1、深入研究 Windows 系統服務效能調校與故障排除,曹祖聖台灣微軟資深講師 MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT,2 / 161,講師簡介 How am I ?,姓名:曹祖聖 Jimy Cao郵件:jimycaotop-.tw證照:MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT現任:台灣微軟資深講師巨匠電腦講師聖擎科技股份有限公司軟體總技術長光明頂軟體股份有限公司研發顧問行動智慧股份有限公司技術顧問凌天科技有限公司技術顧問專業電腦圖書作家電腦雜誌專欄作家,3 / 161,講師簡介 How a
2、m I ?,經歷:華彩教育訓練中心、資策會教育訓練中心講師巨匠電腦認證中心兼任講師、專任講師、顧問講師微軟 TechEd 2000、2001、2002、2003、2004 研討會講師 (8 場)微軟 PDC 2002 研討會講師 (2 場)微軟 Windows 2000 實力札根研討會講師 (2 場)微軟 DevCon 專業 .NET 開發技術研討會講師 (8 場)微軟 Visual Studio .NET 中文版上市發表會 (全省巡迴 4 場)微軟 Windows Server 2003 中文版上市發表會 (全省巡迴 4 場)微軟 Office 2003 中文版上市發表會 (全省巡迴 4 場
3、)微軟 2003 ISV Training、Smart Client ISV Training 講師Windows XP Service Pack 應用程式相容性研討會講師 (10 場)第一屆認證博覽會講師、巨匠精英展望會講師 (全省巡迴 3 場)東海、成功、淡江 等大專院校資訊技能生涯規劃講座講師大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問,4 / 161,大綱,系統服務的功能介紹系統服務依存性系統服務啟動順序修改系統服務資源競爭問題處理系統服務啟動失敗時的自動修復如何使用 Recovery Console 修復系統服務運用 WMI script 進行系統服務監控與管理,5 /
4、161,Windows 系統服務,Windows 系統服務由 3 個部分組成:服務應用程式 : 服務程式本身,包含一個或多個服務服務控制管理器 : 維護著 Registry 中的服務資料服務控制程式 : 控制服務應用程式的模組,是控制服務應用程式與服務管理器之間的橋樑,6 / 161,Windows 系統服務,Windows 系統服務的啟動方式:自動 Windows 啟動時自動載入服務手動 Windows 啟動時不自動載入服務,在需要的時候手動開啟停用 Windows 啟動的時候不自動載入服務,在需要的時候選擇手動或者自動方式開啟服務,並重新啟動電腦完成服務的配置,7 / 161,Window
5、s 系統服務,機碼設定HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services每一個服務都有一個 Start 數值,該數值內容所記錄的就是服務該在何時該被載入,服務啟動帳戶與系統安全,服務啟動帳戶的選擇:本機系統帳戶Local System服務帳戶例如: NETWORK SERVICE使用者帳戶例如: Administrator服務啟動帳戶必須具備有以服務方式登入 (logon as service)的權力注意緩衝區溢位的安全問題 !,9 / 161,什麼是緩衝區溢位 ?,攻擊者傳送超過緩衝區大小且包含惡意程式碼的訊息訊息中的惡意程式碼剛好覆蓋掉
6、原本要執行的程式碼如果這個服務啟動帳戶具有足夠權限,惡意程式碼就具有同等權限,可以進行下一步攻擊與破壞,預設的資料緩衝區,堆疊,惡意程式碼執行,訊息進入,呼叫端資料暫存區,函數參數,函數返回位址,區域指標,例外處理區,超過緩衝區的資料(惡意程式碼),10 / 161,服務啟動失敗的處理,11 / 161,Windows 系統啟動流程 (一),12 / 161,Windows Server 架構,Executive Services API,I/OSystem,SecurityMonitor,Processes/Threads,ObjectServices,MemoryMgmt,Win32GDI
7、,Exec.RTL,DeviceDrivers,Hardware Abstraction Layer (HAL),Kernel,Object Management,FileSystems,I/ODevices,DMA/BusControl,CacheControl,Clocks/Timers,PrivilegedArchitecture,InterruptDispatch,SystemProcesses,Services,User Apps,EnvironmentSubsystems,Subsystem DLL,Interface DLL,Session MgrWinLogon,Replica
