深入研究 Windows 系

統服務
效能調校與故障排除
曹祖聖
曹祖聖
台灣微軟資深講師
台灣微軟資深講師
MCP,
MCP, MCP+I,
MCP+I, MCSA,
MCSA, MCSE,
MCSE, MCDBA,
MCDBA,
MCAD,
MCAD, MCSD,
MCSD, MCT
MCT
 講師簡介
How
How am
am II ?
?
姓名：曹祖聖 Jimy Cao
郵件： jimycao@top-light.com.tw
證照： MCP, MCP+I, MCSA, MCSE, MCDBA,
MCAD, MCSD, MCT
現任：
台灣微軟資深講師
巨匠電腦講師
聖擎科技股份有限公司軟體總技術長
光明頂軟體股份有限公司研發顧問
行動智慧股份有限公司技術顧問
凌天科技有限公司技術顧問
專業電腦圖書作家
電腦雜誌專欄作家
2 / 161
 講師簡介
How
How am
am II ?
?
經歷：
華彩教育訓練中心、資策會教育訓練中心講師
巨匠電腦認證中心兼任講師、專任講師、顧問講師
微軟 TechEd 2000 、 2001 、 2002 、 2003 、 2004 研
討會講師 (8 場 )
微軟 PDC 2002 研討會講師 (2 場 )
微軟 Windows 2000 實力札根研討會講師 (2 場 )
微軟 DevCon 專業 .NET 開發技術研討會講師 (8 場 )
微軟 Visual Studio .NET 中文版上市發表會 ( 全省巡迴
4 場)
微軟 Windows Server 2003 中文版上市發表會 ( 全省巡
迴 4 場)
微軟 Office 2003 中文版上市發表會 ( 全省巡迴 4 場 )
微軟 2003 ISV Training 、 Smart Client ISV Training
講師
3 / 161 Windows XP Service Pack 應用程式相容性研討會講師
 大綱
 系統服務的功能介紹
 系統服務的功能介紹
 系統服務依存性
 系統服務依存性
 系統服務啟動順序修改
 系統服務啟動順序修改
 系統服務資源競爭問題處理
 系統服務資源競爭問題處理
 系統服務啟動失敗時的自動修復
 系統服務啟動失敗時的自動修復
 如何使用
 如何使用 Recovery
Recovery Console
Console 修復系統服務
修復系統服務
 運用 WMI
 運用 WMI script
script 進行系統服務監控與管理
進行系統服務監控與管理

4 / 161
 Windows 系統服務
 Windows 系統 服務由 3 個部分組成 :
 服務應用程式 : 服務程式本身，包含一個或多個服務
 服務控制管理器 : 維護著 Registry 中的服務資料
 服務控制程式 : 控制服務應用程式的模組，是控制服
務應用程式與服務管理器之間的橋樑

5 / 161
 Windows 系統服務
 Windows 系統服務 的啟動方式 :
 自動 – Windows 啟動時自動載入服務
 手動 – Windows 啟動時不自動載入服務， 在需要的時候
手動開啟
 停用 – Windows 啟動的時候不自動載入服務，在需要的
時候選擇手動或者自動方式開啟服務，並重新啟
動電腦完成服務的配置

6 / 161
 Windows 系統服務
 機碼設定
 HKEY_LOCAL_MACHINE \ SYSTEM \
CurrentControlSet \ Services
 每一個服務都有一個 Start 數值 ，該數值內容所
記錄的就是服務該在何時該被載入

Start 0 1 2 3 4
值
說明 開機啟動 系統服務 自動載入 手動 停用

7 / 161
 服務啟動帳戶與系統安全
 服務啟動帳戶的選擇 :
 本機系統帳戶
 Local System
 服務帳戶
 例如 : NETWORK SERVICE
 使用者帳戶
 例如 : Administrator
 服務啟動帳戶必須具備有「以服務方式
登入 (logon as service) 」的權力
 注意緩衝區溢位的安全問題 !
8 / 161
 什麼是緩衝區溢位 ?
 攻擊者傳送超過緩衝
區大小且包含惡意程
式碼的訊息
 訊息中的惡意程式碼
函數返回位址
剛好覆蓋掉原本要執 超過緩衝區的資料
行的程式碼 ( 惡意程式碼 )

 如果這個服務啟動帳 例外處理區
戶具有足夠權限，惡
意程式碼就具有同等
權限，可以進行下一
步攻擊與破壞

9 / 161
 服務啟動失敗的處理

10 / 161
 Windows 系統啟動流程
(一 ) 載入 MBR 並執
BIOS
NTLDR 將系統切換回
16 位元真實模式，然後
1 行， MBR 會尋找開機 5 執行 ntdetect.com
磁區
偵測硬體
開機磁區載入並執行作 NTLDR 讀取
2 業系統的第一個檔案 6 NTDETECT 偵測到的硬
NTLDR 體資訊

NTLDR 將系統切換到 NTLDR 將系統切換到

3 32 位元保護模式 7 32 位元保護模式

NTLDR 讀取 boot.ini NTLDR 啟動

4 顯示開機選單 8 NTOSKRNL.EXE

11 / 161
 Windows Server 架構
Replicator Win32
Session Alerter POSIX
Mgr Event Log OS/2
WinLogon
System Environment
Services User Apps Subsystems
Processes
Interface DLL Subsystem DLL

User
Kernel
Executive Services API
I/O Security Processes/ Object Memory Win32
System Monitor Threads Services Mgmt GDI
File Object Management
Systems Device Exec.
Kernel
Drivers RTL
Hardware Abstraction Layer (HAL) Registry
I/O DMA/Bus Cache Clocks/ Privileged Interrupt
Devices Control Control Timers Architecture Dispatch

12 / 161
 Windows Server 架構
Replicator Win32
Session Alerter POSIX
Mgr Event Log OS/2
WinLogon
System Environment
Services User Apps Subsystems
Processes
Interface DLL Subsystem DLL

User
Kernel
Executive Services API

NTOSKRNL.EX
I/O Security Processes/ Object Memory Win32
System Monitor Threads Services Mgmt GDI

E
File Object Management
Systems Device Exec.
Kernel
Drivers RTL
Hardware Abstraction Layer (HAL)
I/O DMA/Bus Cache Clocks/ Privileged Interrupt
Devices Control Control Timers Architecture Dispatch

13 / 161
 Windows 系統啟動流程
( 基本的系統啟動過程

二)
 smss.exe Session Manager
系統第一個建立的行程
負責啟動 csrss.exe 與 winlogon.exe
 csrss.exe Win32 子系統
 winlogon.exe 登入行程 : 啟動 services.exe &
lsass.exe; 顯示登入畫面，當使用者登入時，
執行 userinit.exe
 services.exe 服務控制器，負責啟動 / 停止系統服務，
大部份的系統服務都是由 svchost.exe 提供

14 / 161
 Windows 系統啟動流程
(二 )
基本的系統啟動過程

 lsass.exe Local Security Authentication (LSA)
Server ，
管理 IPSec Policy 以及啟動 ISAKMP/Oakley
(IKE) 、 IPSec 驅動程式、 HTTP SSL 、
Net Logon 、 …。 ( 系統服務 )
 svchost.exe 包含很多系統服務
 userinit.exe 負責啟動 explorer.exe
 explorer.exe 桌面
 internat.exe 輸入法

15 / 161
 工作管理員

16 / 161
 Alerter 服務
 名稱 : Alerter (svchost.exe -k LocalService)
 功能 : 接收系統管理警示訊息，如果停止這個服務，
主機將收不到任何系統管理警示。
 依存 : Workstation
 建議 : 一般用戶端並不需要傳送或接收系統管理警示
，因此建議停用，但是網管人員所使用的工作
站、以及伺服器則應該自動啟動這個服務。

17 / 161
 Application Layer
Gateway Service
 名稱 : ALG (alg.exe)
 功能 : 提供應用程式層級通訊協定外掛程式的支援，
以及啟用網路 / 通訊協定連線能力。
 依存 : Internt Connection Firewall (ICF) /
Internet Connection Sharing (ICS)
 建議 : 如果你不使用網際網路連線分享 (ICS) 和網際
網路連線防火牆 (ICF) ，那麼這個服務可以停用

