微軟官方服務(wù)詳解卷

142/142系統(tǒng)服務(wù)更新日期：2006年07月17日系統(tǒng)服務(wù)的介紹方式不同于本指南中的其他設(shè)置，因為所有服務(wù)的漏洞、對策及潛在阻礙的講明幾乎都相同。首次安裝Microsoft?WindowsServer?2003或MicrosoftWindows?XP時，某些服務(wù)被安裝和配置為在計算機(jī)啟動時默認(rèn)運(yùn)行。其默認(rèn)服務(wù)與Windows2000Server中的相比要少一些，關(guān)于WindowsServer2003來講，某些特定服務(wù)將依照分配給每個服務(wù)器的角色而相應(yīng)改變。在您的環(huán)境中，可能并不需要所有的默認(rèn)服務(wù)，應(yīng)將任何不需要的服務(wù)禁用以增強(qiáng)安全性。本章將關(guān)心您了解每項服務(wù)的功能和目的，并解釋了哪些服務(wù)在Windows

Server

2003和Windows

XP中保持啟用，以確保應(yīng)用程序兼容性、客戶端兼容性，或者便于計算機(jī)系統(tǒng)的治理。MicrosoftExcel?工作簿“Windows默認(rèn)安全和服務(wù)配置”（本指南的可下載版本附帶）講明了默認(rèn)系統(tǒng)服務(wù)設(shè)置。本頁內(nèi)容服務(wù)概述服務(wù)必須登錄才能訪問操作系統(tǒng)中的資源和對象，同時大多數(shù)服務(wù)都沒有被設(shè)計為更改其默認(rèn)登錄帳戶。假如更改默認(rèn)帳戶，該服務(wù)專門可能將失敗。假如選定帳戶沒有作為服務(wù)登錄的權(quán)限，Microsoft治理操縱臺(MMC)服務(wù)治理單元將自動為該帳戶授予在計算機(jī)上作為服務(wù)登錄的能力。然而，此自動配置并不能保證啟動服務(wù)。WindowsServer2003包括三個內(nèi)置的本地帳戶，分不用作各系統(tǒng)服務(wù)的登錄帳戶：?本地系統(tǒng)帳戶。本地系統(tǒng)帳戶功能強(qiáng)大，它可對計算機(jī)進(jìn)行完全訪問，并作為網(wǎng)絡(luò)中的計算機(jī)工作。假如某項服務(wù)使用本地系統(tǒng)帳戶登錄到域操縱器，則該服務(wù)可訪問整個域。某些服務(wù)被默認(rèn)配置為使用本地系統(tǒng)帳戶，不應(yīng)更改。本地系統(tǒng)帳戶沒有用戶訪問密碼。?本地服務(wù)帳戶。本地服務(wù)帳戶是一種專門的內(nèi)置帳戶，類似于經(jīng)身份驗證的用戶帳戶。它與Users組的成員具有相同級不的資源和對象訪問權(quán)限。這種限制性訪問有助于在個不服務(wù)或進(jìn)程受損時保障計算機(jī)安全。使用本地服務(wù)帳戶的服務(wù)使用有匿名憑據(jù)的空會話來訪問網(wǎng)絡(luò)資源。此帳戶的名稱為NTAUTHORITY\LocalService，它沒有用戶訪問密碼。?網(wǎng)絡(luò)服務(wù)帳戶。網(wǎng)絡(luò)服務(wù)帳戶也是一種專門的內(nèi)置帳戶，類似于經(jīng)身份驗證的用戶帳戶。類似于本地服務(wù)帳戶，它與Users組的成員也具有相同級不的資源和對象訪問權(quán)限，能夠關(guān)心保障計算機(jī)安全。使用網(wǎng)絡(luò)服務(wù)帳戶的服務(wù)使用計算機(jī)帳戶的憑據(jù)來訪問網(wǎng)絡(luò)資源。此帳戶的名稱為NTAUTHORITY\NetworkService，它沒有用戶訪問密碼。重要：假如更改默認(rèn)的服務(wù)設(shè)置，重要服務(wù)可能不能正常運(yùn)行。假如更改配置為自動啟動的服務(wù)的“啟動類型”和“登錄為”設(shè)置，務(wù)必要小心慎重，這一點(diǎn)特不重要。您能夠在組策略對象編輯器的下列位置配置系統(tǒng)服務(wù)設(shè)置：計算機(jī)配置\Windows設(shè)置\安全設(shè)置\系統(tǒng)服務(wù)\漏洞任何服務(wù)或應(yīng)用程序差不多上潛在的攻擊點(diǎn)。因此，應(yīng)該禁用或刪除環(huán)境中任何不需要的服務(wù)或可執(zhí)行文件。WindowsServer2003有一些附加可選服務(wù)（如CertificateServices），它們不在操作系統(tǒng)的默認(rèn)安裝過程中安裝。重要：假如啟用附加服務(wù)，它們可能依靠于其他服務(wù)。將特定服務(wù)器角色所需的所有服務(wù)添加到該角色在組織中執(zhí)行的服務(wù)器角色策略中。對策禁用所有不必要的服務(wù)。關(guān)于每項系統(tǒng)服務(wù)，都能夠通過組策略為其分配一種服務(wù)狀態(tài)。這些組策略設(shè)置的可能值為：?自動?手動?已禁用?沒有定義治理服務(wù)安全性的另一種方式是，配置一個每項服務(wù)都具有用戶定義的帳戶列表的訪問操縱列表(ACL)。此方法提供了一種操縱服務(wù)的啟動和對正在運(yùn)行的服務(wù)進(jìn)行訪問的方式。潛在阻礙假如某些服務(wù)（如安全帳戶治理器）被禁用，將不能重新啟動計算機(jī)。假如其他關(guān)鍵服務(wù)被禁用，計算機(jī)可能不能向域操縱器驗證身份。假如您想要禁用某些系統(tǒng)服務(wù)，應(yīng)先在非生產(chǎn)計算機(jī)上測試該設(shè)置更改的阻礙，然后才在生產(chǎn)環(huán)境中進(jìn)行更改。不要在服務(wù)對象上設(shè)置權(quán)限有一些基于圖形用戶界面(GUI)的工具可用于編輯服務(wù)。然而，Windows操作系統(tǒng)早期版本（WindowsServer2003之前）中包含的往常版本的這些工具能夠在配置某項服務(wù)的任何屬性時將權(quán)限自動應(yīng)用于各項服務(wù)。如組策略對象編輯器和MMC安全模板治理單元等工具均使用安全配置編輯器DLL來應(yīng)用這些權(quán)限。例如，當(dāng)您使用MMC安全模板治理單元在WindowsXP中配置服務(wù)的啟動狀態(tài)時，系統(tǒng)將顯示以下對話框：圖7.1服務(wù)安全性對話框

不論是單擊“確定”或是“取消”，權(quán)限都將應(yīng)用到正被配置的服務(wù)。專門抱歉，此對話框中列出的權(quán)限與Windows中包含的大多數(shù)服務(wù)的默認(rèn)權(quán)限不匹配。事實上，這些權(quán)限會導(dǎo)致許多服務(wù)出現(xiàn)多種問題。Microsoft建議不要更改WindowsXP或WindowsServer2003中包含的服務(wù)的權(quán)限，因為默認(rèn)權(quán)限的限制性已特不嚴(yán)格。此項功能在WindowsServer2003中已發(fā)生更改，且其安全配置編輯器DLL的版本不強(qiáng)制在編輯服務(wù)屬性時必須配置權(quán)限。針對這種富有挑戰(zhàn)性的情況，能夠有多種不同的處理選擇：?使用安全配置向?qū)?，它是WindowsServer2003ServicePack1(SP1)中包括的一個可選Windows組件。Microsoft建議您在需要針對多種WindowsServer2003服務(wù)器角色配置服務(wù)和網(wǎng)絡(luò)端口篩選器時，使用此方法。?在運(yùn)行WindowsServer2003SP1的服務(wù)器上運(yùn)行MMC安全模板治理單元和組策略對象編輯器。Microsoft建議當(dāng)您需要為將應(yīng)用于WindowsXP的安全模板或組策略配置服務(wù)時，使用此方法。?使用文本編輯器（如記事本）在運(yùn)行WindowsXPProfessional的計算機(jī)上編輯安全模板或組策略。此方法是最少用到的，但某些客戶可能必要如此選擇。下面部分將詳細(xì)講明。手動編輯安全模板盡管可使用文本編輯器（如記事本）來手動編輯它們，但安全模板是專門復(fù)雜的文件。假如未使用正確定義的模板規(guī)范來創(chuàng)建安全模板，可能會使計算機(jī)無法啟動。盡管大多數(shù)類型的錯誤可不能導(dǎo)致這類嚴(yán)峻問題，然而假如需要手動編輯安全模板則必須小心并注意細(xì)節(jié)。當(dāng)使用其中一種基于GUI的工具來配置安全模板時，配置信息存儲在文件的“ServiceGeneralSetting”部分。以下示例文本來自于某個安全模板，在此模板中Alerter、ClipBook和ComputerBrowser服務(wù)的啟動狀態(tài)都已配置為“已禁用”，而DHCP客戶端服務(wù)的啟動狀態(tài)都已配置為“自動”。[ServiceGeneralSetting]Alerter,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"ClipSrv,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"Browser,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"Dhcp,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"每個條目的格式均包括以逗號分隔的三個字段。?第一個字段指示服務(wù)名稱。例如，ClipSrv表示ClipBook服務(wù)。?第二個字段定義啟動狀態(tài)：?4指定“已禁用”?3指定“手動”?2指定“自動”?第三個字段以安全描述符定義語言(SDDL)定義服務(wù)對象的權(quán)限。使用安全配置向?qū)Р⒉槐匾斫釹DDL的詳細(xì)信息。有關(guān)SDDL的詳細(xì)信息，請參閱MSDN?上關(guān)于的文章，網(wǎng)址為/library/en-us/secauthz/