8、torAlerterEvent Log,Win32POSIXOS/2,13 / 161,Executive Services API,I/OSystem,SecurityMonitor,Processes/Threads,ObjectServices,MemoryMgmt,Win32GDI,Exec.RTL,DeviceDrivers,Hardware Abstraction Layer (HAL),Kernel,Object Management,FileSystems,I/ODevices,DMA/BusControl,CacheControl,Clocks/Timers,Privileg
9、edArchitecture,InterruptDispatch,Windows Server 架構,SystemProcesses,Services,User Apps,EnvironmentSubsystems,Subsystem DLL,Interface DLL,Session MgrWinLogon,ReplicatorAlerterEvent Log,Win32POSIXOS/2,NTOSKRNL.EXE,14 / 161,Windows 系統啟動流程 (二),基本的系統啟動過程smss.exeSession Manager系統第一個建立的行程負責啟動 csrss.exe 與 wi
10、nlogon.exe csrss.exeWin32 子系統winlogon.exe登入行程: 啟動 services.exe 顯示登入畫面,當使用者登入時,執行 userinit.exe services.exe服務控制器,負責啟動/停止系統服務,大部份的系統服務都是由 svchost.exe 提供,15 / 161,Windows 系統啟動流程 (二),基本的系統啟動過程lsass.exeLocal Security Authentication (LSA) Server,管理 IPSec Policy 以及啟動 ISAKMP/Oakley(IKE) 、 IPSec 驅動程式、HTTP SS
11、L、Net Logon、。(系統服務) svchost.exe包含很多系統服務 userinit.exe負責啟動 explorer.exeexplorer.exe桌面internat.exe輸入法,16 / 161,工作管理員,17 / 161,Alerter 服務,名稱:Alerter (svchost.exe -k LocalService)功能: 接收系統管理警示訊息,如果停止這個服務,主機將收不到任何系統管理警示。依存:Workstation 建議:一般用戶端並不需要傳送或接收系統管理警示,因此建議停用,但是網管人員所使用的工作站、以及伺服器則應該自動啟動這個服務。,18 / 161,
12、Application Layer Gateway Service,名稱: ALG (alg.exe)功能: 提供應用程式層級通訊協定外掛程式的支援,以及啟用網路/通訊協定連線能力。依存:Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS) 建議:如果你不使用網際網路連線分享 (ICS) 和網際網路連線防火牆 (ICF),那麼這個服務可以停用,19 / 161,Application Management,服務: AppMgmt (vchost.exe -k netsvcs)功能: 為 Active Dire
13、ctory IntelliMirror 群組原則程式處理安裝、移除、以及列舉的要求。(處理 msi 檔格式的軟體安裝、刪除、修改、修復、監視等等功能)依存:無 建議:手動啟動,20 / 161,ASP.NET Admin Service,服務: aspnet_admin (aspnet_admin.exe)功能: 提供設定 ASP .NET應用程式組態與管理功能。依存:無 建議:如果伺服器上有 ASP .NET Web 應用程式要執行,就設定成自動啟動。否則停用。,21 / 161,ASP.NET State Service,服務: aspnet_state (aspnet_state.exe
14、)功能: 以行程外 (out-of-process) 的方式儲存、管理ASP .NET 的 Session 狀態。依存:無 建議:如果 ASP .NET 應用程式的 web.config 設定檔中有以下設定,則要 10.20.30.40 這部主機的這個服務要設定自動啟動通常應用在 Web Farms 的環境下。,22 / 161,更改 ASP .NET State Service 的連接埠號碼,23 / 161,Automatic Updates,服務:wuauserv (svchost.exe -k netsvcs)功能: 啟用重要 Windows 更新的下載及安裝。依存:無 建議:自動啟動
