深入研究 Windows 系統服務效能調校與故障排除

深入研究深入研究 Windows Windows 系統服系統服務務效能調校與故障排除效能調校與故障排除

深入研究深入研究 Windows Windows 系統服系統服務務效能調校與故障排除效能調校與故障排除曹祖聖曹祖聖台灣微軟資深講師台灣微軟資深講師 MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTMCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT

曹祖聖曹祖聖台灣微軟資深講師台灣微軟資深講師 MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTMCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT

22 / 161 / 161

講師簡介講師簡介 How am I ?How am I ?講師簡介講師簡介 How am I ?How am I ?

姓名：曹祖聖姓名：曹祖聖 Jimy CaoJimy Cao

郵件：郵件： [email protected]@top-light.com.tw

證照：證照： MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTMCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT

現任：現任：台灣微軟資深講師台灣微軟資深講師巨匠電腦講師巨匠電腦講師聖擎科技股份有限公司軟體總技術長聖擎科技股份有限公司軟體總技術長光明頂軟體股份有限公司研發顧問光明頂軟體股份有限公司研發顧問行動智慧股份有限公司技術顧問行動智慧股份有限公司技術顧問凌天科技有限公司技術顧問凌天科技有限公司技術顧問專業電腦圖書作家專業電腦圖書作家電腦雜誌專欄作家電腦雜誌專欄作家

姓名：曹祖聖姓名：曹祖聖 Jimy CaoJimy Cao

郵件：郵件： [email protected]@top-light.com.tw

證照：證照： MCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCTMCP, MCP+I, MCSA, MCSE, MCDBA, MCAD, MCSD, MCT

現任：現任：台灣微軟資深講師台灣微軟資深講師巨匠電腦講師巨匠電腦講師聖擎科技股份有限公司軟體總技術長聖擎科技股份有限公司軟體總技術長光明頂軟體股份有限公司研發顧問光明頂軟體股份有限公司研發顧問行動智慧股份有限公司技術顧問行動智慧股份有限公司技術顧問凌天科技有限公司技術顧問凌天科技有限公司技術顧問專業電腦圖書作家專業電腦圖書作家電腦雜誌專欄作家電腦雜誌專欄作家

33 / 161 / 161

講師簡介講師簡介 How am I ?How am I ?講師簡介講師簡介 How am I ?How am I ?

經歷：經歷：華彩教育訓練中心、資策會教育訓練中心講師華彩教育訓練中心、資策會教育訓練中心講師巨匠電腦認證中心兼任講師、專任講師、顧問講師巨匠電腦認證中心兼任講師、專任講師、顧問講師微軟微軟 TechEd 2000TechEd 2000、、 20012001、、 20022002、、 20032003、、 2004 2004 研討會講師研討會講師 (8 (8 場場 ))

微軟微軟 PDC 2002 PDC 2002 研討會講師研討會講師 (2 (2 場場 ))

微軟微軟 Windows 2000 Windows 2000 實力札根研討會講師實力札根研討會講師 (2 (2 場場 ))

微軟微軟 DevCon DevCon 專業專業 .NET .NET 開發技術研討會講師開發技術研討會講師 (8 (8 場場 ))

微軟微軟 Visual Studio .NET Visual Studio .NET 中文版上市發表會中文版上市發表會 (( 全省巡迴全省巡迴 4 4 場場 ))

微軟微軟 Windows Server 2003 Windows Server 2003 中文版上市發表會中文版上市發表會 (( 全省巡迴全省巡迴 4 4 場場 ))

微軟微軟 Office 2003 Office 2003 中文版上市發表會中文版上市發表會 (( 全省巡迴全省巡迴 4 4 場場 ))

微軟微軟 2003 ISV Training2003 ISV Training、、 Smart Client ISV Training Smart Client ISV Training 講師講師Windows XP Service Pack Windows XP Service Pack 應用程式相容性研討會講師應用程式相容性研討會講師 (10 (10 場場 ))

第一屆認證博覽會講師、巨匠精英展望會講師第一屆認證博覽會講師、巨匠精英展望會講師 (( 全省巡迴全省巡迴 3 3 場場 ))

東海、成功、淡江東海、成功、淡江 … … 等大專院校資訊技能生涯規劃講座講師等大專院校資訊技能生涯規劃講座講師大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問

經歷：經歷：華彩教育訓練中心、資策會教育訓練中心講師華彩教育訓練中心、資策會教育訓練中心講師巨匠電腦認證中心兼任講師、專任講師、顧問講師巨匠電腦認證中心兼任講師、專任講師、顧問講師微軟微軟 TechEd 2000TechEd 2000、、 20012001、、 20022002、、 20032003、、 2004 2004 研討會講師研討會講師 (8 (8 場場 ))

微軟微軟 PDC 2002 PDC 2002 研討會講師研討會講師 (2 (2 場場 ))

微軟微軟 Windows 2000 Windows 2000 實力札根研討會講師實力札根研討會講師 (2 (2 場場 ))

微軟微軟 DevCon DevCon 專業專業 .NET .NET 開發技術研討會講師開發技術研討會講師 (8 (8 場場 ))

微軟微軟 Visual Studio .NET Visual Studio .NET 中文版上市發表會中文版上市發表會 (( 全省巡迴全省巡迴 4 4 場場 ))

微軟微軟 Windows Server 2003 Windows Server 2003 中文版上市發表會中文版上市發表會 (( 全省巡迴全省巡迴 4 4 場場 ))

微軟微軟 Office 2003 Office 2003 中文版上市發表會中文版上市發表會 (( 全省巡迴全省巡迴 4 4 場場 ))

微軟微軟 2003 ISV Training2003 ISV Training、、 Smart Client ISV Training Smart Client ISV Training 講師講師Windows XP Service Pack Windows XP Service Pack 應用程式相容性研討會講師應用程式相容性研討會講師 (10 (10 場場 ))

第一屆認證博覽會講師、巨匠精英展望會講師第一屆認證博覽會講師、巨匠精英展望會講師 (( 全省巡迴全省巡迴 3 3 場場 ))

東海、成功、淡江東海、成功、淡江 … … 等大專院校資訊技能生涯規劃講座講師等大專院校資訊技能生涯規劃講座講師大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問大台中人力銀行特約講師、環台聯合企業有限公司網路行銷顧問

44 / 161 / 161

大綱大綱大綱大綱系統服務的功能介紹系統服務的功能介紹系統服務依存性系統服務依存性系統服務啟動順序修改系統服務啟動順序修改系統服務資源競爭問題處理系統服務資源競爭問題處理系統服務啟動失敗時的自動修復系統服務啟動失敗時的自動修復如何使用如何使用 Recovery Console Recovery Console 修復系統服務修復系統服務運用運用 WMI script WMI script 進行系統服務監控與管理進行系統服務監控與管理

系統服務的功能介紹系統服務的功能介紹系統服務依存性系統服務依存性系統服務啟動順序修改系統服務啟動順序修改系統服務資源競爭問題處理系統服務資源競爭問題處理系統服務啟動失敗時的自動修復系統服務啟動失敗時的自動修復如何使用如何使用 Recovery Console Recovery Console 修復系統服務修復系統服務運用運用 WMI script WMI script 進行系統服務監控與管理進行系統服務監控與管理

55 / 161 / 161

Windows Windows 系統服務系統服務 Windows Windows 系統系統服務由服務由 3 3 個部分組成個部分組成 ::

服務應用程式服務應用程式 : : 服務程式本身，包含一個或多個服務程式本身，包含一個或多個服務服務

服務控制管理器服務控制管理器 : : 維護著維護著 Registry Registry 中的服務資料中的服務資料服務控制程式服務控制程式 : : 控制服務應用程式的模組，是控控制服務應用程式的模組，是控制服制服

務應用程式與服務管理器之間的務應用程式與服務管理器之間的橋樑橋樑

66 / 161 / 161

Windows Windows 系統服務系統服務 Windows Windows 系統服務系統服務的啟動方式的啟動方式 ::

自動自動 – – Windows Windows 啟動時自動載入服務啟動時自動載入服務手動手動 – – Windows Windows 啟動時不自動載入服務，啟動時不自動載入服務，在在需要的時候需要的時候

手動開啟手動開啟停用停用 – – Windows Windows 啟動的時候不自動載入服務，在需啟動的時候不自動載入服務，在需要的要的

時候選擇手動或者自動方式開啟服務，並重時候選擇手動或者自動方式開啟服務，並重新啟新啟

動電腦完成服務的配置動電腦完成服務的配置

77 / 161 / 161

Windows Windows 系統服務系統服務機碼設定機碼設定

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \

ServicesServices

每一每一個服務都有一個個服務都有一個 Start Start 數值數值，，該數值內容所記錄的該數值內容所記錄的就是服務該在何時就是服務該在何時該被載入該被載入

Start Start 值值

00 11 22 33 44

說明說明開機啟動開機啟動系統服務系統服務自動載入自動載入手動手動停用停用

88 / 161 / 161

服務啟動帳戶與系統安全服務啟動帳戶與系統安全服務啟動帳戶的選擇服務啟動帳戶的選擇 ::

本機系統帳戶本機系統帳戶 Local SystemLocal System

服務帳戶服務帳戶例如例如 : NETWORK SERVICE: NETWORK SERVICE

使用者帳戶使用者帳戶例如例如 : Administrator: Administrator

服務啟動帳戶必須具備有「以服務方式登入服務啟動帳戶必須具備有「以服務方式登入 (logon as service)(logon as service) 」的權力」的權力

注意緩衝區溢位的安全問題注意緩衝區溢位的安全問題 !!

99 / 161 / 161

什麼是緩衝區溢位什麼是緩衝區溢位 ??什麼是緩衝區溢位什麼是緩衝區溢位 ??

攻擊者傳送超過緩衝攻擊者傳送超過緩衝區大小且包含惡意程區大小且包含惡意程式碼的訊息式碼的訊息

訊息中的惡意程式碼訊息中的惡意程式碼剛好覆蓋掉原本要執剛好覆蓋掉原本要執行的程式碼行的程式碼

如果這個服務啟動帳如果這個服務啟動帳戶具有足夠權限，惡戶具有足夠權限，惡意程式碼就具有同等意程式碼就具有同等權限，可以進行下一權限，可以進行下一步攻擊與破壞步攻擊與破壞

攻擊者傳送超過緩衝攻擊者傳送超過緩衝區大小且包含惡意程區大小且包含惡意程式碼的訊息式碼的訊息

訊息中的惡意程式碼訊息中的惡意程式碼剛好覆蓋掉原本要執剛好覆蓋掉原本要執行的程式碼行的程式碼

如果這個服務啟動帳如果這個服務啟動帳戶具有足夠權限，惡戶具有足夠權限，惡意程式碼就具有同等意程式碼就具有同等權限，可以進行下一權限，可以進行下一步攻擊與破壞步攻擊與破壞

預設的資料緩衝區預設的

資料緩衝區

堆疊堆疊惡意程式碼執行

惡意程式碼執行

訊息進入訊息進入呼叫端資料暫存區呼叫端資料暫存區

函數參數函數參數

函數返回位址函數返回位址

區域指標區域指標

例外處理區例外處理區

超過緩衝區的資料(惡意程式碼 )

超過緩衝區的資料(惡意程式碼 )

1010 / 161 / 161

服務啟動失敗的處理服務啟動失敗的處理服務啟動失敗的處理服務啟動失敗的處理

1111 / 161 / 161

Windows Windows 系統啟動流程系統啟動流程 ((一一 ))

BIOS 載入 MBR 並執行， MBR 會尋找開機磁區BIOS 載入 MBR 並執行， MBR 會尋找開機磁區11

開機磁區載入並執行作業系統的第一個檔案 NTLDR開機磁區載入並執行作業系統的第一個檔案 NTLDR22

NTLDR 將系統切換到 32 位元保護模式NTLDR 將系統切換到 32 位元保護模式33

NTLDR 讀取 boot.ini 顯示開機選單NTLDR 讀取 boot.ini 顯示開機選單44

NTLDR 將系統切換回 16 位元真實模式，然後執行 ntdetect.com 偵測硬體

NTLDR 將系統切換回 16 位元真實模式，然後執行 ntdetect.com 偵測硬體

55

NTLDR 讀取 NTDETECT 偵測到的硬體資訊NTLDR 讀取 NTDETECT 偵測到的硬體資訊66

NTLDR 將系統切換到 32 位元保護模式NTLDR 將系統切換到 32 位元保護模式77

NTLDR 啟動 NTOSKRNL.EXENTLDR 啟動 NTOSKRNL.EXE88

1212 / 161 / 161

Windows Server Windows Server 架構架構

Executive Services APIExecutive Services APII/OI/O

SystemSystemSecuritySecurityMonitorMonitor

Processes/Processes/ThreadsThreads

ObjectObjectServicesServices

MemoryMemoryMgmtMgmt

Win32Win32GDIGDI

Exec.Exec.RTLRTL

DeviceDeviceDriversDrivers

Hardware Abstraction Layer (HAL)Hardware Abstraction Layer (HAL)

KernelKernel

Object ManagementObject ManagementFileFileSystemsSystems

I/OI/ODevicesDevices

DMA/BusDMA/BusControlControl

CacheCacheControlControl

Clocks/Clocks/TimersTimers

PrivilegedPrivilegedArchitectureArchitecture

InterruptInterruptDispatchDispatch

RegistryRegistry

UserUser

KernelKernel

SystemSystemProcessesProcesses ServicesServices User AppsUser Apps EnvironmentEnvironment

SubsystemsSubsystemsSubsystem DLLSubsystem DLLInterface DLLInterface DLL

Session MgrSession MgrWinLogonWinLogon

ReplicatorReplicatorAlerterAlerter

Event LogEvent Log

Win32Win32POSIXPOSIXOS/2OS/2

1313 / 161 / 161

Executive Services APIExecutive Services APII/OI/O

SystemSystemSecuritySecurityMonitorMonitor

Processes/Processes/ThreadsThreads

ObjectObjectServicesServices

MemoryMemoryMgmtMgmt

Win32Win32GDIGDI

Exec.Exec.RTLRTL

DeviceDeviceDriversDrivers

Hardware Abstraction Layer (HAL)Hardware Abstraction Layer (HAL)

