微软官方服务详解卷

142/142系统服务更新日期：2006年07月17日系统服务的介绍方式不同于本指南中的其他设置，因为所有服务的漏洞、对策及潜在阻碍的讲明几乎都相同。首次安装Microsoft®WindowsServer™2003或MicrosoftWindows®XP时，某些服务被安装和配置为在计算机启动时默认运行。其默认服务与Windows2000Server中的相比要少一些，关于WindowsServer2003来讲，某些特定服务将依照分配给每个服务器的角色而相应改变。在您的环境中，可能并不需要所有的默认服务，应将任何不需要的服务禁用以增强安全性。本章将关心您了解每项服务的功能和目的，并解释了哪些服务在Windows

Server

2003和Windows

XP中保持启用，以确保应用程序兼容性、客户端兼容性，或者便于计算机系统的治理。MicrosoftExcel®工作簿“Windows默认安全和服务配置”（本指南的可下载版本附带）讲明了默认系统服务设置。本页内容服务概述服务必须登录才能访问操作系统中的资源和对象，同时大多数服务都没有被设计为更改其默认登录帐户。假如更改默认帐户，该服务专门可能将失败。假如选定帐户没有作为服务登录的权限，Microsoft治理操纵台(MMC)服务治理单元将自动为该帐户授予在计算机上作为服务登录的能力。然而，此自动配置并不能保证启动服务。WindowsServer2003包括三个内置的本地帐户，分不用作各系统服务的登录帐户：•本地系统帐户。本地系统帐户功能强大，它可对计算机进行完全访问，并作为网络中的计算机工作。假如某项服务使用本地系统帐户登录到域操纵器，则该服务可访问整个域。某些服务被默认配置为使用本地系统帐户，不应更改。本地系统帐户没有用户访问密码。•本地服务帐户。本地服务帐户是一种专门的内置帐户，类似于经身份验证的用户帐户。它与Users组的成员具有相同级不的资源和对象访问权限。这种限制性访问有助于在个不服务或进程受损时保障计算机安全。使用本地服务帐户的服务使用有匿名凭据的空会话来访问网络资源。此帐户的名称为NTAUTHORITY\LocalService，它没有用户访问密码。•网络服务帐户。网络服务帐户也是一种专门的内置帐户，类似于经身份验证的用户帐户。类似于本地服务帐户，它与Users组的成员也具有相同级不的资源和对象访问权限，能够关心保障计算机安全。使用网络服务帐户的服务使用计算机帐户的凭据来访问网络资源。此帐户的名称为NTAUTHORITY\NetworkService，它没有用户访问密码。重要：假如更改默认的服务设置，重要服务可能不能正常运行。假如更改配置为自动启动的服务的“启动类型”和“登录为”设置，务必要小心慎重，这一点特不重要。您能够在组策略对象编辑器的下列位置配置系统服务设置：计算机配置\Windows设置\安全设置\系统服务\漏洞任何服务或应用程序差不多上潜在的攻击点。因此，应该禁用或删除环境中任何不需要的服务或可执行文件。WindowsServer2003有一些附加可选服务（如CertificateServices），它们不在操作系统的默认安装过程中安装。重要：假如启用附加服务，它们可能依靠于其他服务。将特定服务器角色所需的所有服务添加到该角色在组织中执行的服务器角色策略中。对策禁用所有不必要的服务。关于每项系统服务，都能够通过组策略为其分配一种服务状态。这些组策略设置的可能值为：•自动•手动•已禁用•没有定义治理服务安全性的另一种方式是，配置一个每项服务都具有用户定义的帐户列表的访问操纵列表(ACL)。此方法提供了一种操纵服务的启动和对正在运行的服务进行访问的方式。潜在阻碍假如某些服务（如安全帐户治理器）被禁用，将不能重新启动计算机。假如其他关键服务被禁用，计算机可能不能向域操纵器验证身份。假如您想要禁用某些系统服务，应先在非生产计算机上测试该设置更改的阻碍，然后才在生产环境中进行更改。不要在服务对象上设置权限有一些基于图形用户界面(GUI)的工具可用于编辑服务。然而，Windows操作系统早期版本（WindowsServer2003之前）中包含的往常版本的这些工具能够在配置某项服务的任何属性时将权限自动应用于各项服务。如组策略对象编辑器和MMC安全模板治理单元等工具均使用安全配置编辑器DLL来应用这些权限。例如，当您使用MMC安全模板治理单元在WindowsXP中配置服务的启动状态时，系统将显示以下对话框：图7.1服务安全性对话框