15、如果架設有 SUS 伺服器,這個服務會自動向 SUS 取得最新的 Windows 更新。個人用戶應該啟動這個服務,自動向 Windows Update 下載 Windows 重要更新。,24 / 161,Background Intelligent Transfer Service,服務:BITS (svchost.exe -k netsvcs)功能:背景傳輸資料支援續傳支援工作排程可以透過 HTTP 1.1 及 HTTPS (SSL) 傳輸資料依照工作的指定優先權來傳輸資料使用閒置頻寬來傳輸資料依存:Remote Procedure Call (RPC) 建議:手動啟動如果有使用 Windo
16、ws Update 或 Automatic Updates,就該啟動這個服務。,25 / 161,Background Intelligent Transfer Service,5. 等待或取得工作,BITS,1. 建立工作,2. 加入檔案,工作包含來源與目的檔案的資訊,3. 設定通知,4. 繼續工作 (續傳),開始傳輸,結束傳輸,6. 通知工作已完成,7. 工作結束,從 BITS 佇列中移除,* 通知並不是必要的,應用程式可以不斷的取得工作狀態,來判斷工作是否結束。,應用程式,工作 1,工作 1,工作 1,工作 1,伺服器,26 / 161,BITS 伺服器延伸設定,27 / 161,Cer
17、tificate Services,服務: CertSvc (certsrv.exe)功能: 建立、管理、並移除如 S/MIME 及 SSL 等應用程式的 X.509 憑證。依存:無 建議:除非這部主機擔任 CA 角色,否則不要啟動這個服務。,28 / 161,ClipBook,名稱:ClipSrv (clipsrv.exe)功能:啟用剪貼簿檢視器以儲存資訊並與遠端電腦共用。如果這個服務被停止,剪貼簿檢視器將無法與遠端電腦共用資訊。依存:Network DDE 建議:停用ClipBook 跟 Clipboard 是不一樣的東西 !,29 / 161,COM+ Event System,名稱:E
18、ventSystem (svchost.exe -k netsvcs)功能:支援 System Event Notification Service (SENS),它可讓事件自動分散到訂閱的 COM 元件。如果服務被停止,SENS 會關閉,並無法提供登入及登出通知。依存:Remote Procedure Call (RPC) 建議:手動,30 / 161,COM+ System Application,名稱:COMSysApp (dllhost.exe /Processid:02D4B3F1-FD88-11D1-960D-00805FC79235)功能:管理 COM+ 元件的設定及追蹤。如果停
19、止此服務,大部分的 COM+ 元件將無法適當運作。依存:COM+ Event SystemRemote Procedure Call (RPC) 建議:手動,31 / 161,COM+ 應用程式管理介面,32 / 161,Computer Browser,名稱:Browser (svchost.exe -k netsvcs)功能:維護網路上更新的電腦清單,並將這個清單提供給做為瀏覽器的電腦。如果這個服務被停止,這個清單將不會被更新或維護。依存:Server、Workstation建議:停用在 Windows 2000 以後的 Active Diectory 環境下,可以透過 DNS 和 AD
20、搜尋來進行主機的名稱解析,因此建議停用這服務。如果是 Windows NT 的網域,則應該啟用這個服務。,33 / 161,Computer Browser 機制 (一),在網路中有以下幾種不同角色的 BrowserDomain Master Browser當網路中有 Windows 網域時,每個網域中都會有唯一部的 Domain Master Browser,在 NT 網域中是由 PDC 擔任、在 AD 中則是由具有 PDC Emulator 這個 Operation Master Role 的 DC 擔任Domain Master Browser 會記錄一份 Browse List (內含