KernelKernel

Object ManagementObject ManagementFileFileSystemsSystems

I/OI/ODevicesDevices

DMA/BusDMA/BusControlControl

CacheCacheControlControl

Clocks/Clocks/TimersTimers

PrivilegedPrivilegedArchitectureArchitecture

InterruptInterruptDispatchDispatch

Windows Server Windows Server 架構架構

UserUser

KernelKernel

SystemSystemProcessesProcesses ServicesServices User AppsUser Apps EnvironmentEnvironment

SubsystemsSubsystemsSubsystem DLLSubsystem DLLInterface DLLInterface DLL

Session MgrSession MgrWinLogonWinLogon

ReplicatorReplicatorAlerterAlerter

Event LogEvent Log

Win32Win32POSIXPOSIXOS/2OS/2

NTO

SKR

NL.EXE

NTO

SKR

NL.EXE

1414 / 161 / 161

Windows Windows 系統啟動流程系統啟動流程 ((二二 )) 基本的系統啟動過程基本的系統啟動過程

smss.exesmss.exe Session ManagerSession Manager系統第一個建立的行程系統第一個建立的行程負責啟動負責啟動 csrss.exe csrss.exe 與與 winlogon.exe winlogon.exe

csrss.execsrss.exe Win32 Win32 子系統子系統 winlogon.exewinlogon.exe 登入行程登入行程 : : 啟動啟動 services.exe & lsass.exe;services.exe & lsass.exe;

顯示登入畫面，當使用者登入時，顯示登入畫面，當使用者登入時，執行執行 userinit.exeuserinit.exe

services.exeservices.exe 服務控制器，負責啟動服務控制器，負責啟動 // 停止系統服務，停止系統服務，大部份的系統服務都是由大部份的系統服務都是由

svchost.exe svchost.exe 提供提供

1515 / 161 / 161

Windows Windows 系統啟動流程系統啟動流程 ((二二 )) 基本的系統啟動過程基本的系統啟動過程

lsass.exelsass.exe Local Security Authentication (LSA) ServerLocal Security Authentication (LSA) Server ，，管理管理 IPSec Policy IPSec Policy 以及啟動以及啟動

ISAKMP/OakleyISAKMP/Oakley(IKE) (IKE) 、、 IPSec IPSec 驅動程式、驅動程式、 HTTP SSLHTTP SSL 、、

Net LogonNet Logon、、……。。 (( 系統服務系統服務 ) ) svchost.exesvchost.exe 包含很多系統服務包含很多系統服務 userinit.exeuserinit.exe 負責啟動負責啟動 explorer.exeexplorer.exe explorer.exeexplorer.exe 桌面桌面 internat.exeinternat.exe 輸入法輸入法

1616 / 161 / 161

工作管理員工作管理員工作管理員工作管理員

1717 / 161 / 161

Alerter Alerter 服務服務名稱名稱 :: Alerter (Alerter (svchost.exe -k LocalService)svchost.exe -k LocalService)

功能功能 : : 接收系統管理警示訊息，如果停止這個服務，接收系統管理警示訊息，如果停止這個服務，

主機將收不到任何系統管理警示。主機將收不到任何系統管理警示。依存依存 :: Workstation Workstation 建議建議 :: 一般用戶端並不需要傳送或接收系統管理警一般用戶端並不需要傳送或接收系統管理警示示

，因此建議停用，但是網管人員所使用的工，因此建議停用，但是網管人員所使用的工作作

站、以及伺服器則應該自動啟動這個服務。站、以及伺服器則應該自動啟動這個服務。

1818 / 161 / 161

Application Layer Gateway ServiceApplication Layer Gateway Service 名稱名稱 :: ALG (alg.exe) ALG (alg.exe) 功能功能 : : 提供應用程式層級通訊協定外掛程式的支援，提供應用程式層級通訊協定外掛程式的支援，

以及啟用網路以及啟用網路 //通訊協定連線能力。通訊協定連線能力。依存依存 :: Internt Connection Firewall (ICF) / Internt Connection Firewall (ICF) /

Internet Connection Sharing (ICS) Internet Connection Sharing (ICS) 建議建議 :: 如果你不使用網際網路連線分享如果你不使用網際網路連線分享 (ICS) (ICS) 和網和網際際

網路連線防火牆網路連線防火牆 (ICF)(ICF) ，那麼這個服務可以，那麼這個服務可以停用停用

1919 / 161 / 161

Application ManagementApplication Management 服務服務 :: AppMgmt (vchost.exe -k netsvcs) AppMgmt (vchost.exe -k netsvcs) 功能功能 : : 為為 Active Directory IntelliMirror Active Directory IntelliMirror 群組原則程式群組原則程式

處理安裝、移除、以及列舉的要求。處理安裝、移除、以及列舉的要求。(( 處理處理 msi msi 檔格式的軟體安裝、刪除、修改、檔格式的軟體安裝、刪除、修改、

修復、監視修復、監視……等等功能等等功能 )) 依存依存 :: 無無建議建議 :: 手動啟動手動啟動

2020 / 161 / 161

ASP.NET Admin ServiceASP.NET Admin Service 服務服務 :: aspnet_admin (aspnet_admin.exe) aspnet_admin (aspnet_admin.exe) 功能功能 : : 提供設定提供設定 ASP .NETASP .NET 應用程式組態與管理功應用程式組態與管理功

能。能。依存依存 :: 無無建議建議 ::

如果伺服器上有如果伺服器上有 ASP .NET Web ASP .NET Web 應用程式要執行，就設定應用程式要執行，就設定成自動啟動。成自動啟動。

否則停用。否則停用。

2121 / 161 / 161

ASP.NET State ServiceASP.NET State Service 服務服務 :: aspnet_state (aspnet_state.exe) aspnet_state (aspnet_state.exe) 功能功能 : : 以行程外以行程外 (out-of-process) (out-of-process) 的方式儲存、管的方式儲存、管

理理ASP .NET ASP .NET 的的 Session Session 狀態。狀態。

依存依存 :: 無無建議建議 ::

如果如果 ASP .NET ASP .NET 應用程式的應用程式的 web.config web.config 設定檔中有以下設定檔中有以下設定設定，則要，則要 10.20.30.40 10.20.30.40 這部主機的這個服務要設定自動啟動這部主機的這個服務要設定自動啟動

<sessionState mode="StateServer" <sessionState mode="StateServer" stateConnectionString="tcpip=10.20.30.40:42424" />stateConnectionString="tcpip=10.20.30.40:42424" />

通常應用在通常應用在 Web Farms Web Farms 的環境下。的環境下。

2222 / 161 / 161

更改更改 ASP .NET State Service ASP .NET State Service 的連接埠號的連接埠號碼碼

更改更改 ASP .NET State Service ASP .NET State Service 的連接埠號的連接埠號碼碼

2323 / 161 / 161

Automatic UpdatesAutomatic Updates

服務服務 :: wuauserv (svchost.exe -k netsvcs)wuauserv (svchost.exe -k netsvcs) 功能功能 : : 啟用重要啟用重要 Windows Windows 更新的下載及安裝。更新的下載及安裝。依存依存 :: 無無建議建議 :: 自動啟動自動啟動

如果架設有如果架設有 SUS SUS 伺服器，這伺服器，這個服務會自動向個服務會自動向 SUS SUS 取得最取得最新的新的 Windows Windows 更新。更新。

個人用戶應該啟動這個服務個人用戶應該啟動這個服務，自動向，自動向 Windows Update Windows Update 下下載載 Windows Windows 重要更新。重要更新。

2424 / 161 / 161

Background Intelligent Transfer ServiceBackground Intelligent Transfer Service 服務服務 :: BITS (svchost.exe -k netsvcs)BITS (svchost.exe -k netsvcs) 功能功能 ::

背景傳輸資料背景傳輸資料支援續傳支援續傳支援工作排程支援工作排程可以透過可以透過 HTTP 1.1 HTTP 1.1 及及 HTTPS (SSL) HTTPS (SSL) 傳輸資料傳輸資料依照工作的指定優先權來傳輸資料依照工作的指定優先權來傳輸資料使用閒置頻寬來傳輸資料使用閒置頻寬來傳輸資料

依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 手動啟動手動啟動

如果有使用如果有使用 Windows Update Windows Update 或或 Automatic UpdatesAutomatic Updates ，，就該啟動這個服務。就該啟動這個服務。

2525 / 161 / 161

Background Intelligent Transfer ServiceBackground Intelligent Transfer Service

5. 5. 等待或取得工作等待或取得工作

BITSBITS

1. 1. 建立工作建立工作

2. 2. 加入檔案加入檔案

工作包含來源與工作包含來源與目的檔案的資訊目的檔案的資訊

3. 3. 設定通知設定通知

4. 4. 繼續工作繼續工作 ((續傳續傳 )) 開始傳輸開始傳輸

結束傳輸結束傳輸6. 6. 通知工作已完成通知工作已完成

7. 7. 工作結束，從工作結束，從 BITS BITS 佇列中移除佇列中移除

** 通知並不是必要的，應用程式可以不斷的取得工作狀態，來判斷工作是否結束。通知並不是必要的，應用程式可以不斷的取得工作狀態，來判斷工作是否結束。

應用程式應用程式工作工作 11

工作工作 11

工作工作 11

工作工作 11

伺服器伺服器

2626 / 161 / 161

BITS BITS 伺服器延伸設定伺服器延伸設定BITS BITS 伺服器延伸設定伺服器延伸設定

2727 / 161 / 161

Certificate ServicesCertificate Services 服務服務 :: CertSvc (certsrv.exe) CertSvc (certsrv.exe) 功能功能 : : 建立、管理、並移除如建立、管理、並移除如 S/MIME S/MIME 及及 SSL SSL 等等

應用應用程式的程式的 X.509 X.509 憑證。憑證。


除非這部主機擔任除非這部主機擔任 CA CA 角色，否則不要啟動這個服務。角色，否則不要啟動這個服務。

2828 / 161 / 161

ClipBookClipBook 名稱名稱 :: ClipSrv (clipsrv.exe)ClipSrv (clipsrv.exe) 功能功能 :: 啟用剪貼簿檢視器以儲存資訊並與遠端電腦啟用剪貼簿檢視器以儲存資訊並與遠端電腦

共用。如果這個服務被停止，剪貼簿檢視器共用。如果這個服務被停止，剪貼簿檢視器將無法與遠端電腦共用資訊。將無法與遠端電腦共用資訊。

依存依存 :: Network DDE Network DDE 建議建議 :: 停用停用

ClipBook ClipBook 跟跟 Clipboard Clipboard 是不一樣的東西是不一樣的東西 !!

2929 / 161 / 161

COM+ Event SystemCOM+ Event System 名稱名稱 :: EventSystem (svchost.exe -k netsvcs)EventSystem (svchost.exe -k netsvcs) 功能功能 :: 支援支援 System Event Notification Service (SENS)System Event Notification Service (SENS) ，，

它可讓事件自動分散到訂閱的它可讓事件自動分散到訂閱的 COM COM 元件。元件。如果服務如果服務被停止，被停止， SENS SENS 會關閉，並無法提會關閉，並無法提

供供登入及登登入及登出通知。出通知。

依存依存 :: Remote Procedure Call (RPC) Remote Procedure Call (RPC) 建議建議 :: 手動手動

3030 / 161 / 161

COM+ System ApplicationCOM+ System Application 名稱名稱 :: COMSysAppCOMSysApp (dllhost.exe /Processid:(dllhost.exe /Processid:

{02D4B3F1-FD88-11D1-960D-00805FC79235}){02D4B3F1-FD88-11D1-960D-00805FC79235}) 功能功能 :: 管理管理 COM+ COM+ 元件的設定及追蹤。如果停止元件的設定及追蹤。如果停止此此

服務，大部分的服務，大部分的 COM+ COM+ 元件將無法適當運元件將無法適當運作。作。

依存依存 :: COM+ Event SystemCOM+ Event SystemRemote Procedure Call (RPC) Remote Procedure Call (RPC)

建議建議 :: 手動手動

3131 / 161 / 161

COM+ COM+ 應用程式管理介面應用程式管理介面COM+ COM+ 應用程式管理介面應用程式管理介面

3232 / 161 / 161

Computer BrowserComputer Browser 名稱名稱 :: BrowserBrowser (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 維護網路上更新的電腦清單，並將這個清單維護網路上更新的電腦清單，並將這個清單

提供給做為瀏覽器的電腦。如果這個服務被提供給做為瀏覽器的電腦。如果這個服務被停止，這個清單將不會被更新或維護。停止，這個清單將不會被更新或維護。

依存依存 :: ServerServer、、 WorkstationWorkstation 建議建議 :: 停用停用

在在 Windows 2000 Windows 2000 以後的以後的 Active Diectory Active Diectory 環境下，可以透環境下，可以透過過 DNS DNS 和和 AD AD 搜尋來進行主機的名稱解析，因此建議搜尋來進行主機的名稱解析，因此建議停用這　服務。停用這　服務。

如果是如果是 Windows NT Windows NT 的網域，則應該啟用這個服務。的網域，則應該啟用這個服務。

3333 / 161 / 161

Computer Browser Computer Browser 機制機制 ((一一 )) 在網路中有以下幾種不同角色的在網路中有以下幾種不同角色的 BrowserBrowser

Domain Master BrowserDomain Master Browser 當網路中有當網路中有 Windows Windows 網域時，每個網域中都會有唯一部的網域時，每個網域中都會有唯一部的

Domain Master BrowserDomain Master Browser ，在，在 NT NT 網域中是由網域中是由 PDC PDC 擔任、在擔任、在 AD AD 中中則是由具有則是由具有 PDC Emulator PDC Emulator 這個這個 Operation Master Role Operation Master Role 的的 DC DC 擔任擔任

Domain Master Browser Domain Master Browser 會記錄一份會記錄一份 Browse List (Browse List (內含網域中所有的內含網域中所有的線上的電腦線上的電腦 )) 、以及其它網域或工作群組的名稱，這一份清單會複、以及其它網域或工作群組的名稱，這一份清單會複製給其它子網路上的製給其它子網路上的 Master BrowserMaster Browser ，並合併至它們的，並合併至它們的 Browse List Browse List 中中

Master BrowserMaster Browser 每一個子網路中只會有一部開機的電腦是每一個子網路中只會有一部開機的電腦是 Master BrowserMaster Browser 在這部電腦的記憶體中有一份在這部電腦的記憶體中有一份 Backup Browsers ListBackup Browsers List ，用來記錄這，用來記錄這

