稱 : Netman (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 管理在網路和撥號連線資料夾中的物件,您可 以在此資料夾中檢視區域網路...
Network DDE <ul><li>名稱 : NetDDE (netdde.exe) </li></ul><ul><li>功能 : 讓兩部主機可以進行動態資料交換。 </li></ul><ul><li>依存 : Network DDE DS...
Network DDE DSDM <ul><li>名稱 : NetDDEdsdm (netdde.exe) </li></ul><ul><li>功能 : 讓  DDE  可以在網路上共用。如果這個服務被 停止, DDE  網路共用將無法使用。 ...
Network Location Awareness (NLA) <ul><li>名稱 : Nla (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 收集並存放網路設定和位置資訊,並且在這個 資訊變...
NT LM Security Support Provider <ul><li>名稱 : NtLmSsp (lsass.exe) </li></ul><ul><li>功能 : 為沒有使用命名管道  (named pipe)  傳輸的遠端 程序呼...
NTLM Security  與  LSA Secret
Performance Logs and Alerts <ul><li>名稱 : SysmonLog (smlogsvc.exe) </li></ul><ul><li>功能 : 收集本機或遠端電腦的效能資料,然後將資料 寫入記錄或觸發警訊。 <...
Plug and Play <ul><li>名稱 : PlugPlay (services.exe) </li></ul><ul><li>功能 : 隨插即用服務,讓系統可以自動識別及調整 硬體資源使用,例如  IRQ 、 IO 、 DMA 、…...
Portable Media Serial Number Service <ul><li>名稱 : WmdmPmSN (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 用來取得任何接到主機上的移動式...
Print Spooler <ul><li>名稱 : Spooler (spoolsv.exe) </li></ul><ul><li>功能 : 管理所有本機和網路列印的緩衝區佇列,並 控制所有列印工作。如果這個服務被停止, 本機電腦列印將無法使...
Print Spooler
Protected Storage <ul><li>名稱 : ProtectedStorage (lsass.exe) </li></ul><ul><li>功能 : 保護儲存諸如私密金鑰這類敏感資訊的存放區 ,防止未授權的服務、處理、或使用者進...
QoS RSVP <ul><li>名稱 : RSVP (rsvp.exe) </li></ul><ul><li>功能 : 用來進行流量控制 </li></ul><ul><li>依存 : Remote Procedure Call (RPC TC...
Remote Access Auto Connection Manager <ul><li>名稱 : RasAuto (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 自動偵測連線到遠端網路或電腦是...
Remote Access Connection Manager <ul><li>名稱 : RasMan (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 管理從這個電腦到網際網路或其他遠端網路的 ...
Remote Desktop Help Session Manager <ul><li>名稱 : RDSessMgr (sessmgr.exe) </li></ul><ul><li>功能 : 管理並控制遠端協助。如果此服務停止的話, 遠端協助將...
Remote Procedure Call (RPC) <ul><li>名稱 : RpcSs (svchost -k rpcss) </li></ul><ul><li>功能 : 扮演結束點對應程式以及  COM  服務控制管理 員的角色。如果這...
DCOM & RPC  的架構變化 Activation, Binding Resolution, Pinging Activation Activation Listen Rundown Method Calls, QueryInterfac...
Remote Procedure Call (RPC) Locator <ul><li>名稱 : RpcLocator (locator.exe) </li></ul><ul><li>功能 : 使用  RpcNs*  系列  API  啟用遠端...
Remote Registry <ul><li>名稱 : RemoteRegistry (svchost.exe -k regsvc) </li></ul><ul><li>功能 : 讓遠端管理者可以修改這個電腦上的系統登錄 設定。如果這個服務被...
Remote Registry
Removable Storage <ul><li>名稱 : NtmsSvc (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 管理可卸除式媒體,例如  USB  隨身碟、 Zip  磁 碟、…。如...
Resultant Set of Policy Provider <ul><li>名稱 : RSoPProv (RSoPProv.exe) </li></ul><ul><li>功能 : 讓使用者連線到遠端電腦,透過  WMI  確認目前 該電腦...
Routing and Remote Access <ul><li>名稱 : RemoteAccess (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 路由及遠端存取服務。提供路由器、 NAT 、...
Secondary Logon <ul><li>名稱 : seclogon (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 啟用另一次身份認證,以取得另一個  Access  Token  來開啟...
Security Accounts Manager <ul><li>名稱 : SamSs (lsass.exe) </li></ul><ul><li>功能 : 儲存、管理、驗證本機帳戶的安全性資訊。 </li></ul><ul><li>依存 :...
Server <ul><li>名稱 : lanmanserver (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 支援網路上檔案、列印、和命名管線的共用。 </li></ul><ul><li>依存...
Shell Hardware Detection <ul><li>名稱 : ShellHWDetection (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 為自動播放硬體事件提供通知。 </li...
Simple Mail Transfer Protocol (SMTP) <ul><li>名稱 : SMTPSVC (inetinfo.exe) </li></ul><ul><li>功能 : 電子郵件傳輸服務。 </li></ul><ul><l...
Smart Card <ul><li>名稱 : SCardSvr (SCardSvr.exe) </li></ul><ul><li>功能 : 管理智慧卡的存取。如果這個服務被停止, 這個電腦將無法讀取智慧卡。 </li></ul><ul><li...
Smart Card Helper <ul><li>名稱 : SCardDrv (SCardSvr.exe) </li></ul><ul><li>功能 : 管理不支援隨插即用功能的智慧卡的存取。 </li></ul><ul><li>依存 : 無...
Special Administration Console Helper <ul><li>名稱 : SCardDrv (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 允取系統管理員使用緊急管理服...
System Event Notification <ul><li>名稱 : SENS (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 監視系統事件並通知這些事件的  COM+  事件 系統訂閱者...
Task Scheduler <ul><li>名稱 : Schedule (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 工作排程服務。如果停止這個服務,排程工作 在它們排定的時間時將不會執行。 ...
TCP/IP NetBIOS Helper <ul><li>名稱 : LmHosts (svchost.exe -k LocalService) </li></ul><ul><li>功能 : 提供對  TCP/IP (NetBT)  服務上的 ...
Telephony <ul><li>名稱 : TapiSrv (svchost.exe -k tapisrv) </li></ul><ul><li>功能 : 提供電話語音裝置和  IP  為主的語音連線程式 的用戶端必要的電話語音  API (...
Telnet <ul><li>名稱 : TlntSvr (tlntsvr.exe) </li></ul><ul><li>功能 : Telnet  服務。 </li></ul><ul><li>依存 : NT LM Securoty Support...
Telnet  服務
Terminal Services <ul><li>名稱 : TermService (vchost.exe -k termsvcse) </li></ul><ul><li>功能 : 終端機服務。 </li></ul><ul><li>依存 : ...
Terminal Services Session Directory <ul><li>名稱 : Tssdis (tssdis.exe) </li></ul><ul><li>功能 : 當使用終端機服務叢集時,使用這個服務來 記錄並將終端機用戶端...
Themes <ul><li>名稱 : Themes (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 佈景主題。 </li></ul><ul><li>依存 : Remote Procedure C...
Uninterruptible Power Supply <ul><li>名稱 : UPS (ups.exe) </li></ul><ul><li>功能 : 管理連接到這台電腦的不斷電電源供應系統。 </li></ul><ul><li>依存 :...
Upload Manager <ul><li>名稱 : uploadmgr (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 將用戶端安裝的驅動程式資訊匿名上傳至微軟 驅動程式回饋伺服器,驅動程式回...
Virtual Disk Service <ul><li>名稱 : vdsr (vds.exe) </li></ul><ul><li>功能 : 提供軟體磁碟區及硬體磁碟區管理服務 </li></ul><ul><li>依存 : Plug and ...
Virtual Machine Helper <ul><li>名稱 : vmh (vmh.exe -service) </li></ul><ul><li>功能 : 提供  Virtual Server  執行虛擬機器必要的服務。 </li></...
Virtual Server <ul><li>名稱 : Virtual Server (vssrvc.exe) </li></ul><ul><li>功能 : 提供在主機上建立多個虛擬機器,並且在這些 虛擬機器上執行個別的作業系統的功能。 </l...
Volume Shadow Copy <ul><li>名稱 : VSS (vssvc.exe) </li></ul><ul><li>功能 : 磁碟陰影複製服務。如果這個服務被停止,磁 碟陰影複製功能將無法用於備份,備份可能會 失敗。 </li>...
陰影複製 與文件版本回復
WebClient <ul><li>名稱 : WebClient (svchost.exe -k LocalService) </li></ul><ul><li>功能 : 啟用  Windows  為主的程式來建立,存取,以及 修改  Web ...
Windows Audio <ul><li>名稱 : AudioSrv (svchost.exe -k LocalService) </li></ul><ul><li>功能 : 管理  Windows  系統上的音訊裝置。如果這個服 務被停止,...
Windows Image Acquisition (WIA) <ul><li>名稱 : stisvc (svchost.exe -k imgsvc) </li></ul><ul><li>功能 : 為掃描器和數位相機提供影像擷取服務。如果 掃描...
Windows Installer <ul><li>名稱 : MSIServer (msiexec.exe /V) </li></ul><ul><li>功能 : 新增、修改以及移除以  Windows Installer (*.msi)  封裝...
Windows Management Instrumentation <ul><li>名稱 : winmgmt (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 提供被管理物件的公用介面及物件模型,...
Windows Management Instrumentation Driver Extensions <ul><li>名稱 : Wmi (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 監視、追...
Windows Time <ul><li>名稱 : W32Time (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 維護在網路上所有用戶端及伺服器的資料及時 間同步處理。如果這個服務停止,將無法進...
Windows Time  服務與  Win32Time  事件
WinHTTP Web Proxy Auto-Discovery Service <ul><li>名稱 : WinHttpAutoProxySvc  (svchost.exe -k LocalService) </li></ul><ul><li...
Wireless Configuration <ul><li>名稱 : WZCSVC (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 啟用  IEEE 802.11  介面卡自動設定。 </li>...
WMI Performance Adapter <ul><li>名稱 : WmiApSrv (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 提供來自  Windows Management Ins...
Workstation <ul><li>名稱 : lanmanworkstation (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 建立並維護到遠端伺服器的用戶端網路連線。 如果這個服務被停止,...
World Wide Web Publishing Service <ul><li>名稱 : W3SVC (svchost.exe -k iissvcs) </li></ul><ul><li>功能 : 建立並維護到遠端伺服器的用戶端網路連線。 ...
服務啟動順序 <ul><li>我們可以修改  Registry  來改變  Windows  服務的啟動順序 </li></ul><ul><ul><li>HKEY_LOCAL_MACHINE  SYSTEM   CurrentControlSe...