21、網域中所有的線上的電腦)、以及其它網域或工作群組的名稱,這一份清單會複製給其它子網路上的 Master Browser,並合併至它們的 Browse List 中Master Browser每一個子網路中只會有一部開機的電腦是 Master Browser在這部電腦 的記憶體中有一份 Backup Browsers List,用來記錄這個子網路中有那 些電腦正扮演 Backup Browser 的角色另外還有一份 Browse List,用來記錄這個網路中有那些電腦正在線上,並會將這份清單複製給 Backup Browsers,34 / 161,Computer Browser 機制 (一),
22、在網路中有以下幾種不同角色的 BrowserBackup Browser每一個子網路中有至少一部以上的 Backup Browser,網路中每超過 32 部主機以上就會多一部 Backup Browser在這些 Backup Browser 電腦的記憶體中有一份 Browse List,記錄了網路中有那些電腦正在線上 Potential Browser每一個子網路中可以有一部以上的 Potential Browser這些電腦平時並 沒有什麼作用,但是當 Backup Browser 掛掉時,可以昇級為 Backup BrowserClient使用網路上的芳鄰提出要求,取得網路電腦清單的用戶端,
23、35 / 161,Computer Browser 機制 (二),當一部電腦開機完成時: 廣播自己的電腦名稱、群組名稱或網域名稱、IPMaster Browser 收到這廣播之後,會將該電腦的資料加入 Browse List 中,供其它電腦查詢,並且會將這份清單複製給 Backup Browsers 開機後每隔 4, 8, 12, 12, 12, 分鐘,還會再再行廣播註冊一次當一部電腦關機時: 廣播自己的電腦名稱、群組名稱或網域名稱、IPMaster Browser 收到這廣播之後,會將該電腦的資料從 Browse List 中移除,表示該電腦已經不在線上了並且會將這份清單複製給 Backup
24、 Browsers,36 / 161,Computer Browser 機制 (三),當一部 client 端電腦打開網路上的芳鄰時: 該電腦會發出廣播,尋找該子網路中的 Master BrowserMaster Browser 收到廣播後,會回應 client 端client 端電腦向 Master Browser 發出取得 Backup Browsers List要求Master Browser 收到要求後,將 Backup Browsers List 送給 client 端client 端從 Backup Browsers List 中選取一部 Backup Browserclient
25、端電腦向 Backup Browser 發出取得 Browse List要求Backup Browser 收到要求後,將 Browse List 送給 client 端client 端收到 Browse List 之後,畫面上就出現一堆電腦的圖示與名稱當一部 client 端電腦在網路芳鄰中打開某一個電腦圖示時: client 端向該電腦發出取得 Shares List要求該電腦到到要求之後,將 Shares List 回傳給 client 端,這 Shares List 中包含了所有分享的資料夾client 端收到 shares List 之後,畫面上就出現一堆分享的資料夾圖示,37 / 1
26、61,Computer Browser 機制 (四),為什麼明明電腦已經開了,別人卻無法在網路芳鄰中看到?那是因為電腦開機時的廣播,Master Browser 沒處理,所以在 Browse List 中自然就不會有該部電腦的資料,clinet 端自然查不到了理論 上最晚在 48 分鐘後一定得到明明電腦已經關閉,別人卻還可以在網路芳鄰中看到? 那是因為電腦關機時的廣播,Master Browser 沒處理,所以在 Browse List 中該部電腦的資料沒移除,clinet 端自然還會看到理論 上最晚在 72 分鐘後從清單中移除,38 / 161,Computer Browser 機制 (五)
27、,為什麼打開網路芳鄰時,會等粉久?(一支手電筒在那裡照來照去) 那是因為 Master Browser 或 Backup Browser 掛掉了,所以在 client 廣播尋找 Master Browser 時,或者向 Backup Browser 要求資料時,得不到回應這時候 client 端會發出 vote (投票) 廣播,要求由 Backup Browsers 中選出一個擔任新任的 Master Browser,並且從 Protential Browsers 中選出一個擔任新任的 Backup Browser,所以會等很久選舉的規則如下: 新的作業系統優先,例如 Windows 2000