security/security_descriptor_definition_language.asp。要解決服務(wù)對象的潛在權(quán)限問題，能夠刪除第三個字段中的SDDL字符串，但保留一對雙引號標(biāo)記。以下示例顯示四項引用服務(wù)的正確文本：[ServiceGeneralSetting]Alerter,4,""ClipSrv,4,""Browser,4,""Dhcp,2,""在刪除安全模板中所有服務(wù)的SDDL信息后，保存文件。然后能夠通過任何典型方法應(yīng)用安全模板。因此，在將安全模板應(yīng)用到生產(chǎn)計算機(jī)之前，對其進(jìn)行充分測試是極其重要的。系統(tǒng)服務(wù)描述下面各小節(jié)介紹了WindowsServer2003和WindowsXP服務(wù)（按字母順序）。包括默認(rèn)安裝的服務(wù)以及可添加到計算機(jī)的附加服務(wù)。注意：假如某項服務(wù)沒有啟動，則依靠于該服務(wù)的其他服務(wù)也將無法啟動。因此，假如更改某項服務(wù)的狀態(tài)，可能會阻礙其他看起來不相關(guān)的服務(wù)。這種依存關(guān)系存在于本部分介紹的所有服務(wù)中。要檢查某項服務(wù)的依存關(guān)系，在MMC服務(wù)治理單元的服務(wù)屬性對話框中單擊“依存關(guān)系”選項卡。AlerterAlerter服務(wù)通知選定的用戶和計算機(jī)治理警報。能夠使用此服務(wù)向連接在您的網(wǎng)絡(luò)上的指定用戶發(fā)送警報消息。警報消息可提醒用戶與安全、訪問和用戶會話等相關(guān)的故障。警報消息從服務(wù)器發(fā)送到客戶端計算機(jī)，Messenger服務(wù)必須在客戶端計算機(jī)上運(yùn)行，用戶才能接收警報消息。（默認(rèn)情況下，WindowsXP和WindowsServer2003中的Messenger服務(wù)被禁用，以使惡意用戶無法發(fā)送錯誤通知。）假如Alerter服務(wù)已關(guān)閉，使用NetAlertRaise或NetAlertRaiseEx應(yīng)用程序編程接口(API)的應(yīng)用程序?qū)o法通過Messenger服務(wù)顯示的消息框通知用戶或計算機(jī)發(fā)生了治理警報。例如，專門多不間斷電源(UPS)治理工具使用Alerter服務(wù)向治理員通知與UPS相關(guān)的重要事件。假如要使用此服務(wù)，應(yīng)將其啟動狀態(tài)配置為“自動”，以使外部組件在需要時能夠使用它。ApplicationExperienceLookupServiceApplicationExperienceLookupService(AELookupSvc)是應(yīng)用程序兼容性治理器的一部分。它在應(yīng)用程序啟動時為應(yīng)用程序處理應(yīng)用程序兼容性查找請求，為域中的WindowsServer2003計算機(jī)提供支持，報告兼容性問題，并將軟件更新自動應(yīng)用到程序。ApplicationExperienceLookupService必須處于活動狀態(tài)才能應(yīng)用應(yīng)用程序兼容性軟件更新。不能自定義此項服務(wù)，操作系統(tǒng)內(nèi)部使用它。此服務(wù)不使用任何網(wǎng)絡(luò)、Internet或ActiveDirectory?目錄服務(wù)資源。假如禁用ApplicationExperienceLookupService，服務(wù)將接著運(yùn)行但可不能對服務(wù)進(jìn)行調(diào)用。您無法停止實際進(jìn)程。ApplicationLayerGatewayServiceApplicationLayerGatewayService是Windows網(wǎng)絡(luò)子系統(tǒng)的子組件。它為同意網(wǎng)絡(luò)協(xié)議穿越防火墻并在Internet連接共享后面工作的插件提供支持。應(yīng)用程序?qū)泳W(wǎng)關(guān)(ALG)插件能夠打開端口并更改數(shù)據(jù)包中嵌入的數(shù)據(jù)，如端口和IP地址。文件傳輸協(xié)議(FTP)是唯一的網(wǎng)絡(luò)協(xié)議，它在WindowsServer2003StandardEdition和WindowsServer2003EnterpriseEdition中有相應(yīng)的插件。ALGFTP插件經(jīng)設(shè)計，能夠通過Windows中包含的網(wǎng)址轉(zhuǎn)換(NAT)引擎來支持活動的FTP會話。要達(dá)到此目的，ALGFTP插件將穿過NAT的、目標(biāo)為端口21的所有通信重定向到環(huán)回適配器上范圍為3000-5000的專有偵聽端口。然后ALGFTP插件監(jiān)視/更新FTP操縱通道上的通信，以便FTP插件能夠通過此FTP數(shù)據(jù)通道的NAT來探測到端口映射。FTP插件還會更新FTP操縱通道流中的端口。假如停止ApplicationLayerGatewayService，所引用的協(xié)議的網(wǎng)絡(luò)連接將不可用，而且會對網(wǎng)絡(luò)產(chǎn)生反面阻礙。例如，假如禁用此服務(wù)，WindowsMessenger和MSN?Messenger即時消息應(yīng)用程序?qū)⑹?。ApplicationManagementApplicationManagement服務(wù)提供各種軟件安裝服務(wù)，例如“分配”、“公布”和“刪除”。它處理枚舉、安裝和刪除通過組織網(wǎng)絡(luò)部署的應(yīng)用程序的請求。在加入域的計算機(jī)操縱面板的“添加或刪除程序”中單擊“添加”時，程序?qū)⒄{(diào)用此服務(wù)來檢索部署的應(yīng)用程序列表。使用“添加或刪除程序”安裝或刪除應(yīng)用程序時，也會調(diào)用該服務(wù)。假如組件（如shell或COM）請求安裝應(yīng)用程序以處理文件擴(kuò)展名、組件對象模型(COM)類或計算機(jī)中不存在的ProgID，系統(tǒng)同樣要調(diào)用該服務(wù)。服務(wù)在首次被調(diào)用時啟動，啟動后永不終止。注意：有關(guān)COM、COM類或ProgID的詳細(xì)信息，請參閱軟件開發(fā)工具包(SDK)信息，該信息位于MSDN庫中的“”頁面上，網(wǎng)址為/windows/reskits/webresources上（頁面可能為英文）。假如ApplicationManagement服務(wù)停止或被禁用，用戶將無法安裝、刪除或枚舉通過MicrosoftIntelliMirror?治理技術(shù)在ActiveDirectory中部署的應(yīng)用程序。假如禁用此服務(wù)，系統(tǒng)將無法檢索已部署的應(yīng)用程序信息，此信息也無法顯示在操縱面板“添加或刪除程序”的“添加新程序”部分?！皬木W(wǎng)絡(luò)添加程序”對話框?qū)@示下面的消息：網(wǎng)絡(luò)上沒有可用的程序。假如不重新啟動計算機(jī)，則在此服務(wù)啟動后無法停止它。假如不需要此服務(wù)且不希望啟動它，則必須禁用它。ASPASP.NETStateService為ASP.NET的進(jìn)程外會話狀態(tài)提供支持。ASP.NET有所謂的會話狀態(tài)概念，會話狀態(tài)是一組與客戶端會話相關(guān)聯(lián)的值列表，它可通過“會話”設(shè)置從ASP.NET頁中獵取。有三個選項可用于存儲會話數(shù)據(jù)：進(jìn)程內(nèi)、MicrosoftSQLServer?數(shù)據(jù)庫和進(jìn)程外會話狀態(tài)服務(wù)器。ASP.NETStateService存儲進(jìn)程外會話數(shù)據(jù)。此服務(wù)與運(yùn)行在使用套接字的Web服務(wù)器上的ASP.NET進(jìn)行通信。假如此服務(wù)停止或者被禁用，將可不能處理進(jìn)程外請求。此服務(wù)的可執(zhí)行代碼在默認(rèn)情況下安裝，然而服務(wù)本身被禁用，除非手動將其啟動類型更改為“自動”或“手動”。AutomaticUpdatesAutomaticUpdates服務(wù)同意下載并安裝Windows和Office的安全更新。它自動為Windows計算機(jī)提供最新的更新程序、驅(qū)動程序和增強(qiáng)功能。您無需手動搜索安全更新和信息，操作系統(tǒng)可將它們直接傳送到計算機(jī)中。操作系統(tǒng)可識不您聯(lián)機(jī)的時刻，并使用Internet連接通過WindowsUpdate服務(wù)搜索可用的更新。