服務群組的啟動順序 <ul><li>服務群組的啟動順序 </li></ul><ul><ul><li>HKEY_LOCAL_MACHINE  SYSTEM  CurrentControlSet  Control  ServiceGroupOrde...
同服務群組中服務的啟動順序 <ul><li>服務群組的啟動順序 </li></ul><ul><ul><li>HKEY_LOCAL_MACHINE      SYSTEM      CurrentControlSet      Control  ...
sc  命令列程式 <ul><li>用途 : </li></ul><ul><ul><li>和服務控制管理員溝通 </li></ul></ul><ul><ul><li>查詢服務的狀態 </li></ul></ul><ul><ul><li>啟動、停...
使用  sc  命令列程式管理服務
修復主控台 <ul><li>使用時機 </li></ul><ul><ul><li>當  Windows  系統無法正常啟動,甚至連安全模式都無法啟動時,就可以使用命令列的修復主控台來進行系統修復。 </li></ul></ul><ul><li>...
修復主控台 <ul><li>列出所有服務及狀態 </li></ul><ul><ul><li>LISTSVC </li></ul></ul><ul><li>啟動服務 </li></ul><ul><ul><li>ENABLE </li></ul><...
修復主控台
什麼是  WMI ? WMI  是微軟實作  WBEM (Web Based Enterprise Management )  的開始 WMI  是  CIM (Common Information Model )  的延伸 WMI = Win...
WMI  架構 資料庫 應用程式 Web 瀏覽器 C/C++ 應用程式 ActiveX 控制項 ODBC WMI COM API Management Applications Scripts 1 .NET Framework .NET Fra...
WMI Adapters CIM.REP COM Providers Office ADSI client Scripting ODBC adapter SWBEM ADSI  Extension adapter Windows Managem...
如何啟動所有自動啟動的服務  ? <ul><li>Set objService = GetObject(&quot;winmgmts:&quot;) </li></ul><ul><li>Set colListOfServices = objSe...
如何啟動所有自動啟動的服務  ?
如何取得某服務的依存性  ? <ul><li>Set objService = GetObject(&quot;winmgmts:&quot;) </li></ul><ul><li>Set colListOfServices = objServ...
如何取得某服務的依存性  ?
如何即時得知服務的狀態改變  ? <ul><li>Set objService = GetObject(&quot;winmgmts:&quot; _ </li></ul><ul><li>& &quot;{impersonationLevel=...
如何即時得知服務的狀態改變  ?
總結 <ul><li>要管理好眾多的服務,您必須 … </li></ul><ul><ul><li>要了解每一個服務之間的相依性 </li></ul></ul><ul><ul><li>適當調整服務的啟動順序 </li></ul></ul><ul>...
© 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes n...
Upcoming SlideShare
Loading in …5
×

深入研究 Windows 系統服務 效能調校與故障排除

10,754 views
10,523 views

Published on

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
10,754
On SlideShare
0
From Embeds
0
Number of Embeds
36
Actions
Shares
0
Downloads
128
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide
  • 深入研究 Windows 系統服務 效能調校與故障排除

    1. 1. 深入研究 Windows 系統服務 效能調校與故障排除 曹祖聖 台灣微軟資深講師 MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT
    2. 2. 講師簡介 How am I ? <ul><li>姓名:曹祖聖 Jimy Cao </li></ul><ul><li>郵件: [email_address] </li></ul><ul><li>證照: MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT </li></ul><ul><li>現任: </li></ul><ul><ul><li>台灣微軟資深講師 </li></ul></ul><ul><ul><li>巨匠電腦講師 </li></ul></ul><ul><ul><li>聖擎科技股份有限公司軟體總技術長 </li></ul></ul><ul><ul><li>光明頂軟體股份有限公司研發顧問 </li></ul></ul><ul><ul><li>行動智慧股份有限公司技術顧問 </li></ul></ul><ul><ul><li>凌天科技有限公司技術顧問 </li></ul></ul><ul><ul><li>專業電腦圖書作家 </li></ul></ul><ul><ul><li>電腦雜誌專欄作家 </li></ul></ul>
    3. 3. 講師簡介 How am I ? <ul><li>經歷: </li></ul><ul><ul><li>華彩教育訓練中心、資策會教育訓練中心講師 </li></ul></ul><ul><ul><li>巨匠電腦認證中心兼任講師、專任講師、顧問講師 </li></ul></ul><ul><ul><li>微軟 TechEd 2000 、 2001 、 2002 、 2003 、 2004 研討會講師 (8 場 ) </li></ul></ul><ul><ul><li>微軟 PDC 2002 研討會講師 (2 場 ) </li></ul></ul><ul><ul><li>微軟 Windows 2000 實力札根研討會講師 (2 場 ) </li></ul></ul><ul><ul><li>微軟 DevCon 專業 .NET 開發技術研討會講師 (8 場 ) </li></ul></ul><ul><ul><li>微軟 Visual Studio .NET 中文版上市發表會 ( 全省巡迴 4 場 ) </li></ul></ul><ul><ul><li>微軟 Windows Server 2003 中文版上市發表會 ( 全省巡迴 4 場 ) </li></ul></ul><ul><ul><li>微軟 Office 2003 中文版上市發表會 ( 全省巡迴 4 場 ) </li></ul></ul><ul><ul><li>微軟 2003 ISV Training 、 Smart Client ISV Training 講師 </li></ul></ul><ul><ul><li>Windows XP Service Pack 應用程式相容性研討會講師 (10 場 ) </li></ul></ul><ul><ul><li>第一屆認證博覽會講師、巨匠精英展望會講師 ( 全省巡迴 3 場 ) </li></ul></ul><ul><ul><li>東海、成功、淡江 … 等大專院校資訊技能生涯規劃講座講師 </li></ul></ul><ul><ul><li>大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問 </li></ul></ul>
    4. 4. <ul><li>系統服務的功能介紹 </li></ul><ul><li>系統服務依存性 </li></ul><ul><li>系統服務啟動順序修改 </li></ul><ul><li>系統服務資源競爭問題處理 </li></ul><ul><li>系統服務啟動失敗時的自動修復 </li></ul><ul><li>如何使用 Recovery Console 修復系統服務 </li></ul><ul><li>運用 WMI script 進行系統服務監控與管理 </li></ul>大綱
    5. 5. Windows 系統服務 <ul><li>Windows 系統 服務由 3 個部分組成 : </li></ul><ul><ul><li>服務應用程式 : 服務程式本身,包含一個或多個服務 </li></ul></ul><ul><ul><li>服務控制管理器 : 維護著 Registry 中的服務資料 </li></ul></ul><ul><ul><li>服務控制程式 : 控制服務應用程式的模組,是控制服 務應用程式與服務管理器之間的橋樑 </li></ul></ul>
    6. 6. Windows 系統服務 <ul><li>Windows 系統服務 的啟動方式 : </li></ul><ul><ul><li>自動 – Windows 啟動時自動載入服務 </li></ul></ul><ul><ul><li>手動 – Windows 啟動時不自動載入服務, 在需要的時候 手動開啟 </li></ul></ul><ul><ul><li>停用 – Windows 啟動的時候不自動載入服務,在需要的 時候選擇手動或者自動方式開啟服務,並重新啟 動電腦完成服務的配置 </li></ul></ul>
    7. 7. Windows 系統服務 <ul><li>機碼設定 </li></ul><ul><ul><li>HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Service s </li></ul></ul><ul><ul><li>每一個服務都有一個 Start 數值 ,該數值內容所記錄的就是服務該在何時該被載入 </li></ul></ul>停用 手動 自動載入 系統服務 開機啟動 說明 4 3 2 1 0 Start 值
    8. 8. 服務啟動帳戶與系統安全 <ul><li>服務啟動帳戶的選擇 : </li></ul><ul><ul><li>本機系統帳戶 </li></ul></ul><ul><ul><ul><li>Local System </li></ul></ul></ul><ul><ul><li>服務帳戶 </li></ul></ul><ul><ul><ul><li>例如 : NETWORK SERVICE </li></ul></ul></ul><ul><ul><li>使用者帳戶 </li></ul></ul><ul><ul><ul><li>例如 : Administrator </li></ul></ul></ul><ul><li>服務啟動帳戶必須具備有「以服務方式登入 (logon as service) 」的權力 </li></ul><ul><li>注意緩衝區溢位的安全問題 ! </li></ul>
    9. 9. 什麼是緩衝區溢位 ? <ul><li>攻擊者傳送超過緩衝區大小且包含惡意程式碼的訊息 </li></ul><ul><li>訊息中的惡意程式碼剛好覆蓋掉原本要執行的程式碼 </li></ul><ul><li>如果這個服務啟動帳戶具有足夠權限,惡意程式碼就具有同等權限,可以進行下一步攻擊與破壞 </li></ul>堆疊 惡意程式碼 執行 訊息進入 預設的 資料緩衝區 呼叫端資料暫存區 函數參數 函數返回位址 區域指標 例外處理區 超過緩衝區的資料 ( 惡意程式碼 )
    10. 10. 服務啟動失敗的處理
    11. 11. Windows 系統啟動流程 ( 一 ) BIOS 載入 MBR 並執行, MBR 會尋找開機磁區 1 開機磁區載入並執行作業系統的第一個檔案 NTLDR 2 NTLDR 將系統切換到 32 位元保護模式 3 NTLDR 讀取 boot.ini 顯示開機選單 4 NTLDR 將系統切換回 16 位元真實模式,然後執行 ntdetect.com 偵測硬體 5 NTLDR 讀取 NTDETECT 偵測到的硬體資訊 6 NTLDR 將系統切換到 32 位元保護模式 7 NTLDR 啟動 NTOSKRNL.EXE 8
    12. 12. Windows Server 架構 Executive Services API I/O System Security Monitor Processes/ Threads Object Services Memory Mgmt Win32 GDI Exec. RTL Device Drivers Hardware Abstraction Layer (HAL) Kernel Object Management File Systems I/O Devices DMA/Bus Control Cache Control Clocks/ Timers Privileged Architecture Interrupt Dispatch System Processes Services User Apps Environment Subsystems Subsystem DLL Interface DLL Session Mgr WinLogon Replicator Alerter Event Log Win32 POSIX OS/2 Registry User Kernel
    13. 13. Windows Server 架構 Executive Services API I/O System Security Monitor Processes/ Threads Object Services Memory Mgmt Win32 GDI Exec. RTL Device Drivers Hardware Abstraction Layer (HAL) Kernel Object Management File Systems I/O Devices DMA/Bus Control Cache Control Clocks/ Timers Privileged Architecture Interrupt Dispatch System Processes Services User Apps Environment Subsystems Subsystem DLL Interface DLL Session Mgr WinLogon Replicator Alerter Event Log Win32 POSIX OS/2 NTOSKRNL.EXE User Kernel
    14. 14. Windows 系統啟動流程 ( 二 ) <ul><li>基本的系統啟動過程 </li></ul><ul><ul><li>smss.exe Session Manager 系統第一個建立的行程 負責啟動 csrss.exe 與 winlogon.exe </li></ul></ul><ul><ul><li>csrss.exe Win32 子系統 </li></ul></ul><ul><ul><li>winlogon.exe 登入行程 : 啟動 services.exe & lsass.exe; 顯示登入畫面,當使用者登入時, 執行 userinit.exe </li></ul></ul><ul><ul><li>services.exe 服務控制器,負責啟動 / 停止系統服務, 大部份的系統服務都是由 svchost.exe 提供 </li></ul></ul>