18 / 161
 Application
Management
服務 :
 AppMgmt (vchost.exe -k netsvcs)
 功能 : 為 Active Directory IntelliMirror 群組原則程式
處理安裝、移除、以及列舉的要求。
( 處理 msi 檔格式的軟體安裝、刪除、修改、
修復、監視 …等等功能 )
 依存 : 無
 建議 : 手動啟動

19 / 161
 ASP.NET Admin Service
 服務 : aspnet_admin (aspnet_admin.exe)
 功能 : 提供設定 ASP .NET 應用程式組態與管理功能。
 依存 : 無
 建議 :
 如果伺服器上有 ASP .NET Web 應用程式要執行，就設定成自動
啟動。
 否則停用。

20 / 161
 ASP.NET State Service
 服務 : aspnet_state (aspnet_state.exe)
 功能 : 以行程外 (out-of-process) 的方式儲存、管理
ASP .NET 的 Session 狀態。
 依存 : 無
 建議 :
 如果 ASP .NET 應用程式的 web.config 設定檔中有以下設定
，則要 10.20.30.40 這部主機的這個服務要設定自動啟動
<sessionState mode="StateServer"
stateConnectionString="tcpip=10.20.30.40:42424" />
 通常應用在 Web Farms 的環境下。

21 / 161
 更改 ASP .NET State Service 的
連接埠號碼

22 / 161
 Automatic Updates
 服務 : wuauserv (svchost.exe -k netsvcs)
 功能 : 啟用重要 Windows 更新的下載及安裝。
 依存 : 無
 建議 : 自動啟動
 如果架設有 SUS 伺服器，這
個服務會自動向 SUS 取得最
新的 Windows 更新。
 個人用戶應該啟動這個服務
，自動向 Windows Update 下
載 Windows 重要更新。

23 / 161
 Background Intelligent
Transfer
 服務 : BITSService
(svchost.exe -k netsvcs)
 功能 :
 背景傳輸資料
 支援續傳
 支援工作排程
 可以透過 HTTP 1.1 及 HTTPS (SSL) 傳輸資料
 依照工作的指定優先權來傳輸資料
 使用閒置頻寬來傳輸資料
 依存 : Remote Procedure Call (RPC)
 建議 : 手動啟動
 如果有使用 Windows Update 或 Automatic
Updates ，
24 / 161
就該啟動這個服務。
 Background Intelligent
Transfer Service
BITS
1. 建立工作
應用程式 工作 1
工作包含來源與
目的檔案的資訊
2. 加入檔案
工作 1

3. 設定通知

4. 繼續工作 ( 續傳 ) 開始傳輸
工作 1 伺服器
5. 等待或取得工作
6. 通知工作已完成 結束傳輸
工作 1
7. 工作結束，從 BITS 佇列中移除

* 通知並不是必要的，應用程式可以不斷的取得工作狀態，來判斷工作是否
結束。
25 / 161
 BITS 伺服器延伸設定

26 / 161
 Certificate Services
 服務 : CertSvc (certsrv.exe)
 功能 : 建立、管理、並移除如 S/MIME 及 SSL 等應用
程式的 X.509 憑證。
 依存 : 無
 建議 :
 除非這部主機擔任 CA 角色，否則不要啟動這個服務。

27 / 161
 ClipBook
 名稱 : ClipSrv (clipsrv.exe)
 功能 : 啟用剪貼簿檢視器以儲存資訊並與遠端電腦
共用。如果這個服務被停止，剪貼簿檢視器
將無法與遠端電腦共用資訊。
 依存 : Network DDE
 建議 : 停用
 ClipBook 跟 Clipboard 是不一樣的東西 !

28 / 161
 COM+ Event System
 名稱 : EventSystem (svchost.exe -k netsvcs)
 功能 : 支援 System Event Notification Service (SENS) ，
它可讓事件自動分散到訂閱的 COM 元件。
如果服務 被停止， SENS 會關閉，並無法提供
登入及登 出通知。
 依存 : Remote Procedure Call (RPC)
 建議 : 手動

29 / 161
 COM+ System
Application
 名稱 : COMSysApp (dllhost.exe /Processid:
{02D4B3F1-FD88-11D1-960D-00805FC79235})
 功能 : 管理 COM+ 元件的設定及追蹤。如果停止此
服務，大部分的 COM+ 元件將無法適當運作。
 依存 : COM+ Event System
Remote Procedure Call (RPC)
 建議 : 手動

30 / 161
 COM+ 應用程式管理介面

31 / 161
 Computer Browser
 名稱 : Browser (svchost.exe -k netsvcs)
 功能 : 維護網路上更新的電腦清單，並將這個清單
提供給做為瀏覽器的電腦。如果這個服務被
停止，這個清單將不會被更新或維護。
 依存 : Server 、 Workstation
 建議 : 停用
 在 Windows 2000 以後的 Active Diectory 環境下，可以透過
DNS 和 AD 搜尋來進行主機的名稱解析，因此建議停用這　服務。
 如果是 Windows NT 的網域，則應該啟用這個服務。

32 / 161
 Computer Browser 機制
( 在網路中有以下幾種不同角色的

一) Browser
 Domain Master Browser
 當網路中有 Windows 網域時，每個網域中都會有唯一部的 Domain
Master Browser ，在 NT 網域中是由 PDC 擔任、在 AD 中則是由具
有 PDC Emulator 這個 Operation Master Role 的 DC 擔任
 Domain Master Browser 會記錄一份 Browse List ( 內含網域中所有的
線上的電腦 ) 、以及其它網域或工作群組的名稱，這一份清單會複製給其它
子網路上的 Master Browser ，並合併至它們的 Browse List 中
 Master Browser
 每一個子網路中只會有一部開機的電腦是 Master Browser
 在這部電腦 的記憶體中有一份 Backup Browsers List ，用來記錄這個子
網路中有那 些電腦正扮演 Backup Browser 的角色
 另外還有一份 Browse List ，用來記錄這個網路中有那些電腦正在線上，
並會將這份清單複製給 Backup Browsers

33 / 161
 Computer Browser 機制
(一 )
在網路中有以下幾種不同角色的 Browser

 Backup Browser
 每一個子網路中有至少一部以上的 Backup Browser ，網路
中每超過 32 部主機以上就會多一部 Backup Browser
 在這些 Backup Browser 電腦的記憶體中有一份 Browse
List ，記錄了網路中有那些電腦正在線上
 Potential Browser
 每一個子網路中可以有一部以上的 Potential Browser
 這些電腦平時並 沒有什麼作用，但是當 Backup Browser
掛掉時，可以昇級為 Backup Browser
 Client
 使用網路上的芳鄰提出要求，取得網路電腦清單的用戶端

34 / 161
 Computer Browser 機制
( 當一部電腦開機完成時

二) :
 廣播自己的電腦名稱、群組名稱或網域名稱、 IP
 Master Browser 收到這廣播之後，會將該電腦的資料加入 Browse
List 中，供其它電腦查詢，並且會將這份清單複製給 Backup Browsers
 開機後每隔 4, 8, 12, 12, 12, … 分鐘，還會再再行廣播註冊一次
 當一部電腦關機時 :
 廣播自己的電腦名稱、群組名稱或網域名稱、 IP
 Master Browser 收到這廣播之後，會將該電腦的資料從 Browse List
中移除，表示該電腦已經不在線上了
 並且會將這份清單複製給 Backup Browsers