不论是单击“确定”或是“取消”，权限都将应用到正被配置的服务。专门抱歉，此对话框中列出的权限与Windows中包含的大多数服务的默认权限不匹配。事实上，这些权限会导致许多服务出现多种问题。Microsoft建议不要更改WindowsXP或WindowsServer2003中包含的服务的权限，因为默认权限的限制性已特不严格。此项功能在WindowsServer2003中已发生更改，且其安全配置编辑器DLL的版本不强制在编辑服务属性时必须配置权限。针对这种富有挑战性的情况，能够有多种不同的处理选择：•使用安全配置向导，它是WindowsServer2003ServicePack1(SP1)中包括的一个可选Windows组件。Microsoft建议您在需要针对多种WindowsServer2003服务器角色配置服务和网络端口筛选器时，使用此方法。•在运行WindowsServer2003SP1的服务器上运行MMC安全模板治理单元和组策略对象编辑器。Microsoft建议当您需要为将应用于WindowsXP的安全模板或组策略配置服务时，使用此方法。•使用文本编辑器（如记事本）在运行WindowsXPProfessional的计算机上编辑安全模板或组策略。此方法是最少用到的，但某些客户可能必要如此选择。下面部分将详细讲明。手动编辑安全模板尽管可使用文本编辑器（如记事本）来手动编辑它们，但安全模板是专门复杂的文件。假如未使用正确定义的模板规范来创建安全模板，可能会使计算机无法启动。尽管大多数类型的错误可不能导致这类严峻问题，然而假如需要手动编辑安全模板则必须小心并注意细节。当使用其中一种基于GUI的工具来配置安全模板时，配置信息存储在文件的“ServiceGeneralSetting”部分。以下示例文本来自于某个安全模板，在此模板中Alerter、ClipBook和ComputerBrowser服务的启动状态都已配置为“已禁用”，而DHCP客户端服务的启动状态都已配置为“自动”。[ServiceGeneralSetting]Alerter,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"ClipSrv,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"Browser,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"Dhcp,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"每个条目的格式均包括以逗号分隔的三个字段。•第一个字段指示服务名称。例如，ClipSrv表示ClipBook服务。•第二个字段定义启动状态：•4指定“已禁用”•3指定“手动”•2指定“自动”•第三个字段以安全描述符定义语言(SDDL)定义服务对象的权限。使用安全配置向导并不必要理解SDDL的详细信息。有关SDDL的详细信息，请参阅MSDN®上关于的文章，网址为/library/en-us/secauthz/

security/security_descriptor_definition_language.asp。要解决服务对象的潜在权限问题，能够删除第三个字段中的SDDL字符串，但保留一对双引号标记。以下示例显示四项引用服务的正确文本：[ServiceGeneralSetting]Alerter,4,""ClipSrv,4,""Browser,4,""Dhcp,2,""在删除安全模板中所有服务的SDDL信息后，保存文件。然后能够通过任何典型方法应用安全模板。因此，在将安全模板应用到生产计算机之前，对其进行充分测试是极其重要的。系统服务描述下面各小节介绍了WindowsServer2003和WindowsXP服务（按字母顺序）。包括默认安装的服务以及可添加到计算机的附加服务。注意：假如某项服务没有启动，则依靠于该服务的其他服务也将无法启动。因此，假如更改某项服务的状态，可能会阻碍其他看起来不相关的服务。这种依存关系存在于本部分介绍的所有服务中。要检查某项服务的依存关系，在MMC服务治理单元的服务属性对话框中单击“依存关系”选项卡。AlerterAlerter服务通知选定的用户和计算机治理警报。能够使用此服务向连接在您的网络上的指定用户发送警报消息。警报消息可提醒用户与安全、访问和用户会话等相关的故障。警报消息从服务器发送到客户端计算机，Messenger服务必须在客户端计算机上运行，用户才能接收警报消息。（默认情况下，WindowsXP和WindowsServer2003中的Messenger服务被禁用，以使恶意用户无法发送错误通知。）假如Alerter服务已关闭，使用NetAlertRaise或NetAlertRaiseEx应用程序编程接口(API)的应用程序将无法通过Messenger服务显示的消息框通知用户或计算机发生了治理警报。例如，专门多不间断电源(UPS)治理工具使用Alerter服务向治理员通知与UPS相关的重要事件。假如要使用此服务，应将其启动状态配置为“自动”，以使外部组件在需要时能够使用它。ApplicationExperienceLookupServiceApplicationExperienceLookupService(AELookupSvc)是应用程序兼容性治理器的一部分。它在应用程序启动时为应用程序处理应用程序兼容性查找请求，为域中的WindowsServer2003计算机提供支持，报告兼容性问题，并将软件更新自动应用到程序。ApplicationExperienceLookupService必须处于活动状态才能应用应用程序兼容性软件更新。不能自定义此项服务，操作系统内部使用它。