28、 比 Windows NT 優先當選如果作業系統相同,則比較版本,例如 NT 4.0 NT 3.51如果版本相同,則比較修正版,例如 SP2 SP1如果修正版也相同,就比較誰比較先開機。,39 / 161,如何自訂 Browser 角色 ?,修改 Registry HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Browser Parameters IsDomainMaster設成 Yes / True / 1 (三者其一) 表示優先當選 Master Browser設成 No / False / 0 (三者其一) 表示棄權不參選 Ma
29、ster Browser,最多做 Backup BrowserMaintainServerList 設成 NO 表示棄權不參選 Backup Browser設成 YES 表示優先當選 Backup Browser設成 AUTO 表示參選 Backup Browser (預設),40 / 161,如何隱藏電腦 ?,修改 Registry HKEY_LOCAL_MACHINE System CurrentControlSet Services LanmanServer Parameters Hidden (REG_DWORD) = 1命令列net config server /hidden:yes
30、,41 / 161,如何跨子網路瀏覽電腦 ?,問題:如果 Master Browser 或 Backup Browser 剛好就是兩個子網路之間的路由器,那麼這部電腦不就會記錄兩個子網路的 Backup Browsers List 或 Computers List , 那 client 端可以在網路芳鄰中看到另一個子網路中的電腦嗎 ?答案是: 不行 !因為 Backup Browsers List 與 Computers List 是與網路卡相依的資料, 也就是在路由器不同網路介面卡所接收到的 List 存取要求, 都只會回應屬於該子網路的 List解決方式:透過 DC 的 Domain Ma
31、ster Browser,以及 WINS 協助使用 Active Directory,42 / 161,Cryptographic Services,名稱:CryptSvc (svchost.exe -k netsvcs)功能:提供三個管理服務: 確認 Windows 檔案簽章新增及移除受信任根憑證授權憑證協助註冊取得這個電腦的憑證依存:Remote Procedure Call (RPC)建議:自動啟動當安裝驅動程式時,會用這個服務來確認數位簽章,尤其是當透過 Windows Update 或 Automatic Update 下載新的驅動程式安裝時。,43 / 161,DHCP Clien
32、t,名稱:Dhcp (svchost.exe -k NetworkService)功能:為這個電腦登錄及更新 IP 位址和 DNS 記錄。如果這個服務被停止,這個電腦將會不接收動態 IP 位址和 DNS 更新。依存:AFD 網路支援環境TCP/IP Protocol Driver建議:手動當主機需要自動取得 IP 和進行 DNS 動態更新就需要,例如啟動了 Internet Connection Sharing (ICS)、在 AD 環境中的用戶端。如果主機是靜態 IP 位址,就可以停用這個服務。,44 / 161,Distributed File System,名稱:Dfs (Dfssvc.
33、exe)功能:將分散檔案共用整合成單一的邏輯名稱區,管理分散於本機或廣域網路的邏輯磁碟區。依存:Dfs Driver、MupSecurity Account ManagerServer、Workstation建議:在 DFS 根目錄所在的主機上要啟動這個服務其餘主機則停用這個服務,45 / 161,Distributed Link Tracking Client,名稱:TrkWks (svchost.exe -k netsvcs)功能:讓用戶端程式能夠追蹤檔案連結,不論是從NTFS 磁碟區移動到相同電腦中另一個 NTFS 磁碟區,或者移動到另一個電腦的 NTFS 磁碟區。依存:Remote P
34、rocedure Call (RPC)建議:自動啟動才可以在檔案搬移後,讓所屬的檔案捷徑都可以自動更新請參閱 MSDN 中的 IShellLink 與 IOleLink 介面說明,46 / 161,Distributed Link Tracking Server,名稱:TrkSvr (svchost.exe -k netsvcs)功能:啟用相同網域內的分散式連結追蹤用戶端服務,提供對相同網域內的 NTFS 檔案連結更可靠及更有效的維護。依存:Remote Procedure Call (RPC)建議:如果是在網域環境之下,建議在網域控制站上啟用這個服務,以提供網域成員追蹤跨電腦的 NTFS 檔