35 / 161
 Computer Browser 機制
(三 )
 當一部 client 端電腦打開網路上的芳鄰時 :
 該電腦會發出廣播，尋找該子網路中的 Master Browser
 Master Browser 收到廣播後，會回應 client 端
 client 端電腦向 Master Browser 發出「取得 Backup Browsers List 」要求
 Master Browser 收到要求後，將 Backup Browsers List 送給 client 端
 client 端從 Backup Browsers List 中選取一部 Backup Browser
 client 端電腦向 Backup Browser 發出「取得 Browse List 」要求
 Backup Browser 收到要求後，將 Browse List 送給 client 端
 client 端收到 Browse List 之後，畫面上就出現一堆電腦的圖示與名稱
 當一部 client 端電腦在網路芳鄰中打開某一個電腦圖示時 :
 client 端向該電腦發出「取得 Shares List 」要求
 該電腦到到要求之後，將 Shares List 回傳給 client 端，這 Shares List 中包含了所有分
享的資料夾
 client 端收到 shares List 之後，畫面上就出現一堆分享的資料夾圖示

36 / 161
 Computer Browser 機制
(四 )
 為什麼明明電腦已經開了，別人卻無法在網路芳鄰中看到？
 那是因為電腦開機時的廣播， Master Browser 沒處理，所以在 Browse List 中自
然就不會有該部電腦的資料， clinet 端自然查不到了
 " 理論 " 上最晚在 48 分鐘後一定得到
 明明電腦已經關閉，別人卻還可以在網路芳鄰中看到？
 那是因為電腦關機時的廣播， Master Browser 沒處理，所以在 Browse List 中該
部電腦的資料沒移除， clinet 端自然還會看到
 " 理論 " 上最晚在 72 分鐘後從清單中移除

37 / 161
 Computer Browser 機制
( 為什麼打開網路芳鄰時，會等粉久？
五)
( 一支手電筒在那裡照來照去 )
 那是因為 Master Browser 或 Backup Browser 掛掉了，所以在
client 廣播尋找 Master Browser 時，或者向 Backup Browser
要求資料時，得不到回應
 這時候 client 端會發出 vote ( 投票 ) 廣播，要求由 Backup
Browsers 中選出一個擔任新任的 Master Browser ，並且從
Protential Browsers 中選出一個擔任新任的 Backup Browser ，
所以會等很久
 選舉的規則如下：
 新的作業系統優先，例如 Windows 2000 比 Windows NT 優先當
選
 如果作業系統相同，則比較版本，例如 NT 4.0 > NT 3.51
 如果版本相同，則比較修正版，例如 SP2 > SP1
 如果修正版也相同，就比較誰比較先開機。

38 / 161
 如何自訂 Browser 角色
? 修改 Registry

 HKEY_LOCAL_MACHINE \ SYSTEM \
CurrentControlSet \ Services \ Browser \ Parameters
 IsDomainMaster
 設成 Yes / True / 1 ( 三者其一 ) 表示優先當選 Master
Browser
 設成 No / False / 0 ( 三者其一 ) 表示棄權不參選 Master
Browser ，最多做 Backup Browser
 MaintainServerList
 設成 NO 表示棄權不參選 Backup Browser
 設成 YES 表示優先當選 Backup Browser
 設成 AUTO 表示參選 Backup Browser ( 預設 )

39 / 161
 如何隱藏電腦 ?
 修改 Registry
 HKEY_LOCAL_MACHINE \ System \
CurrentControlSet \ Services \ LanmanServer \
Parameters
 Hidden (REG_DWORD) = 1
 命令列
 net config server /hidden:yes

40 / 161
 如何跨子網路瀏覽電腦 ?
 問題 :
 如果 Master Browser 或 Backup Browser 剛好就是兩個
子網路之間的路由器，那麼這部電腦不就會記錄兩個子網路的
Backup Browsers List 或 Computers List ， 那 client
端可以在網路芳鄰中看到另一個子網路中的電腦嗎 ?
 答案是 : 不行 !
 因為 Backup Browsers List 與 Computers List 是與網路
卡相依的資料， 也就是在路由器不同網路介面卡所接收到的
List 存取要求， 都只會回應屬於該子網路的 List
 解決方式 :
 透過 DC 的 Domain Master Browser ，以及 WINS 協助
 使用 Active Directory

41 / 161
 Cryptographic Services
 名稱 : CryptSvc (svchost.exe -k netsvcs)
 功能 : 提供三個管理服務 :
 確認 Windows 檔案簽章
 新增及移除受信任根憑證授權憑證
 協助註冊取得這個電腦的憑證
 依存 : Remote Procedure Call (RPC)
 建議 : 自動啟動
 當安裝驅動程式時，會用這個服務來確認數位簽章，尤其
是當透過 Windows Update 或 Automatic Update
下載新的驅動程式安裝時。

42 / 161
 DHCP Client
 名稱 : Dhcp (svchost.exe -k NetworkService)
 功能 : 為這個電腦登錄及更新 IP 位址和 DNS 記錄。

如果這個服務被停止，這個電腦將會不接收
動態 IP 位址和 DNS 更新。
 依存 : AFD 網路支援環境
TCP/IP Protocol Driver
 建議 : 手動
 當主機需要自動取得 IP 和進行 DNS 動態更新就需要，例如
啟動了 Internet Connection Sharing (ICS) 、在 AD 環
境中的用戶端。
 如果主機是靜態 IP 位址，就可以停用這個服務。

43 / 161
 Distributed File System
 名稱 : Dfs (Dfssvc.exe)
 功能 : 將分散檔案共用整合成單一的邏輯名稱區，
管理分散於本機或廣域網路的邏輯磁碟區。
 依存 : Dfs Driver 、 Mup
Security Account Manager
Server 、 Workstation
 建議 :
 在 DFS 根目錄所在的主機上要啟動這個服務
 其餘主機則停用這個服務

44 / 161
 Distributed Link
Tracking Client
 名稱 : TrkWks (svchost.exe -k netsvcs)
 功能 : 讓用戶端程式能夠追蹤檔案連結，不論是從
NTFS 磁碟區移動到相同電腦中另一個 NTFS
磁碟區，或者移動到另一個電腦的 NTFS 磁
碟區。
 依存 : Remote Procedure Call (RPC)
 建議 : 自動啟動
 才可以在檔案搬移後，讓所屬的檔案捷徑都可以自動更新
 請參閱 MSDN 中的 IShellLink 與 IOleLink 介面說明

45 / 161
 Distributed Link
Tracking Server
名稱 : TrkSvr (svchost.exe -k netsvcs)


 功能 : 啟用相同網域內的分散式連結追蹤用戶端服務
，提供對相同網域內的 NTFS 檔案連結更可靠
及更有效的維護。
 依存 : Remote Procedure Call (RPC)
 建議 :
 如果是在網域環境之下，建議在網域控制站上啟用這個服務，以提供網
域成員追蹤跨電腦的 NTFS 檔案連結

46 / 161
 Distributed Link Tracking

47 / 161
 DirectX Debug Service
 名稱 : DXDebug (DXDebugService.exe)
 功能 : 支援 DirectX 應用程式的偵錯
 依存 : Machine Debug Manager
 建議 : 手動
 如果您有安裝偵錯版的 DirectX SDK ，那麼可以透過這個
服務進行 DirectX 應用程式的偵錯。
 如果只是拿來玩 DirectX 遊戲，就不用啟動這個服務。

48 / 161
 Distributed Transaction
Coordinator
名稱 : MSDTC (msdtc.exe)


 功能 : 協調跨越多個資源管理員的交易，例如資料庫
、訊息佇列及檔案系統。如果此服務被停止，
這些交易將不會發生。
 依存 : Remote Procedure Call (RPC)
Security Account Manager
 建議 : 手動
 如果主機上的 SQL Server 或 Message Queue 要和其它主
機進行分散式交易，則要啟動這個服務。

49 / 161
 Distributed Transaction
Coordinator

50 / 161
 DNS Client
 名稱 : Dnscache (svchost.exe -k NetworkService)
 功能 : 讓主機將解析出來的 DNS 名稱快取下來。如果
這個服務被停止，這台電腦將進行 DNS 快取。
 依存 : TCP/IP Protocol Driver
 建議 : 自動
 啟用 DNS 快取可以增進效能
 清除快取 : ipconfig /flushdns
 顯示快取 : ipconfig /displaydns