此服务不使用任何网络、Internet或ActiveDirectory®目录服务资源。假如禁用ApplicationExperienceLookupService，服务将接着运行但可不能对服务进行调用。您无法停止实际进程。ApplicationLayerGatewayServiceApplicationLayerGatewayService是Windows网络子系统的子组件。它为同意网络协议穿越防火墙并在Internet连接共享后面工作的插件提供支持。应用程序层网关(ALG)插件能够打开端口并更改数据包中嵌入的数据，如端口和IP地址。文件传输协议(FTP)是唯一的网络协议，它在WindowsServer2003StandardEdition和WindowsServer2003EnterpriseEdition中有相应的插件。ALGFTP插件经设计，能够通过Windows中包含的网址转换(NAT)引擎来支持活动的FTP会话。要达到此目的，ALGFTP插件将穿过NAT的、目标为端口21的所有通信重定向到环回适配器上范围为3000-5000的专有侦听端口。然后ALGFTP插件监视/更新FTP操纵通道上的通信，以便FTP插件能够通过此FTP数据通道的NAT来探测到端口映射。FTP插件还会更新FTP操纵通道流中的端口。假如停止ApplicationLayerGatewayService，所引用的协议的网络连接将不可用，而且会对网络产生反面阻碍。例如，假如禁用此服务，WindowsMessenger和MSN®Messenger即时消息应用程序将失败。ApplicationManagementApplicationManagement服务提供各种软件安装服务，例如“分配”、“公布”和“删除”。它处理枚举、安装和删除通过组织网络部署的应用程序的请求。在加入域的计算机操纵面板的“添加或删除程序”中单击“添加”时，程序将调用此服务来检索部署的应用程序列表。使用“添加或删除程序”安装或删除应用程序时，也会调用该服务。假如组件（如shell或COM）请求安装应用程序以处理文件扩展名、组件对象模型(COM)类或计算机中不存在的ProgID，系统同样要调用该服务。服务在首次被调用时启动，启动后永不终止。注意：有关COM、COM类或ProgID的详细信息，请参阅软件开发工具包(SDK)信息，该信息位于MSDN库中的“”页面上，网址为/windows/reskits/webresources上（页面可能为英文）。假如ApplicationManagement服务停止或被禁用，用户将无法安装、删除或枚举通过MicrosoftIntelliMirror®治理技术在ActiveDirectory中部署的应用程序。假如禁用此服务，系统将无法检索已部署的应用程序信息，此信息也无法显示在操纵面板“添加或删除程序”的“添加新程序”部分。“从网络添加程序”对话框将显示下面的消息：网络上没有可用的程序。假如不重新启动计算机，则在此服务启动后无法停止它。假如不需要此服务且不希望启动它，则必须禁用它。ASPASP.NETStateService为ASP.NET的进程外会话状态提供支持。ASP.NET有所谓的会话状态概念，会话状态是一组与客户端会话相关联的值列表，它可通过“会话”设置从ASP.NET页中猎取。有三个选项可用于存储会话数据：进程内、MicrosoftSQLServer™数据库和进程外会话状态服务器。ASP.NETStateService存储进程外会话数据。此服务与运行在使用套接字的Web服务器上的ASP.NET进行通信。假如此服务停止或者被禁用，将可不能处理进程外请求。此服务的可执行代码在默认情况下安装，然而服务本身被禁用，除非手动将其启动类型更改为“自动”或“手动”。AutomaticUpdatesAutomaticUpdates服务同意下载并安装Windows和Office的安全更新。它自动为Windows计算机提供最新的更新程序、驱动程序和增强功能。您无需手动搜索安全更新和信息，操作系统可将它们直接传送到计算机中。操作系统可识不您联机的时刻，并使用Internet连接通过WindowsUpdate服务搜索可用的更新。依照具体的配置设置，该服务或在下载前、安装前通知您，或服务将自动安装更新程序。能够通过“操纵面板”中的“系统”设置关闭“自动更新”功能。或者，也能够右键单击“我的电脑”，然后单击“属性”。也能够使用MMC组策略对象编辑器治理单元来配置Intranet服务器，该服务器使用WindowsServer更新服务配置为宿主MicrosoftUpdate站点中的更新内容。此设置同意您指定网络上的一台服务器，使其充当内部更新服务提供者角色。自动更新客户端将搜索此服务，以查找适用于您网络中的计算机的更新。注意：有关WindowsServer更新服务的详细信息，请参阅网站，网址为/fwlink/?LinkId=21133（页面可能为英文）。假如AutomaticUpdates服务停止或者被禁用，更新将可不能自动下载到计算机。将需要通过网站（网址为：）搜索、下载，并安装相应的修补程序。