依照具體的配置設(shè)置，該服務(wù)或在下載前、安裝前通知您，或服務(wù)將自動安裝更新程序。能夠通過“操縱面板”中的“系統(tǒng)”設(shè)置關(guān)閉“自動更新”功能?；蛘撸材軌蛴益I單擊“我的電腦”，然后單擊“屬性”。也能夠使用MMC組策略對象編輯器治理單元來配置Intranet服務(wù)器，該服務(wù)器使用WindowsServer更新服務(wù)配置為宿主MicrosoftUpdate站點(diǎn)中的更新內(nèi)容。此設(shè)置同意您指定網(wǎng)絡(luò)上的一臺服務(wù)器，使其充當(dāng)內(nèi)部更新服務(wù)提供者角色。自動更新客戶端將搜索此服務(wù)，以查找適用于您網(wǎng)絡(luò)中的計算機(jī)的更新。注意：有關(guān)WindowsServer更新服務(wù)的詳細(xì)信息，請參閱網(wǎng)站，網(wǎng)址為/fwlink/?LinkId=21133（頁面可能為英文）。假如AutomaticUpdates服務(wù)停止或者被禁用，更新將可不能自動下載到計算機(jī)。將需要通過網(wǎng)站（網(wǎng)址為：）搜索、下載，并安裝相應(yīng)的修補(bǔ)程序。BackgroundIntelligentTransferService(BITS)BackgroundIntelligentTransferService是一種后臺文件傳輸機(jī)制和隊列治理器。BITS可在客戶端和HTTP服務(wù)器之間異步傳輸文件。在默認(rèn)情況下，提交了BITS請求后，文件將通過其他空閑網(wǎng)絡(luò)帶寬傳輸，因此其他與網(wǎng)絡(luò)相關(guān)的活動（如掃瞄）不受阻礙。假如連接丟失或用戶注銷，BITS將使傳輸掛起。BITS連接是永久的，在用戶注銷、網(wǎng)絡(luò)連接中斷和計算機(jī)重新啟動過程中，信息仍然傳輸。一旦用戶登錄，BITS將恢復(fù)用戶的傳輸作業(yè)。BITS通過隊列來治理文件傳輸。您可對隊列中的傳輸作業(yè)安排優(yōu)先排序，并指定文件是在前臺傳輸依舊在后臺傳輸。后臺傳輸由BITS進(jìn)行優(yōu)化，基于空閑網(wǎng)絡(luò)帶寬的可用量來提高和降低（或限制）傳輸速率。假如網(wǎng)絡(luò)應(yīng)用程序開始消耗較多的帶寬，BITS將降低傳輸速率來保證用戶交互。BITS提供了一個前臺優(yōu)先級和三個后臺優(yōu)先級，能夠使用這些優(yōu)先級來排定傳輸作業(yè)。優(yōu)先級較高的作業(yè)先于優(yōu)先級較低的作業(yè)執(zhí)行。同等優(yōu)先級的作業(yè)共享傳輸時刻和輪轉(zhuǎn)調(diào)度，如此可防止大型作業(yè)堵塞傳輸隊列。只有所有的高優(yōu)先級作業(yè)都已完成或處于錯誤狀態(tài)，低優(yōu)先級作業(yè)才能接收傳輸時刻。BITS在WindowsServer2003和WindowsXP上均設(shè)置為手動啟動。在提交第一個作業(yè)時依照需要來啟動。當(dāng)未完成的作業(yè)都已完成時，BITS停止。假如BITS停止，一些功能（如“自動更新”）將無法自動下載程序和其他信息。此功能意味著，計算機(jī)還將無法接收來自組織軟件更新服務(wù)服務(wù)器（假如已通過組策略配置）的自動更新。假如禁用此服務(wù)，所有明顯依靠于此服務(wù)的其他服務(wù)都將無法傳輸文件，除非存在失敗愛護(hù)機(jī)制來直接通過其他方法（例如InternetExplorer）傳輸文件。CertificateServicesCertificateServices是核心操作系統(tǒng)的一部分，它使公司可充當(dāng)自己的證書頒發(fā)機(jī)構(gòu)(CA)，并為應(yīng)用程序頒發(fā)和治理數(shù)字證書。這些應(yīng)用程序包括安全/多用途Internet郵件擴(kuò)展(S/MIME)、安全套接字層(SSL)、加密文件系統(tǒng)(EFS)、IP安全(IPSec)和智能卡登錄。WindowsServer2003支持多級CA層次結(jié)構(gòu)和交叉驗證信任網(wǎng)絡(luò)，包括脫機(jī)和聯(lián)機(jī)CA。默認(rèn)情況下可不能安裝CertificateServices。治理員必須通過操縱面板中的“添加或刪除程序”來安裝它。假如CertificateServices停止或在安裝后被禁用，系統(tǒng)將無法同意證書請求，也無法公布證書吊銷列表(CRL)和增量CRL。假如該服務(wù)的停止時刻超過CRL有效期，現(xiàn)有的證書將無法驗證。ClientServiceforNetWare安裝了ClientServiceforNetWare服務(wù)的服務(wù)器可為交互式登錄用戶提供訪問NetWare網(wǎng)絡(luò)中的文件和打印資源的權(quán)限。使用ClientServiceforNetware，您能夠訪問Netware服務(wù)器中的文件和打印資源。這些服務(wù)器在計算機(jī)中運(yùn)行Novell目錄服務(wù)(NDS)或二進(jìn)制安全（NetWare版本3.x或4.x）。ClientServiceforNetWare不支持IP協(xié)議，無法與僅支持IP環(huán)境的NetWare5.x交互操作。要提供此能力，必須在NetWare5.x服務(wù)器中加載網(wǎng)間數(shù)據(jù)包交換(IPX)協(xié)議，或使用與NetwareCoreProtocol(NCP)兼容、并支持純IP的重定向程序。假如ClientServiceforNetWare服務(wù)停止或被禁用，您將失去訪問NetWare網(wǎng)絡(luò)中的文件和打印資源的權(quán)限，除非安裝了NovellClientforNetWare。默認(rèn)情況下不安裝和啟用此服務(wù)。ClipBookClipBook服務(wù)啟用“剪貼簿查看器”創(chuàng)建并共享供遠(yuǎn)程用戶查看的數(shù)據(jù)頁。此服務(wù)依靠于NetworkDynamicDataExchange(NetDDE)服務(wù)來創(chuàng)建其他計算機(jī)能夠連接到的實際文件共享。ClipBook應(yīng)用程序和服務(wù)同意創(chuàng)建共享的數(shù)據(jù)頁。默認(rèn)情況下安裝ClipBook服務(wù)，但其啟動狀態(tài)被配置為“已禁用”。假如此服務(wù)停止，“剪貼簿查看器”將無法與遠(yuǎn)程計算機(jī)共享信息。Clipbrd.exe仍可用于查看本地剪貼簿。假如用戶突出顯示文本，然后單擊“編輯”菜單中的“復(fù)制”，或按鍵盤中的Ctrl+C，數(shù)據(jù)將被存儲在剪貼簿中。ClusterServiceClusterService操縱服務(wù)器的群集操作并治理群集數(shù)據(jù)庫。群集是一起工作以提供負(fù)載平衡和故障轉(zhuǎn)移支持的多臺獨(dú)立計算機(jī)的集合。能夠識不群集的應(yīng)用程序（如MicrosoftExchangeServer和MicrosoftSQLServer）使用群集向用戶顯示單臺虛擬計算機(jī)。群集軟件可在群集節(jié)點(diǎn)中傳播數(shù)據(jù)和計算任務(wù)。假如某一節(jié)點(diǎn)出現(xiàn)故障，其他節(jié)點(diǎn)將提供往常由故障節(jié)點(diǎn)提供的服務(wù)和數(shù)據(jù)。假如添加或修復(fù)節(jié)點(diǎn)，群集軟件可向該節(jié)點(diǎn)遷移部分?jǐn)?shù)據(jù)和計算任務(wù)。支持不同應(yīng)用程序類型的Windows平臺有兩種不同類型的群集解決方案：服務(wù)器群集和網(wǎng)絡(luò)負(fù)載平衡(NLB)群集。服務(wù)器群集為必須長時刻可靠運(yùn)行的應(yīng)用程序（如數(shù)據(jù)庫或文件服務(wù)器）提供高可用性的環(huán)境，并通過高度集成的群集治理提供故障轉(zhuǎn)移支持。NLB群集則可向其他類型的應(yīng)用程序（如前端Web服務(wù)器）提供高可用、高可擴(kuò)展的環(huán)境，并在一組同樣的服務(wù)器中平衡客戶端請求負(fù)載。ClusterService為服務(wù)器群集提供支持。它是操縱群集操作的所有方面和治理群集數(shù)據(jù)庫的必要軟件組件。群集中的每個節(jié)點(diǎn)都運(yùn)行ClusterService的一個實例。WindowsEnterpriseServer和DatacenterServer版本的Windows