51 / 161
 DNS Client 服務

52 / 161
 Error Reporting Service
 名稱 : ERSvc (svchost.exe -k WinErr)
 功能 : 蒐集、儲存、以及報告非預期的應用程式當機
事件給 Microsoft 。如果這個服務被停止，將只
會報告核心錯誤和某些類的使用者模式錯誤。
 依存 : Remote Procedure Call (RPC)
 建議 : 停用
 如果您希望能夠協助微軟改善產品的話，就啟動它 

53 / 161
 Windows 錯誤報告

54 / 161
 Event Log
 名稱 : Eventlog (services.exe)
 功能 : 啟用 Windows 為主的程式和元件所發出的事件
日誌訊息可以在事件檢視器中檢視。
 依存 : 無
 建議 : 自動
 尤其是在伺服器上，透過事件日誌可以了解伺服器的狀況

55 / 161
 File Replication
 名稱 : NtFrs (ntfrs.exe)
 功能 : 允許檔案在多個伺服器上進行自動複製及同步
。如果這個服務被停止，檔案複寫將不會發生
，伺服器之間將無法同步處理檔案。
 依存 : COM+ Event System
Event Log
Remote Procedure Call (RPC)
 建議 :
 如果是網域控制站，則一定要啟動，才能正常的和其它網域控
制站進行群組原則的複寫與同步 !
 其它主機則建議停用。

56 / 161
 Help and Support
 名稱 : helpsvc (svchost.exe -k netsvcs)
 功能 : 讓說明及支援中心能夠在這台電腦上執行。
 依存 : Remote Procedure Call (RPC)
 建議 : 停用
 如果您不需要使用說明及支援中心來查詢說明，那麼可以停用
它，以取得更多的可用系統記憶體。

57 / 161
 HID Input Service
 名稱 : HidServ (svchost.exe -k netsvcs)
 功能 : 讓啟用對人體工學介面裝置 (HID) 的通用輸入
存取，包含 : 鍵盤、遠端控制、以及其他多媒
體裝置上事先定義的快捷鍵與快捷鈕的使用。
 依存 : Remote Procedure Call (RPC)
 建議 : 手動
 如果系統沒有連接與使用任何 HID 裝置，就不需要這個服務。

58 / 161
 HTTP SSL
 名稱 : HTTPFilter (lsass.exe)
 功能 : 處理 IIS 的 Secure Socket Layer (SSL) 功
能，讓
Web 站台或虛擬目錄可以使用 HTTPS 通訊協定
進行安全存取。
 依存 : HTTP
IIS Admin Service
 建議 :
 如果您的 IIS 伺服器有加上網站或虛擬目錄的 SSL 加密，那麼
就要啟動這個服務。

59 / 161
 IIS Admin Service
 名稱 : IISADMIN (inetinfo.exe)
 功能 : 用來管理 WWW 、 FTP 、 NNTP 、 SMTP
服務。
 依存 : Remote Procedure Call (RPC)
Security Account Manager
 建議 :
 如果您的伺服器有要執行 WWW 、 FTP 、 NNTP 、
SMTP 其中一個以上的服務時，就必須啟動這個服務。

60 / 161
 IMAPI CD-Burning COM
Service
名稱 : ImapiService (imapi.exe)


 功能 : 使用 Image Mastering Applications

Programming
Interface (IMAPI) 來管理光碟錄製。如果這個服
務被停止，這個電腦將無法錄製光碟。
 依存 : 無
 建議 :
 如果您要使用 Windows 所提供的光碟燒錄功能，則啟動這個
服務。
 如果您是使用 3rd 燒錄軟體，例如 : Nero 、 Alcohol ，就不
用啟動這個服務。

61 / 161
 Indexing Service
 名稱 : CiSvc (cisvc.exe)
 功能 : 管理本機和遠端電腦檔案的索引內容，讓檔
案
搜尋更為快速。
 依存 : Remote Procedure Call (RPC)
 建議 : 停用
 如果經常使用 Windows 的
搜尋功能來搜尋檔案，就
應該啟動這個服務。
 不啟動這個服務還是可以
搜尋檔案，只是由於沒有
索引，搜尋效率會變差。

62 / 161
 Internet Connection Firewall
(ICF) /
Internet
 名稱 : Connection
SharedAccess Sharing
(svchost.exe -k netsvcs)
(ICS)
 功能 : 提供簡單的位址轉譯、名稱解析服務、以及
小型防火牆服務。
 依存 : Application Layer Gateway Service
Network Connections
Network Location Awareness (NLA)
Remote Access Connection Manager
 建議 : 自動
 所有主機都應該至少啟動 ICF ，以確保主機安全
 Windows XP SP2 、 Windows Server 2003 SP1 以後的作業
系統則改用 Microsoft Firewall

63 / 161
 Intersite Messaging
 名稱 : IsmServ (ismserv.exe)
 功能 : 讓網域控制站可以跨站台進行訊息交換。
 依存 : Security Account Manager
 建議 :
 如果 Active Directory 實體架構中有設定兩個以上的站台時，就
應該在擔任 ISTG (InterSite Topology Generator) 角色的網域
控制站 ( 也就是所謂的 bridge head server) 上啟動這個服務，
以進行站台之間的複寫拓樸建置。
 因此，除非您有特別指定 bridge head server ，否則應該在多站
台環境下啟動每一部網域控制站上的這個服務。

64 / 161
 什麼是 Intersite Topology
Generator ? Intersite
Intersite Topology
Generator
A1 Bridgeh
ead
Intersite topology IP
IP Subnet
Subnet
Server
Server
generator (ISTG) A2
用來定義跨站台的複 Replica
Replica
寫 tion
tion
IP
IP Subnet
Subnet

B1
Replicat
IP
IP Subnet
Subnet ion
B2

Replica
Replica
tion
tion
IP
IP Subnet
Subnet
Bridgehead
Bridgehead Server

65 / 161
 如何指定 bridge head server

66 / 161
 IPSEC Services
 名稱 : PolicyAgent (lsass.exe)
 功能 : 提供 TCP/IP 網路上用戶端和伺服器間端點
到
端點的安全性。
 依存 : IPSec Driver
Remote Procedure Call (RPC)
TCP/IP Protocol Driver
 建議 :
 如果主機有套用 IP 安全性原則、或者使用 L2TP 通道通
訊協定的 VPN 連線，就需要啟動這個服務。

67 / 161
 Kerberos Key
Distribution
名稱 : kdc (lsass.exe)

Center
 功能 : 這個服務讓使用者能夠使用 Kerberos 驗證通訊
協定來登入網域。如果這個服務在網域控制站
上被停止，使用者將無法登入網域。
 依存 : AFD 網路支援環境
Remote Procedure Call (RPC)
 建議 : 自動
 網域控制站上一定要啟動這個服務 !
 同網域與跨網域進行使用者身份驗證時，都需要這個服務

68 / 161
 用戶端如何找到 KDC ?

69 / 161
 使用者登入處理程序
Domain Controller
2
1 Ticket
Ticket
Local
Local
Security
Security Kerberos
Access
Access 3 Ticket
Ticket
Subsystem
Subsystem Service
Token
Token
Ticket
Ticket 4
6 5

立
建
Access
Access Token
Token
DC 上的 Kerberos
DC 上的 Kerberos GC
使用者登入 Service
Service 將
將 Server
1 帳號 / 密碼 / 網域 4 Workstation Ticket 傳
/ 密碼 / 網域 Workstation Ticket
回給用戶端
回給用戶端
Local Security
Local
Local Security
Security
2 Subsystem 向 向 DCDC 申
申 5 Subsystem
Subsystem 產生出
產生出
請使用者的 Session
請使用者的 Session Access
Ticket Access Token
Token
Local Security
Subsystem 再向 使用者使用 Access
使用者使用
3 再向 DC 6 Token
申請 Workstation Token 來產生後續的
來產生後續的
Process
Process
Ticket
70 / 161
 跨網域存取資源
Forest Forest 2
Forest
1 trust
6
Global Global
catalog catalog
nwtraders.m contoso.msft
sft

4
2
5 Seattl
3 7 e
8
1
Vancou
ver
9
vancouver.nwtra seattle.contos
ders.msft o.msft