BackgroundIntelligentTransferService(BITS)BackgroundIntelligentTransferService是一种后台文件传输机制和队列治理器。BITS可在客户端和HTTP服务器之间异步传输文件。在默认情况下，提交了BITS请求后，文件将通过其他空闲网络带宽传输，因此其他与网络相关的活动（如扫瞄）不受阻碍。假如连接丢失或用户注销，BITS将使传输挂起。BITS连接是永久的，在用户注销、网络连接中断和计算机重新启动过程中，信息仍然传输。一旦用户登录，BITS将恢复用户的传输作业。BITS通过队列来治理文件传输。您可对队列中的传输作业安排优先排序，并指定文件是在前台传输依旧在后台传输。后台传输由BITS进行优化，基于空闲网络带宽的可用量来提高和降低（或限制）传输速率。假如网络应用程序开始消耗较多的带宽，BITS将降低传输速率来保证用户交互。BITS提供了一个前台优先级和三个后台优先级，能够使用这些优先级来排定传输作业。优先级较高的作业先于优先级较低的作业执行。同等优先级的作业共享传输时刻和轮转调度，如此可防止大型作业堵塞传输队列。只有所有的高优先级作业都已完成或处于错误状态，低优先级作业才能接收传输时刻。BITS在WindowsServer2003和WindowsXP上均设置为手动启动。在提交第一个作业时依照需要来启动。当未完成的作业都已完成时，BITS停止。假如BITS停止，一些功能（如“自动更新”）将无法自动下载程序和其他信息。此功能意味着，计算机还将无法接收来自组织软件更新服务服务器（假如已通过组策略配置）的自动更新。假如禁用此服务，所有明显依靠于此服务的其他服务都将无法传输文件，除非存在失败爱护机制来直接通过其他方法（例如InternetExplorer）传输文件。CertificateServicesCertificateServices是核心操作系统的一部分，它使公司可充当自己的证书颁发机构(CA)，并为应用程序颁发和治理数字证书。这些应用程序包括安全/多用途Internet邮件扩展(S/MIME)、安全套接字层(SSL)、加密文件系统(EFS)、IP安全(IPSec)和智能卡登录。WindowsServer2003支持多级CA层次结构和交叉验证信任网络，包括脱机和联机CA。默认情况下可不能安装CertificateServices。治理员必须通过操纵面板中的“添加或删除程序”来安装它。假如CertificateServices停止或在安装后被禁用，系统将无法同意证书请求，也无法公布证书吊销列表(CRL)和增量CRL。假如该服务的停止时刻超过CRL有效期，现有的证书将无法验证。ClientServiceforNetWare安装了ClientServiceforNetWare服务的服务器可为交互式登录用户提供访问NetWare网络中的文件和打印资源的权限。使用ClientServiceforNetware，您能够访问Netware服务器中的文件和打印资源。这些服务器在计算机中运行Novell目录服务(NDS)或二进制安全（NetWare版本3.x或4.x）。ClientServiceforNetWare不支持IP协议，无法与仅支持IP环境的NetWare5.x交互操作。要提供此能力，必须在NetWare5.x服务器中加载网间数据包交换(IPX)协议，或使用与NetwareCoreProtocol(NCP)兼容、并支持纯IP的重定向程序。假如ClientServiceforNetWare服务停止或被禁用，您将失去访问NetWare网络中的文件和打印资源的权限，除非安装了NovellClientforNetWare。默认情况下不安装和启用此服务。ClipBookClipBook服务启用“剪贴簿查看器”创建并共享供远程用户查看的数据页。此服务依靠于NetworkDynamicDataExchange(NetDDE)服务来创建其他计算机能够连接到的实际文件共享。ClipBook应用程序和服务同意创建共享的数据页。默认情况下安装ClipBook服务，但其启动状态被配置为“已禁用”。假如此服务停止，“剪贴簿查看器”将无法与远程计算机共享信息。Clipbrd.exe仍可用于查看本地剪贴簿。假如用户突出显示文本，然后单击“编辑”菜单中的“复制”，或按键盘中的Ctrl+C，数据将被存储在剪贴簿中。ClusterServiceClusterService操纵服务器的群集操作并治理群集数据库。群集是一起工作以提供负载平衡和故障转移支持的多台独立计算机的集合。能够识不群集的应用程序（如MicrosoftExchangeServer和MicrosoftSQLServer）使用群集向用户显示单台虚拟计算机。群集软件可在群集节点中传播数据和计算任务。假如某一节点出现故障，其他节点将提供往常由故障节点提供的服务和数据。假如添加或修复节点，群集软件可向该节点迁移部分数据和计算任务。支持不同应用程序类型的Windows平台有两种不同类型的群集解决方案：服务器群集和网络负载平衡(NLB)群集。服务器群集为必须长时刻可靠运行的应用程序（如数据库或文件服务器）提供高可用性的环境，并通过高度集成的群集治理提供故障转移支持。NLB群集则可向其他类型的应用程序（如前端Web服务器）提供高可用、高可扩展的环境，并在一组同样的服务器中平衡客户端请求负载。ClusterService为服务器群集提供支持。它是操纵群集操作的所有方面和治理群集数据库的必要软件组件。群集中的每个节点都运行ClusterService的一个实例。WindowsEnterpriseServer和DatacenterServer版本的Windows