    15. 15. Windows 系統啟動流程 ( 二 ) <ul><li>基本的系統啟動過程 </li></ul><ul><ul><li>lsass.exe Local Security Authentication (LSA) Server , 管理 IPSec Policy 以及啟動 ISAKMP/Oakley (IKE) 、 IPSec 驅動程式、 HTTP SSL 、 Net Logon 、…。 ( 系統服務 ) </li></ul></ul><ul><ul><li>svchost.exe 包含很多系統服務 </li></ul></ul><ul><ul><li>userinit.exe 負責啟動 explorer.exe </li></ul></ul><ul><ul><li>explorer.exe 桌面 </li></ul></ul><ul><ul><li>internat.exe 輸入法 </li></ul></ul>
    16. 16. 工作管理員
    17. 17. Alerter 服務 <ul><li>名稱 : Alerter ( svchost.exe -k LocalService) </li></ul><ul><li>功能 : 接收系統管理警示訊息,如果停止這個服務, 主機將收不到任何系統管理警示。 </li></ul><ul><li>依存 : Workstation </li></ul><ul><li>建議 : 一般用戶端並不需要傳送或接收系統管理警示 ,因此建議停用,但是網管人員所使用的工作 站、以及伺服器則應該自動啟動這個服務。 </li></ul>
    18. 18. Application Layer Gateway Service <ul><li>名稱 : ALG (alg.exe) </li></ul><ul><li>功能 : 提供應用程式層級通訊協定外掛程式的支援, 以及啟用網路 / 通訊協定連線能力。 </li></ul><ul><li>依存 : Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS) </li></ul><ul><li>建議 : 如果你不使用網際網路連線分享 (ICS) 和網際 網路連線防火牆 (ICF) ,那麼這個服務可以停用 </li></ul>
    19. 19. Application Management <ul><li>服務 : AppMgmt (vchost.exe -k netsvcs) </li></ul><ul><li>功能 : 為 Active Directory IntelliMirror 群組原則程式 處理安裝、移除、以及列舉的要求。 ( 處理 msi 檔格式的軟體安裝、刪除、修改、 修復、監視…等等功能 ) </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 手動啟動 </li></ul>
    20. 20. ASP.NET Admin Service <ul><li>服務 : aspnet_admin (aspnet_admin.exe) </li></ul><ul><li>功能 : 提供設定 ASP .NET 應用程式組態與管理功能。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果伺服器上有 ASP .NET Web 應用程式要執行,就設定成自動啟動。 </li></ul></ul><ul><ul><li>否則停用。 </li></ul></ul>
    21. 21. ASP.NET State Service <ul><li>服務 : aspnet_state (aspnet_state.exe) </li></ul><ul><li>功能 : 以行程外 (out-of-process) 的方式儲存、管理 ASP .NET 的 Session 狀態。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果 ASP .NET 應用程式的 web.config 設定檔中有以下設定 ,則要 10.20.30.40 這部主機的這個服務要設定自動啟動 <sessionState mode=&quot;StateServer&quot; stateConnectionString=&quot;tcpip=10.20.30.40:42424&quot; /> </li></ul></ul><ul><ul><li>通常應用在 Web Farms 的環境下。 </li></ul></ul>
    22. 22. 更改 ASP .NET State Service 的連接埠號碼
    23. 23. Automatic Updates <ul><li>服務 : wuauserv (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 啟用重要 Windows 更新的下載及安裝。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 自動啟動 </li></ul><ul><ul><li>如果架設有 SUS 伺服器,這 個服務會自動向 SUS 取得最 新的 Windows 更新。 </li></ul></ul><ul><ul><li>個人用戶應該啟動這個服務 ,自動向 Windows Update 下 載 Windows 重要更新。 </li></ul></ul>
    24. 24. Background Intelligent Transfer Service <ul><li>服務 : BITS (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : </li></ul><ul><ul><li>背景傳輸資料 </li></ul></ul><ul><ul><li>支援續傳 </li></ul></ul><ul><ul><li>支援工作排程 </li></ul></ul><ul><ul><li>可以透過 HTTP 1.1 及 HTTPS (SSL) 傳輸資料 </li></ul></ul><ul><ul><li>依照工作的指定優先權來傳輸資料 </li></ul></ul><ul><ul><li>使用閒置頻寬來傳輸資料 </li></ul></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動啟動 </li></ul><ul><ul><li>如果有使用 Windows Update 或 Automatic Updates , 就該啟動這個服務。 </li></ul></ul>
    25. 25. Background Intelligent Transfer Service 5. 等待或取得工作 BITS 1. 建立工作 2. 加入檔案 工作包含來源與 目的檔案的資訊 3. 設定通知 4. 繼續工作 ( 續傳 ) 開始傳輸 結束傳輸 6. 通知工作已完成 7. 工作結束,從 BITS 佇列中移除 * 通知並不是必要的,應用程式可以不斷的取得工作狀態,來判斷工作是否結束。 應用程式 工作 1 工作 1 工作 1 工作 1 伺服器
    26. 26. BITS 伺服器延伸設定
    27. 27. Certificate Services <ul><li>服務 : CertSvc (certsrv.exe) </li></ul><ul><li>功能 : 建立、管理、並移除如 S/MIME 及 SSL 等應用 程式的 X.509 憑證。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : </li></ul><ul><ul><li>除非這部主機擔任 CA 角色,否則不要啟動這個服務。 </li></ul></ul>
    28. 28. ClipBook <ul><li>名稱 : ClipSrv (clipsrv.exe) </li></ul><ul><li>功能 : 啟用剪貼簿檢視器以儲存資訊並與遠端電腦 共用。如果這個服務被停止,剪貼簿檢視器 將無法與遠端電腦共用資訊。 </li></ul><ul><li>依存 : Network DDE </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>ClipBook 跟 Clipboard 是不一樣的東西 ! </li></ul></ul>
    29. 29. COM+ Event System <ul><li>名稱 : EventSystem (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 支援 System Event Notification Service (SENS) , 它可讓事件自動分散到訂閱的 COM 元件。 如果服務 被停止, SENS 會關閉,並無法提供 登入及登 出通知。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul>
    30. 30. COM+ System Application <ul><li>名稱 : COMSysApp (dllhost.exe /Processid: {02D4B3F1-FD88-11D1-960D-00805FC79235}) </li></ul><ul><li>功能 : 管理 COM+ 元件的設定及追蹤。如果停止此 服務,大部分的 COM+ 元件將無法適當運作。 </li></ul><ul><li>依存 : COM+ Event System Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul>
    31. 31. COM+ 應用程式管理介面
    32. 32. Computer Browser <ul><li>名稱 : Browser (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 維護網路上更新的電腦清單,並將這個清單 提供給做為瀏覽器的電腦。如果這個服務被 停止,這個清單將不會被更新或維護。 </li></ul><ul><li>依存 : Server 、 Workstation </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>在 Windows 2000 以後的 Active Diectory 環境下,可以透過 DNS 和 AD 搜尋來進行主機的名稱解析,因此建議停用這 服務。 </li></ul></ul><ul><ul><li>如果是 Windows NT 的網域,則應該啟用這個服務。 </li></ul></ul>
    33. 33. Computer Browser 機制 ( 一 ) <ul><li>在網路中有以下幾種不同角色的 Browser </li></ul><ul><ul><li>Domain Master Browser </li></ul></ul><ul><ul><ul><li>當網路中有 Windows 網域時,每個網域中都會有唯一部的 Domain Master Browser ,在 NT 網域中是由 PDC 擔任、在 AD 中則是由具有 PDC Emulator 這個 Operation Master Role 的 DC 擔任 </li></ul></ul></ul><ul><ul><ul><li>Domain Master Browser 會記錄一份 Browse List ( 內含網域中所有的線上的電腦 ) 、以及其它網域或工作群組的名稱,這一份清單會複製給其它子網路上的 Master Browser ,並合併至它們的 Browse List 中 </li></ul></ul></ul><ul><ul><li>Master Browser </li></ul></ul><ul><ul><ul><li>每一個子網路中只會有一部開機的電腦是 Master Browser </li></ul></ul></ul><ul><ul><ul><li>在這部電腦 的記憶體中有一份 Backup Browsers List ,用來記錄這個子網路中有那 些電腦正扮演 Backup Browser 的角色 </li></ul></ul></ul><ul><ul><ul><li>另外還有一份 Browse List ,用來記錄這個網路中有那些電腦正在線上,並會將這份清單複製給 Backup Browsers </li></ul></ul></ul>
    34. 34. Computer Browser 機制 ( 一 ) <ul><li>在網路中有以下幾種不同角色的 Browser </li></ul><ul><ul><li>Backup Browser </li></ul></ul><ul><ul><ul><li>每一個子網路中有至少一部以上的 Backup Browser ,網路中每超過 32 部主機以上就會多一部 Backup Browser </li></ul></ul></ul><ul><ul><ul><li>在這些 Backup Browser 電腦的記憶體中有一份 Browse List ,記錄了網路中有那些電腦正在線上 </li></ul></ul></ul><ul><ul><li>Potential Browser </li></ul></ul><ul><ul><ul><li>每一個子網路中可以有一部以上的 Potential Browser </li></ul></ul></ul><ul><ul><ul><li>這些電腦平時並 沒有什麼作用,但是當 Backup Browser 掛掉時,可以昇級為 Backup Browser </li></ul></ul></ul><ul><ul><li>Client </li></ul></ul><ul><ul><ul><li>使用網路上的芳鄰提出要求,取得網路電腦清單的用戶端 </li></ul></ul></ul>
    35. 35. Computer Browser 機制 ( 二 ) <ul><li>當一部電腦開機完成時 : </li></ul><ul><ul><li>廣播自己的電腦名稱、群組名稱或網域名稱、 IP </li></ul></ul><ul><ul><li>Master Browser 收到這廣播之後,會將該電腦的資料加入 Browse List 中,供其它電腦查詢,並且會將這份清單複製給 Backup Browsers </li></ul></ul><ul><ul><li>開機後每隔 4, 8, 12, 12, 12, … 分鐘,還會再再行廣播註冊一次 </li></ul></ul><ul><li>當一部電腦關機時 : </li></ul><ul><ul><li>廣播自己的電腦名稱、群組名稱或網域名稱、 IP </li></ul></ul><ul><ul><li>Master Browser 收到這廣播之後,會將該電腦的資料從 Browse List 中移除,表示該電腦已經不在線上了 </li></ul></ul><ul><ul><li>並且會將這份清單複製給 Backup Browsers </li></ul></ul>
    36. 36. Computer Browser 機制 ( 三 ) <ul><li>當一部 client 端電腦打開網路上的芳鄰時 : </li></ul><ul><ul><li>該電腦會發出廣播,尋找該子網路中的 Master Browser </li></ul></ul><ul><ul><li>Master Browser 收到廣播後,會回應 client 端 </li></ul></ul><ul><ul><li>client 端電腦向 Master Browser 發出「取得 Backup Browsers List 」要求 </li></ul></ul><ul><ul><li>Master Browser 收到要求後,將 Backup Browsers List 送給 client 端 </li></ul></ul><ul><ul><li>client 端從 Backup Browsers List 中選取一部 Backup Browser </li></ul></ul><ul><ul><li>client 端電腦向 Backup Browser 發出「取得 Browse List 」要求 </li></ul></ul><ul><ul><li>Backup Browser 收到要求後,將 Browse List 送給 client 端 </li></ul></ul><ul><ul><li>client 端收到 Browse List 之後,畫面上就出現一堆電腦的圖示與名稱 </li></ul></ul><ul><li>當一部 client 端電腦在網路芳鄰中打開某一個電腦圖示時 : </li></ul><ul><ul><li>client 端向該電腦發出「取得 Shares List 」要求 </li></ul></ul><ul><ul><li>該電腦到到要求之後,將 Shares List 回傳給 client 端,這 Shares List 中包含了所有分享的資料夾 </li></ul></ul><ul><ul><li>client 端收到 shares List 之後,畫面上就出現一堆分享的資料夾圖示 </li></ul></ul>