個子網路中有那些電腦正扮演個子網路中有那些電腦正扮演 Backup Browser Backup Browser 的角色的角色另外還有一份另外還有一份 Browse ListBrowse List ，用來記錄這個網路中有那些電腦正在，用來記錄這個網路中有那些電腦正在線上，並會將這份清單複製給線上，並會將這份清單複製給 Backup BrowsersBackup Browsers

3434 / 161 / 161

Computer Browser Computer Browser 機制機制 ((一一 )) 在網路中有以下幾種不同角色的在網路中有以下幾種不同角色的 BrowserBrowser

Backup BrowserBackup Browser 每一個子網路中有至少一部以上的每一個子網路中有至少一部以上的 Backup BrowserBackup Browser ，網路中每超過，網路中每超過

32 32 部主機以上就會多一部部主機以上就會多一部 Backup BrowserBackup Browser 在這些在這些 Backup Browser Backup Browser 電腦的記憶體中有一份電腦的記憶體中有一份 Browse ListBrowse List ，記錄，記錄了網路中有那些電腦正在線上了網路中有那些電腦正在線上

Potential BrowserPotential Browser 每一個子網路中可以有一部以上的每一個子網路中可以有一部以上的 Potential BrowserPotential Browser 這些電腦平時並沒有什麼作用，但是當這些電腦平時並沒有什麼作用，但是當 Backup Browser Backup Browser 掛掉時，掛掉時，可以昇級為可以昇級為 Backup Backup BrowserBrowser

ClientClient 使用網路上的芳鄰提出要求，取得網路電腦清單的用戶端使用網路上的芳鄰提出要求，取得網路電腦清單的用戶端

3535 / 161 / 161

Computer Browser Computer Browser 機制機制 ((二二 )) 當一部電腦開機完成時當一部電腦開機完成時 : :

廣播自己的電腦名稱、群組名稱或網域名稱、廣播自己的電腦名稱、群組名稱或網域名稱、 IPIP Master Browser Master Browser 收到這廣播之後，會將該電腦的資料加入收到這廣播之後，會將該電腦的資料加入 Browse List Browse List

中，供其它電腦查詢，並且會將這份清單複製給中，供其它電腦查詢，並且會將這份清單複製給 Backup BrowsersBackup Browsers 開機後每隔開機後每隔 4, 8, 12, 12, 12, … 4, 8, 12, 12, 12, … 分鐘，還會再再行廣播註冊一次分鐘，還會再再行廣播註冊一次

當一部電腦關機時當一部電腦關機時 : : 廣播自己的電腦名稱、群組名稱或網域名稱、廣播自己的電腦名稱、群組名稱或網域名稱、 IPIP Master Browser Master Browser 收到這廣播之後，會將該電腦的資料從收到這廣播之後，會將該電腦的資料從 Browse List Browse List

中移除，表示該電腦已經不在線上了中移除，表示該電腦已經不在線上了並且會將這份清單複製給並且會將這份清單複製給 Backup BrowsersBackup Browsers

3636 / 161 / 161

Computer Browser Computer Browser 機制機制 ((三三 )) 當一部當一部 client client 端電腦打開網路上的芳鄰時端電腦打開網路上的芳鄰時 : :

該電腦會發出廣播，尋找該子網路中的該電腦會發出廣播，尋找該子網路中的 Master BrowserMaster Browser Master Browser Master Browser 收到廣播後，會回應收到廣播後，會回應 client client 端端 client client 端電腦向端電腦向 Master Browser Master Browser 發出「取得發出「取得 Backup Browsers ListBackup Browsers List 」」

要求要求 Master Browser Master Browser 收到要求後，將收到要求後，將 Backup Browsers List Backup Browsers List 送給送給 client client 端端 client client 端從端從 Backup Browsers List Backup Browsers List 中選取一部中選取一部 Backup BrowserBackup Browser client client 端電腦向端電腦向 Backup Browser Backup Browser 發出「取得發出「取得 Browse ListBrowse List 」要求」要求 Backup Browser Backup Browser 收到要求後，將收到要求後，將 Browse List Browse List 送給送給 client client 端端 client client 端收到端收到 Browse List Browse List 之後，畫面上就出現一堆電腦的圖示與名之後，畫面上就出現一堆電腦的圖示與名稱稱

當一部當一部 client client 端電腦在網路芳鄰中打開某一個電腦圖示時端電腦在網路芳鄰中打開某一個電腦圖示時 : : client client 端向該電腦發出「取得端向該電腦發出「取得 Shares ListShares List 」要求」要求該電腦到到要求之後，將該電腦到到要求之後，將 Shares List Shares List 回傳給回傳給 client client 端，這端，這 Shares Shares

List List 中包含了所有分享的資料夾中包含了所有分享的資料夾 client client 端收到端收到 shares List shares List 之後，畫面上就出現一堆分享的資料夾圖示之後，畫面上就出現一堆分享的資料夾圖示

3737 / 161 / 161

Computer Browser Computer Browser 機制機制 ((四四 )) 為什麼明明電腦已經開了，別人卻無法在網路芳鄰中看到？為什麼明明電腦已經開了，別人卻無法在網路芳鄰中看到？

那是因為電腦開機時的廣播，那是因為電腦開機時的廣播， Master Browser Master Browser 沒處理，所以在沒處理，所以在 BrowsBrowse List e List 中自然就不會有該部電腦的資料，中自然就不會有該部電腦的資料， clinet clinet 端自然查不到了端自然查不到了

"" 理論理論 " " 上最晚在上最晚在 48 48 分鐘後一定得到分鐘後一定得到明明電腦已經關閉，別人卻還可以在網路芳鄰中看到？明明電腦已經關閉，別人卻還可以在網路芳鄰中看到？

那是因為電腦關機時的廣播，那是因為電腦關機時的廣播， Master Browser Master Browser 沒處理，所以在沒處理，所以在 BrowsBrowse List e List 中該部電腦的資料沒移除，中該部電腦的資料沒移除， clinet clinet 端自然還會看到端自然還會看到

"" 理論理論 " " 上最晚在上最晚在 72 72 分鐘後從清單中移除分鐘後從清單中移除

3838 / 161 / 161

Computer Browser Computer Browser 機制機制 ((五五 )) 為什麼打開網路芳鄰時，會等粉久？為什麼打開網路芳鄰時，會等粉久？

(( 一支手電筒在那裡照來照去一支手電筒在那裡照來照去 ) ) 那是因為那是因為 Master Browser Master Browser 或或 Backup Browser Backup Browser 掛掉了，所以在掛掉了，所以在 client client 廣播尋找廣播尋找 Master Browser Master Browser 時，或者向時，或者向 Backup Browser Backup Browser 要求資料時，要求資料時，得不到回應得不到回應

這時候這時候 client client 端會發出端會發出 vote (vote ( 投票投票 ) ) 廣播，要求由廣播，要求由 Backup Browsers Backup Browsers 中選出一個擔任新任的中選出一個擔任新任的 Master BrowserMaster Browser ，並且從，並且從 Protential Browsers Protential Browsers 中選出一個擔任新任的中選出一個擔任新任的 Backup BrowserBackup Browser ，所以會等很久，所以會等很久

選舉的規則如下：選舉的規則如下：新的作業系統優先，例如新的作業系統優先，例如 Windows 2000 Windows 2000 比比 Windows NT Windows NT 優先當選優先當選如果作業系統相同，則比較版本，例如如果作業系統相同，則比較版本，例如 NT 4.0 > NT 3.51NT 4.0 > NT 3.51 如果版本相同，則比較修正版，例如如果版本相同，則比較修正版，例如 SP2 > SP1SP2 > SP1 如果修正版也相同，就比較誰比較先開機。如果修正版也相同，就比較誰比較先開機。

3939 / 161 / 161

如何自訂如何自訂 Browser Browser 角色角色 ?? 修改修改 Registry Registry

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Browser \ Parameters Services \ Browser \ Parameters

IsDomainMasterIsDomainMaster 設成設成 Yes / True / 1 (Yes / True / 1 ( 三者其一三者其一 ) ) 表示優先當選表示優先當選 Master BrowserMaster Browser 設成設成 No / False / 0 (No / False / 0 ( 三者其一三者其一 ) ) 表示棄權不參選表示棄權不參選 Master Master

BrowserBrowser ，最多做，最多做 Backup BrowserBackup Browser

MaintainServerList MaintainServerList 設成設成 NO NO 表示棄權不參選表示棄權不參選 Backup BrowserBackup Browser 設成設成 YES YES 表示優先當選表示優先當選 Backup BrowserBackup Browser 設成設成 AUTO AUTO 表示參選表示參選 Backup Browser (Backup Browser ( 預設預設 ) )

4040 / 161 / 161

如何隱藏電腦如何隱藏電腦 ?? 修改修改 Registry Registry

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ LanmanServer \ Parameters Services \ LanmanServer \ Parameters

Hidden (REG_DWORD) = 1Hidden (REG_DWORD) = 1

命令列命令列 net config server /hidden:yesnet config server /hidden:yes

4141 / 161 / 161

如何跨子網路瀏覽電腦如何跨子網路瀏覽電腦 ?? 問題問題 ::

如果如果 Master Browser Master Browser 或或 Backup Browser Backup Browser 剛好就是兩個子剛好就是兩個子網路之間的路由器，那麼這部電腦不就會記錄兩個子網路網路之間的路由器，那麼這部電腦不就會記錄兩個子網路的的 Backup Browsers List Backup Browsers List 或或 Computers List Computers List ，那，那 client client 端可以在網路芳鄰中看到另一個子網路中的電腦嗎端可以在網路芳鄰中看到另一個子網路中的電腦嗎 ??

答案是答案是 : : 不行不行 !! 因為因為 Backup Browsers List Backup Browsers List 與與 Computers List Computers List 是與網路卡是與網路卡相依的資料，也就是在路由器不同網路介面卡所接收到相依的資料，也就是在路由器不同網路介面卡所接收到的的 List List 存取要求，都只會回應屬於該子網路的存取要求，都只會回應屬於該子網路的 ListList

解決方式解決方式 :: 透過透過 DC DC 的的 Domain Master BrowserDomain Master Browser ，以及，以及 WINS WINS 協助協助使用使用 Active DirectoryActive Directory

4242 / 161 / 161

Cryptographic ServicesCryptographic Services 名稱名稱 :: CryptSvcCryptSvc (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 提供三個管理服務提供三個管理服務 : :

確認確認 Windows Windows 檔案簽章檔案簽章新增及移除受信任根憑證授權憑證新增及移除受信任根憑證授權憑證協助註冊取得這個電腦的憑證協助註冊取得這個電腦的憑證

依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 自動啟動自動啟動

當安裝驅動程式時，會用這個服務來確認數位簽章，尤其當安裝驅動程式時，會用這個服務來確認數位簽章，尤其是當透過是當透過 Windows Update Windows Update 或或 Automatic Update Automatic Update 下載新的下載新的驅動程式安裝時。驅動程式安裝時。

4343 / 161 / 161

DHCP ClientDHCP Client 名稱名稱 :: DhcpDhcp (svchost.exe -k NetworkService)(svchost.exe -k NetworkService) 功能功能 :: 為這個電腦登錄及更新為這個電腦登錄及更新 IP IP 位址和位址和 DNS DNS 記記錄。錄。

如果這個服務被停止，這個電腦將會不接收如果這個服務被停止，這個電腦將會不接收動態動態 IP IP 位址和位址和 DNS DNS 更新。更新。

依存依存 :: AFD AFD 網路支援環境網路支援環境TCP/IP Protocol DriverTCP/IP Protocol Driver

建議建議 :: 手動手動當主機需要自動取得當主機需要自動取得 IP IP 和進行和進行 DNS DNS 動態更新就需要，動態更新就需要，例如啟動了例如啟動了 Internet Connection Sharing (ICS)Internet Connection Sharing (ICS) 、在、在 AD AD 環環境中的用戶端。境中的用戶端。

如果主機是靜態如果主機是靜態 IP IP 位址，就可以停用這個服務。位址，就可以停用這個服務。

4444 / 161 / 161

Distributed File SystemDistributed File System 名稱名稱 :: DfsDfs (Dfssvc.exe)(Dfssvc.exe) 功能功能 :: 將分散檔案共用整合成單一的邏輯名稱區，將分散檔案共用整合成單一的邏輯名稱區，

管理分散於本機或廣域網路的邏輯磁碟區。管理分散於本機或廣域網路的邏輯磁碟區。依存依存 :: Dfs DriverDfs Driver、、 MupMup

Security Account ManagerSecurity Account ManagerServerServer、、 WorkstationWorkstation

建議建議 :: 在在 DFS DFS 根目錄所在的主機上要啟動這個服務根目錄所在的主機上要啟動這個服務其餘主機則停用這個服務其餘主機則停用這個服務

4545 / 161 / 161

Distributed Link Tracking ClientDistributed Link Tracking Client 名稱名稱 :: TrkWksTrkWks (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 讓用戶端程式能夠追蹤檔案連結，不論是從讓用戶端程式能夠追蹤檔案連結，不論是從

NTFS NTFS 磁碟區移動到相同電腦中另一個磁碟區移動到相同電腦中另一個 NTFS NTFS

磁碟區，或者移動到另一個電腦的磁碟區，或者移動到另一個電腦的 NTFS NTFS 磁磁碟區。碟區。

依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 自動啟動自動啟動

才可以在檔案搬移後，讓所屬的檔案捷徑都可以自動更新才可以在檔案搬移後，讓所屬的檔案捷徑都可以自動更新請參閱請參閱 MSDN MSDN 中的中的 IShellLink IShellLink 與與 IOleLink IOleLink 介面說明介面說明

4646 / 161 / 161

Distributed Link Tracking ServerDistributed Link Tracking Server 名稱名稱 :: TrkSvrTrkSvr (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 啟用相同網域內的分散式連結追蹤用戶端服啟用相同網域內的分散式連結追蹤用戶端服

務務，提供對相同網域內的，提供對相同網域內的 NTFS NTFS 檔案連結更可檔案連結更可

靠靠及更有效的維護。及更有效的維護。

依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 ::