Server

2003均支持多达8个节点的服务器群集。然而，群集只能由运行一种Windows版本或其他版本的节点组成，单个群集中不能运行不同版本。服务器群集能够有三种不同配置：•单一节点。这种服务器群集既能够配置为有外部群集存储设备，也能够配置为没有外部群集存储设备。关于没有外部群集存储设备的单一节点群集，本地磁盘被配置为群集存储设备。使用单一节点配置可开发能够识不群集的应用程序，或在生产中提供本地运行状况监视并重新启动应用程序的功能。•单一仲裁设备。这种服务器群集有两个或多个节点配置，每个节点都与一个或多个群集存储设备相连。群集配置数据都存储在单个群集存储设备（即所谓的仲裁磁盘）中。•多数节点集。这种服务器群集有两个或多个节点，这些节点既能够与一个或多个群集存储设备相连，也能够不与之相连。群集配置数据存储在群集的多个磁盘中，“ClusterService”可确保此数据在不同磁盘中保持一致。默认情况下不安装和启用ClusterService。假如ClusterService在安装后停止，群集将不可用。有关如何配置Windows群集的安全性的其他信息，请查阅本章末尾“更多信息”部分中的相关链接。COM+EventSystemCOM+EventSystem服务为订阅COM组件提供自动事件分发。COM+事件扩展了COM+编程模型，它支持在公布服务器或订阅服务器与事件系统之间使用后期绑定事件或调用方法。事件系统将在信息可用时通知事件接收器，而可不能反复轮询服务器。COM+EventSystem服务可处理公布服务器和订阅服务器的大部分事件语义。公布服务器提供公布事件类型，订阅服务器则请求特定公布服务器的事件类型。订阅在公布服务器和订阅服务器外维护，且在需要时才检索，这简化了两者的编程模型。订阅服务器无需包含构建订阅的逻辑（构建订阅服务器与创建COM组件一样简单）。订阅的生命周期独立于公布服务器或订阅服务器的生命周期。订阅可在订阅服务器或公布服务器被激活之前构建。默认情况下安装此服务，然而直到应用程序请求该服务才会启动。假如COM+EventSystem停止，SystemEventNotification服务将关闭，且将不能提供登录和注销通知。VolumeShadowCopy服务，Windows备份和依靠于Windows备份API的备份应用程序均需要此服务。COM+SystemApplicationCOM+SystemApplication服务治理基于COM+的组件的配置和跟踪。假如停止该服务，则大多数基于COM+的组件将不能正常工作。VolumeShadowCopy服务，Windows备份和依靠于Windows备份API的备份应用程序均需要此服务。默认情况下安装并启用此服务。ComputerBrowserComputerBrowser服务维护网络上计算机的更新列表，并将列表提供给需要它的程序。ComputerBrowser服务由需要查看网络域和资源的基于Windows的计算机所使用。指派为扫瞄器的计算机可维护扫瞄列表，该列表包括网络中使用的所有共享资源。较早版本的Windows应用程序（如网上邻居、NETVIEW命令和WindowsNT®资源治理器）都必须使用扫瞄功能。例如，假如在基于Windows95的计算机上打开“网上邻居”，被指派为扫瞄器的计算机会生成显示的域和计算机列表。在扫瞄环境中，计算机可扮演几种不同的角色。在某些情况下，如为特定扫瞄器角色指派的计算机出现故障或关机时，扫瞄器或潜在扫瞄器可能会转换为另一操作角色。ComputerBrowser服务在默认情况下启用并已启动。假如服务停止，扫瞄器列表可不能被更新或维护。CryptographicServicesCryptographicServices服务提供计算机的密钥治理服务。CryptographicServices实际上由三种不同的治理服务组成：•编录数据库服务。此服务添加、删除和查找目录文件，这些文件用于对操作系统中的所有文件进行签名。Windows文件爱护(WFP)、驱动程序签名和安装都使用此服务来验证签名文件。在安装期间无法停止此服务。假如服务在安装之后停止，它将依照需要再启动。•受爱护的根服务。此服务添加和删除受信根证书颁发机构的证书。该服务可在显示的服务消息框中提供证书名称和指纹。假如单击“确定”，证书将添加至或从受信任的根颁发机构的当前列表中删除。只有“本地系统”帐户有列表的写入权限。假如此服务停止，当前用户将无法添加或删除受信任的根证书颁发机构证书。•密钥服务。此服务同意治理员以本地计算机帐户的名义注册证书。该服务提供注册所需的若干功能：枚举可用证书颁发机构、枚举可用计算机模板，在本地计算机上下文中创建并提交证书请求的能力，等等。