    37. 37. Computer Browser 機制 ( 四 ) <ul><li>為什麼明明電腦已經開了,別人卻無法在網路芳鄰中看到? </li></ul><ul><ul><li>那是因為電腦開機時的廣播, Master Browser 沒處理,所以在 Browse List 中自然就不會有該部電腦的資料, clinet 端自然查不到了 </li></ul></ul><ul><ul><li>&quot; 理論 &quot; 上最晚在 48 分鐘後一定得到 </li></ul></ul><ul><li>明明電腦已經關閉,別人卻還可以在網路芳鄰中看到? </li></ul><ul><ul><li>那是因為電腦關機時的廣播, Master Browser 沒處理,所以在 Browse List 中該部電腦的資料沒移除, clinet 端自然還會看到 </li></ul></ul><ul><ul><li>&quot; 理論 &quot; 上最晚在 72 分鐘後從清單中移除 </li></ul></ul>
    38. 38. Computer Browser 機制 ( 五 ) <ul><li>為什麼打開網路芳鄰時,會等粉久? ( 一支手電筒在那裡照來照去 ) </li></ul><ul><ul><li>那是因為 Master Browser 或 Backup Browser 掛掉了,所以在 client 廣播尋找 Master Browser 時,或者向 Backup Browser 要求資料時,得不到回應 </li></ul></ul><ul><ul><li>這時候 client 端會發出 vote ( 投票 ) 廣播,要求由 Backup Browsers 中選出一個擔任新任的 Master Browser ,並且從 Protential Browsers 中選出一個擔任新任的 Backup Browser ,所以會等很久 </li></ul></ul><ul><li>選舉的規則如下: </li></ul><ul><ul><li>新的作業系統優先,例如 Windows 2000 比 Windows NT 優先當選 </li></ul></ul><ul><ul><li>如果作業系統相同,則比較版本,例如 NT 4.0 > NT 3.51 </li></ul></ul><ul><ul><li>如果版本相同,則比較修正版,例如 SP2 > SP1 </li></ul></ul><ul><ul><li>如果修正版也相同,就比較誰比較先開機。 </li></ul></ul>
    39. 39. 如何自訂 Browser 角色 ? <ul><li>修改 Registry </li></ul><ul><ul><li>HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Browser Parameters </li></ul></ul><ul><ul><li>IsDomainMaster </li></ul></ul><ul><ul><ul><li>設成 Yes / True / 1 ( 三者其一 ) 表示優先當選 Master Browser </li></ul></ul></ul><ul><ul><ul><li>設成 No / False / 0 ( 三者其一 ) 表示棄權不參選 Master Browser ,最多做 Backup Browser </li></ul></ul></ul><ul><ul><li>MaintainServerList </li></ul></ul><ul><ul><ul><li>設成 NO 表示棄權不參選 Backup Browser </li></ul></ul></ul><ul><ul><ul><li>設成 YES 表示優先當選 Backup Browser </li></ul></ul></ul><ul><ul><ul><li>設成 AUTO 表示參選 Backup Browser ( 預設 ) </li></ul></ul></ul>
    40. 40. 如何隱藏電腦 ? <ul><li>修改 Registry </li></ul><ul><ul><li>HKEY_LOCAL_MACHINE System CurrentControlSet Services LanmanServer Parameters </li></ul></ul><ul><ul><li>Hidden (REG_DWORD) = 1 </li></ul></ul><ul><li>命令列 </li></ul><ul><ul><li>net config server /hidden:yes </li></ul></ul>
    41. 41. 如何跨子網路瀏覽電腦 ? <ul><li>問題 : </li></ul><ul><ul><li>如果 Master Browser 或 Backup Browser 剛好就是兩個子網路之間的路由器,那麼這部電腦不就會記錄兩個子網路的 Backup Browsers List 或 Computers List , 那 client 端可以在網路芳鄰中看到另一個子網路中的電腦嗎 ? </li></ul></ul><ul><li>答案是 : 不行 ! </li></ul><ul><ul><li>因為 Backup Browsers List 與 Computers List 是與網路卡相依的資料, 也就是在路由器不同網路介面卡所接收到的 List 存取要求, 都只會回應屬於該子網路的 List </li></ul></ul><ul><li>解決方式 : </li></ul><ul><ul><li>透過 DC 的 Domain Master Browser ,以及 WINS 協助 </li></ul></ul><ul><ul><li>使用 Active Directory </li></ul></ul>
    42. 42. Cryptographic Services <ul><li>名稱 : CryptSvc (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 提供三個管理服務 : </li></ul><ul><ul><li>確認 Windows 檔案簽章 </li></ul></ul><ul><ul><li>新增及移除受信任根憑證授權憑證 </li></ul></ul><ul><ul><li>協助註冊取得這個電腦的憑證 </li></ul></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 自動啟動 </li></ul><ul><ul><li>當安裝驅動程式時,會用這個服務來確認數位簽章,尤其是當透過 Windows Update 或 Automatic Update 下載新的驅動程式安裝時。 </li></ul></ul>
    43. 43. DHCP Client <ul><li>名稱 : Dhcp (svchost.exe -k NetworkService) </li></ul><ul><li>功能 : 為這個電腦登錄及更新 IP 位址和 DNS 記錄。 如果這個服務被停止,這個電腦將會不接收 動態 IP 位址和 DNS 更新。 </li></ul><ul><li>依存 : AFD 網路支援環境 TCP/IP Protocol Driver </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>當主機需要自動取得 IP 和進行 DNS 動態更新就需要,例如啟動了 Internet Connection Sharing (ICS) 、在 AD 環境中的用戶端。 </li></ul></ul><ul><ul><li>如果主機是靜態 IP 位址,就可以停用這個服務。 </li></ul></ul>
    44. 44. Distributed File System <ul><li>名稱 : Dfs (Dfssvc.exe) </li></ul><ul><li>功能 : 將分散檔案共用整合成單一的邏輯名稱區, 管理分散於本機或廣域網路的邏輯磁碟區。 </li></ul><ul><li>依存 : Dfs Driver 、 Mup Security Account Manager Server 、 Workstation </li></ul><ul><li>建議 : </li></ul><ul><ul><li>在 DFS 根目錄所在的主機上要啟動這個服務 </li></ul></ul><ul><ul><li>其餘主機則停用這個服務 </li></ul></ul>
    45. 45. Distributed Link Tracking Client <ul><li>名稱 : TrkWks (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 讓用戶端程式能夠追蹤檔案連結,不論是從 NTFS 磁碟區移動到相同電腦中另一個 NTFS 磁碟區,或者移動到另一個電腦的 NTFS 磁 碟區。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 自動啟動 </li></ul><ul><ul><li>才可以在檔案搬移後,讓所屬的檔案捷徑都可以自動更新 </li></ul></ul><ul><ul><li>請參閱 MSDN 中的 IShellLink 與 IOleLink 介面說明 </li></ul></ul>
    46. 46. Distributed Link Tracking Server <ul><li>名稱 : TrkSvr (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 啟用相同網域內的分散式連結追蹤用戶端服務 ,提供對相同網域內的 NTFS 檔案連結更可靠 及更有效的維護。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果是在網域環境之下,建議在網域控制站上啟用這個服務,以提供網域成員追蹤跨電腦的 NTFS 檔案連結 </li></ul></ul>
    47. 47. Distributed Link Tracking
    48. 48. DirectX Debug Service <ul><li>名稱 : DXDebug (DXDebugService.exe) </li></ul><ul><li>功能 : 支援 DirectX 應用程式的偵錯 </li></ul><ul><li>依存 : Machine Debug Manager </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>如果您有安裝偵錯版的 DirectX SDK ,那麼可以透過這個服務進行 DirectX 應用程式的偵錯。 </li></ul></ul><ul><ul><li>如果只是拿來玩 DirectX 遊戲,就不用啟動這個服務。 </li></ul></ul>
    49. 49. Distributed Transaction Coordinator <ul><li>名稱 : MSDTC (msdtc.exe) </li></ul><ul><li>功能 : 協調跨越多個資源管理員的交易,例如資料庫 、訊息佇列及檔案系統。如果此服務被停止, 這些交易將不會發生。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) Security Account Manager </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>如果主機上的 SQL Server 或 Message Queue 要和其它主機進行分散式交易,則要啟動這個服務。 </li></ul></ul>
    50. 50. Distributed Transaction Coordinator
    51. 51. DNS Client <ul><li>名稱 : Dnscache (svchost.exe -k NetworkService) </li></ul><ul><li>功能 : 讓主機將解析出來的 DNS 名稱快取下來。如果 這個服務被停止,這台電腦將進行 DNS 快取。 </li></ul><ul><li>依存 : TCP/IP Protocol Driver </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>啟用 DNS 快取可以增進效能 </li></ul></ul><ul><ul><li>清除快取 : ipconfig /flushdns </li></ul></ul><ul><ul><li>顯示快取 : ipconfig /displaydns </li></ul></ul>
    52. 52. DNS Client 服務
    53. 53. Error Reporting Service <ul><li>名稱 : ERSvc (svchost.exe -k WinErr) </li></ul><ul><li>功能 : 蒐集、儲存、以及報告非預期的應用程式當機 事件給 Microsoft 。如果這個服務被停止,將只 會報告核心錯誤和某些類的使用者模式錯誤。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>如果您希望能夠協助微軟改善產品的話,就啟動它  </li></ul></ul>
    54. 54. Windows 錯誤報告
    55. 55. Event Log <ul><li>名稱 : Eventlog (services.exe) </li></ul><ul><li>功能 : 啟用 Windows 為主的程式和元件所發出的事件 日誌訊息可以在事件檢視器中檢視。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>尤其是在伺服器上,透過事件日誌可以了解伺服器的狀況 </li></ul></ul>
    56. 56. File Replication <ul><li>名稱 : NtFrs (ntfrs.exe) </li></ul><ul><li>功能 : 允許檔案在多個伺服器上進行自動複製及同步 。如果這個服務被停止,檔案複寫將不會發生 ,伺服器之間將無法同步處理檔案。 </li></ul><ul><li>依存 : COM+ Event System Event Log Remote Procedure Call (RPC) </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果是網域控制站,則一定要啟動,才能正常的和其它網域控制站進行群組原則的複寫與同步 ! </li></ul></ul><ul><ul><li>其它主機則建議停用。 </li></ul></ul>
    57. 57. Help and Support <ul><li>名稱 : helpsvc (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 讓說明及支援中心能夠在這台電腦上執行。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>如果您不需要使用說明及支援中心來查詢說明,那麼可以停用它,以取得更多的可用系統記憶體。 </li></ul></ul>