如果是在網域環境之下，建議在網域控制站上啟用這個服如果是在網域環境之下，建議在網域控制站上啟用這個服務，以提供網域成員追蹤跨電腦的務，以提供網域成員追蹤跨電腦的 NTFS NTFS 檔案連結檔案連結

4747 / 161 / 161

Distributed Link Tracking Distributed Link Tracking Distributed Link Tracking Distributed Link Tracking

4848 / 161 / 161

DirectX Debug ServiceDirectX Debug Service 名稱名稱 :: DXDebugDXDebug (DXDebugService.exe)(DXDebugService.exe) 功能功能 :: 支援支援 DirectX DirectX 應用程式的偵錯應用程式的偵錯依存依存 :: Machine Debug ManagerMachine Debug Manager 建議建議 :: 手動手動

如果您有安裝偵錯版的如果您有安裝偵錯版的 DirectX SDKDirectX SDK ，那麼可以透過這個，那麼可以透過這個服務進行服務進行 DirectX DirectX 應用程式的偵錯。應用程式的偵錯。

如果只是拿來玩如果只是拿來玩 DirectX DirectX 遊戲，就不用啟動這個服務。遊戲，就不用啟動這個服務。

4949 / 161 / 161

Distributed Transaction CoordinatorDistributed Transaction Coordinator

名稱名稱 :: MSDTCMSDTC (msdtc.exe)(msdtc.exe) 功能功能 :: 協調跨越多個資源管理員的交易，例如資料協調跨越多個資源管理員的交易，例如資料庫庫

、訊息佇列及檔案系統。如果此服務被停止，、訊息佇列及檔案系統。如果此服務被停止，

這些交易將不會發生。這些交易將不會發生。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC)

Security Account ManagerSecurity Account Manager 建議建議 :: 手動手動

如果主機上的如果主機上的 SQL Server SQL Server 或或 Message Queue Message Queue 要和其它主要和其它主機進行分散式交易，則要啟動這個服務。機進行分散式交易，則要啟動這個服務。

5050 / 161 / 161

Distributed Transaction CoordinatorDistributed Transaction CoordinatorDistributed Transaction CoordinatorDistributed Transaction Coordinator

5151 / 161 / 161

DNS ClientDNS Client 名稱名稱 :: DnscacheDnscache (svchost.exe -k NetworkService)(svchost.exe -k NetworkService) 功能功能 :: 讓主機將解析出來的讓主機將解析出來的 DNS DNS 名稱快取下來。名稱快取下來。

如果如果這個服務被停止，這台電腦將進行這個服務被停止，這台電腦將進行 DNS DNS 快快

取。取。依存依存 :: TCP/IP Protocol DriverTCP/IP Protocol Driver 建議建議 :: 自動自動

啟用啟用 DNS DNS 快取可以增進效能快取可以增進效能清除快取清除快取 :: ipconfig /flushdnsipconfig /flushdns 顯示快取顯示快取 :: ipconfig /displaydnsipconfig /displaydns

5252 / 161 / 161

DNS Client DNS Client 服務服務 DNS Client DNS Client 服務服務

5353 / 161 / 161

Error Reporting ServiceError Reporting Service 名稱名稱 :: ERSvcERSvc (svchost.exe -k WinErr)(svchost.exe -k WinErr) 功能功能 :: 蒐集、儲存、以及報告非預期的應用程式當蒐集、儲存、以及報告非預期的應用程式當

機機事件給事件給 MicrosoftMicrosoft。如果這個服務被停止，。如果這個服務被停止，

將只將只會報告核心錯誤和某些類的使用者模式錯誤。會報告核心錯誤和某些類的使用者模式錯誤。

依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 停用停用

如果您希望能夠協助微軟改善產品的話，就啟動它如果您希望能夠協助微軟改善產品的話，就啟動它

5454 / 161 / 161

Windows Windows 錯誤報告錯誤報告Windows Windows 錯誤報告錯誤報告

5555 / 161 / 161

Event LogEvent Log 名稱名稱 :: EventlogEventlog (services.exe)(services.exe) 功能功能 :: 啟用啟用 Windows Windows 為主的程式和元件所發出的為主的程式和元件所發出的事件事件

日誌訊息可以在事件檢視器中檢視。日誌訊息可以在事件檢視器中檢視。依存依存 :: 無無建議建議 :: 自動自動

尤其是在伺服器上，透過事件日誌可以了解伺服器的狀況尤其是在伺服器上，透過事件日誌可以了解伺服器的狀況

5656 / 161 / 161

File ReplicationFile Replication 名稱名稱 :: NtFrsNtFrs (ntfrs.exe)(ntfrs.exe) 功能功能 :: 允許檔案在多個伺服器上進行自動複製及同允許檔案在多個伺服器上進行自動複製及同步步

。如果這個服務被停止，檔案複寫將不會發。如果這個服務被停止，檔案複寫將不會發生生

，伺服器之間將無法同步處理檔案。，伺服器之間將無法同步處理檔案。依存依存 :: COM+ Event SystemCOM+ Event System

Event LogEvent LogRemote Procedure Call (RPC)Remote Procedure Call (RPC)

建議建議 :: 如果是網域控制站，則一定要啟動，才能正常的和其它網如果是網域控制站，則一定要啟動，才能正常的和其它網域控制站進行群組原則的複寫與同步域控制站進行群組原則的複寫與同步 !!

其它主機則建議停用。其它主機則建議停用。

5757 / 161 / 161

Help and SupportHelp and Support 名稱名稱 :: helpsvchelpsvc (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 讓說明及支援中心能夠在這台電腦上執行。讓說明及支援中心能夠在這台電腦上執行。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 停用停用

如果您不需要使用說明及支援中心來查詢說明，那麼可以如果您不需要使用說明及支援中心來查詢說明，那麼可以停用它，以取得更多的可用系統記憶體。停用它，以取得更多的可用系統記憶體。

5858 / 161 / 161

HID Input ServiceHID Input Service 名稱名稱 :: HidServHidServ (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 讓啟用對人體工學介面裝置讓啟用對人體工學介面裝置 (HID) (HID) 的通用輸的通用輸

入入存取，包含存取，包含 : : 鍵盤、遠端控制、以及其他多鍵盤、遠端控制、以及其他多

媒媒體裝置上事先定義的快捷鍵與快捷鈕的使用。體裝置上事先定義的快捷鍵與快捷鈕的使用。

依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 手動手動

如果系統沒有連接與使用任何如果系統沒有連接與使用任何 HID HID 裝置，就不需要這個裝置，就不需要這個服務。服務。

5959 / 161 / 161

HTTP SSLHTTP SSL 名稱名稱 :: HTTPFilterHTTPFilter (lsass.exe)(lsass.exe) 功能功能 :: 處理處理 IIS IIS 的的 Secure Socket Layer (SSL) Secure Socket Layer (SSL) 功能，功能，讓讓

Web Web 站台或虛擬目錄可以使用站台或虛擬目錄可以使用 HTTPS HTTPS 通訊通訊協定協定

進行安全存取。進行安全存取。依存依存 :: HTTPHTTP

IIS Admin ServiceIIS Admin Service 建議建議 ::

如果您的如果您的 IIS IIS 伺服器有加上網站或虛擬目錄的伺服器有加上網站或虛擬目錄的 SSL SSL 加密，加密，那麼就要啟動這個服務。那麼就要啟動這個服務。

6060 / 161 / 161

IIS Admin ServiceIIS Admin Service 名稱名稱 :: IISADMINIISADMIN (inetinfo.exe)(inetinfo.exe) 功能功能 :: 用來管理用來管理 WWWWWW、、 FTPFTP、、 NNTP NNTP 、、 SMTP SMTP 服服

務。務。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC)

Security Account ManagerSecurity Account Manager 建議建議 ::

如果您的伺服器有要執行如果您的伺服器有要執行 WWWWWW 、、 FTPFTP、、 NNTP NNTP 、、 SMTP SMTP 其中一個以上的服務時，就必須啟其中一個以上的服務時，就必須啟動這個服務。動這個服務。

6161 / 161 / 161

IMAPI CD-Burning COM ServiceIMAPI CD-Burning COM Service 名稱名稱 :: ImapiServiceImapiService (imapi.exe)(imapi.exe) 功能功能 :: 使用使用 Image Mastering Applications Image Mastering Applications

Programming Programming Interface (IMAPI) Interface (IMAPI) 來管理光碟錄製。如果這個來管理光碟錄製。如果這個

服服務被停止，這個電腦將無法錄製光碟。務被停止，這個電腦將無法錄製光碟。


如果您要使用如果您要使用 Windows Windows 所提供的光碟燒錄功能，則啟動所提供的光碟燒錄功能，則啟動這個服務。這個服務。

如果您是使用如果您是使用 3rd 3rd 燒錄軟體，例如燒錄軟體，例如 : Nero: Nero、、 AlcoholAlcohol ，就，就不用啟動這個服務。不用啟動這個服務。

6262 / 161 / 161

Indexing ServiceIndexing Service 名稱名稱 :: CiSvcCiSvc (cisvc.exe)(cisvc.exe) 功能功能 :: 管理本機和遠端電腦檔案的索引內容，讓檔管理本機和遠端電腦檔案的索引內容，讓檔案案

搜尋更為快速。搜尋更為快速。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 停用停用

如果經常使用如果經常使用 Windows Windows 的的搜尋功能來搜尋檔案，就搜尋功能來搜尋檔案，就應該啟動這個服務。應該啟動這個服務。

不啟動這個服務還是可以不啟動這個服務還是可以搜尋檔案，只是由於沒有搜尋檔案，只是由於沒有索引，搜尋效率會變差。索引，搜尋效率會變差。

6363 / 161 / 161

Internet Connection Firewall (ICF) / Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)Internet Connection Sharing (ICS) 名稱名稱 :: SharedAccessSharedAccess (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 提供簡單的位址轉譯、名稱解析服務、以及提供簡單的位址轉譯、名稱解析服務、以及

小型防火牆服務。小型防火牆服務。依存依存 :: Application Layer Gateway ServiceApplication Layer Gateway Service

Network ConnectionsNetwork ConnectionsNetwork Location Awareness (NLA)Network Location Awareness (NLA)Remote Access Connection ManagerRemote Access Connection Manager

建議建議 :: 自動自動所有主機都應該至少啟動所有主機都應該至少啟動 ICFICF ，以確保主機安全，以確保主機安全 Windows XP SP2Windows XP SP2、、 Windows Server 2003 SP1 Windows Server 2003 SP1 以後的作業系以後的作業系統則改用統則改用 Microsoft FirewallMicrosoft Firewall

6464 / 161 / 161

Intersite MessagingIntersite Messaging 名稱名稱 :: IsmServIsmServ (ismserv.exe)(ismserv.exe) 功能功能 :: 讓網域控制站可以跨站台進行訊息交換。讓網域控制站可以跨站台進行訊息交換。依存依存 :: Security Account ManagerSecurity Account Manager 建議建議 ::

如果如果 Active Directory Active Directory 實體架構中有設定兩個以上的站台實體架構中有設定兩個以上的站台時，就應該在擔任時，就應該在擔任 ISTG (InterSite Topology Generator)ISTG (InterSite Topology Generator) 角色角色的網域控制站的網域控制站 (( 也就是所謂的也就是所謂的 bridge head server) bridge head server) 上啟動上啟動這個服務，以進行站台之間的複寫拓樸建置。這個服務，以進行站台之間的複寫拓樸建置。

因此，除非您有特別指定因此，除非您有特別指定 bridge head serverbridge head server ，否則應該，否則應該在多站台環境下啟動每一部網域控制站上的這個服務。在多站台環境下啟動每一部網域控制站上的這個服務。

6565 / 161 / 161

什麼是什麼是 Intersite Topology Generator ?Intersite Topology Generator ?

IP SubnetIP SubnetIP SubnetIP Subnet

A1A1

A2A2

Bridgehead Bridgehead

ServerServer

Bridgehead Bridgehead

ServerServer

ReplicationReplicationReplicationReplicationB2B2

Bridgehead ServerBridgehead ServerBridgehead ServerBridgehead Server

B1B1

ReplicationReplicationReplicationReplication



ReplicationReplicationReplicationReplication


Intersite Topology GeneratorIntersite Topology GeneratorIntersite Topology GeneratorIntersite Topology Generator

Intersite topology Intersite topology generator (ISTG) generator (ISTG) 用來定用來定義跨站台的複寫義跨站台的複寫

Intersite topology Intersite topology generator (ISTG) generator (ISTG) 用來定用來定義跨站台的複寫義跨站台的複寫

6666 / 161 / 161

如何指定如何指定 bridge head serverbridge head server如何指定如何指定 bridge head serverbridge head server

6767 / 161 / 161

IPSEC ServicesIPSEC Services 名稱名稱 :: PolicyAgentPolicyAgent (lsass.exe)(lsass.exe) 功能功能 :: 提供提供 TCP/IP TCP/IP 網路上用戶端和伺服器間端點網路上用戶端和伺服器間端點到到

端點的安全性。端點的安全性。依存依存 :: IPSec DriverIPSec Driver

Remote Procedure Call (RPC)Remote Procedure Call (RPC)TCP/IP Protocol DriverTCP/IP Protocol Driver

建議建議 :: 如果主機有套用如果主機有套用 IP IP 安全性原則、或者使用安全性原則、或者使用 L2TP L2TP 通道通通道通訊協定的訊協定的 VPN VPN 連線，就需要啟動這個服務。連線，就需要啟動這個服務。

6868 / 161 / 161

Kerberos Key Distribution CenterKerberos Key Distribution Center 名稱名稱 :: kdckdc (lsass.exe)(lsass.exe) 功能功能 :: 這個服務讓使用者能夠使用這個服務讓使用者能夠使用 Kerberos Kerberos 驗證驗證通訊通訊

協定來登入網域。如果這個服務在網域控制協定來登入網域。如果這個服務在網域控制站站

上被停止，使用者將無法登入網域。上被停止，使用者將無法登入網域。依存依存 :: AFD AFD 網路支援環境網路支援環境

Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 自動自動

網域控制站上一定要啟動這個服務網域控制站上一定要啟動這個服務 !! 同網域與跨網域進行使用者身份驗證時，都需要這個服務同網域與跨網域進行使用者身份驗證時，都需要這個服務

6969 / 161 / 161

用戶端如何找到用戶端如何找到 KDC ?KDC ?用戶端如何找到用戶端如何找到 KDC ?KDC ?