Server

2003均支持多達(dá)8個節(jié)點(diǎn)的服務(wù)器群集。然而，群集只能由運(yùn)行一種Windows版本或其他版本的節(jié)點(diǎn)組成，單個群集中不能運(yùn)行不同版本。服務(wù)器群集能夠有三種不同配置：?單一節(jié)點(diǎn)。這種服務(wù)器群集既能夠配置為有外部群集存儲設(shè)備，也能夠配置為沒有外部群集存儲設(shè)備。關(guān)于沒有外部群集存儲設(shè)備的單一節(jié)點(diǎn)群集，本地磁盤被配置為群集存儲設(shè)備。使用單一節(jié)點(diǎn)配置可開發(fā)能夠識不群集的應(yīng)用程序，或在生產(chǎn)中提供本地運(yùn)行狀況監(jiān)視并重新啟動應(yīng)用程序的功能。?單一仲裁設(shè)備。這種服務(wù)器群集有兩個或多個節(jié)點(diǎn)配置，每個節(jié)點(diǎn)都與一個或多個群集存儲設(shè)備相連。群集配置數(shù)據(jù)都存儲在單個群集存儲設(shè)備（即所謂的仲裁磁盤）中。?多數(shù)節(jié)點(diǎn)集。這種服務(wù)器群集有兩個或多個節(jié)點(diǎn)，這些節(jié)點(diǎn)既能夠與一個或多個群集存儲設(shè)備相連，也能夠不與之相連。群集配置數(shù)據(jù)存儲在群集的多個磁盤中，“ClusterService”可確保此數(shù)據(jù)在不同磁盤中保持一致。默認(rèn)情況下不安裝和啟用ClusterService。假如ClusterService在安裝后停止，群集將不可用。有關(guān)如何配置Windows群集的安全性的其他信息，請查閱本章末尾“更多信息”部分中的相關(guān)鏈接。COM+EventSystemCOM+EventSystem服務(wù)為訂閱COM組件提供自動事件分發(fā)。COM+事件擴(kuò)展了COM+編程模型，它支持在公布服務(wù)器或訂閱服務(wù)器與事件系統(tǒng)之間使用后期綁定事件或調(diào)用方法。事件系統(tǒng)將在信息可用時通知事件接收器，而可不能反復(fù)輪詢服務(wù)器。COM+EventSystem服務(wù)可處理公布服務(wù)器和訂閱服務(wù)器的大部分事件語義。公布服務(wù)器提供公布事件類型，訂閱服務(wù)器則請求特定公布服務(wù)器的事件類型。訂閱在公布服務(wù)器和訂閱服務(wù)器外維護(hù)，且在需要時才檢索，這簡化了兩者的編程模型。訂閱服務(wù)器無需包含構(gòu)建訂閱的邏輯（構(gòu)建訂閱服務(wù)器與創(chuàng)建COM組件一樣簡單）。訂閱的生命周期獨(dú)立于公布服務(wù)器或訂閱服務(wù)器的生命周期。訂閱可在訂閱服務(wù)器或公布服務(wù)器被激活之前構(gòu)建。默認(rèn)情況下安裝此服務(wù)，然而直到應(yīng)用程序請求該服務(wù)才會啟動。假如COM+EventSystem停止，SystemEventNotification服務(wù)將關(guān)閉，且將不能提供登錄和注銷通知。VolumeShadowCopy服務(wù)，Windows備份和依靠于Windows備份API的備份應(yīng)用程序均需要此服務(wù)。COM+SystemApplicationCOM+SystemApplication服務(wù)治理基于COM+的組件的配置和跟蹤。假如停止該服務(wù)，則大多數(shù)基于COM+的組件將不能正常工作。VolumeShadowCopy服務(wù)，Windows備份和依靠于Windows備份API的備份應(yīng)用程序均需要此服務(wù)。默認(rèn)情況下安裝并啟用此服務(wù)。ComputerBrowserComputerBrowser服務(wù)維護(hù)網(wǎng)絡(luò)上計算機(jī)的更新列表，并將列表提供給需要它的程序。ComputerBrowser服務(wù)由需要查看網(wǎng)絡(luò)域和資源的基于Windows的計算機(jī)所使用。指派為掃瞄器的計算機(jī)可維護(hù)掃瞄列表，該列表包括網(wǎng)絡(luò)中使用的所有共享資源。較早版本的Windows應(yīng)用程序（如網(wǎng)上鄰居、NETVIEW命令和WindowsNT?資源治理器）都必須使用掃瞄功能。例如，假如在基于Windows95的計算機(jī)上打開“網(wǎng)上鄰居”，被指派為掃瞄器的計算機(jī)會生成顯示的域和計算機(jī)列表。在掃瞄環(huán)境中，計算機(jī)可扮演幾種不同的角色。在某些情況下，如為特定掃瞄器角色指派的計算機(jī)出現(xiàn)故障或關(guān)機(jī)時，掃瞄器或潛在掃瞄器可能會轉(zhuǎn)換為另一操作角色。ComputerBrowser服務(wù)在默認(rèn)情況下啟用并已啟動。假如服務(wù)停止，掃瞄器列表可不能被更新或維護(hù)。CryptographicServicesCryptographicServices服務(wù)提供計算機(jī)的密鑰治理服務(wù)。CryptographicServices實際上由三種不同的治理服務(wù)組成：?編錄數(shù)據(jù)庫服務(wù)。此服務(wù)添加、刪除和查找目錄文件，這些文件用于對操作系統(tǒng)中的所有文件進(jìn)行簽名。Windows文件愛護(hù)(WFP)、驅(qū)動程序簽名和安裝都使用此服務(wù)來驗證簽名文件。在安裝期間無法停止此服務(wù)。假如服務(wù)在安裝之后停止，它將依照需要再啟動。?受愛護(hù)的根服務(wù)。此服務(wù)添加和刪除受信根證書頒發(fā)機(jī)構(gòu)的證書。該服務(wù)可在顯示的服務(wù)消息框中提供證書名稱和指紋。假如單擊“確定”，證書將添加至或從受信任的根頒發(fā)機(jī)構(gòu)的當(dāng)前列表中刪除。只有“本地系統(tǒng)”帳戶有列表的寫入權(quán)限。假如此服務(wù)停止，當(dāng)前用戶將無法添加或刪除受信任的根證書頒發(fā)機(jī)構(gòu)證書。?密鑰服務(wù)。此服務(wù)同意治理員以本地計算機(jī)帳戶的名義注冊證書。該服務(wù)提供注冊所需的若干功能：枚舉可用證書頒發(fā)機(jī)構(gòu)、枚舉可用計算機(jī)模板，在本地計算機(jī)上下文中創(chuàng)建并提交證書請求的能力，等等。只有治理員可使用本地計算機(jī)帳戶身份進(jìn)行注冊。密鑰服務(wù)還同意治理員為計算機(jī)遠(yuǎn)程安裝個人信息交換(PFX)文件。假如此服務(wù)停止，自動注冊將無法自動獵取默認(rèn)的計算機(jī)證書集。CryptographicServices服務(wù)在默認(rèn)情況下已啟用并自動啟動。假如該服務(wù)停止，前面段落中提到的治理服務(wù)將無法正常運(yùn)行。DCOMServerProcessLauncher在早期版本的Windows中，RemoteProcedureCall(RPC)服務(wù)(RPCSS)作為本地系統(tǒng)運(yùn)行。為縮小Windows受攻擊面并提供深層防備，在WindowsXPServicePack2和WindowsServer2003ServicePack1中RPC服務(wù)功能被分成了兩項服務(wù)。RPCSS服務(wù)保留了不需要“本地系統(tǒng)”特權(quán)的所有原始功能，現(xiàn)在它在“網(wǎng)絡(luò)服務(wù)”帳戶下運(yùn)行。DCOMServerProcessLauncher(DCOMLaunch)服務(wù)合并了要求“本地系統(tǒng)”特權(quán)的舊RPC服務(wù)的功能；它在“本地系統(tǒng)”帳戶下運(yùn)行。默認(rèn)情況下啟用并已啟動此服務(wù)。假如DCOMServerProcessLauncher服務(wù)停止，遠(yuǎn)程過程調(diào)用和本地計算機(jī)上的DCOM請求將不能正常運(yùn)行。假如此服務(wù)停止，尤其是Windows防火墻服務(wù)也將失敗。DHCPClientDHCPClient服務(wù)治理網(wǎng)絡(luò)配置。它為計算機(jī)注冊并更新IP地址和DNS名稱。當(dāng)客戶端計算機(jī)（如便攜式計算機(jī)）通過網(wǎng)絡(luò)從不同位置連接時，不必手動更改其IP設(shè)置。系統(tǒng)會自動為客戶端計算機(jī)給定一個新的IP地址，而不管它重新連接到哪個子網(wǎng)（只要能夠從子網(wǎng)訪問DHCP服務(wù)器即可）。不需要手動配置DNS或WINS的設(shè)置。假如DHCP服務(wù)器的配置同意發(fā)出此類信息，DHCP服務(wù)器可將這些設(shè)置給予客戶端。要在客戶端啟用此選項，只需單擊“自動獲得DNS服務(wù)器地址”選項。重復(fù)的IP地址可不能造成沖突。假如DHCPClient服務(wù)停止，計算機(jī)將不能接收動態(tài)IP地址，而動態(tài)DNS的自動更新也將停止在DNS服務(wù)器中注冊。DHCPServerDHCPServer服務(wù)為DHCP客戶端自動分配IP地址和啟用網(wǎng)絡(luò)設(shè)置的高級配置（如DNS服務(wù)器和WINS服務(wù)器）。DHCP使用的是客戶端/服務(wù)器模型。網(wǎng)絡(luò)治理員建立一個或多個DHCP服務(wù)器，這些服務(wù)器維護(hù)TCP/IP配置信息并將該信息提供給客戶端計算機(jī)。服務(wù)器數(shù)據(jù)庫包含以下內(nèi)容：?網(wǎng)絡(luò)中所有客戶端計算機(jī)的有效配置參數(shù)。?在池中維護(hù)且可分配給客戶端計算機(jī)的有效IP地址，以及手動分配時保留的地址。?服務(wù)器提供的租約持續(xù)時刻。租約定義了已分配的IP地址的有效時刻。DHCP是一種IP標(biāo)準(zhǔn)，旨在減少地址配置治理的復(fù)雜性。它使用服務(wù)器計算機(jī)來集中治理網(wǎng)絡(luò)的IP地址和其他相關(guān)配置詳細(xì)信息。WindowsServer2003系列提供了DHCP服務(wù)，它可使服務(wù)器計算機(jī)執(zhí)行DHCP服務(wù)器的功能，并按照當(dāng)前DHCP草案標(biāo)準(zhǔn)、Internet工程任務(wù)組(IETF)征求意見文檔(RFC)2131中的描述，對網(wǎng)絡(luò)中啟用DHCP的客戶端計算機(jī)進(jìn)行配置。DHCP包括了多播地址動態(tài)客戶端分配協(xié)議(MADCAP)，其作用是執(zhí)行多播地址分配。假如系統(tǒng)通過MADCAP為注冊的客戶端計算機(jī)動態(tài)分配IP地址，客戶端可有效參與數(shù)據(jù)流進(jìn)程（如實時視頻或音頻網(wǎng)絡(luò)傳輸）。通過在網(wǎng)絡(luò)中安裝并配置DHCP服務(wù)器，啟用DHCP的客戶端計算機(jī)可在每次啟動并加入網(wǎng)絡(luò)時動態(tài)獵取其IP地址和相關(guān)配置參數(shù)。DHCP服務(wù)器使用一種地址租約的形式向客戶端計算機(jī)提供此配置。假如DHCPServer服務(wù)停止，服務(wù)器將不再自動發(fā)出IP地址或其他配置參數(shù)。此服務(wù)只在將WindowsServer2003計算機(jī)配置為DHCP服務(wù)器時才會安裝和激活。DistributedFileSystemDistributedFileSystem服務(wù)治理分布在局域網(wǎng)或廣域網(wǎng)(WAN)中的邏輯卷，它是ActiveDirectorySYSVOL共享所必需的。分布式文件系統(tǒng)(DFS)是一種分布式服務(wù)，它可將分散的文件共享合并成一個邏輯名稱空間。此名稱空間是網(wǎng)絡(luò)存儲資源的一種邏輯表示方法，這些網(wǎng)絡(luò)存儲資源對網(wǎng)絡(luò)中的用戶都可用。假如DistributedFileSystem服務(wù)停止，將無法通過邏輯名稱空間訪問文件共享或網(wǎng)絡(luò)數(shù)據(jù)。要在該服務(wù)停止時訪問這些數(shù)據(jù)，需要明白名稱空間中的所有服務(wù)器和所有共享的名稱，然后單獨(dú)訪問各個目標(biāo)。在WindowsServer2003計算機(jī)上默認(rèn)安裝并運(yùn)行此服務(wù)。DistributedLinkTrackingClientDistributedLinkTrackingClient服務(wù)可維護(hù)計算機(jī)內(nèi)部或網(wǎng)絡(luò)域內(nèi)計算機(jī)的NTFS文件系統(tǒng)(NTFS)文件間的鏈接。此服務(wù)可確?？旖莘绞?、對象鏈接和嵌入(OLE)鏈接在目標(biāo)文件被重命名或移動后仍然有效。假如在NTFS卷上創(chuàng)建文件的快捷方式，分布式鏈接跟蹤將在目標(biāo)文件（即鏈接源）中標(biāo)記唯一的對象標(biāo)識符(ID)。引用目標(biāo)文件（即鏈接客戶端）的文件也在內(nèi)部存儲對象ID的信息。分布式鏈接跟蹤可使用此對象ID在下列情況中定位鏈接源文件：?當(dāng)鏈接源文件被重命名時。?當(dāng)鏈接源文件被移動到同一卷的其他文件夾或同一計算機(jī)的其他卷時。?當(dāng)鏈接源文件被移至網(wǎng)絡(luò)中的其他計算機(jī)時。注意：除非計算機(jī)所在的域有DistributedLinkTrackingServer服務(wù)可用，否則這種形式的鏈接跟蹤將隨時刻的推移變得不可靠。?當(dāng)包含鏈接源文件的共享網(wǎng)絡(luò)文件夾被重命名時。在有DistributedLinkTrackingServer服務(wù)可用的Windows2000或WindowsServer2003域中，鏈接源文件可在下列附加情形中找到：?當(dāng)包含鏈接源文件的計算機(jī)被重命名時。?當(dāng)包含鏈接源文件的卷被移至同一域中的其他計算機(jī)時。涉及DistributedLinkTrackingServer服務(wù)的情形要求客戶端計算機(jī)（運(yùn)行DistributedLinkTrackingClient服務(wù)的計算機(jī)）為運(yùn)行Windows