    58. 58. HID Input Service <ul><li>名稱 : HidServ (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 讓啟用對人體工學介面裝置 (HID) 的通用輸入 存取,包含 : 鍵盤、遠端控制、以及其他多媒 體裝置上事先定義的快捷鍵與快捷鈕的使用。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>如果系統沒有連接與使用任何 HID 裝置,就不需要這個服務。 </li></ul></ul>
    59. 59. HTTP SSL <ul><li>名稱 : HTTPFilter (lsass.exe) </li></ul><ul><li>功能 : 處理 IIS 的 Secure Socket Layer (SSL) 功能,讓 Web 站台或虛擬目錄可以使用 HTTPS 通訊協定 進行安全存取。 </li></ul><ul><li>依存 : HTTP IIS Admin Service </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果您的 IIS 伺服器有加上網站或虛擬目錄的 SSL 加密,那麼就要啟動這個服務。 </li></ul></ul>
    60. 60. IIS Admin Service <ul><li>名稱 : IISADMIN (inetinfo.exe) </li></ul><ul><li>功能 : 用來管理 WWW 、 FTP 、 NNTP 、 SMTP 服務。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) Security Account Manager </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果您的伺服器有要執行 WWW 、 FTP 、 NNTP 、 SMTP 其中一個以上的服務時,就必須啟動這個服務。 </li></ul></ul>
    61. 61. IMAPI CD-Burning COM Service <ul><li>名稱 : ImapiService (imapi.exe) </li></ul><ul><li>功能 : 使用 Image Mastering Applications Programming Interface (IMAPI) 來管理光碟錄製。如果這個服 務被停止,這個電腦將無法錄製光碟。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果您要使用 Windows 所提供的光碟燒錄功能,則啟動這個服務。 </li></ul></ul><ul><ul><li>如果您是使用 3rd 燒錄軟體,例如 : Nero 、 Alcohol ,就不用啟動這個服務。 </li></ul></ul>
    62. 62. Indexing Service <ul><li>名稱 : CiSvc (cisvc.exe) </li></ul><ul><li>功能 : 管理本機和遠端電腦檔案的索引內容,讓檔案 搜尋更為快速。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>如果經常使用 Windows 的 搜尋功能來搜尋檔案,就 應該啟動這個服務。 </li></ul></ul><ul><ul><li>不啟動這個服務還是可以 搜尋檔案,只是由於沒有 索引,搜尋效率會變差。 </li></ul></ul>
    63. 63. Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) <ul><li>名稱 : SharedAccess (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 提供簡單的位址轉譯、名稱解析服務、以及 小型防火牆服務。 </li></ul><ul><li>依存 : Application Layer Gateway Service Network Connections Network Location Awareness (NLA) Remote Access Connection Manager </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>所有主機都應該至少啟動 ICF ,以確保主機安全 </li></ul></ul><ul><ul><li>Windows XP SP2 、 Windows Server 2003 SP1 以後的作業系統則改用 Microsoft Firewall </li></ul></ul>
    64. 64. Intersite Messaging <ul><li>名稱 : IsmServ (ismserv.exe) </li></ul><ul><li>功能 : 讓網域控制站可以跨站台進行訊息交換。 </li></ul><ul><li>依存 : Security Account Manager </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果 Active Directory 實體架構中有設定兩個以上的站台時,就應該在擔任 ISTG (InterSite Topology Generator) 角色的網域控制站 ( 也就是所謂的 bridge head server) 上啟動這個服務,以進行站台之間的複寫拓樸建置。 </li></ul></ul><ul><ul><li>因此,除非您有特別指定 bridge head server ,否則應該在多站台環境下啟動每一部網域控制站上的這個服務。 </li></ul></ul>
    65. 65. 什麼是 Intersite Topology Generator ? IP Subnet A1 A2 Bridgehead Server Replication B2 Bridgehead Server B1 Replication IP Subnet IP Subnet Replication IP Subnet Intersite Topology Generator Intersite topology generator (ISTG) 用來定義跨站台的複寫
    66. 66. 如何指定 bridge head server
    67. 67. IPSEC Services <ul><li>名稱 : PolicyAgent (lsass.exe) </li></ul><ul><li>功能 : 提供 TCP/IP 網路上用戶端和伺服器間端點到 端點的安全性。 </li></ul><ul><li>依存 : IPSec Driver Remote Procedure Call (RPC) TCP/IP Protocol Driver </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果主機有套用 IP 安全性原則、或者使用 L2TP 通道通訊協定的 VPN 連線,就需要啟動這個服務。 </li></ul></ul>
    68. 68. Kerberos Key Distribution Center <ul><li>名稱 : kdc (lsass.exe) </li></ul><ul><li>功能 : 這個服務讓使用者能夠使用 Kerberos 驗證通訊 協定來登入網域。如果這個服務在網域控制站 上被停止,使用者將無法登入網域。 </li></ul><ul><li>依存 : AFD 網路支援環境 Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>網域控制站上一定要啟動這個服務 ! </li></ul></ul><ul><ul><li>同網域與跨網域進行使用者身份驗證時,都需要這個服務 </li></ul></ul>
    69. 69. 用戶端如何找到 KDC ?
    70. 70. 使用者登入處理程序 Local Security Subsystem 使用者登入 帳號 / 密碼 / 網域 1 Local Security Subsystem 向 DC 申請使用者的 Session Ticket 2 Local Security Subsystem 再向 DC 申請 Workstation Ticket 3 1 Kerberos Service Domain Controller GC Server Ticket 2 Ticket 3 Ticket 4 Access Token 6 建立 Access Token 5 DC 上的 Kerberos Service 將 Workstation Ticket 傳回給用戶端 4 Local Security Subsystem 產生出 Access Token 5 使用者使用 Access Token 來產生後續的 Process 6
    71. 71. 跨網域存取資源 Forest trust Global catalog Global catalog Seattle vancouver.nwtraders.msft seattle.contoso.msft Vancouver Forest 1 Forest 2 nwtraders.msft contoso.msft 2 4 6 1 3 5 7 8 9
    72. 72. License Logging <ul><li>名稱 : LicenseService (llssrv.exe) </li></ul><ul><li>功能 : 為作業系統的服務 ( 例如 IIS 、 Terminal Server 和 File/Print) 及作業系統以外的產品 ( 例如 SQL 和 Exchange Server) 監視並記錄用戶端存取授 權。如果服務停止的話,授權將被強制執行, 但不會被監視。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果您需要管理掌控公司使用微軟產品的授權狀況,就需要架設一部 License Server 。 </li></ul></ul>
    73. 73. Logical Disk Manager <ul><li>名稱 : dmserver (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 偵測及監視磁碟上的邏輯磁碟狀態。 </li></ul><ul><li>依存 : Plug and Play Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>當主機接上或移除磁碟時,會透過這個服務來自動偵測。 </li></ul></ul>
    74. 74. Logical Disk Manager Administrative Service <ul><li>名稱 : dmadmin (dmadmin.exe /com) </li></ul><ul><li>功能 : 設定硬碟磁碟及磁碟區,服務只執行設定程序 之後就停止。 </li></ul><ul><li>依存 : Logical disk Manager Plug and Play Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>啟動磁碟管理工具時才需要用到。 </li></ul></ul>
    75. 75. Machine Debug Manager <ul><li>名稱 : MDM (mdm.exe) </li></ul><ul><li>功能 : 支援 Visual Studio 本機和遠端偵錯 managed codes (assembly) 以及指令碼偵錯工具。如果 停止這項服務,偵錯工具將無法正常運作。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : </li></ul><ul><ul><li>遠端偵錯 .NET 程式時,執行 .NET 程式的主機上,必須啟動這個服務。 </li></ul></ul>
    76. 76. Messenger <ul><li>名稱 : Messenger (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 在主機之間傳輸網路訊息、以及 Alerter 服務 訊息。如果這個服務被停止, Alerter 訊息將 不會被傳輸。 </li></ul><ul><li>依存 : NetBIOS Interface 、 Plug and Play Remote Procedure Call (RPC) Workstation </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>這個服務與 Windows Messenger 無關 </li></ul></ul><ul><ul><li>如果需要使用 net send 傳送訊息,則應該在接收端啟動這個服務 </li></ul></ul>
    77. 77. Messenger 服務
    78. 78. Microsoft Search <ul><li>名稱 : MSSEARCH (mssearch.exe) </li></ul><ul><li>功能 : 在結構化與半結構化資料上建立全文索引, 讓這個資料能夠快速地進行語言搜尋。 </li></ul><ul><li>依存 : NTLM Security Support Provider Remote Procedure Call (RPC) </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果主機上沒有任何應用程式會使用到 Microsoft Search 服務的話,就可以停用它。 </li></ul></ul>
    79. 79. Microsoft Software Shadow Copy Provider <ul><li>名稱 : swprv (svchost.exe -k swprv) </li></ul><ul><li>功能 : 管理磁碟區陰影複製的服務 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果需要在主機上使用到以下功能,就要啟動這個服務 </li></ul></ul><ul><ul><ul><li>備份 </li></ul></ul></ul><ul><ul><ul><li>回復文件的舊版本 </li></ul></ul></ul><ul><ul><li>參閱 : Volume Shadow Copy </li></ul></ul>
    80. 80. Net Logon <ul><li>名稱 : Netlogon (lsass.exe) </li></ul><ul><li>功能 : 維持這個電腦和網域控制站間用於驗證使用者 和服務的安全通道。網域控制站上的 Net Logon 服務會向 DNS 動態註冊必要的 SRV 記錄。 </li></ul><ul><li>依存 : Workstation </li></ul><ul><li>建議 : 自動 </li></ul>
    81. 81. NetMeeting Remote Desktop Sharing <ul><li>名稱 : mnmsrvc (mnmsrvc.exe) </li></ul><ul><li>功能 : 讓經過授權的使用者可以使用 NetMeeting 由遠 端存取這部電腦。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 手動 </li></ul>
    82. 82. Network Connections <ul><li>名稱 : Netman (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 管理在網路和撥號連線資料夾中的物件,您可 以在此資料夾中檢視區域網路和遠端連線。如 果這個服務被停用,您將無法檢視區域網路以 及遠端連線。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>當打開網路和撥號連線資料夾時,才會啟動這個服務 </li></ul></ul>