只有治理员可使用本地计算机帐户身份进行注册。密钥服务还同意治理员为计算机远程安装个人信息交换(PFX)文件。假如此服务停止，自动注册将无法自动猎取默认的计算机证书集。CryptographicServices服务在默认情况下已启用并自动启动。假如该服务停止，前面段落中提到的治理服务将无法正常运行。DCOMServerProcessLauncher在早期版本的Windows中，RemoteProcedureCall(RPC)服务(RPCSS)作为本地系统运行。为缩小Windows受攻击面并提供深层防备，在WindowsXPServicePack2和WindowsServer2003ServicePack1中RPC服务功能被分成了两项服务。RPCSS服务保留了不需要“本地系统”特权的所有原始功能，现在它在“网络服务”帐户下运行。DCOMServerProcessLauncher(DCOMLaunch)服务合并了要求“本地系统”特权的旧RPC服务的功能；它在“本地系统”帐户下运行。默认情况下启用并已启动此服务。假如DCOMServerProcessLauncher服务停止，远程过程调用和本地计算机上的DCOM请求将不能正常运行。假如此服务停止，尤其是Windows防火墙服务也将失败。DHCPClientDHCPClient服务治理网络配置。它为计算机注册并更新IP地址和DNS名称。当客户端计算机（如便携式计算机）通过网络从不同位置连接时，不必手动更改其IP设置。系统会自动为客户端计算机给定一个新的IP地址，而不管它重新连接到哪个子网（只要能够从子网访问DHCP服务器即可）。不需要手动配置DNS或WINS的设置。假如DHCP服务器的配置同意发出此类信息，DHCP服务器可将这些设置给予客户端。要在客户端启用此选项，只需单击“自动获得DNS服务器地址”选项。重复的IP地址可不能造成冲突。假如DHCPClient服务停止，计算机将不能接收动态IP地址，而动态DNS的自动更新也将停止在DNS服务器中注册。DHCPServerDHCPServer服务为DHCP客户端自动分配IP地址和启用网络设置的高级配置（如DNS服务器和WINS服务器）。DHCP使用的是客户端/服务器模型。网络治理员建立一个或多个DHCP服务器，这些服务器维护TCP/IP配置信息并将该信息提供给客户端计算机。服务器数据库包含以下内容：•网络中所有客户端计算机的有效配置参数。•在池中维护且可分配给客户端计算机的有效IP地址，以及手动分配时保留的地址。•服务器提供的租约持续时刻。租约定义了已分配的IP地址的有效时刻。DHCP是一种IP标准，旨在减少地址配置治理的复杂性。它使用服务器计算机来集中治理网络的IP地址和其他相关配置详细信息。WindowsServer2003系列提供了DHCP服务，它可使服务器计算机执行DHCP服务器的功能，并按照当前DHCP草案标准、Internet工程任务组(IETF)征求意见文档(RFC)2131中的描述，对网络中启用DHCP的客户端计算机进行配置。DHCP包括了多播地址动态客户端分配协议(MADCAP)，其作用是执行多播地址分配。假如系统通过MADCAP为注册的客户端计算机动态分配IP地址，客户端可有效参与数据流进程（如实时视频或音频网络传输）。通过在网络中安装并配置DHCP服务器，启用DHCP的客户端计算机可在每次启动并加入网络时动态猎取其IP地址和相关配置参数。DHCP服务器使用一种地址租约的形式向客户端计算机提供此配置。假如DHCPServer服务停止，服务器将不再自动发出IP地址或其他配置参数。此服务只在将WindowsServer2003计算机配置为DHCP服务器时才会安装和激活。DistributedFileSystemDistributedFileSystem服务治理分布在局域网或广域网(WAN)中的逻辑卷，它是ActiveDirectorySYSVOL共享所必需的。分布式文件系统(DFS)是一种分布式服务，它可将分散的文件共享合并成一个逻辑名称空间。此名称空间是网络存储资源的一种逻辑表示方法，这些网络存储资源对网络中的用户都可用。假如DistributedFileSystem服务停止，将无法通过逻辑名称空间访问文件共享或网络数据。要在该服务停止时访问这些数据，需要明白名称空间中的所有服务器和所有共享的名称，然后单独访问各个目标。在WindowsServer2003计算机上默认安装并运行此服务。DistributedLinkTrackingClientDistributedLinkTrackingClient服务可维护计算机内部或网络域内计算机的NTFS文件系统(NTFS)文件间的链接。此服务可确保快捷方式、对象链接和嵌入(OLE)链接在目标文件被重命名或移动后仍然有效。假如在NTFS卷上创建文件的快捷方式，分布式链接跟踪将在目标文件（即链接源）中标记唯一的对象标识符(ID)。引用目标文件（即链接客户端）的文件也在内部存储对象ID的信息。分布式链接跟踪可使用此对象ID在下列情况中定位链接源文件：•当链接源文件被重命名时。•当链接源文件被移动到同一卷的其他文件夹或同一计算机的其他卷时。