71 / 161
 License Logging
 名稱 : LicenseService (llssrv.exe)
 功能 : 為作業系統的服務 ( 例如 IIS 、 Terminal Server
和 File/Print) 及作業系統以外的產品 ( 例如 SQL
和 Exchange Server) 監視並記錄用戶端存取授
權。如果服務停止的話，授權將被強制執行，
但不會被監視。
 依存 : 無
 建議 :
 如果您需要管理掌控公司使用微軟產品的授權狀況，就需要架設一部
License Server 。

72 / 161
 Logical Disk Manager
 名稱 : dmserver (svchost.exe -k netsvcs)
 功能 : 偵測及監視磁碟上的邏輯磁碟狀態。
 依存 : Plug and Play
Remote Procedure Call (RPC)
 建議 : 自動
 當主機接上或移除磁碟時，會透過這個服務來自動偵測。

73 / 161
 Logical Disk Manager
Administrative Service
 名稱 : dmadmin (dmadmin.exe /com)
 功能 : 設定硬碟磁碟及磁碟區，服務只執行設定程序
之後就停止。
 依存 : Logical disk Manager
Plug and Play
Remote Procedure Call (RPC)
 建議 : 手動
 啟動磁碟管理工具時才需要用到。

74 / 161
 Machine Debug
Manager
名稱 : MDM (mdm.exe)


 功能 : 支援 Visual Studio 本機和遠端偵錯

managed
codes (assembly) 以及指令碼偵錯工具。如果
停止這項服務，偵錯工具將無法正常運作。
 依存 : Remote Procedure Call (RPC)
 建議 :
 遠端偵錯 .NET 程式時，執行 .NET 程式的主機上，必須啟動這
個服務。

75 / 161
 Messenger
 名稱 : Messenger (svchost.exe -k netsvcs)
 功能 : 在主機之間傳輸網路訊息、以及 Alerter 服務
訊息。如果這個服務被停止， Alerter 訊息將
不會被傳輸。
 依存 : NetBIOS Interface 、 Plug and Play
Remote Procedure Call (RPC)
Workstation
 建議 : 停用
 這個服務與 Windows Messenger 無關
 如果需要使用 net send 傳送訊息，則應該在接收端啟動這個服務

76 / 161
 Messenger 服務

77 / 161
 Microsoft Search
 名稱 : MSSEARCH (mssearch.exe)
 功能 : 在結構化與半結構化資料上建立全文索引，
讓這個資料能夠快速地進行語言搜尋。
 依存 : NTLM Security Support Provider
Remote Procedure Call (RPC)
 建議 :
 如果主機上沒有任何應用程式會使用到 Microsoft
Search 服務的話，就可以停用它。

78 / 161
 Microsoft Software Shadow
Copy Provider
 名稱 : swprv (svchost.exe -k swprv)
 功能 : 管理磁碟區陰影複製的服務
 依存 : Remote Procedure Call (RPC)
 建議 :
 如果需要在主機上使用到以下功能，就要啟動這個服務
 備份
 回復文件的舊版本
 參閱 : Volume Shadow Copy

79 / 161
 Net Logon
 名稱 : Netlogon (lsass.exe)
 功能 : 維持這個電腦和網域控制站間用於驗證使用者
和服務的安全通道。網域控制站上的 Net Logon
服務會向 DNS 動態註冊必要的 SRV 記錄。
 依存 : Workstation
 建議 : 自動

80 / 161
 NetMeeting Remote
Desktop Sharing
名稱 : mnmsrvc (mnmsrvc.exe)
 名稱 : mnmsrvc (mnmsrvc.exe)
 功能 : 讓經過授權的使用者可以使用 NetMeeting
由遠
端存取這部電腦。
 依存 : 無
 建議 : 手動

81 / 161
 Network Connections
 名稱 : Netman (svchost.exe -k netsvcs)
 功能 : 管理在網路和撥號連線資料夾中的物件，您可
以在此資料夾中檢視區域網路和遠端連線。如
果這個服務被停用，您將無法檢視區域網路以
及遠端連線。
 依存 : Remote Procedure Call (RPC)
 建議 : 手動
 當打開網路和撥號連線資料夾時，才會啟動這個服務

82 / 161
 Network DDE
 名稱 : NetDDE (netdde.exe)
 功能 : 讓兩部主機可以進行動態資料交換。
 依存 : Network DDE DSDM
 建議 : 停用
 除非有應用程式使用 DDE 進行資料交換。

83 / 161
 Network DDE DSDM
 名稱 : NetDDEdsdm (netdde.exe)
 功能 : 讓 DDE 可以在網路上共用。如果這個服務被
停止， DDE 網路共用將無法使用。
 依存 : 無
 建議 : 停用
 除非有應用程式使用 DDE 進行資料交換。

84 / 161
 Network Location
Awareness (NLA)
名稱 : Nla (svchost.exe -k netsvcs)


 功能 : 收集並存放網路設定和位置資訊，並且在這個
資訊變更時通知應用程式。
 依存 : AFD 網路支援環境
TCP/IP Protocol Driver
 建議 : 手動
 如果不使用 ICF 和 ICS ，就用不到這個服務

85 / 161
 NT LM Security Support
Provider
名稱 : NtLmSsp (lsass.exe)


 功能 : 為沒有使用命名管道 (named pipe) 傳輸

的遠端
程序呼叫 (RPC) 程式提供安全性。
 依存 : AFD 網路支援環境
TCP/IP Protocol Driver
 建議 : 停用
 這個服務是提供遠端呼叫時檢查安全性用的，例如 :
 Telnet
 Message Queue
 Microsoft Search

86 / 161
 NTLM Security 與 LSA Secret

87 / 161
 Performance Logs and
Alerts
名稱 : SysmonLog (smlogsvc.exe)


 功能 : 收集本機或遠端電腦的效能資料，然後將資料
寫入記錄或觸發警訊。
 依存 : 無
 建議 : 手動
 當有使用「系統監視
器」或「效能記錄及
警示」時才會用得到

88 / 161
 Plug and Play
 名稱 : PlugPlay (services.exe)
 功能 : 隨插即用服務，讓系統可以自動識別及調整
硬體資源使用，例如 IRQ 、 IO 、 DMA 、 …
 依存 : 無
 建議 : 自動
 停用這個服務會導致系統不穩定。

89 / 161
 Portable Media Serial
Number Service
名稱 :WmdmPmSN (svchost.exe -k netsvcs)


 功能 :用來取得任何接到主機上的移動式媒體播放
裝置的序號。
 依存 :無
 建議 :停用

90 / 161
 Print Spooler
 名稱 :Spooler (spoolsv.exe)
 功能 :管理所有本機和網路列印的緩衝區佇列，並
控制所有列印工作。如果這個服務被停止，
本機電腦列印將無法使用。
 依存 :Remote Procedure Call (RPC)
 建議 :手動
 如果沒有連接印表機，就不需要這個服務

91 / 161
 Print Spooler

92 / 161
 Protected Storage
 名稱 :ProtectedStorage (lsass.exe)
 功能 :保護儲存諸如私密金鑰這類敏感資訊的存放區
，防止未授權的服務、處理、或使用者進行存
取。如果這個服務被停止，受保護的存放區將
無法使用。
 依存 :Remote Procedure Call (RPC)
 建議 :自動
 這是用來儲存電腦上私密金鑰與密碼的服務，例如 : Outlook 、撥號程式
、其他應用程式、 EFS 私密金鑰 …
 一定要啟動，否則系統就無法儲存這些資料了 !