35、案連結,47 / 161,Distributed Link Tracking,48 / 161,DirectX Debug Service,名稱:DXDebug (DXDebugService.exe)功能:支援 DirectX 應用程式的偵錯依存:Machine Debug Manager建議:手動如果您有安裝偵錯版的 DirectX SDK,那麼可以透過這個服務進行 DirectX 應用程式的偵錯。如果只是拿來玩 DirectX 遊戲,就不用啟動這個服務。,49 / 161,Distributed Transaction Coordinator,名稱:MSDTC (msdtc.exe)功能
36、:協調跨越多個資源管理員的交易,例如資料庫、訊息佇列及檔案系統。如果此服務被停止,這些交易將不會發生。依存:Remote Procedure Call (RPC)Security Account Manager建議:手動如果主機上的 SQL Server 或 Message Queue 要和其它主機進行分散式交易,則要啟動這個服務。,50 / 161,Distributed Transaction Coordinator,51 / 161,DNS Client,名稱:Dnscache (svchost.exe -k NetworkService)功能:讓主機將解析出來的 DNS 名稱快取下來。
37、如果這個服務被停止,這台電腦將進行 DNS 快取。依存:TCP/IP Protocol Driver建議:自動啟用 DNS 快取可以增進效能清除快取:ipconfig /flushdns顯示快取:ipconfig /displaydns,52 / 161,DNS Client 服務,53 / 161,Error Reporting Service,名稱:ERSvc (svchost.exe -k WinErr)功能:蒐集、儲存、以及報告非預期的應用程式當機事件給 Microsoft。如果這個服務被停止,將只會報告核心錯誤和某些類的使用者模式錯誤。依存:Remote Procedure Call
38、 (RPC)建議:停用如果您希望能夠協助微軟改善產品的話,就啟動它 ,54 / 161,Windows 錯誤報告,55 / 161,Event Log,名稱:Eventlog (services.exe)功能:啟用 Windows 為主的程式和元件所發出的事件日誌訊息可以在事件檢視器中檢視。依存:無建議:自動尤其是在伺服器上,透過事件日誌可以了解伺服器的狀況,56 / 161,File Replication,名稱:NtFrs (ntfrs.exe)功能:允許檔案在多個伺服器上進行自動複製及同步。如果這個服務被停止,檔案複寫將不會發生,伺服器之間將無法同步處理檔案。依存:COM+ Event
39、SystemEvent LogRemote Procedure Call (RPC)建議:如果是網域控制站,則一定要啟動,才能正常的和其它網域控制站進行群組原則的複寫與同步 !其它主機則建議停用。,57 / 161,Help and Support,名稱:helpsvc (svchost.exe -k netsvcs)功能:讓說明及支援中心能夠在這台電腦上執行。依存:Remote Procedure Call (RPC)建議:停用如果您不需要使用說明及支援中心來查詢說明,那麼可以停用它,以取得更多的可用系統記憶體。,58 / 161,HID Input Service,名稱:HidServ (
40、svchost.exe -k netsvcs)功能:讓啟用對人體工學介面裝置 (HID) 的通用輸入存取,包含: 鍵盤、遠端控制、以及其他多媒體裝置上事先定義的快捷鍵與快捷鈕的使用。依存:Remote Procedure Call (RPC)建議:手動如果系統沒有連接與使用任何 HID 裝置,就不需要這個服務。,59 / 161,HTTP SSL,名稱:HTTPFilter (lsass.exe)功能:處理 IIS 的 Secure Socket Layer (SSL) 功能,讓Web 站台或虛擬目錄可以使用 HTTPS 通訊協定進行安全存取。依存:HTTPIIS Admin Service建
41、議:如果您的 IIS 伺服器有加上網站或虛擬目錄的 SSL 加密,那麼就要啟動這個服務。,60 / 161,IIS Admin Service,名稱:IISADMIN (inetinfo.exe)功能:用來管理 WWW、FTP、NNTP 、SMTP 服務。依存:Remote Procedure Call (RPC)Security Account Manager建議:如果您的伺服器有要執行 WWW、 FTP、NNTP 、SMTP 其中一個以上的服務時,就必須啟動這個服務。,61 / 161,IMAPI CD-Burning COM Service,名稱:ImapiService (imapi.