•当链接源文件被移至网络中的其他计算机时。注意：除非计算机所在的域有DistributedLinkTrackingServer服务可用，否则这种形式的链接跟踪将随时刻的推移变得不可靠。•当包含链接源文件的共享网络文件夹被重命名时。在有DistributedLinkTrackingServer服务可用的Windows2000或WindowsServer2003域中，链接源文件可在下列附加情形中找到：•当包含链接源文件的计算机被重命名时。•当包含链接源文件的卷被移至同一域中的其他计算机时。涉及DistributedLinkTrackingServer服务的情形要求客户端计算机（运行DistributedLinkTrackingClient服务的计算机）为运行Windows

XPSP1或SP2的客户端配置DLT_AllowDomainMode系统策略。关于上述所有情形，链接源文件必须位于运行Windows2000、WindowsXP或WindowsServer2003系列产品的NTFS卷上。NTFS卷不可位于可移动媒体上。注意：DistributedLinkTrackingClient服务可监视NTFS卷中的活动，并在名为Tracking.log的文件中存储维护信息，该文件位于每个卷根目录处名为“SystemVolumeInformation”的隐藏文件夹中。此文件夹有一定的权限爱护，只有计算机能访问它。此文件夹也可由其他Windows服务使用，例如IndexingService。假如DistributedLinkTrackingClient服务停止，系统将可不能维护或跟踪计算机中内容的任何链接。DistributedLinkTrackingServerDistributedLinkTrackingServer服务可存储信息，进而为域中每个卷跟踪在卷与卷之间移动的文件。假如启用，DistributedLinkTrackingServer服务会在域中的每个域操纵器上运行。此服务启用DistributedLinkTrackingClient服务来跟踪已移至同域其他NTFS卷中某个位置的链接文档。默认情况下，DistributedLinkTrackingServer服务被禁用。假如启用该服务，必须在域的所有域操纵器上启用。假如DistributedLinkTrackingServer服务已在升级至较新版本WindowsServer的域操纵器中启用，必须手动重新启用该服务。假如DistributedLinkTrackingServer服务已启用，则还必须启用DLT_AllowDomainMode系统策略以使WindowsXP客户端计算机能够使用此服务。假如DistributedLinkTrackingServer服务在启用后又被禁用，应在ActiveDirectory中清除其条目。有关详细信息，请参阅关于的Microsoft知识库文章，网址为/kb/312403/。假如DistributedLinkTrackingServer服务停止或被禁用，由DistributedLinkTrackingClient服务维护的链接最终将变得不太可靠。在WindowsServer2003中，DistributedLinkTrackingServer服务已安装但在默认情况下被禁用。DistributedTransactionCoordinatorDistributedTransactionCoordinator服务协调分布于多台计算机和/或资源治理器中（例如数据库、消息队列、文件系统或其他基于事务的资源治理器）的事务。假如要通过COM+配置事务性组件，则此服务是必需的。此外，消息队列(MSMQ)中的事务性队列和跨多台计算机的SQLServer操作也必需该服务。DistributedTransactionCoordinator服务在默认情况下安装并已启用。假如此服务停止，使用此服务的事务将可不能执行。假如此服务停止，使用事务服务、群集化安装的MicrosoftExchange、SQLServer或其他应用程序可能会受到阻碍。DNSClientDNSClient服务为计算机解析和缓存DNS名称。DNSClient服务必须在所有执行DNS名称解析的计算机中运行。DNS名称解析需用于定位ActiveDirectory域中的域操纵器。DNSClient服务还需要用于定位通过DNS名称解析识不的设备。在WindowsServer2003上运行的DNSClient服务可实施以下功能：•系统范围缓存。在应用程序查询DNS服务器时，来自查询响应的资源记录(RR)被添加至客户端缓存。此信息之后被缓存特定的生存时刻(TTL)并可再次用于回答后续查询。•兼容RFC的负缓存支持。除了来自DNS服务器的正查询响应（在答复中包含资源记录信息），DNSClient服务还将缓存负查询响应。假如被查询名称的RR不存在，则产生负响应。负缓存将阻止其他重复查询不存在的名称的操作，重复查询对客户端计算机性能有不良阻碍。所有缓存的负查询信息的保留时刻都短于正查询信息的保留时刻；在默认情况下，不超过5分钟。假如记录后来又变得可用，此配置将幸免不断缓存负状态查询信息。