    83. 83. Network DDE <ul><li>名稱 : NetDDE (netdde.exe) </li></ul><ul><li>功能 : 讓兩部主機可以進行動態資料交換。 </li></ul><ul><li>依存 : Network DDE DSDM </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>除非有應用程式使用 DDE 進行資料交換。 </li></ul></ul>
    84. 84. Network DDE DSDM <ul><li>名稱 : NetDDEdsdm (netdde.exe) </li></ul><ul><li>功能 : 讓 DDE 可以在網路上共用。如果這個服務被 停止, DDE 網路共用將無法使用。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>除非有應用程式使用 DDE 進行資料交換。 </li></ul></ul>
    85. 85. Network Location Awareness (NLA) <ul><li>名稱 : Nla (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 收集並存放網路設定和位置資訊,並且在這個 資訊變更時通知應用程式。 </li></ul><ul><li>依存 : AFD 網路支援環境 TCP/IP Protocol Driver </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>如果不使用 ICF 和 ICS ,就用不到這個服務 </li></ul></ul>
    86. 86. NT LM Security Support Provider <ul><li>名稱 : NtLmSsp (lsass.exe) </li></ul><ul><li>功能 : 為沒有使用命名管道 (named pipe) 傳輸的遠端 程序呼叫 (RPC) 程式提供安全性。 </li></ul><ul><li>依存 : AFD 網路支援環境 TCP/IP Protocol Driver </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>這個服務是提供遠端呼叫時檢查安全性用的,例如 : </li></ul></ul><ul><ul><ul><li>Telnet </li></ul></ul></ul><ul><ul><ul><li>Message Queue </li></ul></ul></ul><ul><ul><ul><li>Microsoft Search </li></ul></ul></ul>
    87. 87. NTLM Security 與 LSA Secret
    88. 88. Performance Logs and Alerts <ul><li>名稱 : SysmonLog (smlogsvc.exe) </li></ul><ul><li>功能 : 收集本機或遠端電腦的效能資料,然後將資料 寫入記錄或觸發警訊。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>當有使用「系統監視 器」或「效能記錄及 警示」時才會用得到 </li></ul></ul>
    89. 89. Plug and Play <ul><li>名稱 : PlugPlay (services.exe) </li></ul><ul><li>功能 : 隨插即用服務,讓系統可以自動識別及調整 硬體資源使用,例如 IRQ 、 IO 、 DMA 、… </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>停用這個服務會導致系統不穩定。 </li></ul></ul>
    90. 90. Portable Media Serial Number Service <ul><li>名稱 : WmdmPmSN (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 用來取得任何接到主機上的移動式媒體播放 裝置的序號。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 停用 </li></ul>
    91. 91. Print Spooler <ul><li>名稱 : Spooler (spoolsv.exe) </li></ul><ul><li>功能 : 管理所有本機和網路列印的緩衝區佇列,並 控制所有列印工作。如果這個服務被停止, 本機電腦列印將無法使用。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>如果沒有連接印表機,就不需要這個服務 </li></ul></ul>
    92. 92. Print Spooler
    93. 93. Protected Storage <ul><li>名稱 : ProtectedStorage (lsass.exe) </li></ul><ul><li>功能 : 保護儲存諸如私密金鑰這類敏感資訊的存放區 ,防止未授權的服務、處理、或使用者進行存 取。如果這個服務被停止,受保護的存放區將 無法使用。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>這是用來儲存電腦上私密金鑰與密碼的服務,例如 : Outlook 、撥號程式、其他應用程式、 EFS 私密金鑰 … </li></ul></ul><ul><ul><li>一定要啟動,否則系統就無法儲存這些資料了 ! </li></ul></ul>
    94. 94. QoS RSVP <ul><li>名稱 : RSVP (rsvp.exe) </li></ul><ul><li>功能 : 用來進行流量控制 </li></ul><ul><li>依存 : Remote Procedure Call (RPC TCP/IP Protocol Driver </li></ul><ul><li>建議 : 停用 </li></ul>
    95. 95. Remote Access Auto Connection Manager <ul><li>名稱 : RasAuto (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 自動偵測連線到遠端網路或電腦是否不成功, 如果連線失敗,會自動使用其它連線方法。 </li></ul><ul><li>依存 : Remote Access Connection Manager Telephony </li></ul><ul><li>建議 : 手動 </li></ul>
    96. 96. Remote Access Connection Manager <ul><li>名稱 : RasMan (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 管理從這個電腦到網際網路或其他遠端網路的 撥號網路和虛擬私人網路 (VPN) 連線。 </li></ul><ul><li>依存 : Telephony </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>在建立網路連線時會用到 </li></ul></ul><ul><ul><li>ICS 也會用到 </li></ul></ul>
    97. 97. Remote Desktop Help Session Manager <ul><li>名稱 : RDSessMgr (sessmgr.exe) </li></ul><ul><li>功能 : 管理並控制遠端協助。如果此服務停止的話, 遠端協助將無法使用。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>在使用遠端協助時,會啟動這個服務。 </li></ul></ul>
    98. 98. Remote Procedure Call (RPC) <ul><li>名稱 : RpcSs (svchost -k rpcss) </li></ul><ul><li>功能 : 扮演結束點對應程式以及 COM 服務控制管理 員的角色。如果這個服務被停止或停用,使用 COM 或遠端程序呼叫 (RPC) 服務的程式將無法 正常運作。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>這個服務如果停止,幾乎所有遠端管理、分散式應用程式的遠端呼叫、…都會失敗。 </li></ul></ul>
    99. 99. DCOM & RPC 的架構變化 Activation, Binding Resolution, Pinging Activation Activation Listen Rundown Method Calls, QueryInterface, Ref Counting 用戶端 伺服端 Register Revoke RPCSS Client Application RPCSS OLE32.DLL (Network Service) RPCSS (Local System) OLE32.DLL Server Application
    100. 100. Remote Procedure Call (RPC) Locator <ul><li>名稱 : RpcLocator (locator.exe) </li></ul><ul><li>功能 : 使用 RpcNs* 系列 API 啟用遠端程序呼叫 (RPC) 用戶端來尋找 RPC 伺服器。如果這個服務被 停止或停用, RPC 使用 RpcNs* API 的用戶端 可能找不到伺服器或無法啟動。 </li></ul><ul><li>依存 : Workstation </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>由於 RpcNs* API 並沒有在 Windows 內部使用,因此除非你的應用程式有用到,否則可以停用這個服務。 </li></ul></ul>
    101. 101. Remote Registry <ul><li>名稱 : RemoteRegistry (svchost.exe -k regsvc) </li></ul><ul><li>功能 : 讓遠端管理者可以修改這個電腦上的系統登錄 設定。如果這個服務被停止,登錄只能由這個 電腦上的管理者修改。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>除非您需要遠端修改主機的系統登錄設定,否則可以停用這個服務。 </li></ul></ul>
    102. 102. Remote Registry
    103. 103. Removable Storage <ul><li>名稱 : NtmsSvc (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 管理可卸除式媒體,例如 USB 隨身碟、 Zip 磁 碟、…。如果停用這服務,依存於這個服務的 應用程式,如 Backup 和 Remote Storage ,效能 將會降低。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>要使用類似裝置時再啟動就可以了。 </li></ul></ul><ul><ul><li>伺服器如果有安裝可移除式磁帶來進行備份,就必須啟動這個服務。 </li></ul></ul>
    104. 104. Resultant Set of Policy Provider <ul><li>名稱 : RSoPProv (RSoPProv.exe) </li></ul><ul><li>功能 : 讓使用者連線到遠端電腦,透過 WMI 確認目前 該電腦所套用的群組原則設定值。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>只有使用 RSoP 來檢查主機套用群組原則的狀況時才會用到這個服務。 </li></ul></ul>
    105. 105. Routing and Remote Access <ul><li>名稱 : RemoteAccess (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 路由及遠端存取服務。提供路由器、 NAT 、 VPN 、… 等等功能。 </li></ul><ul><li>依存 : NetBIOSGroup Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>當您使用「系統管理工具 / 路由及遠端存取」功能來設定遠端存取伺服器時,會將這個服務設定自動啟動。 </li></ul></ul>
    106. 106. Secondary Logon <ul><li>名稱 : seclogon (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 啟用另一次身份認證,以取得另一個 Access Token 來開啟應用程式。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>當您在應用程式捷徑上按住 鍵盤 Shift 鍵不放,再按滑鼠 右鍵,選取「執行身份」就 可以使用另一組使用者帳戶 來取得另一個 Access Token ,用不同身份來開啟應用程 式。 </li></ul></ul>
    107. 107. Security Accounts Manager <ul><li>名稱 : SamSs (lsass.exe) </li></ul><ul><li>功能 : 儲存、管理、驗證本機帳戶的安全性資訊。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>一定要啟動,否則就無法使用本機帳戶登入系統了。 </li></ul></ul>
    108. 108. Server <ul><li>名稱 : lanmanserver (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 支援網路上檔案、列印、和命名管線的共用。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>如果用戶端不需分享檔案或印表機給網路上的其它主機,就可以停用這個服務。 </li></ul></ul>
    109. 109. Shell Hardware Detection <ul><li>名稱 : ShellHWDetection (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 為自動播放硬體事件提供通知。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>一般使用在記憶卡或是 CD 裝置、 DVD 裝置上的自動播放功能。 </li></ul></ul>
    110. 110. Simple Mail Transfer Protocol (SMTP) <ul><li>名稱 : SMTPSVC (inetinfo.exe) </li></ul><ul><li>功能 : 電子郵件傳輸服務。 </li></ul><ul><li>依存 : Event Log IIS Admin Service </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果是郵件伺服器才需要啟動這個服務。 </li></ul></ul><ul><ul><li>一般用戶端可以安裝這個服務,來加速郵件處理速度。 </li></ul></ul>
    111. 111. Smart Card <ul><li>名稱 : SCardSvr (SCardSvr.exe) </li></ul><ul><li>功能 : 管理智慧卡的存取。如果這個服務被停止, 這個電腦將無法讀取智慧卡。 </li></ul><ul><li>依存 : Plug and Play </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果沒有安裝 Smart Card 讀卡機,就可以停用它。 </li></ul></ul>