93 / 161
 QoS RSVP
 名稱 : RSVP (rsvp.exe)
 功能 : 用來進行流量控制
 依存 : Remote Procedure Call (RPC
TCP/IP Protocol Driver
 建議 : 停用

94 / 161
 Remote Access Auto Connection
Manager
 名稱 : RasAuto (svchost.exe -k netsvcs)
 功能 : 自動偵測連線到遠端網路或電腦是否不成功，
如果連線失敗，會自動使用其它連線方法。
 依存 : Remote Access Connection Manager
Telephony
 建議 : 手動

95 / 161
 Remote Access
Connection Manager
 名稱 : RasMan (svchost.exe -k netsvcs)
 功能 : 管理從這個電腦到網際網路或其他遠端網路的
撥號網路和虛擬私人網路 (VPN) 連線。
 依存 : Telephony
 建議 : 手動
 在建立網路連線時會用到
 ICS 也會用到

96 / 161
 Remote Desktop Help
Session Manager
 名稱 : RDSessMgr (sessmgr.exe)
 功能 : 管理並控制遠端協助。如果此服務停止的話，
遠端協助將無法使用。
 依存 : Remote Procedure Call (RPC)
 建議 : 手動
 在使用遠端協助時，會啟動這個服務。

97 / 161
 Remote Procedure Call
(RPC)
名稱 :RpcSs (svchost -k rpcss)


 功能 :扮演結束點對應程式以及 COM 服務控制管理

員的角色。如果這個服務被停止或停用，使用
COM 或遠端程序呼叫 (RPC) 服務的程式將無法
正常運作。
 依存 :無
 建議 :自動
 這個服務如果停止，幾乎所有遠端管理、分散式應用程式的遠端呼叫、
…都會失敗。

98 / 161
 DCOM & RPC 的架構變化
Activation, 伺服端
Binding
Resolution,
(Network Service)
RPCSS
RPCSS Pinging
RPCSS
(Local System)
Activation
Activation Listen Register
Rundown Revoke

OLE32.DLL OLE32.DLL
Method Calls,
QueryInterface,
Ref Counting
Client Server
Application Application

99 / 161
 Remote Procedure Call
(RPC) Locator
名稱 :RpcLocator (locator.exe)


 功能 :使用 RpcNs* 系列 API 啟用遠端程序呼叫 (RPC)

用戶端來尋找 RPC 伺服器。如果這個服務被
停止或停用， RPC 使用 RpcNs* API 的用戶端
可能找不到伺服器或無法啟動。
 依存 :Workstation
 建議 :停用
 由於 RpcNs* API 並沒有在 Windows 內部使用，因此除非你的應用程
式有用到，否則可以停用這個服務。

100 / 161
 Remote Registry
 名稱 :RemoteRegistry (svchost.exe -k regsvc)
 功能 :讓遠端管理者可以修改這個電腦上的系統登錄
設定。如果這個服務被停止，登錄只能由這個
電腦上的管理者修改。
 依存 :Remote Procedure Call (RPC)
 建議 :停用
 除非您需要遠端修改主機的系統登錄設定，否則可以停用這個服務。

101 / 161
 Remote Registry

102 / 161
 Removable Storage
 名稱 :NtmsSvc (svchost.exe -k netsvcs)
 功能 :管理可卸除式媒體，例如 USB 隨身碟、 Zip 磁
碟、 …。如果停用這服務，依存於這個服務的
應用程式，如 Backup 和 Remote Storage ，效能
將會降低。
 依存 :Remote Procedure Call (RPC)
 建議 :手動
 要使用類似裝置時再啟動就可以了。
 伺服器如果有安裝可移除式磁帶來進行備份，就必須啟動這個服務。

103 / 161
 Resultant Set of Policy
Provider
名稱 : RSoPProv (RSoPProv.exe)


 功能 : 讓使用者連線到遠端電腦，透過 WMI 確認
目前
該電腦所套用的群組原則設定值。
 依存 : Remote Procedure Call (RPC)
 建議 : 手動
 只有使用 RSoP 來檢查主機套用群組原則的狀況時才會用到
這個服務。

104 / 161
 Routing and Remote
Access
名稱 :RemoteAccess (svchost.exe -k netsvcs)


 功能 :路由及遠端存取服務。提供路由器、 NAT 、
VPN 、 … 等等功能。
 依存 :NetBIOSGroup
Remote Procedure Call (RPC)
 建議 :停用
 當您使用「系統管理工具 / 路由及遠端存取」功能來設定遠端存取伺服
器時，會將這個服務設定自動啟動。

105 / 161
 Secondary Logon
 名稱 : seclogon (svchost.exe -k netsvcs)
 功能 : 啟用另一次身份認證，以取得另一個 Access
Token 來開啟應用程式。
 依存 : 無
 建議 : 自動
 當您在應用程式捷徑上按住
鍵盤 Shift 鍵不放，再按滑鼠
右鍵，選取「執行身份」就
可以使用另一組使用者帳戶
來取得另一個 Access Token
，用不同身份來開啟應用程
式。

106 / 161
 Security Accounts
Manager
名稱 : SamSs (lsass.exe)


 功能 : 儲存、管理、驗證本機帳戶的安全性資訊。
 依存 : Remote Procedure Call (RPC)
 建議 : 自動
 一定要啟動，否則就無法使用本機帳戶登入系統了。

107 / 161
 Server
 名稱 : lanmanserver (svchost.exe -k netsvcs)
 功能 : 支援網路上檔案、列印、和命名管線的共用。
 依存 : 無
 建議 : 自動
 如果用戶端不需分享檔案或印表機給網路上的其它主機，就可以停用
這個服務。

108 / 161
 Shell Hardware
Detection
名稱 : ShellHWDetection (svchost.exe -k

netsvcs)
 功能 : 為自動播放硬體事件提供通知。
 依存 : Remote Procedure Call (RPC)
 建議 : 自動
 一般使用在記憶卡或是 CD 裝置、 DVD 裝置上的自動播放
功能。

109 / 161
 Simple Mail Transfer
Protocol (SMTP)
 名稱 : SMTPSVC (inetinfo.exe)
 功能 : 電子郵件傳輸服務。
 依存 : Event Log
IIS Admin Service
 建議 :
 如果是郵件伺服器才需要啟動這個服務。
 一般用戶端可以安裝這個服務，來加速郵件處理速度。

110 / 161
 Smart Card
 名稱 :SCardSvr (SCardSvr.exe)
 功能 :管理智慧卡的存取。如果這個服務被停止，
這個電腦將無法讀取智慧卡。
 依存 :Plug and Play
 建議 :
 如果沒有安裝 Smart Card 讀卡機，就可以停用它。

111 / 161
 Smart Card Helper
 名稱 : SCardDrv (SCardSvr.exe)
 功能 : 管理不支援隨插即用功能的智慧卡的存取。
 依存 : 無
 建議 : 停用

112 / 161
 Special Administration
Console Helper
 名稱 : SCardDrv (svchost.exe -k netsvcs)
 功能 : 允取系統管理員使用緊急管理服務來遠端
存取命令提示字元。
 依存 : 無
 建議 : 手動
 當需要使用 Special Administration Console (SAC)
下達 SAC 命令時才需要
 SAC 是使用諸如 LL3 、 null modem 電纜連線來遠端
管理主機時所使用的主控台。
 請搜尋 Mcrosoft 網站「 Emergency Management
Services 」

113 / 161
 System Event
Notification
名稱 : SENS (svchost.exe -k netsvcs)


 功能 : 監視系統事件並通知這些事件的 COM+ 事件
系統訂閱者。如果這個服務被停止， COM+
事件系統訂閱者將不會收到系統事件通知。
 依存 : COM+ Event System
 建議 : 自動
 由於本服務依存於 COM+ Event System ，因此 COM+ Event
System 要設定成手動或自動啟動才可以。
 擔任伺服器的主機，一定要自動啟動這個服務，否則就會收不到任何系統
事件，例如 : 登入、網路、電源、 … 等。

114 / 161
 Task Scheduler
 名稱 : Schedule (svchost.exe -k netsvcs)
 功能 : 工作排程服務。如果停止這個服務，排程工作
在它們排定的時間時將不會執行。
 依存 : Remote Procedure Call (RPC)
 建議 : 自動
 伺服器上通常都有會工作排程，例如週期性備份，因此將這個服
務設定成自動啟動是有必要的。
 如果系統上沒有任何等待執行的排程工作，就可以停用這個服務
。
 命令列指令 : schtasks