XPSP1或SP2的客戶端配置DLT_AllowDomainMode系統(tǒng)策略。關(guān)于上述所有情形，鏈接源文件必須位于運(yùn)行Windows2000、WindowsXP或WindowsServer2003系列產(chǎn)品的NTFS卷上。NTFS卷不可位于可移動媒體上。注意：DistributedLinkTrackingClient服務(wù)可監(jiān)視NTFS卷中的活動，并在名為Tracking.log的文件中存儲維護(hù)信息，該文件位于每個卷根目錄處名為“SystemVolumeInformation”的隱藏文件夾中。此文件夾有一定的權(quán)限愛護(hù)，只有計算機(jī)能訪問它。此文件夾也可由其他Windows服務(wù)使用，例如IndexingService。假如DistributedLinkTrackingClient服務(wù)停止，系統(tǒng)將可不能維護(hù)或跟蹤計算機(jī)中內(nèi)容的任何鏈接。DistributedLinkTrackingServerDistributedLinkTrackingServer服務(wù)可存儲信息，進(jìn)而為域中每個卷跟蹤在卷與卷之間移動的文件。假如啟用，DistributedLinkTrackingServer服務(wù)會在域中的每個域操縱器上運(yùn)行。此服務(wù)啟用DistributedLinkTrackingClient服務(wù)來跟蹤已移至同域其他NTFS卷中某個位置的鏈接文檔。默認(rèn)情況下，DistributedLinkTrackingServer服務(wù)被禁用。假如啟用該服務(wù)，必須在域的所有域操縱器上啟用。假如DistributedLinkTrackingServer服務(wù)已在升級至較新版本W(wǎng)indowsServer的域操縱器中啟用，必須手動重新啟用該服務(wù)。假如DistributedLinkTrackingServer服務(wù)已啟用，則還必須啟用DLT_AllowDomainMode系統(tǒng)策略以使WindowsXP客戶端計算機(jī)能夠使用此服務(wù)。假如DistributedLinkTrackingServer服務(wù)在啟用后又被禁用，應(yīng)在ActiveDirectory中清除其條目。有關(guān)詳細(xì)信息，請參閱關(guān)于的Microsoft知識庫文章，網(wǎng)址為/kb/312403/。假如DistributedLinkTrackingServer服務(wù)停止或被禁用，由DistributedLinkTrackingClient服務(wù)維護(hù)的鏈接最終將變得不太可靠。在WindowsServer2003中，DistributedLinkTrackingServer服務(wù)已安裝但在默認(rèn)情況下被禁用。DistributedTransactionCoordinatorDistributedTransactionCoordinator服務(wù)協(xié)調(diào)分布于多臺計算機(jī)和/或資源治理器中（例如數(shù)據(jù)庫、消息隊列、文件系統(tǒng)或其他基于事務(wù)的資源治理器）的事務(wù)。假如要通過COM+配置事務(wù)性組件，則此服務(wù)是必需的。此外，消息隊列(MSMQ)中的事務(wù)性隊列和跨多臺計算機(jī)的SQLServer操作也必需該服務(wù)。DistributedTransactionCoordinator服務(wù)在默認(rèn)情況下安裝并已啟用。假如此服務(wù)停止，使用此服務(wù)的事務(wù)將可不能執(zhí)行。假如此服務(wù)停止，使用事務(wù)服務(wù)、群集化安裝的MicrosoftExchange、SQLServer或其他應(yīng)用程序可能會受到阻礙。DNSClientDNSClient服務(wù)為計算機(jī)解析和緩存DNS名稱。DNSClient服務(wù)必須在所有執(zhí)行DNS名稱解析的計算機(jī)中運(yùn)行。DNS名稱解析需用于定位ActiveDirectory域中的域操縱器。DNSClient服務(wù)還需要用于定位通過DNS名稱解析識不的設(shè)備。在WindowsServer2003上運(yùn)行的DNSClient服務(wù)可實施以下功能：?系統(tǒng)范圍緩存。在應(yīng)用程序查詢DNS服務(wù)器時，來自查詢響應(yīng)的資源記錄(RR)被添加至客戶端緩存。此信息之后被緩存特定的生存時刻(TTL)并可再次用于回答后續(xù)查詢。?兼容RFC的負(fù)緩存支持。除了來自DNS服務(wù)器的正查詢響應(yīng)（在答復(fù)中包含資源記錄信息），DNSClient服務(wù)還將緩存負(fù)查詢響應(yīng)。假如被查詢名稱的RR不存在，則產(chǎn)生負(fù)響應(yīng)。負(fù)緩存將阻止其他重復(fù)查詢不存在的名稱的操作，重復(fù)查詢對客戶端計算機(jī)性能有不良阻礙。所有緩存的負(fù)查詢信息的保留時刻都短于正查詢信息的保留時刻；在默認(rèn)情況下，不超過5分鐘。假如記錄后來又變得可用，此配置將幸免不斷緩存負(fù)狀態(tài)查詢信息。?幸免DNS服務(wù)器不響應(yīng)。DNSClient服務(wù)使用按優(yōu)先順序排列的服務(wù)器搜索列表。此列表包含了為計算機(jī)上每個活動的網(wǎng)絡(luò)連接配置的所有首選和備用DNS服務(wù)器。WindowsServer2003依照下列標(biāo)準(zhǔn)重新排列這些列表：?首選DNS服務(wù)器優(yōu)先級第一。?假如沒有可用的首選DNS服務(wù)器，則使用備用DNS服務(wù)器。?不響應(yīng)的服務(wù)器臨時從這些列表中刪除。假如DNSClient服務(wù)停止，計算機(jī)將無法解析DNS名稱或定位ActiveDirectory域操縱器，同時用戶可能無法登錄到計算機(jī)。DNSServerDNSServer服務(wù)啟用DNS名稱解析。它應(yīng)答DNS名稱的查詢和更新請求。DNS服務(wù)器需用于定位以其DNS名稱識不的設(shè)備和定位ActiveDirectory中的域操縱器。假如DNSServer服務(wù)停止或被禁用，則可不能更新DNS。DNSServer服務(wù)不需要在每臺計算機(jī)上運(yùn)行。然而，假如DNS命名空間的特定部分沒有權(quán)威的DNS服務(wù)器，則在命名空間該部分使用DNS名稱來定位設(shè)備將失敗。假如命名ActiveDirectory域的DNS命名空間沒有權(quán)威的DNS服務(wù)器，系統(tǒng)將無法定位該域的域操縱器。DNSServer服務(wù)只在將WindowsServer2003計算機(jī)配置作為DNS服務(wù)器時才會安裝并激活。ErrorReportingServiceErrorReportingService收集、存儲并向Microsoft報告異常應(yīng)用程序錯誤或關(guān)閉事件。它還同意對在非標(biāo)準(zhǔn)環(huán)境中運(yùn)行的服務(wù)和應(yīng)用程序啟用錯誤報告。此服務(wù)為Microsoft產(chǎn)品組調(diào)試驅(qū)動程序和應(yīng)用程序錯誤提供了有效信息。您可配置錯誤報告來發(fā)送Microsoft特定的錯誤信息、生成操作系統(tǒng)錯誤、Windows組件錯誤或程序錯誤的錯誤報告。操作系統(tǒng)錯誤將導(dǎo)致計算機(jī)顯示帶錯誤代碼的停止屏幕。程序或組件錯誤將使程序或組件停止運(yùn)行。假如連接Internet，可直接將錯誤報告發(fā)送給Microsoft。您可使用下面兩種方法之一來配置響應(yīng)程序錯誤的錯誤報告：發(fā)生錯誤時，由“錯誤報告”對話框提示任何用戶向Microsoft發(fā)送錯誤，或在治理員下次登錄時，由“錯誤報告”對話框提示治理員向Microsoft發(fā)送錯誤報告。Windows在處理操作系統(tǒng)錯誤或未打算關(guān)機(jī)方面與處理程序錯誤不同。假如發(fā)生操作系統(tǒng)錯誤和未打算關(guān)機(jī)，Windows要向日志文件寫入錯誤信息。下次治理員登錄時，“錯誤報告”對話框?qū)⑻崾局卫韱T報告該錯誤。假如通過Internet向Microsoft發(fā)送錯誤報告，便提供了相關(guān)技術(shù)信息供Microsoft人員用于增強(qiáng)產(chǎn)品的今后版本。此數(shù)據(jù)僅用于質(zhì)量操縱，它并不用于跟蹤個不用戶或其他商業(yè)目的安裝。假如有相關(guān)的信息關(guān)心解決問題，Windows將顯示另一個“錯誤報告”對話框，其中是這些信息的鏈接?；蛘撸偃缃M織已配置了組策略，則IT部門治理員可使用“企業(yè)錯誤報告”來僅收集并報告他們認(rèn)為重要的那些錯誤。要配置用于“企業(yè)錯誤報告”的工作站和服務(wù)器，治理員可啟用“報告錯誤”策略設(shè)置并配置本地文件服務(wù)器（安裝了“企業(yè)錯誤報告”工具）中的企業(yè)上載文件路徑。假如發(fā)生錯誤，信息將自動重定向至此文件服務(wù)器。然后，治理員可使用“企業(yè)錯誤報告”工具來查看錯誤信息，辨不重要數(shù)據(jù)，并提交給Microsoft。您能夠從網(wǎng)站上下載“企業(yè)錯誤報告”工具，網(wǎng)址為/office/ork/xp/default.htm（頁面可能為英文）。假如ErrorReportingService停止，系統(tǒng)將不發(fā)出錯誤報告。假如在“錯誤報告”對話框中啟用“顯示錯誤通知”設(shè)置，用戶仍將看到指出問題的消息，但無法選擇是向Microsoft依舊向本地網(wǎng)絡(luò)共享報告此信息。默認(rèn)情況下安裝并運(yùn)行此服務(wù)。EventLogEventLog服務(wù)啟用在事件查看器查看基于Windows的程序和組件發(fā)出的事件日志消息。這些事件日志消息包含有助于診斷應(yīng)用程序、服務(wù)和操作系統(tǒng)問題的信息。日志可通過事件日志API或通過MMC事件查看器治理單元查看。在默認(rèn)情況下，運(yùn)行WindowsServer2003系列操作系統(tǒng)的計算機(jī)使用三種不同日志記錄事件：?“應(yīng)用程序”日志。此日志記錄應(yīng)用程序事件。例如，數(shù)據(jù)庫程序可能在“應(yīng)用程序”日志中記錄文件錯誤。程序開發(fā)人員可確定記錄哪些事件。?“安全性”日志。此日志記錄如有效和無效登錄嘗試等事件，以及與資源相關(guān)的事件（如創(chuàng)建、打開或刪除文件或其他對象）。例如，假如啟用登錄審核，則登錄計算機(jī)的嘗試將記錄在“安全性”日志中。?“系統(tǒng)”日志。此日志記錄與Windows組件相關(guān)的事件。例如，“系統(tǒng)”日志會記錄啟動過程中驅(qū)動程序或其他組件加載失敗。Windows組件記錄的事件類型由服務(wù)器預(yù)先確定。配置為域操縱器、基于WindowsServer2003的計算機(jī)還在另外兩個日志中記錄事件：?“目錄服務(wù)”日志。此日志記錄與Active