42、exe)功能:使用 Image Mastering Applications Programming Interface (IMAPI) 來管理光碟錄製。如果這個服務被停止,這個電腦將無法錄製光碟。依存:無建議:如果您要使用 Windows 所提供的光碟燒錄功能,則啟動這個服務。如果您是使用 3rd 燒錄軟體,例如: Nero、Alcohol,就不用啟動這個服務。,62 / 161,Indexing Service,名稱:CiSvc (cisvc.exe)功能:管理本機和遠端電腦檔案的索引內容,讓檔案搜尋更為快速。依存:Remote Procedure Call (RPC)建議:停用如果經常使
43、用 Windows 的搜尋功能來搜尋檔案,就應該啟動這個服務。不啟動這個服務還是可以搜尋檔案,只是由於沒有索引,搜尋效率會變差。,63 / 161,Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS),名稱:SharedAccess (svchost.exe -k netsvcs)功能:提供簡單的位址轉譯、名稱解析服務、以及小型防火牆服務。依存:Application Layer Gateway ServiceNetwork ConnectionsNetwork Location Awareness (NL
44、A)Remote Access Connection Manager建議:自動所有主機都應該至少啟動 ICF,以確保主機安全Windows XP SP2、Windows Server 2003 SP1 以後的作業系統則改用 Microsoft Firewall,64 / 161,Intersite Messaging,名稱:IsmServ (ismserv.exe)功能:讓網域控制站可以跨站台進行訊息交換。依存:Security Account Manager建議:如果 Active Directory 實體架構中有設定兩個以上的站台時,就應該在擔任 ISTG (InterSite Topol
45、ogy Generator)角色的網域控制站 (也就是所謂的 bridge head server) 上啟動這個服務,以進行站台之間的複寫拓樸建置。因此,除非您有特別指定 bridge head server,否則應該在多站台環境下啟動每一部網域控制站上的這個服務。,65 / 161,什麼是 Intersite Topology Generator ?,66 / 161,如何指定 bridge head server,67 / 161,IPSEC Services,名稱:PolicyAgent (lsass.exe)功能:提供 TCP/IP 網路上用戶端和伺服器間端點到端點的安全性。依存:IP
46、Sec DriverRemote Procedure Call (RPC)TCP/IP Protocol Driver建議:如果主機有套用 IP 安全性原則、或者使用 L2TP 通道通訊協定的 VPN 連線,就需要啟動這個服務。,68 / 161,Kerberos Key Distribution Center,名稱:kdc (lsass.exe)功能:這個服務讓使用者能夠使用 Kerberos 驗證通訊協定來登入網域。如果這個服務在網域控制站上被停止,使用者將無法登入網域。依存:AFD 網路支援環境Remote Procedure Call (RPC)建議:自動網域控制站上一定要啟動這個服務
47、 !同網域與跨網域進行使用者身份驗證時,都需要這個服務,69 / 161,用戶端如何找到 KDC ?,70 / 161,使用者登入處理程序,Local SecuritySubsystem,71 / 161,跨網域存取資源,nwtraders.msft,contoso.msft,Forest trust,Global catalog,Global catalog,Seattle,vancouver.nwtraders.msft,seattle.contoso.msft,Vancouver,Forest 1,Forest 2,72 / 161,License Logging,名稱:LicenseService (llssrv.exe)功能:為作業系統的服務 (例如 IIS、 Terminal Server 和 File/Print) 及作業系統以外的產品 (例如 SQL 和 Exchange Server) 監視並記錄用戶端存取授權。如果服務停止的話,授權將被強制執行,但不會被監視。依存:無建議:如果您需要管理掌控公司使用微軟產品的授權狀況,就需要架設一部 License Server。,