    112. 112. Smart Card Helper <ul><li>名稱 : SCardDrv (SCardSvr.exe) </li></ul><ul><li>功能 : 管理不支援隨插即用功能的智慧卡的存取。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 停用 </li></ul>
    113. 113. Special Administration Console Helper <ul><li>名稱 : SCardDrv (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 允取系統管理員使用緊急管理服務來遠端 存取命令提示字元。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>當需要使用 Special Administration Console (SAC) 下達 SAC 命令時才需要 </li></ul></ul><ul><ul><li>SAC 是使用諸如 LL3 、 null modem 電纜連線來遠端管理主機時所使用的主控台。 </li></ul></ul><ul><ul><li>請搜尋 Mcrosoft 網站「 Emergency Management Services 」 </li></ul></ul>
    114. 114. System Event Notification <ul><li>名稱 : SENS (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 監視系統事件並通知這些事件的 COM+ 事件 系統訂閱者。如果這個服務被停止, COM+ 事件系統訂閱者將不會收到系統事件通知。 </li></ul><ul><li>依存 : COM+ Event System </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>由於本服務依存於 COM+ Event System ,因此 COM+ Event System 要設定成手動或自動啟動才可以。 </li></ul></ul><ul><ul><li>擔任伺服器的主機,一定要自動啟動這個服務,否則就會收不到任何系統事件,例如 : 登入、網路、電源、… 等。 </li></ul></ul>
    115. 115. Task Scheduler <ul><li>名稱 : Schedule (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 工作排程服務。如果停止這個服務,排程工作 在它們排定的時間時將不會執行。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>伺服器上通常都有會工作排程,例如週期性備份,因此將這個服務設定成自動啟動是有必要的。 </li></ul></ul><ul><ul><li>如果系統上沒有任何等待執行的排程工作,就可以停用這個服務。 </li></ul></ul><ul><ul><li>命令列指令 : schtasks </li></ul></ul>
    116. 116. TCP/IP NetBIOS Helper <ul><li>名稱 : LmHosts (svchost.exe -k LocalService) </li></ul><ul><li>功能 : 提供對 TCP/IP (NetBT) 服務上的 NetBIOS 以及 網路上用戶端 NetBIOS 名稱解析的支援。 </li></ul><ul><li>依存 : AFD 網路支援環境 NetBios over Tcpip </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果網路上所有的系統都是 Windows 2000 以上,而且使用 DNS 做名稱解析,就可以停用這個服務。 </li></ul></ul><ul><ul><li>否則,就要啟動這個服務,以順利進行 NetBIOS 名稱解析 </li></ul></ul>
    117. 117. Telephony <ul><li>名稱 : TapiSrv (svchost.exe -k tapisrv) </li></ul><ul><li>功能 : 提供電話語音裝置和 IP 為主的語音連線程式 的用戶端必要的電話語音 API (TAPI) 支援。 </li></ul><ul><li>依存 : Plug and Play Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>一般的撥號數據機或是一些  DSL/Cable  數據機可能用得到 </li></ul></ul>
    118. 118. Telnet <ul><li>名稱 : TlntSvr (tlntsvr.exe) </li></ul><ul><li>功能 : Telnet 服務。 </li></ul><ul><li>依存 : NT LM Securoty Support Provider Remote Procedure Call (RPC) TCP/IP Protocol Driver </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>可以使用 Terminal Service 來取代這個命令列模式下的遠端管理服務。 </li></ul></ul><ul><ul><li>使用 tlntadmn.exe 來管理 Telnet 服務。 </li></ul></ul>
    119. 119. Telnet 服務
    120. 120. Terminal Services <ul><li>名稱 : TermService (vchost.exe -k termsvcse) </li></ul><ul><li>功能 : 終端機服務。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>除了提供終端機用戶端連線之外,遠端桌面與遠端協助都會使用到這個服務。 </li></ul></ul>
    121. 121. Terminal Services Session Directory <ul><li>名稱 : Tssdis (tssdis.exe) </li></ul><ul><li>功能 : 當使用終端機服務叢集時,使用這個服務來 記錄並將終端機用戶端導向到原本連接的終 端機伺服器。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>可以使用 Terminal Service 來取代這個命令列模式下的遠端管理服務。 </li></ul></ul>
    122. 122. Themes <ul><li>名稱 : Themes (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 佈景主題。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 停用 </li></ul>
    123. 123. Uninterruptible Power Supply <ul><li>名稱 : UPS (ups.exe) </li></ul><ul><li>功能 : 管理連接到這台電腦的不斷電電源供應系統。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : </li></ul><ul><ul><li>伺服器一般會設定自動啟動這個服務,以正確透過訊號線和 UPS 溝通。 </li></ul></ul><ul><ul><li>用戶端則建議停用這個服務。 </li></ul></ul>
    124. 124. Upload Manager <ul><li>名稱 : uploadmgr (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 將用戶端安裝的驅動程式資訊匿名上傳至微軟 驅動程式回饋伺服器,驅動程式回饋伺服器會 從網際網路搜尋用戶端需要的適當驅動程式或 支援的資訊。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>如果有使用 Windows Update 或 Automatic Update 來更新裝置驅動程式時,就會啟動這個服務。 </li></ul></ul>
    125. 125. Virtual Disk Service <ul><li>名稱 : vdsr (vds.exe) </li></ul><ul><li>功能 : 提供軟體磁碟區及硬體磁碟區管理服務 </li></ul><ul><li>依存 : Plug and Play Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>VDS 提供管理異質儲存裝置的單一方式與介面。 </li></ul></ul><ul><ul><li>參考資訊 : http://www.microsoft.com/windowsserversystem/storage/technologies/vds/default.mspx </li></ul></ul>
    126. 126. Virtual Machine Helper <ul><li>名稱 : vmh (vmh.exe -service) </li></ul><ul><li>功能 : 提供 Virtual Server 執行虛擬機器必要的服務。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 手動 </li></ul>
    127. 127. Virtual Server <ul><li>名稱 : Virtual Server (vssrvc.exe) </li></ul><ul><li>功能 : 提供在主機上建立多個虛擬機器,並且在這些 虛擬機器上執行個別的作業系統的功能。 </li></ul><ul><li>依存 : Remote Procedure Call Virtual Machine Helper Virtual Machine Monitor </li></ul><ul><li>建議 : 自動 </li></ul>
    128. 128. Volume Shadow Copy <ul><li>名稱 : VSS (vssvc.exe) </li></ul><ul><li>功能 : 磁碟陰影複製服務。如果這個服務被停止,磁 碟陰影複製功能將無法用於備份,備份可能會 失敗。 </li></ul><ul><li>依存 : Remote Procedure Call </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>參閱 : Microsoft Software Shadow Copy Provider </li></ul></ul>
    129. 129. 陰影複製 與文件版本回復
    130. 130. WebClient <ul><li>名稱 : WebClient (svchost.exe -k LocalService) </li></ul><ul><li>功能 : 啟用 Windows 為主的程式來建立,存取,以及 修改 Web 上的檔案。 </li></ul><ul><li>依存 : WebDav Client Redirector </li></ul><ul><li>建議 : 停用 </li></ul><ul><ul><li>例如 : 使用  WebDAV  將檔案上傳到  Web  伺服器 </li></ul></ul>
    131. 131. Windows Audio <ul><li>名稱 : AudioSrv (svchost.exe -k LocalService) </li></ul><ul><li>功能 : 管理 Windows 系統上的音訊裝置。如果這個服 務被停止,音訊裝置和效果將無法正常運作。 </li></ul><ul><li>依存 : Plug and Play Remote Procedure Call (RPC) </li></ul><ul><li>建議 : </li></ul><ul><ul><li>伺服器應該要停用這個服務 </li></ul></ul><ul><ul><li>用戶端則自動啟動這個服務 </li></ul></ul>
    132. 132. Windows Image Acquisition (WIA) <ul><li>名稱 : stisvc (svchost.exe -k imgsvc) </li></ul><ul><li>功能 : 為掃描器和數位相機提供影像擷取服務。如果 掃描器和數位相機內部具有支援 WIA 功能,那 就可以直接看到圖檔,不需要其他的驅動程式 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) Shell Hardware Detection </li></ul><ul><li>建議 : </li></ul><ul><ul><li>伺服器應該要停用這個服務 </li></ul></ul><ul><ul><li>用戶端則手動啟動這個服務 </li></ul></ul>
    133. 133. Windows Installer <ul><li>名稱 : MSIServer (msiexec.exe /V) </li></ul><ul><li>功能 : 新增、修改以及移除以 Windows Installer (*.msi) 封裝提供的應用程式。協助使用者正確地安裝 、設定、追蹤、升級和移除應用程式。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>伺服器應該要停用這個服務 </li></ul></ul><ul><ul><li>用戶端則手動啟動這個服務 </li></ul></ul>
    134. 134. Windows Management Instrumentation <ul><li>名稱 : winmgmt (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 提供被管理物件的公用介面及物件模型,以存 取有關作業系統、裝置、應用程式及服務的管 理資訊。如果這個服務已停止,大多數的軟體 將無法正常運作。 </li></ul><ul><li>依存 : Event Log Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 自動 </li></ul>
    135. 135. Windows Management Instrumentation Driver Extensions <ul><li>名稱 : Wmi (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 監視、追蹤 WMI 事件。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>只有在有註冊 WMI 事件監控時,才需要這個服務。 </li></ul></ul>
    136. 136. Windows Time <ul><li>名稱 : W32Time (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 維護在網路上所有用戶端及伺服器的資料及時 間同步處理。如果這個服務停止,將無法進行 日期和時間同步處理。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : </li></ul><ul><ul><li>網域環境下,每部網域成員主機都要自動啟動這個服務,這樣網域所有主機的時間才會一致。 </li></ul></ul><ul><ul><li>單機狀態下,則可以停用這個服務。 </li></ul></ul>
    137. 137. Windows Time 服務與 Win32Time 事件