Directory相關(guān)的事件。例如，服務(wù)器和全局編錄之間的連接故障記錄在“目錄服務(wù)”日志中。?“文件復(fù)制服務(wù)”日志。此日志記錄Windows文件復(fù)制服務(wù)事件。例如，文件復(fù)制故障和域操縱器更新系統(tǒng)卷變更信息時發(fā)生的事件都記錄在“文件復(fù)制”日志中。配置為DNS服務(wù)器并運(yùn)行Windows的計算機(jī)還在另一日志中記錄事件：?“DNS服務(wù)器”日志。此日志包含WindowsDNS服務(wù)記錄的事件。無法停止EventLog服務(wù)。假如禁用該服務(wù)，將無法跟蹤事件，這將大大降低成功診斷計算機(jī)問題的能力。此外，將不審核安全事件，同時您將無法使用MMC事件查看器治理單元來查看往常的事件日志。FastUserSwitchingCompatibilityFastUserSwitchingCompatibility服務(wù)為在多用戶環(huán)境中要求協(xié)助的應(yīng)用程序提供治理。WindowsXP中的“快速用戶切換”功能同意同時登錄到計算機(jī)的多個用戶輕松地在會話之間切換。他們無需關(guān)閉應(yīng)用程序并注銷。許多程序未設(shè)計為在多用戶環(huán)境中運(yùn)行，當(dāng)多個用戶登錄到計算機(jī)時，它們可能會遇到問題。當(dāng)出現(xiàn)問題的特定程序正在使用中和當(dāng)“快速用戶切換”已激活時，F(xiàn)astUserSwitchingCompatibility服務(wù)將執(zhí)行四種不同操作之一：?關(guān)于第1類程序，該服務(wù)將同意用戶在這些程序的第二個實例啟動時關(guān)閉第一個實例。這種操作的入侵性最小，但要求用戶具有治理特權(quán)。?關(guān)于第2類程序，當(dāng)會話被斷開（被“切換用戶”操作，或當(dāng)屏幕愛護(hù)程序解除后計算機(jī)返回到歡迎屏幕）時，該服務(wù)將關(guān)閉這些程序。?關(guān)于第3類程序，該服務(wù)將在會話被斷開時關(guān)閉這些程序，并在用戶重新連接到其會話時重新啟動程序。此選項關(guān)于使用不容易在多個會話間共享的資源的程序來講特不有益，如COM端口。?關(guān)于第4類程序，該服務(wù)會在其他用戶登錄時關(guān)閉程序。此選項解決了對計算機(jī)可能具有侵入性、但無需在返回到歡迎屏幕時關(guān)閉的程序問題。當(dāng)用戶斷開時程序?qū)⒔又\(yùn)行，僅當(dāng)另一用戶登錄時才會被關(guān)閉。假如禁用FastUserSwitchingCapability服務(wù)，啟用了“快速用戶切換”功能的計算機(jī)上某些應(yīng)用程序可能無法正常工作。FaxServiceFaxService是一種兼容電話應(yīng)用程序編程接口(TAPI)的服務(wù)，它為用戶計算機(jī)提供了傳真功能。FaxService同意用戶通過本地傳真設(shè)備或共享的網(wǎng)絡(luò)傳真設(shè)備從他們的桌面應(yīng)用程序收發(fā)傳真。該服務(wù)提供下列功能：?發(fā)送和接收傳真?跟蹤和監(jiān)視傳真活動?傳入傳真路由?服務(wù)器和設(shè)備的配置治理?歸檔已發(fā)送的傳真假如禁用打印后臺處理程序或電話服務(wù)，F(xiàn)axService將無法成功啟動。假如此服務(wù)停止，用戶將無法發(fā)送或接收傳真。假如沒有傳真活動，F(xiàn)axService將停止，需要時可再次重新啟動。FileReplicationServiceFileReplication服務(wù)同意在多個服務(wù)器上自動同時復(fù)制和維護(hù)文件?！癋ileReplicationService”(FRS)是Windows2000和WindowsServer2003系列中的自動文件復(fù)制服務(wù)，其功能是復(fù)制域中所有域操縱器間的系統(tǒng)卷(SYSVOL)的內(nèi)容。它還可被配置為復(fù)制與容錯DFS相關(guān)的備用目標(biāo)間的文件。假如FileReplication服務(wù)停止，文件復(fù)制將可不能進(jìn)行同時服務(wù)器數(shù)據(jù)也可不能同步。此外，假如此服務(wù)停止，域操縱器功能可能會受到嚴(yán)峻阻礙。默認(rèn)情況下，Windows