7070 / 161 / 161

使用者登入使用者登入帳號帳號 / / 密碼密碼 / / 網域網域使用者登入使用者登入帳號帳號 / / 密碼密碼 / / 網域網域11

Local Security Local Security Subsystem Subsystem 向向 DC DC 申請申請使用者的使用者的 Session Session TicketTicket

Local Security Local Security Subsystem Subsystem 向向 DC DC 申請申請使用者的使用者的 Session Session TicketTicket

22

Local Security Local Security Subsystem Subsystem 再向再向 DC DC 申申請請 Workstation TicketWorkstation Ticket

Local Security Local Security Subsystem Subsystem 再向再向 DC DC 申申請請 Workstation TicketWorkstation Ticket

33

11

使用者登入處理程序使用者登入處理程序使用者登入處理程序使用者登入處理程序

Kerberos Kerberos ServiceService

Kerberos Kerberos ServiceService

Domain ControllerDomain Controller

GC GC ServerServer

GC GC ServerServer

TicketTicketTicketTicket22

TicketTicketTicketTicket33

TicketTicketTicketTicket 44

Access Access TokenToken

Access Access TokenToken

66

Local Local SecuritySecurity

SubsystemSubsystem

Local Local SecuritySecurity

SubsystemSubsystem

建立建立 Access TokenAccess Token

建立建立 Access TokenAccess Token

55

DC DC 上的上的 Kerberos Kerberos Service Service 將將 Workstation Ticket Workstation Ticket 傳回傳回給用戶端給用戶端

DC DC 上的上的 Kerberos Kerberos Service Service 將將 Workstation Ticket Workstation Ticket 傳回傳回給用戶端給用戶端

44

Local Security Local Security Subsystem Subsystem 產生出產生出 Access TokenAccess Token

Local Security Local Security Subsystem Subsystem 產生出產生出 Access TokenAccess Token

55

使用者使用使用者使用 Access Access Token Token 來產生後續的來產生後續的 ProcessProcess

使用者使用使用者使用 Access Access Token Token 來產生後續的來產生後續的 ProcessProcess

66

http://www.compaq.com.tw/products/desktops/presario/5000new/index.asp

7171 / 161 / 161

跨網域存取資源跨網域存取資源

nwtraders.msftnwtraders.msft contoso.msftcontoso.msft

Forest trustForest trust

Global Global catalogcatalog

Global Global catalogcatalog

SeattleSeattle

vancouver.nwtraders.msftvancouver.nwtraders.msft seattle.contoso.msftseattle.contoso.msft

VancouverVancouver

2222 4444

6666

1111

33335555

7777

8888

9999

Forest 1Forest 1 Forest 2Forest 2

7272 / 161 / 161

License LoggingLicense Logging 名稱名稱 :: LicenseServiceLicenseService (llssrv.exe)(llssrv.exe) 功能功能 :: 為作業系統的服務為作業系統的服務 (( 例如例如 IISIIS 、、 Terminal Terminal

Server Server 和和 File/Print) File/Print) 及作業系統以外的產品及作業系統以外的產品 (( 例如例如

SQL SQL 和和 Exchange Server) Exchange Server) 監視並記錄用戶端存取監視並記錄用戶端存取

授授權。如果服務停止的話，授權將被強制執行，權。如果服務停止的話，授權將被強制執行，

但不會被監視。但不會被監視。依存依存 :: 無無建議建議 ::

如果您需要管理掌控公司使用微軟產品的授權狀況，就需如果您需要管理掌控公司使用微軟產品的授權狀況，就需要架設一部要架設一部 License ServerLicense Server。。

7373 / 161 / 161

Logical Disk ManagerLogical Disk Manager 名稱名稱 :: dmserverdmserver (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 偵測及監視磁碟上的邏輯磁碟狀態。偵測及監視磁碟上的邏輯磁碟狀態。依存依存 :: Plug and PlayPlug and Play

Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 自動自動

當主機接上或移除磁碟時，會透過這個服務來自動偵測。當主機接上或移除磁碟時，會透過這個服務來自動偵測。

7474 / 161 / 161

Logical Disk Manager Administrative ServiceLogical Disk Manager Administrative Service

名稱名稱 :: dmadmindmadmin (dmadmin.exe /com)(dmadmin.exe /com) 功能功能 :: 設定硬碟磁碟及磁碟區，服務只執行設定程設定硬碟磁碟及磁碟區，服務只執行設定程

序序之後就停止。之後就停止。

依存依存 :: Logical disk ManagerLogical disk ManagerPlug and PlayPlug and PlayRemote Procedure Call (RPC)Remote Procedure Call (RPC)

建議建議 :: 手動手動啟動磁碟管理工具時才需要用到。啟動磁碟管理工具時才需要用到。

7575 / 161 / 161

Machine Debug ManagerMachine Debug Manager 名稱名稱 :: MDMMDM (mdm.exe)(mdm.exe) 功能功能 :: 支援支援 Visual Studio Visual Studio 本機和遠端偵錯本機和遠端偵錯

managed managed codes (assembly) codes (assembly) 以及指令碼偵錯工具。如以及指令碼偵錯工具。如

果果停止這項服務，偵錯工具將無法正常運作。停止這項服務，偵錯工具將無法正常運作。

依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 ::

遠端偵錯遠端偵錯 .NET .NET 程式時，執行程式時，執行 .NET .NET 程式的主機上，必須程式的主機上，必須啟動這個服務。啟動這個服務。

7676 / 161 / 161

MessengerMessenger 名稱名稱 :: MessengerMessenger (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 在主機之間傳輸網路訊息、以及在主機之間傳輸網路訊息、以及 Alerter Alerter 服服

務務訊息。如果這個服務被停止，訊息。如果這個服務被停止， Alerter Alerter 訊息將訊息將不會被傳輸。不會被傳輸。

依存依存 :: NetBIOS InterfaceNetBIOS Interface、、 Plug and PlayPlug and PlayRemote Procedure Call (RPC)Remote Procedure Call (RPC)WorkstationWorkstation

建議建議 :: 停用停用這個服務與這個服務與 Windows Messenger Windows Messenger 無關無關如果需要使用如果需要使用 net send net send 傳送訊息，則應該在接收端啟動傳送訊息，則應該在接收端啟動這個服務這個服務

7777 / 161 / 161

Messenger Messenger 服務服務Messenger Messenger 服務服務

7878 / 161 / 161

Microsoft SearchMicrosoft Search 名稱名稱 :: MSSEARCHMSSEARCH (mssearch.exe)(mssearch.exe) 功能功能 :: 在結構化與半結構化資料上建立全文索引，在結構化與半結構化資料上建立全文索引，

讓這個資料能夠快速地進行語言搜尋。讓這個資料能夠快速地進行語言搜尋。依存依存 :: NTLM Security Support ProviderNTLM Security Support Provider

Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 ::

如果主機上沒有任何應用程式會使用到如果主機上沒有任何應用程式會使用到 Microsoft Search Microsoft Search 服務的話，就可以停用它。服務的話，就可以停用它。

7979 / 161 / 161

Microsoft Software Shadow Copy ProviderMicrosoft Software Shadow Copy Provider

名稱名稱 :: swprvswprv (svchost.exe -k swprv)(svchost.exe -k swprv) 功能功能 :: 管理磁碟區陰影複製的服務管理磁碟區陰影複製的服務依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 ::

如果需要在主機上使用到以下功能，就要啟動這個服務如果需要在主機上使用到以下功能，就要啟動這個服務備份備份回復文件的舊版本回復文件的舊版本

參閱參閱 : Volume Shadow Copy: Volume Shadow Copy

8080 / 161 / 161

Net LogonNet Logon 名稱名稱 :: NetlogonNetlogon (lsass.exe)(lsass.exe) 功能功能 :: 維持這個電腦和網域控制站間用於驗證使用維持這個電腦和網域控制站間用於驗證使用

者者和服務的安全通道。網域控制站上的和服務的安全通道。網域控制站上的 Net Net

Logon Logon 服務會向服務會向 DNS DNS 動態註冊必要的動態註冊必要的 SRV SRV 記錄。記錄。

依存依存 :: WorkstationWorkstation 建議建議 :: 自動自動

8181 / 161 / 161

NetMeeting Remote Desktop SharingNetMeeting Remote Desktop Sharing

名稱名稱 :: mnmsrvcmnmsrvc (mnmsrvc.exe)(mnmsrvc.exe) 功能功能 :: 讓經過授權的使用者可以使用讓經過授權的使用者可以使用 NetMeeting NetMeeting

由遠由遠端存取這部電腦。端存取這部電腦。

依存依存 :: 無無建議建議 :: 手動手動

8282 / 161 / 161

Network ConnectionsNetwork Connections 名稱名稱 :: NetmanNetman (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 管理在網路和撥號連線資料夾中的物件，您管理在網路和撥號連線資料夾中的物件，您可可

以在此資料夾中檢視區域網路和遠端連線。以在此資料夾中檢視區域網路和遠端連線。如如

果這個服務被停用，您將無法檢視區域網路果這個服務被停用，您將無法檢視區域網路以以

及遠端連線。及遠端連線。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 手動手動

當打開網路和撥號連線資料夾時，才會啟動這個服務當打開網路和撥號連線資料夾時，才會啟動這個服務

8383 / 161 / 161

Network DDENetwork DDE 名稱名稱 :: NetDDENetDDE (netdde.exe)(netdde.exe) 功能功能 :: 讓兩部主機可以進行動態資料交換。讓兩部主機可以進行動態資料交換。依存依存 :: Network DDE DSDMNetwork DDE DSDM 建議建議 :: 停用停用

除非有應用程式使用除非有應用程式使用 DDE DDE 進行資料交換。進行資料交換。

8484 / 161 / 161

Network DDE DSDMNetwork DDE DSDM 名稱名稱 :: NetDDEdsdmNetDDEdsdm (netdde.exe)(netdde.exe) 功能功能 :: 讓讓 DDE DDE 可以在網路上共用。如果這個服務可以在網路上共用。如果這個服務

被被停止，停止， DDE DDE 網路共用將無法使用。網路共用將無法使用。

依存依存 :: 無無建議建議 :: 停用停用

除非有應用程式使用除非有應用程式使用 DDE DDE 進行資料交換。進行資料交換。

8585 / 161 / 161

Network Location Awareness Network Location Awareness (NLA)(NLA) 名稱名稱 :: NlaNla (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 收集並存放網路設定和位置資訊，並且在這收集並存放網路設定和位置資訊，並且在這

個個資訊變更時通知應用程式。資訊變更時通知應用程式。

依存依存 :: AFD AFD 網路支援環境網路支援環境TCP/IP Protocol DriverTCP/IP Protocol Driver

建議建議 :: 手動手動如果不使用如果不使用 ICF ICF 和和 ICSICS ，就用不到這個服務，就用不到這個服務

8686 / 161 / 161

NT LM Security Support ProviderNT LM Security Support Provider 名稱名稱 :: NtLmSspNtLmSsp (lsass.exe)(lsass.exe) 功能功能 :: 為沒有使用命名管道為沒有使用命名管道 (named pipe) (named pipe) 傳輸的傳輸的遠端遠端

程序呼叫程序呼叫 (RPC) (RPC) 程式提供安全性。程式提供安全性。依存依存 :: AFD AFD 網路支援環境網路支援環境

TCP/IP Protocol DriverTCP/IP Protocol Driver 建議建議 :: 停用停用

這個服務是提供遠端呼叫時檢查安全性用的，例如這個服務是提供遠端呼叫時檢查安全性用的，例如 :: TelnetTelnet Message QueueMessage Queue Microsoft SearchMicrosoft Search

8787 / 161 / 161

NTLM Security NTLM Security 與與 LSA SecretLSA SecretNTLM Security NTLM Security 與與 LSA SecretLSA Secret

8888 / 161 / 161

Performance Logs and AlertsPerformance Logs and Alerts 名稱名稱 :: SysmonLogSysmonLog (smlogsvc.exe)(smlogsvc.exe) 功能功能 :: 收集本機或遠端電腦的效能資料，然後將資收集本機或遠端電腦的效能資料，然後將資

料料寫入記錄或觸發警訊。寫入記錄或觸發警訊。

依存依存 :: 無無建議建議 :: 手動手動

當有使用「系統監視當有使用「系統監視器」或「效能記錄及器」或「效能記錄及警示」時才會用得到警示」時才會用得到

8989 / 161 / 161

Plug and PlayPlug and Play 名稱名稱 :: PlugPlayPlugPlay (services.exe)(services.exe) 功能功能 :: 隨插即用服務，讓系統可以自動識別及調整隨插即用服務，讓系統可以自動識別及調整

硬體資源使用，例如硬體資源使用，例如 IRQIRQ、、 IOIO、、 DMADMA、、…… 依存依存 :: 無無建議建議 :: 自動自動

停用這個服務會導致系統不穩定。停用這個服務會導致系統不穩定。

9090 / 161 / 161

Portable Media Serial Number ServicePortable Media Serial Number Service

名稱名稱 :: WmdmPmSNWmdmPmSN (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 用來取得任何接到主機上的移動式媒體播放用來取得任何接到主機上的移動式媒體播放

裝置的序號。裝置的序號。依存依存 :: 無無建議建議 :: 停用停用

9191 / 161 / 161

Print SpoolerPrint Spooler 名稱名稱 :: SpoolerSpooler (spoolsv.exe)(spoolsv.exe) 功能功能 :: 管理所有本機和網路列印的緩衝區佇列，並管理所有本機和網路列印的緩衝區佇列，並

控制所有列印工作。如果這個服務被停止，控制所有列印工作。如果這個服務被停止，本機電腦列印將無法使用。本機電腦列印將無法使用。


如果沒有連接印表機，就不需要這個服務如果沒有連接印表機，就不需要這個服務

9292 / 161 / 161

Print SpoolerPrint SpoolerPrint SpoolerPrint Spooler

9393 / 161 / 161

Protected StorageProtected Storage 名稱名稱 :: ProtectedStorageProtectedStorage (lsass.exe)(lsass.exe) 功能功能 :: 保護儲存諸如私密金鑰這類敏感資訊的存放保護儲存諸如私密金鑰這類敏感資訊的存放

區區，防止未授權的服務、處理、或使用者進行，防止未授權的服務、處理、或使用者進行

存存取。如果這個服務被停止，受保護的存放區取。如果這個服務被停止，受保護的存放區

將將無法使用。無法使用。

依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 自動自動

這是用來儲存電腦上私密金鑰與密碼的服務，例如這是用來儲存電腦上私密金鑰與密碼的服務，例如 : : OutlookOutlook 、撥號程式、其他應用程式、、撥號程式、其他應用程式、 EFSEFS私密金鑰私密金鑰 ……

一定要啟動，否則系統就無法儲存這些資料了一定要啟動，否則系統就無法儲存這些資料了 !!