115 / 161
 TCP/IP NetBIOS Helper
 名稱 : LmHosts (svchost.exe -k LocalService)
 功能 : 提供對 TCP/IP (NetBT) 服務上的 NetBIOS 以及
網路上用戶端 NetBIOS 名稱解析的支援。
 依存 : AFD 網路支援環境
NetBios over Tcpip
 建議 :
 如果網路上所有的系統都是 Windows 2000 以上，而且使用 DNS 做名稱解
析，就可以停用這個服務。
 否則，就要啟動這個服務，以順利進行 NetBIOS 名稱解析

116 / 161
 Telephony
 名稱 :TapiSrv (svchost.exe -k tapisrv)
 功能 :提供電話語音裝置和 IP 為主的語音連線程式
的用戶端必要的電話語音 API (TAPI) 支援。
 依存 :Plug and Play
Remote Procedure Call (RPC)
 建議 :手動
 一般的撥號數據機或是一些   DSL/Cable  數據機可能用得到

117 / 161
 Telnet
 名稱 : TlntSvr (tlntsvr.exe)
 功能 : Telnet 服務。
 依存 : NT LM Securoty Support Provider
Remote Procedure Call (RPC)
TCP/IP Protocol Driver
 建議 : 停用
 可以使用 Terminal Service 來取代這個命令列模
式下的遠端管理服務。
 使用 tlntadmn.exe 來管理 Telnet 服務。

118 / 161
 Telnet 服務

119 / 161
 Terminal Services
 名稱 : TermService (vchost.exe -k termsvcse)
 功能 : 終端機服務。
 依存 : Remote Procedure Call (RPC)
 建議 : 停用
 除了提供終端機用戶端連線之外，遠端桌面與遠端協助都會使
用到這個服務。

120 / 161
 Terminal Services Session
Directory
名稱 : Tssdis (tssdis.exe)


 功能 : 當使用終端機服務叢集時，使用這個服務來
記錄並將終端機用戶端導向到原本連接的終
端機伺服器。
 依存 : Remote Procedure Call (RPC)
 建議 : 停用
 可以使用 Terminal Service 來取代這個命令列模式下的遠端管
理服務。

121 / 161
 Themes
 名稱 : Themes (svchost.exe -k netsvcs)
 功能 : 佈景主題。
 依存 : Remote Procedure Call (RPC)
 建議 : 停用

122 / 161
 Uninterruptible Power
Supply
名稱 : UPS (ups.exe)


 功能 : 管理連接到這台電腦的不斷電電源供應系統。
 依存 : 無
 建議 :
 伺服器一般會設定自動啟動這個服務，以正確透過訊號線和
UPS 溝通。
 用戶端則建議停用這個服務。

123 / 161
 Upload Manager
 名稱 :uploadmgr (svchost.exe -k netsvcs)
 功能 :將用戶端安裝的驅動程式資訊匿名上傳至微軟
驅動程式回饋伺服器，驅動程式回饋伺服器會
從網際網路搜尋用戶端需要的適當驅動程式或
支援的資訊。
 依存 :Remote Procedure Call (RPC)
 建議 :手動
 如果有使用 Windows Update 或 Automatic Update 來更新裝置驅動程式時
，就會啟動這個服務。

124 / 161
 Virtual Disk Service
 名稱 : vdsr (vds.exe)
 功能 : 提供軟體磁碟區及硬體磁碟區管理服務
 依存 : Plug and Play
Remote Procedure Call (RPC)
 建議 : 手動
 VDS 提供管理異質儲存裝置的單一方式與介面。
 參考資訊 :
http://www.microsoft.com/windowsserversys
tem/storage/technologies/vds/default.mspx

125 / 161
 Virtual Machine Helper
 名稱 : vmh (vmh.exe -service)
 功能 : 提供 Virtual Server 執行虛擬機器必要的服務
。
 依存 : 無
 建議 : 手動

126 / 161
 Virtual Server
 名稱 : Virtual Server (vssrvc.exe)
 功能 : 提供在主機上建立多個虛擬機器，並且在這些
虛擬機器上執行個別的作業系統的功能。
 依存 : Remote Procedure Call
Virtual Machine Helper
Virtual Machine Monitor
 建議 : 自動

127 / 161
 Volume Shadow Copy
 名稱 :VSS (vssvc.exe)
 功能 :磁碟陰影複製服務。如果這個服務被停止，磁
碟陰影複製功能將無法用於備份，備份可能會
失敗。
 依存 :Remote Procedure Call
 建議 :手動
 參閱 : Microsoft Software Shadow Copy Provider

128 / 161
 陰影複製 與文件版本回復

129 / 161
 WebClient
 名稱 :WebClient (svchost.exe -k LocalService)
 功能 :啟用 Windows 為主的程式來建立，存取，以及
修改 Web 上的檔案。
 依存 :WebDav Client Redirector
 建議 :停用
 例如 : 使用   WebDAV  將檔案上傳到   Web  伺服器

130 / 161
 Windows Audio
 名稱 :AudioSrv (svchost.exe -k LocalService)
 功能 :管理 Windows 系統上的音訊裝置。如果這個服
務被停止，音訊裝置和效果將無法正常運作。
 依存 :Plug and Play
Remote Procedure Call (RPC)
 建議 :
 伺服器應該要停用這個服務
 用戶端則自動啟動這個服務

131 / 161
 Windows Image
Acquisition (WIA)
名稱 :stisvc (svchost.exe -k imgsvc)


 功能 :為掃描器和數位相機提供影像擷取服務。如果
掃描器和數位相機內部具有支援 WIA 功能，那
就可以直接看到圖檔，不需要其他的驅動程式
 依存 :Remote Procedure Call (RPC)
Shell Hardware Detection
 建議 :
 伺服器應該要停用這個服務
 用戶端則手動啟動這個服務

132 / 161
 Windows Installer
 名稱 : MSIServer (msiexec.exe /V)
 功能 : 新增、修改以及移除以 Windows
Installer (*.msi)
封裝提供的應用程式。協助使用者正確地安裝
、設定、追蹤、升級和移除應用程式。
 依存 : Remote Procedure Call (RPC)
 建議 : 手動
 伺服器應該要停用這個服務
 用戶端則手動啟動這個服務

133 / 161
 Windows Management
Instrumentation
 名稱 :winmgmt (svchost.exe -k netsvcs)
 功能 :提供被管理物件的公用介面及物件模型，以存
取有關作業系統、裝置、應用程式及服務的管
理資訊。如果這個服務已停止，大多數的軟體
將無法正常運作。
 依存 :Event Log
Remote Procedure Call (RPC)
 建議 :自動

134 / 161
 Windows Management
Instrumentation Driver
Extensions
 名稱 : Wmi (svchost.exe -k netsvcs)
 功能 : 監視、追蹤 WMI 事件。
 依存 : 無
 建議 : 手動
 只有在有註冊 WMI 事件監控時，才需要這個服務。

135 / 161
 Windows Time
 名稱 :W32Time (svchost.exe -k netsvcs)
 功能 :維護在網路上所有用戶端及伺服器的資料及時
間同步處理。如果這個服務停止，將無法進行
日期和時間同步處理。
 依存 :無
 建議 :
 網域環境下，每部網域成員主機都要自動啟動這個服務，這樣網域所有
主機的時間才會一致。
 單機狀態下，則可以停用這個服務。

136 / 161
 Windows Time 服務與 Win32Time
事件

137 / 161
 WinHTTP Web Proxy Auto-
Discovery Service
 名稱 :WinHttpAutoProxySvc
(svchost.exe -k LocalService)
 功能 :為 WinHTTP 服務執行 Web Proxy Auto-Discovery
(WPAD) 通訊協定。 WPAD 是一個讓 HTTP 用戶
端可以自動尋找 proxy 設定的通訊協定。
 依存 :DHCP Client
 建議 :手動
 需要在 DNS 上加入 wpad 這個 A 記錄或 CNAME 記錄
 在 DHCP 上設定 WPAD (code 252) 的選項，並將選項值設定為
http://wpad.xxx.xxx.xxx/wpad.dat
 設定瀏覽器自動偵測 Proxy