Server

2003中已安裝FileReplication服務(wù)，但其啟動狀態(tài)被配置為“手動”。FileServerforMacintoshFileServerforMacintosh服務(wù)同意Macintosh計算機(jī)用戶在運(yùn)行WindowsServer2003的計算機(jī)中存儲并訪問文件。假如關(guān)閉此服務(wù)，Macintosh客戶端計算機(jī)將無法存儲并訪問基于Windows

Server

2003的計算機(jī)中的文件。默認(rèn)情況下不安裝和啟動此服務(wù)。FTPPublishingServiceFTPPublishingService可通過MicrosoftInternetInformationServer(IIS)治理單元提供FTP連接和治理。功能包括：帶寬限制、安全帳戶和可擴(kuò)展日志。此服務(wù)包括了新的“FTP用戶隔離”功能，它使用戶只能訪問FTP站點(diǎn)中自己的文件。此外，功能中還增強(qiáng)了國際化支持。假如FTPPublishingService停止，服務(wù)器將無法作為FTP服務(wù)器工作。默認(rèn)情況下不安裝此服務(wù)。HelpandSupportHelpandSupport服務(wù)同意“關(guān)心和支持中心”應(yīng)用程序在用戶計算機(jī)上運(yùn)行，支持該應(yīng)用程序，并同意在客戶端應(yīng)用程序和關(guān)心數(shù)據(jù)之間進(jìn)行通信。此服務(wù)提供對存儲和服務(wù)（如包含元數(shù)據(jù)和關(guān)心主題信息的分類數(shù)據(jù)庫）的訪問，還提供對自動化框架的支持。自動化框架可為已注冊的支持提供程序、用戶歷史記錄、優(yōu)先信息和搜索引擎治理器收集相關(guān)數(shù)據(jù)。假如與“關(guān)心和支持中心”中的功能（如搜索、索引、目錄）交互，該服務(wù)可為這些功能提供數(shù)據(jù)事務(wù)支持。假如HelpandSupport服務(wù)被配置為“手動”，該服務(wù)將在用戶從桌面訪問“關(guān)心和支持中心”時啟動。假如禁用或停止此服務(wù)，“關(guān)心和支持中心”應(yīng)用程序?qū)⒉豢捎?，且用戶將看到以下消息：Windows不能打開關(guān)心和支持，因為一個系統(tǒng)服務(wù)沒有在運(yùn)行。假如未啟用HelpandSupport服務(wù)，用戶能夠訪問可能緩存在本地計算機(jī)上的某些高級主題，但大多數(shù)“關(guān)心和支持中心”應(yīng)用程序功能（包括“遠(yuǎn)程協(xié)助”）都不能工作。然而，用戶仍可查看位于Windows\Help文件夾中的*.HLP和*.CHM文件。默認(rèn)情況下，Windows

XP和Windows

Server

2003中均已安裝并自動啟動HelpandSupport服務(wù)。HTTPSSLHTTPSSL服務(wù)同意IIS執(zhí)行安全套接字層(SSL)功能。SSL是一種建立安全通信通道的開放標(biāo)準(zhǔn)，它可防止截獲像信用卡號如此關(guān)鍵的信息。最重要的是，SSL使萬維網(wǎng)中實現(xiàn)安全電子金融事務(wù)成為可能，因此也可實現(xiàn)其他Internet服務(wù)。假如HTTPSSL服務(wù)停止，IIS將無法執(zhí)行SSL功能。此服務(wù)在安裝IIS時安裝，否則可不能存在和被激活。HumanInterfaceDeviceAccessHumanInterfaceDeviceAccess服務(wù)啟用通用串行總線(USB)設(shè)備（如鍵盤和鼠標(biāo)）的通用輸入訪問。該服務(wù)激活并保存鍵盤、遠(yuǎn)程操縱和其他多媒體設(shè)備上的預(yù)先定義的熱按鈕。在Windows

XP和Windows

Server

2003計算機(jī)上默認(rèn)安裝并已啟動此服務(wù)。假如HumanInterfaceDeviceAccess服務(wù)停止，此服務(wù)操縱的熱按鈕將不再起作用。例如，USB鍵盤上用于后退、前進(jìn)、音量、往常跟蹤等的熱鍵按鈕以及USB揚(yáng)聲器上的音量按鈕將不起作用。IASJetDatabaseAccessIASJetDatabaseAccess服務(wù)使用遠(yuǎn)程身份驗證撥入用戶服務(wù)(RADIUS)協(xié)議來提供身份驗證、授權(quán)和記帳服務(wù)。它只在64位版本的Windows系統(tǒng)中可用。使用Internet身份驗證服務(wù)(IAS)可集中治理用戶的身份驗證、授權(quán)和記帳。您還可使用IAS在運(yùn)行Windows

NT?4.0、Windows

2000或Windows

Server

2003操作系統(tǒng)的域操縱器中驗證用戶的身份。IAS在同類和異類網(wǎng)絡(luò)中的工作性能相同。IAS可用作RADIUS代理來路由RADIUS客戶端（訪問服務(wù)器）與RADIUS服務(wù)器（為連接嘗試執(zhí)行用戶身份驗證、授權(quán)和記帳）之間的RADIUS消息。假如用作RADIUS代理，IAS是RADIUS訪問和記帳消息流的中央交換或路由點(diǎn)。IAS可在記帳日志中記錄有關(guān)轉(zhuǎn)發(fā)消息的信息。RADIUS的身份驗證、授權(quán)和記帳基礎(chǔ)結(jié)構(gòu)包括下列組件：IASJet數(shù)據(jù)庫有兩種。Ias.mdb用于配置IAS，Dnary.mdb對IAS跟蹤RADIUS兼容網(wǎng)絡(luò)訪問服務(wù)器的供應(yīng)商特定屬性時使用的字典進(jìn)行驗證。不要修改Jet數(shù)據(jù)庫。假如IASJetDatabaseAccess服務(wù)停止，要求驗證用戶身份的遠(yuǎn)程網(wǎng)絡(luò)訪問將不可用。例如，遠(yuǎn)程訪問撥號、VPN、無線LAN(802.1x)和以太網(wǎng)802.1xLAN訪問將無法工作。假如禁用此服務(wù)，RoutingandRemoteAccessService(RRAS)和IAS服務(wù)可不能啟動。此外，您也無法在本地或遠(yuǎn)程治理RRAS或IAS。在Windows任何版本上都可不能默認(rèn)安裝此服務(wù)，它只在基于Itanium版本的WindowsServer2003系列上可用。IISAdminServiceIISAdminService同意治理IIS組件（如FTP、應(yīng)用程序池、網(wǎng)站、Web服務(wù)擴(kuò)展）以及網(wǎng)絡(luò)新聞傳輸協(xié)議(NNTP)和簡單郵件傳輸協(xié)議(SMTP)虛擬服務(wù)器。假如停止或禁用此服務(wù)，系統(tǒng)將無法運(yùn)行Web、FTP、NNTP或SMTP站點(diǎn)。在Windows2000中，IISAdminService和相關(guān)服務(wù)在默認(rèn)情況下安裝。在WindowsServer2003系列中，必須通過“添加/刪除Windows組件”或“配置服務(wù)器”安裝IIS組件。IMAPICD-BurningCOMServiceIMAPICD-BurningCOMService通過ImageMasteringApplicationsProgrammingInterface(IMAPI)COM接口治理CD創(chuàng)建，并在用戶通過Windows資源治理器、WindowsMedia?Player(WMP)或使用此API的第三方應(yīng)用程序發(fā)出請求時執(zhí)行CD-R寫操作。IMAPI同意應(yīng)用程序暫存并將簡單的音頻或數(shù)據(jù)映像刻錄到CD-R和CD可重寫(CD-RW)設(shè)備。API支持遵循Joliet和ISO9660標(biāo)準(zhǔn)的Redbook音頻和數(shù)據(jù)磁盤格式。該標(biāo)準(zhǔn)的體系結(jié)構(gòu)考慮了今后對所支持格式集的擴(kuò)展。假如IMAPICD-BurningCOMService停止或被禁用，計算機(jī)將無法使用Windows

XP和WindowsServer2003的內(nèi)置功能來刻錄CD。假如關(guān)閉此服務(wù)并使用第三方CD-RW應(yīng)用程序，可不能阻礙CD的刻錄能力（假如第三方軟件不依靠此服務(wù)）。假如在登錄后啟動此服務(wù)，必須注銷計算機(jī)然后再登錄才能使用Windows資源治理器的CD-R設(shè)備向CD-R媒體寫數(shù)據(jù)。默認(rèn)情況下Windows