9494 / 161 / 161

QoS RSVPQoS RSVP 名稱名稱 :: RSVPRSVP (rsvp.exe)(rsvp.exe) 功能功能 :: 用來進行流量控制用來進行流量控制依存依存 :: Remote Procedure Call (RPCRemote Procedure Call (RPC

TCP/IP Protocol DriverTCP/IP Protocol Driver 建議建議 :: 停用停用

9595 / 161 / 161

Remote Access Auto Connection ManagerRemote Access Auto Connection Manager

名稱名稱 :: RasAutoRasAuto (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 自動偵測連線到遠端網路或電腦是否不成功，自動偵測連線到遠端網路或電腦是否不成功，

如果連線失敗，會自動使用其它連線方法。如果連線失敗，會自動使用其它連線方法。依存依存 :: Remote Access Connection ManagerRemote Access Connection Manager

TelephonyTelephony 建議建議 :: 手動手動

9696 / 161 / 161

Remote Access Connection ManagerRemote Access Connection Manager

名稱名稱 :: RasManRasMan (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 管理從這個電腦到網際網路或其他遠端網路管理從這個電腦到網際網路或其他遠端網路

的的撥號網路和虛擬私人網路撥號網路和虛擬私人網路 (VPN) (VPN) 連線。連線。

依存依存 :: TelephonyTelephony 建議建議 :: 手動手動

在建立網路連線時會用到在建立網路連線時會用到 ICS ICS 也會用到也會用到

9797 / 161 / 161

Remote Desktop Help Session ManagerRemote Desktop Help Session Manager

名稱名稱 :: RDSessMgrRDSessMgr (sessmgr.exe)(sessmgr.exe) 功能功能 :: 管理並控制遠端協助。如果此服務停止的話，管理並控制遠端協助。如果此服務停止的話，

遠端協助將無法使用。遠端協助將無法使用。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 手動手動

在使用遠端協助時，會啟動這個服務。在使用遠端協助時，會啟動這個服務。

9898 / 161 / 161

Remote Procedure Call (RPC)Remote Procedure Call (RPC) 名稱名稱 :: RpcSsRpcSs (svchost -k rpcss)(svchost -k rpcss) 功能功能 :: 扮演結束點對應程式以及扮演結束點對應程式以及 COM COM 服務控制管服務控制管

理理員的角色。如果這個服務被停止或停用，使員的角色。如果這個服務被停止或停用，使

用用 COM COM 或遠端程序呼叫或遠端程序呼叫 (RPC) (RPC) 服務的程式將服務的程式將

無法無法正常運作。正常運作。

依存依存 :: 無無建議建議 :: 自動自動

這個服務如果停止，幾乎所有遠端管理、分散式應用程式這個服務如果停止，幾乎所有遠端管理、分散式應用程式的遠端呼叫、的遠端呼叫、……都會失敗。都會失敗。

9999 / 161 / 161

RPCSSRPCSS

ClientApplication

ClientApplication

RPCSSRPCSS

OLE32.DLLOLE32.DLL

DCOM & RPC DCOM & RPC 的架構變化的架構變化DCOM & RPC DCOM & RPC 的架構變化的架構變化Activation,

Binding Resolution,Pinging

Activation,Binding Resolution,

Pinging

ActivationActivationActivation

ListenRundown

ActivationListen

Rundown

Method Calls,QueryInterface,Ref Counting

Method Calls,QueryInterface,Ref Counting

用戶端用戶端伺服端伺服端

RegisterRevoke

RegisterRevoke

(Network Service)

RPCSS

(Local System)

(Network Service)

RPCSS

(Local System)

OLE32.DLLOLE32.DLL

ServerApplication

ServerApplication

100100 / 161 / 161

Remote Procedure Call (RPC) LocatorRemote Procedure Call (RPC) Locator

名稱名稱 :: RpcLocatorRpcLocator (locator.exe)(locator.exe) 功能功能 :: 使用使用 RpcNs* RpcNs* 系列系列 API API 啟用遠端程序呼叫啟用遠端程序呼叫

(RPC) (RPC) 用戶端來尋找用戶端來尋找 RPC RPC 伺服器。如果這個服務伺服器。如果這個服務

被被停止或停用，停止或停用， RPC RPC 使用使用 RpcNs* API RpcNs* API 的用戶的用戶

端端可能找不到伺服器或無法啟動。可能找不到伺服器或無法啟動。

依存依存 :: WorkstationWorkstation 建議建議 :: 停用停用

由於由於 RpcNs* API RpcNs* API 並沒有在並沒有在 Windows Windows 內部使用，因此除內部使用，因此除非你的應用程式有用到，否則可以停用這個服務。非你的應用程式有用到，否則可以停用這個服務。

101101 / 161 / 161

Remote RegistryRemote Registry 名稱名稱 :: RemoteRegistryRemoteRegistry (svchost.exe -k regsvc)(svchost.exe -k regsvc) 功能功能 :: 讓遠端管理者可以修改這個電腦上的系統登讓遠端管理者可以修改這個電腦上的系統登錄錄

設定。如果這個服務被停止，登錄只能由這設定。如果這個服務被停止，登錄只能由這個個

電腦上的管理者修改。電腦上的管理者修改。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 停用停用

除非您需要遠端修改主機的系統登錄設定，否則可以停用除非您需要遠端修改主機的系統登錄設定，否則可以停用這個服務。這個服務。

102102 / 161 / 161

Remote RegistryRemote RegistryRemote RegistryRemote Registry

103103 / 161 / 161

Removable StorageRemovable Storage 名稱名稱 :: NtmsSvcNtmsSvc (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 管理可卸除式媒體，例如管理可卸除式媒體，例如 USB USB 隨身隨身碟、碟、 Zip Zip 磁磁

碟、碟、……。如果停用這服務，依存於這個服務。如果停用這服務，依存於這個服務的的

應用程式，如應用程式，如 Backup Backup 和和 Remote StorageRemote Storage ，，效能效能

將會降低。將會降低。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 手動手動

要使用類似裝置時再啟動就可以了。要使用類似裝置時再啟動就可以了。伺服器如果有安裝可移除式磁帶來進行備份，就必須啟動伺服器如果有安裝可移除式磁帶來進行備份，就必須啟動這個服務。這個服務。

104104 / 161 / 161

Resultant Set of Policy ProviderResultant Set of Policy Provider 名稱名稱 :: RSoPProvRSoPProv (RSoPProv.exe)(RSoPProv.exe) 功能功能 :: 讓使用者連線到遠端電腦，透過讓使用者連線到遠端電腦，透過 WMI WMI 確認確認目前目前

該電腦所套用的群組原則設定值。該電腦所套用的群組原則設定值。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 手動手動

只有使用只有使用 RSoP RSoP 來檢查主機套用群組原則的狀況時才會用來檢查主機套用群組原則的狀況時才會用到這個服務。到這個服務。

105105 / 161 / 161

Routing and Remote AccessRouting and Remote Access 名稱名稱 :: RemoteAccessRemoteAccess (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 路由及遠端存取服務。提供路由器、路由及遠端存取服務。提供路由器、 NATNAT 、、

VPNVPN、、… … 等等功能。等等功能。依存依存 :: NetBIOSGroupNetBIOSGroup

Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 停用停用

當您使用「系統管理工具當您使用「系統管理工具 / / 路由及遠端存取」功能來設路由及遠端存取」功能來設定遠端存取伺服器時，會將這個服務設定自動啟動。定遠端存取伺服器時，會將這個服務設定自動啟動。

106106 / 161 / 161

Secondary LogonSecondary Logon 名稱名稱 :: seclogonseclogon (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 啟用另一次身份認證，以取得另一個啟用另一次身份認證，以取得另一個

Access Access Token Token 來開啟應用程式。來開啟應用程式。

依存依存 :: 無無建議建議 :: 自動自動

當您在應用程式捷徑上按住當您在應用程式捷徑上按住鍵盤鍵盤 Shift Shift 鍵不放，再按滑鼠鍵不放，再按滑鼠右鍵，選取「執行身份」就右鍵，選取「執行身份」就可以使用另一組使用者帳戶可以使用另一組使用者帳戶來取得另一個來取得另一個 Access TokenAccess Token，用不同身份來開啟應用程，用不同身份來開啟應用程式。式。

107107 / 161 / 161

Security Accounts ManagerSecurity Accounts Manager 名稱名稱 :: SamSsSamSs (lsass.exe)(lsass.exe) 功能功能 :: 儲存、管理、驗證本機帳戶的安全性資訊。儲存、管理、驗證本機帳戶的安全性資訊。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 自動自動

一定要啟動，否則就無法使用本機帳戶登入系統了。一定要啟動，否則就無法使用本機帳戶登入系統了。

108108 / 161 / 161

ServerServer 名稱名稱 :: lanmanserverlanmanserver (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 支援網路上檔案、列印、和命名管線的共用。支援網路上檔案、列印、和命名管線的共用。依存依存 :: 無無建議建議 :: 自動自動

如果用戶端不需分享檔案或印表機給網路上的其它主機，如果用戶端不需分享檔案或印表機給網路上的其它主機，就可以停用這個服務。就可以停用這個服務。

109109 / 161 / 161

Shell Hardware DetectionShell Hardware Detection 名稱名稱 :: ShellHWDetectionShellHWDetection (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 為自動播放硬體事件提供通知。為自動播放硬體事件提供通知。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 自動自動

一般使用在記憶卡或是一般使用在記憶卡或是 CD CD 裝置、裝置、 DVD DVD 裝置上的自動播裝置上的自動播放功能。放功能。

110110 / 161 / 161

Simple Mail Transfer Protocol (SMTP)Simple Mail Transfer Protocol (SMTP)

名稱名稱 :: SMTPSVCSMTPSVC (inetinfo.exe)(inetinfo.exe) 功能功能 :: 電子郵件傳輸服務。電子郵件傳輸服務。依存依存 :: Event LogEvent Log

IIS Admin ServiceIIS Admin Service 建議建議 ::

如果是郵件伺服器才需要啟動這個服務。如果是郵件伺服器才需要啟動這個服務。一般用戶端可以安裝這個服務，來加速郵件處理速度。一般用戶端可以安裝這個服務，來加速郵件處理速度。

111111 / 161 / 161

Smart CardSmart Card 名稱名稱 :: SCardSvrSCardSvr (SCardSvr.exe)(SCardSvr.exe) 功能功能 :: 管理智慧卡的存取。如果這個服務被停止，管理智慧卡的存取。如果這個服務被停止，

這個電腦將無法讀取智慧卡。這個電腦將無法讀取智慧卡。依存依存 :: Plug and PlayPlug and Play 建議建議 ::

如果沒有安裝如果沒有安裝 Smart Card Smart Card 讀卡機，就可以停用它。讀卡機，就可以停用它。

112112 / 161 / 161

Smart Card HelperSmart Card Helper 名稱名稱 :: SCardDrvSCardDrv (SCardSvr.exe)(SCardSvr.exe) 功能功能 :: 管理不支援隨插即用功能的智慧卡的存取。管理不支援隨插即用功能的智慧卡的存取。依存依存 :: 無無建議建議 :: 停用停用

113113 / 161 / 161

Special Administration Console HelperSpecial Administration Console Helper

名稱名稱 :: SCardDrvSCardDrv (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 允取系統管理員使用緊急管理服務來遠端允取系統管理員使用緊急管理服務來遠端

存取命令提示字元。存取命令提示字元。依存依存 :: 無無建議建議 :: 手動手動

當需要使用當需要使用 Special Administration Console (SAC) Special Administration Console (SAC) 下達下達 SAC SAC 命令時才需要命令時才需要

SAC SAC 是使用諸如是使用諸如 LL3LL3、、 null modem null modem 電纜連線來遠端管理電纜連線來遠端管理主機時所使用的主控台。主機時所使用的主控台。

請搜尋請搜尋 Mcrosoft Mcrosoft 網站「網站「 Emergency Management ServiceEmergency Management Servicess 」」

114114 / 161 / 161

System Event NotificationSystem Event Notification 名稱名稱 :: SENSSENS (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 監視系統事件並通知這些事件的監視系統事件並通知這些事件的 COM+ COM+ 事事

件件系統訂閱者。如果這個服務被停止，系統訂閱者。如果這個服務被停止， COM+ COM+ 事件系統訂閱者將不會收到系統事件通知。事件系統訂閱者將不會收到系統事件通知。

依存依存 :: COM+ Event SystemCOM+ Event System 建議建議 :: 自動自動

由於本服務依存於由於本服務依存於 COM+ Event SystemCOM+ Event System ，因此，因此 COM+ COM+ Event System Event System 要設定成手動或自動啟動才可以。要設定成手動或自動啟動才可以。

擔任伺服器的主機，一定要自動啟動這個服務，否則就會擔任伺服器的主機，一定要自動啟動這個服務，否則就會收不到任何系統事件，例如收不到任何系統事件，例如 : : 登入、網路、電源、登入、網路、電源、… … 等。等。

115115 / 161 / 161

Task SchedulerTask Scheduler 名稱名稱 :: Schedule (svchost.exe -k netsvcs)Schedule (svchost.exe -k netsvcs) 功能功能 :: 工作排程服務。如果停止這個服務，排程工工作排程服務。如果停止這個服務，排程工

作作在它們排定的時間時將不會執行。在它們排定的時間時將不會執行。

依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 自動自動

伺服器上通常都有會工作排程，例如週期性備份，因此將伺服器上通常都有會工作排程，例如週期性備份，因此將這個服務設定成自動啟動是有必要的。這個服務設定成自動啟動是有必要的。