138 / 161
 Wireless Configuration
 名稱 : WZCSVC (svchost.exe -k netsvcs)
 功能 : 啟用 IEEE 802.11 介面卡自動設定。
 依存 : NDIS Usermode I/O Protocol
Remote Procedure Call (RPC)
 建議 :
 如果有無線網路卡，就要自動啟動這個服務，否則就停用

139 / 161
 WMI Performance
Adapter
名稱 :WmiApSrv (svchost.exe -k netsvcs)


 功能 :提供來自 Windows Management Instrumentation

(WMI) 提供者的效能程式庫資訊給網路上的用
戶端。
 依存 :Remote Procedure Call (RPC)
 建議 :手動
 如果需要遠端透過 WMI 取得這台主機的效能計數值，就要啟動這個服
務

140 / 161
 Workstation
 名稱 : lanmanworkstation (svchost.exe -k netsvcs)
 功能 : 建立並維護到遠端伺服器的用戶端網路連線。
如果這個服務被停止，這些連線將無法使用。
 依存 : 無
 建議 : 自動
 就算是伺服器，也一定要啟動這個服務，否則 Alerter 、 Background
Intelligent Transfer Service 、 Computer
Browser 、 Messenger 、 Net Logon 、 … 等一堆服務都無法運作。

141 / 161
 World Wide Web
Publishing Service
名稱 : W3SVC (svchost.exe -k iissvcs)


 功能 : 建立並維護到遠端伺服器的用戶端網路連線。
如果這個服務被停止，這些連線將無法使用。
 依存 : HTTP SSL
IIS Admin Service
Remote Procedure Call (RPC)
 建議 : 自動
 Web 伺服器當然要自動啟動這個服務 !

142 / 161
 服務啟動順序
 我們可以修改 Registry 來改變
Windows 服務的啟動順序
 HKEY_LOCAL_MACHINE \ SYSTEM \
CurrentControlSet \ Services
 Group 值 (REG_SZ) ：用來描述服務屬於那
一個服務群組，如果服務沒有設定這個值，則系
統預設會在其它服務都載入後才載入這個服務
 Tag 值 (REG_DWORD ) ：每一個在服務群
組中的服務都會被分配一個唯一的標識，同一個
服務群組中會依照 Tag 值來決定服務載入的
先後順序

143 / 161
 服務群組的啟動順序
 服務群組的啟動順序
 HKEY_LOCAL_MACHINE \ SYSTEM \
CurrentControlSet \ Control \
ServiceGroupOrder 機碼中的 List 值
(REG_SZ)
 根據清單中服務群組
名稱的排列順序來依
序啟動每一個群組

144 / 161
 同服務群組中服務的啟動順
序
 服務群組的啟動順序
 HKEY_LOCAL_MACHINE \ SYSTEM \
CurrentControlSet \ Control \
GroupOrderList 機碼中，每個服務群組都有一個
對應的 REG_BINARY 值
 例如 : SCSI Class 服務群組
03000000 01000000 02000000 03000000
 表示 : 這個服務群組中有 3 個服務，先啟動 Tag
代號為 1 的服務、再啟動 Tag 代號為 2 的服務
、最後啟動 Tag 代號為 3 的服務

145 / 161
 sc 命令列程式
 用途 :
 和服務控制管理員溝通
 查詢服務的狀態
 啟動、停止、暫停、繼續服務
 設定服務參數
 建立、刪除服務
 取得 : Windows 2000 Resource Kit

146 / 161
 使用 sc 命令列程式管理服務

147 / 161
 修復主控台
 使用時機
 當 Windows 系統無法正常啟動，甚至連
安全模式都無法啟動時，就可以使用命令列
的修復主控台來進行系統修復。
 啟動方式 #1
 安裝 : winnt32 /cmdcons
 開機時按 F8
 啟動方式 #2
 直接使用光碟片開機
 按 R 進入修復主控台
148 / 161
 修復主控台
 列出所有服務及狀態
 LISTSVC
 啟動服務
 ENABLE
 停用服務
 DISABLE
 服務狀態
 SERVICE_DISABLED
 SERVICE_BOOT_START
 SERVICE_SYSTEM_START
 SERVICE_AUTO_START
 SERVICE_DEMAND_START
149 / 161
 修復主控台

150 / 161
 什麼是 WMI ?
WMI = Windows Management Instrumentation

微軟實作 WBEM (Web Based Enterprise Management )

內建

內建

內建

內建

MII 是 CIM (Common Information Model ) 的延伸

151 / 161
 WMI 架構
.NET 用戶端應用程式
.NET 用戶端應用程式
Windows Forms Web Forms

Management 資料庫 Web C/C++

Scripts System.Management
資料庫 Web C/C++
Applications 應用程式 瀏覽器 應用程式 Scripts System.Management
應用程式 瀏覽器 應用程式

ActiveX .NET Framework

ODBC ActiveX
1 ODBC 控制項
控制項

WMI
WMICOM
COMAPI
API
COM/DCOM

Management CIM
nstrumentation
CIM
Repository
Repository
CIM Object Manager
CIM Object Manager
(CIMOM)
(CIMOM)
2 .NET Framework

COM/DCOM

SNMP Win32 Registry WDM System.Management

Providers SNMP Win32 Registry WDM System.Management
Provider Provider Provider Provider .Instrumentation
Provider Provider Provider Provider .Instrumentation

Managed
3
SNMP Win32 Registry WDM Instrumented Applications
Objects SNMP
Objects
Win32
Objects
Registry
Objects
WDM
Driver
Instrumented Applications
Objects Objects Objects Driver Windows Forms Web Forms
152 / 161
 WMI Adapters
Scripting
ADSI
Office client

ODBC SWBEM
adapter ADSI Extension
adapter

COM

Windows Management Service

CIM.REP
%SystemRoot%\System32\WBEM\WinMgmt.exe

Providers

153 / 161
 如何啟動所有自動啟動的服務
?
Set
Set objService = GetObject("winmgmts:")

Set colListOfServices = objService.ExecQuery( _

"Select * from Win32_Service " & _
"Where State='Stopped' and
StartMode='Automatic'")

For Each strService in colListOfServices

strService.StartService()
WScript.Echo strService.DisplayName + " 啟動
成功 !"
Next

154 / 161
 如何啟動所有自動啟動的服務 ?

155 / 161
 如何取得某服務的依存性 ?
Set objService = GetObject("winmgmts:")
Set colListOfServices = objService.ExecQuery( _
"Associators of {Win32_Service.Name='IISADMIN'}
"&_
"Where AssocClass=Win32_DependentService " & _
"Role=Dependent" )
For Each strService in colListOfServices
Wscript.Echo strService.DisplayName
Next
 Dependent 表示取得該服務所依存的服務
 Antecedent 表示那個服務依存於這個服務

156 / 161
 如何取得某服務的依存性 ?

157 / 161
 如何即時得知服務的狀態改變
?
Set
Set objService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\.\root\cimv2")

Set colServices = objService.ExecNotificationQuery( _

"Select * from __InstanceModificationEvent " _
& "within 10 where TargetInstance isa 'Win32_Service'")

Do While True
Set obj = colServices.NextEvent
If obj.TargetInstance.State <> obj.PreviousInstance.State
Then
Wscript.Echo obj.TargetInstance.Name _
& " 服務的狀態由 [" & obj.PreviousInstance.State _
& "] 變為 [" & obj.TargetInstance.State & "]"
End If
Loop

158 / 161
 如何即時得知服務的狀態改變 ?

159 / 161
 總結
要管理好眾多的服務，您必須
 要管理好眾多的服務，您必須 ……
 要了解每一個服務之間的相依性
 要了解每一個服務之間的相依性
 適當調整服務的啟動順序
 適當調整服務的啟動順序
 設定服務啟動失敗時的自動修復策略
 設定服務啟動失敗時的自動修復策略
 熟悉
 熟悉 Recovery
Recovery Console
Console 中有關服務的管理指令
中有關服務的管理指令
 運用 WMI
 運用 WMI script
script 進行服務的自動化監控與管理
進行服務的自動化監控與管理

160 / 161
 © 2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.