XP上安裝了此服務(wù)，但直到用戶請求通過Windows資源治理器進(jìn)行CD-R編寫才會啟動。Windows

Server

2003上已安裝但默認(rèn)情況下禁用此服務(wù)。IndexingServiceIndexingService為本地和遠(yuǎn)程計算機(jī)上文件的內(nèi)容和屬性編制索引，然后通過靈活的查詢語言提供文件的快速訪問。IndexingService還同意在本地和遠(yuǎn)程計算機(jī)中快速搜索文檔，并為Web中的共享內(nèi)容提供搜索索引。該服務(wù)為文件和文檔中的所有文本信息建立了索引。建立了初始索引后，只要文件被創(chuàng)建、修改或刪除，IndexingService都將對索引進(jìn)行維護(hù)。初始索引能夠是資源密集型的。默認(rèn)情況下，IndexingService設(shè)置為手動啟動。當(dāng)服務(wù)被激活時，盡管可使用MMC索引治理單元將服務(wù)配置為在非空閑時工作，但它只會在計算機(jī)空閑時才進(jìn)行索引。MMC還可優(yōu)化查詢和索引使用模式的服務(wù)資源分配配置。假如IndexingService停止，基于文本的搜索會變慢。InfraredMonitorInfraredMonitor服務(wù)同意通過紅外線連接共享文件和圖像。假如在操作系統(tǒng)安裝過程中檢測到紅外設(shè)備，默認(rèn)情況下Windows

XP上會安裝此服務(wù)。此服務(wù)在WindowsServer2003WebEdition、EnterpriseEdition或DatacenterServerEdition中不可用。假如InfraredMonitor服務(wù)停止，文件和圖像無法通過紅外連接共享。InternetAuthenticationServiceInternetAuthenticationService(IAS)對使用VPN設(shè)備、遠(yuǎn)程訪問設(shè)備(RAS)或802.1X無線和以太網(wǎng)/交換機(jī)接入點(diǎn)連接到網(wǎng)絡(luò)（LAN或遠(yuǎn)程）的用戶執(zhí)行集中身份驗證、授權(quán)、審核和記帳。IAS實施IETF標(biāo)準(zhǔn)RADIUS協(xié)議，以同意異類網(wǎng)絡(luò)訪問設(shè)備。假如IAS停止或被禁用，身份驗證請求會被故障轉(zhuǎn)移到備份IAS服務(wù)器中（假如可用）。假如沒有可用的備份IAS服務(wù)器，用戶將無法連接網(wǎng)絡(luò)。此服務(wù)必須手動安裝，同時只在WindowsServer2003系列成員上可用。IntersiteMessagingIntersiteMessaging服務(wù)啟用在運(yùn)行WindowsServer站點(diǎn)的計算機(jī)間交換消息。此服務(wù)用于站點(diǎn)間基于郵件的復(fù)制。ActiveDirectory包括了對通過SMTP（通過IP傳輸）進(jìn)行站點(diǎn)間復(fù)制的支持。SMTP支持由作為IIS組件的SMTP服務(wù)提供。用于站點(diǎn)間通信的傳輸設(shè)置必須可擴(kuò)展。因此，每個傳輸都在獨(dú)立的加載項動態(tài)鏈接庫(DLL)文件中定義。這些加載項DLL文件均加載至IntersiteMessaging服務(wù)，該服務(wù)運(yùn)行于所有可能執(zhí)行站點(diǎn)間通信的域操縱器中。IntersiteMessaging服務(wù)將發(fā)送和接收請求定向至合適的傳輸加載項DLL文件，然后將這些消息路由至目標(biāo)計算機(jī)的IntersiteMessaging服務(wù)。假如IntersiteMessaging服務(wù)停止，系統(tǒng)可不能交換消息，站點(diǎn)間的消息復(fù)制也可不能起作用，更可不能為其他服務(wù)計算站點(diǎn)路由信息。WindowsServer2003計算機(jī)上默認(rèn)安裝此服務(wù)，但此服務(wù)被禁用，直到服務(wù)器被提升為域操縱器角色。IPVersion6HelperServiceIPVersion6HelperService可在Internet協(xié)議版本4(IPv4)網(wǎng)絡(luò)中提供Internet協(xié)議版本6(IPv6)的連接。IPv6是Internet網(wǎng)絡(luò)層的新標(biāo)準(zhǔn)協(xié)議套件。它旨在解決專門多IPv4中關(guān)于地址衰竭、安全、自動配置和擴(kuò)展性等方面的問題。此服務(wù)（常稱為“6to4”）通過在IPv4基礎(chǔ)結(jié)構(gòu)（如Internet）上使用IPv6，同意在啟用了IPv6的站點(diǎn)與主機(jī)間進(jìn)行通信。IPv6站點(diǎn)和主機(jī)可使用自己的6to4地址前綴和Internet進(jìn)行通信。它們不必從Internet服務(wù)提供商(ISP)處獲得IPv6全局地址前綴并連接6bone（Internet中啟用了IPv6的部分）。6to4是RFC3056中描述的隧道技術(shù)，6to4主機(jī)不需進(jìn)行任何手動配置，它使用標(biāo)準(zhǔn)的自動配置來創(chuàng)建6to4地址。6to4使用的全局地址前綴是2002:WWXX:YYZZ::/48，其中WWXX:YYZZ是分配給站點(diǎn)或主機(jī)的公共IPv4地址(w.x.y.z)的十六進(jìn)制表示（冒號分隔），也稱作6to4地址的NextLevelAggregator(NLA)部分。IPv6HelperService也支持6over4，即所謂的IPv4多播隧道（RFC2529中描述的一種技術(shù)）。6over4同意IPv6和IPv4節(jié)點(diǎn)使用IPv4基礎(chǔ)結(jié)構(gòu)上的IPv6進(jìn)行通信。6over4將IPv4基礎(chǔ)結(jié)構(gòu)用作具有多播功能的鏈接。為使6over4正常工作，IPv4基礎(chǔ)結(jié)構(gòu)必須啟用IPv4多播。假如IPVersion6HelperService停止，計算機(jī)一旦連接純IPv6網(wǎng)絡(luò)，將只具有IPv6連接。默認(rèn)情況下不安裝和激活此服務(wù)。IPSecPolicyAgent(IPSecServices)IPSecPolicyAgent(IPSecService)服務(wù)提供TCP/IP網(wǎng)絡(luò)上客戶端和服務(wù)器之間端對端的安全，并可治理IPsec策略、啟動Internet密鑰交換(IKE)并協(xié)調(diào)IPsec策略設(shè)置和IP安全驅(qū)動程序。服務(wù)由NETSTART或NETSTOP命令操縱。IPsec在IP層工作，它關(guān)于其他操作系統(tǒng)服務(wù)和應(yīng)用程序而言是透明的。服務(wù)提供了數(shù)據(jù)包篩選，并可在IP網(wǎng)絡(luò)的計算機(jī)間進(jìn)行安全協(xié)商。您可通過配置IPsec來提供：?具許可、堵塞或協(xié)商安全性等操作的數(shù)據(jù)包篩選。?協(xié)商信任和安全I(xiàn)P通信。IKE協(xié)議可基于策略設(shè)置來相互驗證IP數(shù)據(jù)包發(fā)送者和接收者的身份。身份驗證可使用Kerberos身份驗證協(xié)議、數(shù)字證書或共享密鑰（密碼）。IKE自動生成加密密鑰和IPsec安全關(guān)聯(lián)。?具有可提供加密完整性、身份驗證以及（可選）IP數(shù)據(jù)包加密的IPsec安全格式的IP數(shù)據(jù)包愛護(hù)。?通過IPsec傳輸模式的安全端到端連接。?通過IPsec隧道模式的安全I(xiàn)P隧道。IPsec還為第2層隧道協(xié)議(L2TP)VPN連接提供安全性。假如IPSecPolicyAgent(IPSecService)服務(wù)停止，網(wǎng)絡(luò)中客戶端和服務(wù)器之間的TCP/IP安全將受到損害。在Windows

Server

2003和Windows

XP計算機(jī)上默認(rèn)安裝并激活此服務(wù)。KerberosKerberosKeyDistributionCenter服務(wù)同意用戶使用Kerberosv5身份驗證協(xié)議登錄網(wǎng)絡(luò)并進(jìn)行身份驗證。與Kerberos協(xié)議的其他實現(xiàn)一樣，KerberosKeyDistribution(KDC)是一個單獨(dú)的進(jìn)程，可提供兩種服務(wù)：?身份驗證服務(wù)。此服務(wù)將票證授予票證(TGT)頒發(fā)給所屬域或任何信任域中的票證授予服務(wù)連接。在客戶端計算機(jī)向其他計算機(jī)請求票證之前，必須先向客戶端的帳戶域中的身份驗證服務(wù)請求TGT。身份驗證服務(wù)則向目標(biāo)計算機(jī)域中的票證授予服務(wù)返回TGT。該TGT可不斷重用，直至過期。但第一次訪問任意域的票證授予服務(wù)始終要客戶端帳戶域中的客戶端計算機(jī)聯(lián)系身份驗證服務(wù)。?票證授予服務(wù)(TGS)。此服務(wù)將連接票證頒發(fā)給所屬域中的計算機(jī)。當(dāng)客戶端計算機(jī)希望訪問另一臺計算機(jī)時，必須請求TGT，然后要求該計算機(jī)的票證。票證可不斷重用，直至過期。但第一次訪問任意計算機(jī)始終要聯(lián)系目標(biāo)計算機(jī)帳戶域中的票證授予服務(wù)。假如KerberosKeyDistributionCenter服務(wù)停止，用戶將無法登錄網(wǎng)絡(luò)，也無法訪問資源。此服務(wù)安裝在所有WindowsServer2003計算機(jī)上，但只在域操縱器上運(yùn)行