如果系統上沒有任何等待執行的排程工作，就可以停用這如果系統上沒有任何等待執行的排程工作，就可以停用這個服務。個服務。

命令列指令命令列指令 :: schtasksschtasks

116116 / 161 / 161

TCP/IP NetBIOS HelperTCP/IP NetBIOS Helper 名稱名稱 :: LmHosts (svchost.exe -k LocalService)LmHosts (svchost.exe -k LocalService) 功能功能 :: 提供對提供對 TCP/IP (NetBT) TCP/IP (NetBT) 服務上的服務上的 NetBIOS NetBIOS

以及以及網路上用戶端網路上用戶端 NetBIOS NetBIOS 名稱解析的支援。名稱解析的支援。

依存依存 :: AFD AFD 網路支援環境網路支援環境NetBios over TcpipNetBios over Tcpip

建議建議 :: 如果網路上所有的系統都是如果網路上所有的系統都是 Windows 2000 Windows 2000 以上，而且使以上，而且使用用 DNS DNS 做名稱解析，就可以停用這個服務。做名稱解析，就可以停用這個服務。

否則，就要啟動這個服務，以順利進行否則，就要啟動這個服務，以順利進行 NetBIOS NetBIOS 名稱解名稱解析析

117117 / 161 / 161

TelephonyTelephony 名稱名稱 :: TapiSrv (svchost.exe -k tapisrv)TapiSrv (svchost.exe -k tapisrv) 功能功能 :: 提供電話語音裝置和提供電話語音裝置和 IP IP 為主的語音連線程為主的語音連線程

式式的用戶端必要的電話語音的用戶端必要的電話語音 API (TAPI) API (TAPI) 支援。支援。

依存依存 :: Plug and PlayPlug and PlayRemote Procedure Call (RPC)Remote Procedure Call (RPC)

建議建議 :: 手動手動一般的撥號數據機或是一些一般的撥號數據機或是一些 DSL/Cable DSL/Cable 數據機可能用得數據機可能用得到到

118118 / 161 / 161

TelnetTelnet 名稱名稱 :: TlntSvr (tlntsvr.exe)TlntSvr (tlntsvr.exe) 功能功能 :: Telnet Telnet 服務。服務。依存依存 :: NT LM Securoty Support ProviderNT LM Securoty Support Provider

Remote Procedure Call (RPC)Remote Procedure Call (RPC)TCP/IP Protocol DriverTCP/IP Protocol Driver

建議建議 :: 停用停用可以使用可以使用 Terminal Service Terminal Service 來取代這個命令列模式下的遠來取代這個命令列模式下的遠端管理服務。端管理服務。

使用使用 tlntadmn.exe tlntadmn.exe 來管理來管理 Telnet Telnet 服務。服務。

119119 / 161 / 161

Telnet Telnet 服務服務Telnet Telnet 服務服務

120120 / 161 / 161

Terminal ServicesTerminal Services 名稱名稱 :: TermService (vchost.exe -k termsvcse)TermService (vchost.exe -k termsvcse) 功能功能 :: 終端機服務。終端機服務。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 停用停用

除了提供終端機用戶端連線之外，遠端桌面與遠端協助都除了提供終端機用戶端連線之外，遠端桌面與遠端協助都會使用到這個服務。會使用到這個服務。

121121 / 161 / 161

Terminal Services Session DirectoryTerminal Services Session Directory

名稱名稱 :: Tssdis (tssdis.exe)Tssdis (tssdis.exe) 功能功能 :: 當使用終端機服務叢集時，使用這個服務來當使用終端機服務叢集時，使用這個服務來

記錄並將終端機用戶端導向到原本連接的終記錄並將終端機用戶端導向到原本連接的終端機伺服器。端機伺服器。

依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 停用停用

可以使用可以使用 Terminal Service Terminal Service 來取代這個命令列模式下的遠來取代這個命令列模式下的遠端管理服務。端管理服務。

122122 / 161 / 161

ThemesThemes 名稱名稱 :: Themes (svchost.exe -k netsvcs)Themes (svchost.exe -k netsvcs) 功能功能 :: 佈景主題。佈景主題。依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 停用停用

123123 / 161 / 161

Uninterruptible Power SupplyUninterruptible Power Supply 名稱名稱 :: UPSUPS (ups.exe)(ups.exe) 功能功能 :: 管理連接到這台電腦的不斷電電源供應系統。管理連接到這台電腦的不斷電電源供應系統。依存依存 :: 無無建議建議 ::

伺服器一般會設定自動啟動這個服務，以正確透過訊號線伺服器一般會設定自動啟動這個服務，以正確透過訊號線和和 UPS UPS 溝通。溝通。

用戶端則建議停用這個服務。用戶端則建議停用這個服務。

124124 / 161 / 161

Upload ManagerUpload Manager 名稱名稱 :: uploadmgruploadmgr (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 將用戶端安裝的驅動程式資訊匿名上傳至微將用戶端安裝的驅動程式資訊匿名上傳至微

軟軟驅動程式回饋伺服器，驅動程式回饋伺服器驅動程式回饋伺服器，驅動程式回饋伺服器

會會從網際網路搜尋用戶端需要的適當驅動程式從網際網路搜尋用戶端需要的適當驅動程式

或或支援的資訊。支援的資訊。


如果有使用如果有使用 Windows Update Windows Update 或或 Automatic Update Automatic Update 來更新來更新裝置驅動程式時，就會啟動這個服務。裝置驅動程式時，就會啟動這個服務。

125125 / 161 / 161

Virtual Disk ServiceVirtual Disk Service 名稱名稱 :: vdsrvdsr (vds.exe)(vds.exe) 功能功能 :: 提供軟體磁碟區及硬體磁碟區管理服務提供軟體磁碟區及硬體磁碟區管理服務依存依存 :: Plug and PlayPlug and Play

Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 :: 手動手動

VDS VDS 提供管理異質儲存裝置的單一方式與介面。提供管理異質儲存裝置的單一方式與介面。參考資訊參考資訊 : :

http://www.microsoft.com/windowsserversystem/storage/technohttp://www.microsoft.com/windowsserversystem/storage/technologies/vds/default.mspxlogies/vds/default.mspx

126126 / 161 / 161

Virtual Machine HelperVirtual Machine Helper 名稱名稱 :: vmhvmh (vmh.exe -service)(vmh.exe -service) 功能功能 :: 提供提供 Virtual Server Virtual Server 執行虛擬機器必要的服執行虛擬機器必要的服

務。務。依存依存 :: 無無建議建議 :: 手動手動

127127 / 161 / 161

Virtual ServerVirtual Server 名稱名稱 :: Virtual ServerVirtual Server (vssrvc.exe)(vssrvc.exe) 功能功能 :: 提供在主機上建立多個虛擬機器，並且在這提供在主機上建立多個虛擬機器，並且在這些些

虛擬機器上執行個別的作業系統的功能。虛擬機器上執行個別的作業系統的功能。依存依存 :: Remote Procedure CallRemote Procedure Call

Virtual Machine HelperVirtual Machine HelperVirtual Machine MonitorVirtual Machine Monitor

建議建議 :: 自動自動

128128 / 161 / 161

Volume Shadow CopyVolume Shadow Copy 名稱名稱 :: VSSVSS (vssvc.exe)(vssvc.exe) 功能功能 :: 磁碟陰影複製服務。如果這個服務被停止，磁碟陰影複製服務。如果這個服務被停止，磁磁

碟陰影複製功能將無法用於備份，備份可能碟陰影複製功能將無法用於備份，備份可能會會

失敗。失敗。依存依存 :: Remote Procedure CallRemote Procedure Call 建議建議 :: 手動手動

參閱參閱 : Microsoft Software Shadow Copy Provider: Microsoft Software Shadow Copy Provider

129129 / 161 / 161

陰影複製與陰影複製與文件版本回復文件版本回復陰影複製與陰影複製與文件版本回復文件版本回復

130130 / 161 / 161

WebClientWebClient 名稱名稱 :: WebClientWebClient (svchost.exe -k LocalService)(svchost.exe -k LocalService) 功能功能 :: 啟用啟用 Windows Windows 為主的程式來建立，存取，為主的程式來建立，存取，

以及以及修改修改 Web Web 上的檔案。上的檔案。

依存依存 :: WebDav Client RedirectorWebDav Client Redirector 建議建議 :: 停用停用

例如例如 : : 使用使用 WebDAV WebDAV 將檔案上傳到將檔案上傳到 Web Web 伺服器伺服器

131131 / 161 / 161

Windows AudioWindows Audio 名稱名稱 :: AudioSrvAudioSrv (svchost.exe -k LocalService)(svchost.exe -k LocalService) 功能功能 :: 管理管理 Windows Windows 系統上的音訊裝置。如果這系統上的音訊裝置。如果這

個服個服務被停止，音訊裝置和效果將無法正常運作。務被停止，音訊裝置和效果將無法正常運作。

依存依存 :: Plug and PlayPlug and PlayRemote Procedure Call (RPC)Remote Procedure Call (RPC)

建議建議 :: 伺服器應該要停用這個服務伺服器應該要停用這個服務用戶端則自動啟動這個服務用戶端則自動啟動這個服務

132132 / 161 / 161

Windows Image Acquisition (WIA)Windows Image Acquisition (WIA) 名稱名稱 :: stisvcstisvc (svchost.exe -k imgsvc)(svchost.exe -k imgsvc) 功能功能 :: 為掃描器和數位相機提供影像擷取服務。如為掃描器和數位相機提供影像擷取服務。如果果

掃描器和數位相機內部具有支援掃描器和數位相機內部具有支援 WIA WIA 功能，功能，那那

就可以直接看到圖檔，不需要其他的驅動程就可以直接看到圖檔，不需要其他的驅動程式式

依存依存 :: Remote Procedure Call (RPC)Remote Procedure Call (RPC)Shell Hardware DetectionShell Hardware Detection

建議建議 :: 伺服器應該要停用這個服務伺服器應該要停用這個服務用戶端則手動啟動這個服務用戶端則手動啟動這個服務

133133 / 161 / 161

Windows InstallerWindows Installer 名稱名稱 :: MSIServerMSIServer (msiexec.exe /V)(msiexec.exe /V) 功能功能 :: 新增、修改以及移除以新增、修改以及移除以 Windows Installer Windows Installer

(*.msi) (*.msi) 封裝提供的應用程式。協助使用者正確地安封裝提供的應用程式。協助使用者正確地安

裝裝、設定、追蹤、升級和移除應用程式。、設定、追蹤、升級和移除應用程式。


伺服器應該要停用這個服務伺服器應該要停用這個服務用戶端則手動啟動這個服務用戶端則手動啟動這個服務

134134 / 161 / 161

Windows Management InstrumentationWindows Management Instrumentation

名稱名稱 :: winmgmtwinmgmt (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 提供被管理物件的公用介面及物件模型，以提供被管理物件的公用介面及物件模型，以

存存取有關作業系統、裝置、應用程式及服務的取有關作業系統、裝置、應用程式及服務的

管管理資訊。如果這個服務已停止，大多數的軟理資訊。如果這個服務已停止，大多數的軟

體體將無法正常運作。將無法正常運作。

依存依存 :: Event LogEvent LogRemote Procedure Call (RPC)Remote Procedure Call (RPC)

建議建議 :: 自動自動

135135 / 161 / 161

Windows Management Instrumentation Windows Management Instrumentation Driver ExtensionsDriver Extensions 名稱名稱 :: WmiWmi (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 監視、追蹤監視、追蹤 WMI WMI 事件。事件。依存依存 :: 無無建議建議 :: 手動手動

只有在有註冊只有在有註冊 WMI WMI 事件監控時，才需要這個服務。事件監控時，才需要這個服務。

136136 / 161 / 161

Windows TimeWindows Time 名稱名稱 :: W32TimeW32Time (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 維護在網路上所有用戶端及伺服器的資料及維護在網路上所有用戶端及伺服器的資料及

時時間同步處理。如果這個服務停止，將無法進間同步處理。如果這個服務停止，將無法進

行行日期和時間同步處理。日期和時間同步處理。


網域環境下，每部網域成員主機都要自動啟動這個服務，網域環境下，每部網域成員主機都要自動啟動這個服務，這樣網域所有主機的時間才會一致。這樣網域所有主機的時間才會一致。

單機狀態下，則可以停用這個服務。單機狀態下，則可以停用這個服務。

137137 / 161 / 161

Windows Time Windows Time 服務與服務與 Win32Time Win32Time 事事件件

Windows Time Windows Time 服務與服務與 Win32Time Win32Time 事事件件

138138 / 161 / 161

WinHTTP Web Proxy Auto-Discovery ServiceWinHTTP Web Proxy Auto-Discovery Service

名稱名稱 :: WinHttpAutoProxySvcWinHttpAutoProxySvc (svchost.exe -k LocalService)(svchost.exe -k LocalService)

功能功能 :: 為為 WinHTTP WinHTTP 服務執行服務執行 Web Proxy Auto-Web Proxy Auto-Discovery Discovery (WPAD) (WPAD) 通訊協定。通訊協定。 WPAD WPAD 是一個讓是一個讓 HTTP HTTP 用戶用戶

端可以自動尋找端可以自動尋找 proxy proxy 設定的通訊協定。設定的通訊協定。依存依存 :: DHCP ClientDHCP Client 建議建議 :: 手動手動

需要在需要在 DNS DNS 上加入上加入 wpad wpad 這個這個 A A 記錄或記錄或 CNAME CNAME 記錄記錄在在 DHCP DHCP 上設定上設定 WPAD (code 252) WPAD (code 252) 的選項，並將選項值的選項，並將選項值設定為設定為 http://wpad.xxx.xxx.xxx/wpad.dathttp://wpad.xxx.xxx.xxx/wpad.dat

設定瀏覽器自動偵測設定瀏覽器自動偵測 ProxyProxy

139139 / 161 / 161

Wireless ConfigurationWireless Configuration 名稱名稱 :: WZCSVCWZCSVC (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 啟用啟用 IEEE 802.11 IEEE 802.11 介面卡自動設定。介面卡自動設定。依存依存 :: NDIS Usermode I/O ProtocolNDIS Usermode I/O Protocol

Remote Procedure Call (RPC)Remote Procedure Call (RPC) 建議建議 ::

如果有無線網路卡，就要自動啟動這個服務，否則就停用如果有無線網路卡，就要自動啟動這個服務，否則就停用

140140 / 161 / 161

WMI Performance AdapterWMI Performance Adapter 名稱名稱 :: WmiApSrvWmiApSrv (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 提供來自提供來自 Windows Management Windows Management

Instrumentation Instrumentation (WMI) (WMI) 提供者的效能程式庫資訊給網路上的提供者的效能程式庫資訊給網路上的

用用戶端。戶端。


如果需要遠端透過如果需要遠端透過 WMI WMI 取得這台主機的效能計數值，就取得這台主機的效能計數值，就要啟動這個服務要啟動這個服務

141141 / 161 / 161

WorkstationWorkstation 名稱名稱 :: lanmanworkstationlanmanworkstation (svchost.exe -k netsvcs)(svchost.exe -k netsvcs) 功能功能 :: 建立並維護到遠端伺服器的用戶端網路連線。建立並維護到遠端伺服器的用戶端網路連線。

如果這個服務被停止，這些連線將無法使用。如果這個服務被停止，這些連線將無法使用。依存依存 :: 無無建議建議 :: 自動自動

就算是伺服器，也一定要啟動這個服務，否則就算是伺服器，也一定要啟動這個服務，否則 AlerterAlerter、、 Background Intelligent Transfer ServiceBackground Intelligent Transfer Service、、 Computer Computer BrowserBrowser、、 MessengerMessenger、、 Net LogonNet Logon、、… … 等一堆服務都無法等一堆服務都無法運作。運作。

142142 / 161 / 161

World Wide Web Publishing ServiceWorld Wide Web Publishing Service

名稱名稱 :: W3SVCW3SVC (svchost.exe -k iissvcs)(svchost.exe -k iissvcs) 功能功能 :: 建立並維護到遠端伺服器的用戶端網路連線。建立並維護到遠端伺服器的用戶端網路連線。

如果這個服務被停止，這些連線將無法使用。如果這個服務被停止，這些連線將無法使用。依存依存 :: HTTP SSLHTTP SSL

IIS Admin ServiceIIS Admin ServiceRemote Procedure Call (RPC)Remote Procedure Call (RPC)

建議建議 :: 自動自動 Web Web 伺服器當然要自動啟動這個服務伺服器當然要自動啟動這個服務 !!