    138. 138. WinHTTP Web Proxy Auto-Discovery Service <ul><li>名稱 : WinHttpAutoProxySvc (svchost.exe -k LocalService) </li></ul><ul><li>功能 : 為 WinHTTP 服務執行 Web Proxy Auto-Discovery (WPAD) 通訊協定。 WPAD 是一個讓 HTTP 用戶 端可以自動尋找 proxy 設定的通訊協定。 </li></ul><ul><li>依存 : DHCP Client </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>需要在 DNS 上加入 wpad 這個 A 記錄或 CNAME 記錄 </li></ul></ul><ul><ul><li>在 DHCP 上設定 WPAD (code 252) 的選項,並將選項值設定為 http://wpad.xxx.xxx.xxx/wpad.dat </li></ul></ul><ul><ul><li>設定瀏覽器自動偵測 Proxy </li></ul></ul>
    139. 139. Wireless Configuration <ul><li>名稱 : WZCSVC (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 啟用 IEEE 802.11 介面卡自動設定。 </li></ul><ul><li>依存 : NDIS Usermode I/O Protocol Remote Procedure Call (RPC) </li></ul><ul><li>建議 : </li></ul><ul><ul><li>如果有無線網路卡,就要自動啟動這個服務,否則就停用 </li></ul></ul>
    140. 140. WMI Performance Adapter <ul><li>名稱 : WmiApSrv (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 提供來自 Windows Management Instrumentation (WMI) 提供者的效能程式庫資訊給網路上的用 戶端。 </li></ul><ul><li>依存 : Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 手動 </li></ul><ul><ul><li>如果需要遠端透過 WMI 取得這台主機的效能計數值,就要啟動這個服務 </li></ul></ul>
    141. 141. Workstation <ul><li>名稱 : lanmanworkstation (svchost.exe -k netsvcs) </li></ul><ul><li>功能 : 建立並維護到遠端伺服器的用戶端網路連線。 如果這個服務被停止,這些連線將無法使用。 </li></ul><ul><li>依存 : 無 </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>就算是伺服器,也一定要啟動這個服務,否則 Alerter 、 Background Intelligent Transfer Service 、 Computer Browser 、 Messenger 、 Net Logon 、… 等一堆服務都無法運作。 </li></ul></ul>
    142. 142. World Wide Web Publishing Service <ul><li>名稱 : W3SVC (svchost.exe -k iissvcs) </li></ul><ul><li>功能 : 建立並維護到遠端伺服器的用戶端網路連線。 如果這個服務被停止,這些連線將無法使用。 </li></ul><ul><li>依存 : HTTP SSL IIS Admin Service Remote Procedure Call (RPC) </li></ul><ul><li>建議 : 自動 </li></ul><ul><ul><li>Web 伺服器當然要自動啟動這個服務 ! </li></ul></ul>
    143. 143. 服務啟動順序 <ul><li>我們可以修改 Registry 來改變 Windows 服務的啟動順序 </li></ul><ul><ul><li>HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services </li></ul></ul><ul><ul><li>Group 值 (REG_SZ) :用來描述服務屬於那一個服務群組,如果服務沒有設定這個值,則系統預設會在其它服務都載入後才載入這個服務 </li></ul></ul><ul><ul><li>Tag 值 (REG_DWORD ) :每一個在服務群組中的服務都會被分配一個唯一的標識,同一個服務群組中會依照 Tag 值來決定服務載入的先後順序 </li></ul></ul>
    144. 144. 服務群組的啟動順序 <ul><li>服務群組的啟動順序 </li></ul><ul><ul><li>HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control ServiceGroupOrder 機碼中的 List 值 (REG_SZ) </li></ul></ul><ul><ul><li>根據清單中服務群組 名稱的排列順序來依 序啟動每一個群組 </li></ul></ul>
    145. 145. 同服務群組中服務的啟動順序 <ul><li>服務群組的啟動順序 </li></ul><ul><ul><li>HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control GroupOrderList 機碼中,每個服務群組都有一個對應的 REG_BINARY 值 </li></ul></ul><ul><ul><li>例如 : SCSI Class 服務群組 03000000 01000000 02000000 03000000 </li></ul></ul><ul><ul><li>表示 : 這個服務群組中有 3 個服務,先啟動 Tag 代號為 1 的服務、再啟動 Tag 代號為 2 的服務、最後啟動 Tag 代號為 3 的服務 </li></ul></ul>
    146. 146. sc 命令列程式 <ul><li>用途 : </li></ul><ul><ul><li>和服務控制管理員溝通 </li></ul></ul><ul><ul><li>查詢服務的狀態 </li></ul></ul><ul><ul><li>啟動、停止、暫停、繼續服務 </li></ul></ul><ul><ul><li>設定服務參數 </li></ul></ul><ul><ul><li>建立、刪除服務 </li></ul></ul><ul><li>取得 : Windows 2000 Resource Kit </li></ul>
    147. 147. 使用 sc 命令列程式管理服務
    148. 148. 修復主控台 <ul><li>使用時機 </li></ul><ul><ul><li>當 Windows 系統無法正常啟動,甚至連安全模式都無法啟動時,就可以使用命令列的修復主控台來進行系統修復。 </li></ul></ul><ul><li>啟動方式 #1 </li></ul><ul><ul><li>安裝 : winnt32 /cmdcons </li></ul></ul><ul><ul><li>開機時按 F8 </li></ul></ul><ul><li>啟動方式 #2 </li></ul><ul><ul><li>直接使用光碟片開機 </li></ul></ul><ul><ul><li>按 R 進入修復主控台 </li></ul></ul>
    149. 149. 修復主控台 <ul><li>列出所有服務及狀態 </li></ul><ul><ul><li>LISTSVC </li></ul></ul><ul><li>啟動服務 </li></ul><ul><ul><li>ENABLE </li></ul></ul><ul><li>停用服務 </li></ul><ul><ul><li>DISABLE </li></ul></ul><ul><li>服務狀態 </li></ul><ul><ul><li>SERVICE_DISABLED </li></ul></ul><ul><ul><li>SERVICE_BOOT_START </li></ul></ul><ul><ul><li>SERVICE_SYSTEM_START </li></ul></ul><ul><ul><li>SERVICE_AUTO_START </li></ul></ul><ul><ul><li>SERVICE_DEMAND_START </li></ul></ul>
    150. 150. 修復主控台
    151. 151. 什麼是 WMI ? WMI 是微軟實作 WBEM (Web Based Enterprise Management ) 的開始 WMI 是 CIM (Common Information Model ) 的延伸 WMI = Windows Management Instrumentation 內建 內建 內建 內建
    152. 152. WMI 架構 資料庫 應用程式 Web 瀏覽器 C/C++ 應用程式 ActiveX 控制項 ODBC WMI COM API Management Applications Scripts 1 .NET Framework .NET Framework System.Management .NET 用戶端應用程式 System.Management .Instrumentation Windows Forms Web Forms Instrumented Applications Windows Forms Web Forms CIM Repository CIM Object Manager (CIMOM) Management Instrumentation COM/DCOM 2 SNMP Provider Win32 Provider Registry Provider Win32 Objects SNMP Objects Registry Objects Providers Managed Objects WDM Provider WDM Driver COM/DCOM 3
    153. 153. WMI Adapters CIM.REP COM Providers Office ADSI client Scripting ODBC adapter SWBEM ADSI Extension adapter Windows Management Service %SystemRoot%System32WBEMWinMgmt.exe
    154. 154. 如何啟動所有自動啟動的服務 ? <ul><li>Set objService = GetObject(&quot;winmgmts:&quot;) </li></ul><ul><li>Set colListOfServices = objService.ExecQuery( _ </li></ul><ul><li>&quot;Select * from Win32_Service &quot; & _ </li></ul><ul><li>&quot;Where State =' Stopped ' and StartMode =' Automatic '&quot;) </li></ul><ul><li>For Each strService in colListOfServices </li></ul><ul><li>strService. StartService () </li></ul><ul><li>WScript.Echo strService.DisplayName + &quot; 啟動成功 !&quot; </li></ul><ul><li>Next </li></ul>
    155. 155. 如何啟動所有自動啟動的服務 ?
    156. 156. 如何取得某服務的依存性 ? <ul><li>Set objService = GetObject(&quot;winmgmts:&quot;) </li></ul><ul><li>Set colListOfServices = objService.ExecQuery( _ </li></ul><ul><li>&quot; Associators of { Win32_Service.Name='IISADMIN' } &quot; & _ </li></ul><ul><li>&quot;Where AssocClass =Win32_DependentService &quot; & _ </li></ul><ul><li>&quot; Role = Dependent &quot; ) </li></ul><ul><li>For Each strService in colListOfServices </li></ul><ul><li>Wscript.Echo strService.DisplayName </li></ul><ul><li>Next </li></ul><ul><li>Dependent 表示取得該服務所依存的服務 </li></ul><ul><li>Antecedent 表示那個服務依存於這個服務 </li></ul>
    157. 157. 如何取得某服務的依存性 ?
    158. 158. 如何即時得知服務的狀態改變 ? <ul><li>Set objService = GetObject(&quot;winmgmts:&quot; _ </li></ul><ul><li>& &quot;{impersonationLevel=impersonate}! ootcimv2&quot;) </li></ul><ul><li>Set colServices = objService.ExecNotificationQuery( _ </li></ul><ul><li>&quot;Select * from __InstanceModificationEvent &quot; _ </li></ul><ul><li>& &quot;within 10 where TargetInstance isa 'Win32_Service'&quot;) </li></ul><ul><li>Do While True </li></ul><ul><li>Set obj = colServices.NextEvent </li></ul><ul><li>If obj.TargetInstance.State <> obj.PreviousInstance.State Then </li></ul><ul><li>Wscript.Echo obj.TargetInstance.Name _ </li></ul><ul><li>& &quot; 服務的狀態由 [&quot; & obj.PreviousInstance.State _ </li></ul><ul><li>& &quot;] 變為 [&quot; & obj.TargetInstance.State & &quot;]&quot; </li></ul><ul><li>End If </li></ul><ul><li>Loop </li></ul>
    159. 159. 如何即時得知服務的狀態改變 ?
    160. 160. 總結 <ul><li>要管理好眾多的服務,您必須 … </li></ul><ul><ul><li>要了解每一個服務之間的相依性 </li></ul></ul><ul><ul><li>適當調整服務的啟動順序 </li></ul></ul><ul><ul><li>設定服務啟動失敗時的自動修復策略 </li></ul></ul><ul><ul><li>熟悉 Recovery Console 中有關服務的管理指令 </li></ul></ul><ul><ul><li>運用 WMI script 進行服務的自動化監控與管理 </li></ul></ul>
    161. 161. © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

    ×