143143 / 161 / 161

服務啟動順序服務啟動順序我們可以修改我們可以修改 Registry Registry 來改變來改變 Windows Windows

服務的啟動順序服務的啟動順序 HKEY_LOCAL_MACHINE \ SYSTEM \ HKEY_LOCAL_MACHINE \ SYSTEM \

CurrentControlSet \ ServicesCurrentControlSet \ Services Group Group 值值 (REG_SZ)(REG_SZ) ：用來描述服務屬於那一個：用來描述服務屬於那一個

服務群組，如果服務沒有設定這個值，則系統服務群組，如果服務沒有設定這個值，則系統預設會在其它服務都載入後才載入這個服務預設會在其它服務都載入後才載入這個服務

Tag Tag 值值 (REG_DWORD )(REG_DWORD ) ：每一個在服務群組中：每一個在服務群組中的服務都會被分配一個唯一的標識，同一個服的服務都會被分配一個唯一的標識，同一個服務群組中會依照務群組中會依照 Tag Tag 值來決定服務載入的先後值來決定服務載入的先後順序順序

144144 / 161 / 161

服務群組的啟動順序服務群組的啟動順序服務群組的啟動順序服務群組的啟動順序

HKEY_LOCAL_MACHINE \ SYSTEM \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ ServiceGroupOrder CurrentControlSet \ Control \ ServiceGroupOrder 機機碼中的碼中的 List List 值值 (REG_SZ)(REG_SZ)

根據清單中服務群組根據清單中服務群組名稱的排列順序來依名稱的排列順序來依序啟動每一個群組序啟動每一個群組

145145 / 161 / 161

同服務群組中服務的啟動順序同服務群組中服務的啟動順序服務群組的啟動順序服務群組的啟動順序

HKEY_LOCAL_MACHINE \ SYSTEM \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ GroupOrderList CurrentControlSet \ Control \ GroupOrderList 機碼機碼中，每個服務群組都有一個對應的中，每個服務群組都有一個對應的 REG_BINARY REG_BINARY 值值

例如例如 : SCSI Class : SCSI Class 服務群組服務群組03000000 01000000 02000000 0300000003000000 01000000 02000000 03000000

表示表示 : : 這個服務群組中有這個服務群組中有 3 3 個服務，先啟動個服務，先啟動 Tag Tag 代號為代號為 1 1 的服務、再啟動的服務、再啟動 Tag Tag 代號為代號為 2 2 的服務、最後啟動的服務、最後啟動 Tag Tag 代號為代號為 3 3 的服務的服務

146146 / 161 / 161

sc sc 命令列程式命令列程式用途用途 ::

和服務控制管理員溝通和服務控制管理員溝通查詢服務的狀態查詢服務的狀態啟動、停止、暫停、繼續服務啟動、停止、暫停、繼續服務設定服務參數設定服務參數建立、刪除服務建立、刪除服務

取得取得 : Windows 2000 Resource Kit: Windows 2000 Resource Kit

147147 / 161 / 161

使用使用 sc sc 命令列程式管理服務命令列程式管理服務使用使用 sc sc 命令列程式管理服務命令列程式管理服務

148148 / 161 / 161

修復主控台修復主控台使用時機使用時機

當當 Windows Windows 系統無法正常啟動，甚至連安全系統無法正常啟動，甚至連安全模式都無法啟動時，就可以使用命令列的修復模式都無法啟動時，就可以使用命令列的修復主控台來進行系統修復。主控台來進行系統修復。

啟動方式啟動方式 #1#1 安裝安裝 : winnt32 /cmdcons: winnt32 /cmdcons 開機時按開機時按 F8 F8

啟動方式啟動方式 #2#2 直接使用光碟片開機直接使用光碟片開機按按 R R 進入修復主控台進入修復主控台

149149 / 161 / 161

修復主控台修復主控台列出所有服務及狀態列出所有服務及狀態

LISTSVCLISTSVC 啟動服務啟動服務

ENABLEENABLE 停用服務停用服務

DISABLEDISABLE 服務狀態服務狀態

SERVICE_DISABLEDSERVICE_DISABLED SERVICE_BOOT_STARTSERVICE_BOOT_START SERVICE_SYSTEM_STARTSERVICE_SYSTEM_START SERVICE_AUTO_STARTSERVICE_AUTO_START SERVICE_DEMAND_STARTSERVICE_DEMAND_START

150150 / 161 / 161

修復主控台修復主控台修復主控台修復主控台

151151 / 161 / 161

什麼是什麼是 WMI ?WMI ?

WMI WMI 是微軟實作是微軟實作 WBEM (Web Based Enterprise Management ) WBEM (Web Based Enterprise Management ) 的開始的開始

WMI WMI 是是 CIM (Common Information Model ) CIM (Common Information Model ) 的延伸的延伸

WMI = Windows Management Instrumentation WMI = Windows Management Instrumentation

內建內建

內建內建

內建內建

內建內建

http://www.microsoft.com/windows95/default.asp


http://www.microsoft.com/ntworkstation/

http://www.microsoft.com/ntserver/default.asp

http://www.microsoft.com/windowsME/default.asp


http://www.microsoft.com/windowsxp/default.asp

http://www.microsoft.com/windowsserver2003/default.mspx

152152 / 161 / 161

WMI WMI 架構架構資料庫資料庫

應用程式應用程式資料庫資料庫

應用程式應用程式 WebWeb瀏覽器瀏覽器

WebWeb瀏覽器瀏覽器 C/C++C/C++

應用程式應用程式

C/C++C/C++應用程式應用程式

ActiveXActiveX控制項控制項

ActiveXActiveX控制項控制項ODBCODBC

ODBCODBC

WMI COM APIWMI COM APIWMI COM APIWMI COM API

ManagementManagementApplicationsApplications ScriptsScripts

ScriptsScripts

11.NET Framework.NET Framework

.NET Framework.NET Framework

System.ManagementSystem.ManagementSystem.ManagementSystem.Management

.NET .NET 用戶端應用程式用戶端應用程式.NET .NET 用戶端應用程式用戶端應用程式

System.ManagementSystem.Management.Instrumentation.Instrumentation

System.ManagementSystem.Management.Instrumentation.Instrumentation

Windows FormsWindows Forms Web FormsWeb Forms

Instrumented ApplicationsInstrumented ApplicationsInstrumented ApplicationsInstrumented Applications

Windows FormsWindows Forms Web FormsWeb Forms

CIMCIMRepositoryRepository

CIMCIMRepositoryRepository CIM Object ManagerCIM Object Manager

(CIMOM)(CIMOM)

CIM Object ManagerCIM Object Manager(CIMOM)(CIMOM)

ManagementManagementInstrumentationInstrumentation

COM/DCOMCOM/DCOM

22

SNMPSNMPProviderProvider

SNMPSNMPProviderProvider Win32Win32

ProviderProvider

Win32Win32ProviderProvider RegistryRegistry

ProviderProvider

RegistryRegistryProviderProvider

Win32Win32ObjectsObjects

Win32Win32ObjectsObjectsSNMPSNMP

ObjectsObjects

SNMPSNMPObjectsObjects RegistryRegistry

ObjectsObjects

RegistryRegistryObjectsObjects

ProvidersProviders

ManagedManagedObjectsObjects

WDMWDMProviderProvider

WDMWDMProviderProvider

WDM WDM DriverDriver

WDM WDM DriverDriver

COM/DCOMCOM/DCOM

33

153153 / 161 / 161

WMI AdaptersWMI Adapters

CIM.REP

COM

ProvidersProviders

OfficeADSIclient

Scripting

ODBCadapter

SWBEMADSI Extension

adapter

Windows Management Service%SystemRoot%\System32\WBEM\WinMgmt.exe

154154 / 161 / 161

如何啟動所有自動啟動的服如何啟動所有自動啟動的服務務 ??Set objService = GetObject("winmgmts:")Set objService = GetObject("winmgmts:")

Set colListOfServices = objService.ExecQuery( _Set colListOfServices = objService.ExecQuery( _"Select * from "Select * from Win32_ServiceWin32_Service " & _ " & _"Where "Where StateState='='StoppedStopped' and ' and StartModeStartMode='='AutomaticAutomatic'")'")

For Each strService in colListOfServicesFor Each strService in colListOfServices strService.strService.StartServiceStartService()()

WScript.Echo strService.DisplayName + " WScript.Echo strService.DisplayName + " 啟動成啟動成功功 !"!"

NextNext

155155 / 161 / 161

如何啟動所有自動啟動的服務如何啟動所有自動啟動的服務 ??如何啟動所有自動啟動的服務如何啟動所有自動啟動的服務 ??

156156 / 161 / 161

如何取得某服務的依存性如何取得某服務的依存性 ??Set objService = GetObject("winmgmts:")Set objService = GetObject("winmgmts:")

Set colListOfServices = objService.ExecQuery( _Set colListOfServices = objService.ExecQuery( _

""Associators ofAssociators of { {Win32_Service.Name='IISADMIN'Win32_Service.Name='IISADMIN'} " & _} " & _

"Where "Where AssocClassAssocClass=Win32_DependentService " & _=Win32_DependentService " & _

""RoleRole==DependentDependent" )" )

For Each strService in colListOfServicesFor Each strService in colListOfServices

Wscript.Echo strService.DisplayName Wscript.Echo strService.DisplayName

NextNext DependentDependent 表示取得該服務所依存的服務表示取得該服務所依存的服務 AntecedentAntecedent 表示那個服務依存於這個服務表示那個服務依存於這個服務

157157 / 161 / 161

如何取得某服務的依存性如何取得某服務的依存性 ??如何取得某服務的依存性如何取得某服務的依存性 ??

158158 / 161 / 161

如何即時得知服務的狀態改如何即時得知服務的狀態改變變 ??Set objService = GetObject("winmgmts:" _Set objService = GetObject("winmgmts:" _

& "{impersonationLevel=impersonate}!\\.\root\cimv2")& "{impersonationLevel=impersonate}!\\.\root\cimv2")

Set colServices = objService.ExecNotificationQuery( _Set colServices = objService.ExecNotificationQuery( _"Select * from __InstanceModificationEvent " _ "Select * from __InstanceModificationEvent " _ & "within 10 where TargetInstance isa 'Win32_Service'")& "within 10 where TargetInstance isa 'Win32_Service'")

Do While TrueDo While TrueSet obj = colServices.NextEventSet obj = colServices.NextEventIf obj.TargetInstance.State <> obj.PreviousInstance.State ThenIf obj.TargetInstance.State <> obj.PreviousInstance.State Then

Wscript.Echo obj.TargetInstance.Name _ Wscript.Echo obj.TargetInstance.Name _ & " & " 服務的狀態由服務的狀態由 [" & [" &

obj.PreviousInstance.State _obj.PreviousInstance.State _& "] & "] 變為變為 [" & obj.TargetInstance.State & "]"[" & obj.TargetInstance.State & "]"

End IfEnd IfLoopLoop

159159 / 161 / 161

如何即時得知服務的狀態改變如何即時得知服務的狀態改變 ??如何即時得知服務的狀態改變如何即時得知服務的狀態改變 ??

160160 / 161 / 161

總結總結總結總結要管理好眾多的服務，您必須要管理好眾多的服務，您必須 ……

要了解每一個服務之間的相依性要了解每一個服務之間的相依性適當調整服務的啟動順序適當調整服務的啟動順序設定服務啟動失敗時的自動修復策略設定服務啟動失敗時的自動修復策略熟悉熟悉 Recovery Console Recovery Console 中有關服務的管理指令中有關服務的管理指令運用運用 WMI script WMI script 進行服務的自動化監控與管理進行服務的自動化監控與管理

要管理好眾多的服務，您必須要管理好眾多的服務，您必須 …… 要了解每一個服務之間的相依性要了解每一個服務之間的相依性適當調整服務的啟動順序適當調整服務的啟動順序設定服務啟動失敗時的自動修復策略設定服務啟動失敗時的自動修復策略熟悉熟悉 Recovery Console Recovery Console 中有關服務的管理指令中有關服務的管理指令運用運用 WMI script WMI script 進行服務的自動化監控與管理進行服務的自動化監控與管理

© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Technology

深入研究 Windows 系統服務 效能調校與故障排除

深入研究 Windows 系統服務效能調校與故障排除