•幸免DNS服务器不响应。DNSClient服务使用按优先顺序排列的服务器搜索列表。此列表包含了为计算机上每个活动的网络连接配置的所有首选和备用DNS服务器。WindowsServer2003依照下列标准重新排列这些列表：•首选DNS服务器优先级第一。•假如没有可用的首选DNS服务器，则使用备用DNS服务器。•不响应的服务器临时从这些列表中删除。假如DNSClient服务停止，计算机将无法解析DNS名称或定位ActiveDirectory域操纵器，同时用户可能无法登录到计算机。DNSServerDNSServer服务启用DNS名称解析。它应答DNS名称的查询和更新请求。DNS服务器需用于定位以其DNS名称识不的设备和定位ActiveDirectory中的域操纵器。假如DNSServer服务停止或被禁用，则可不能更新DNS。DNSServer服务不需要在每台计算机上运行。然而，假如DNS命名空间的特定部分没有权威的DNS服务器，则在命名空间该部分使用DNS名称来定位设备将失败。假如命名ActiveDirectory域的DNS命名空间没有权威的DNS服务器，系统将无法定位该域的域操纵器。DNSServer服务只在将WindowsServer2003计算机配置作为DNS服务器时才会安装并激活。ErrorReportingServiceErrorReportingService收集、存储并向Microsoft报告异常应用程序错误或关闭事件。它还同意对在非标准环境中运行的服务和应用程序启用错误报告。此服务为Microsoft产品组调试驱动程序和应用程序错误提供了有效信息。您可配置错误报告来发送Microsoft特定的错误信息、生成操作系统错误、Windows组件错误或程序错误的错误报告。操作系统错误将导致计算机显示带错误代码的停止屏幕。程序或组件错误将使程序或组件停止运行。假如连接Internet，可直接将错误报告发送给Microsoft。您可使用下面两种方法之一来配置响应程序错误的错误报告：发生错误时，由“错误报告”对话框提示任何用户向Microsoft发送错误，或在治理员下次登录时，由“错误报告”对话框提示治理员向Microsoft发送错误报告。Windows在处理操作系统错误或未打算关机方面与处理程序错误不同。假如发生操作系统错误和未打算关机，Windows要向日志文件写入错误信息。下次治理员登录时，“错误报告”对话框将提示治理员报告该错误。假如通过Internet向Microsoft发送错误报告，便提供了相关技术信息供Microsoft人员用于增强产品的今后版本。此数据仅用于质量操纵，它并不用于跟踪个不用户或其他商业目的安装。假如有相关的信息关心解决问题，Windows将显示另一个“错误报告”对话框，其中是这些信息的链接。或者，假如组织已配置了组策略，则IT部门治理员可使用“企业错误报告”来仅收集并报告他们认为重要的那些错误。要配置用于“企业错误报告”的工作站和服务器，治理员可启用“报告错误”策略设置并配置本地文件服务器（安装了“企业错误报告”工具）中的企业上载文件路径。假如发生错误，信息将自动重定向至此文件服务器。然后，治理员可使用“企业错误报告”工具来查看错误信息，辨不重要数据，并提交给Microsoft。您能够从网站上下载“企业错误报告”工具，网址为/office/ork/xp/default.htm（页面可能为英文）。假如ErrorReportingService停止，系统将不发出错误报告。假如在“错误报告”对话框中启用“显示错误通知”设置，用户仍将看到指出问题的消息，但无法选择是向Microsoft依旧向本地网络共享报告此信息。默认情况下安装并运行此服务。EventLogEventLog服务启用在事件查看器查看基于Windows的程序和组件发出的事件日志消息。这些事件日志消息包含有助于诊断应用程序、服务和操作系统问题的信息。日志可通过事件日志API或通过MMC事件查看器治理单元查看。在默认情况下，运行WindowsServer2003系列操作系统的计算机使用三种不同日志记录事件：•“应用程序”日志。此日志记录应用程序事件。例如，数据库程序可能在“应用程序”日志中记录文件错误。程序开发人员可确定记录哪些事件。•“安全性”日志。此日志记录如有效和无效登录尝试等事件，以及与资源相关的事件（如创建、打开或删除文件或其他对象）。例如，假如启用登录审核，则登录计算机的尝试将记录在“安全性”日志中。•“系统”日志。此日志记录与Windows组件相关的事件。例如，“系统”日志会记录启动过程中驱动程序或其他组件加载失败。Windows组件记录的事件类型由服务器预先确定。配置为域操纵器、基于WindowsServer2003的计算机还在另外两个日志中记录事件：•“目录服务”日志。此日志记录与Active

Directory相关的事件。例如，服务器和全局编录之间的连接故障记录在“目录服务”日志中。•“文件复制服务”日志。此日志记录Windows文件复制服务事件。例如，文件复制故障和域操纵器更新系统卷变更信息时发生的事件都记录在“文件复制”日志中。配置为DNS服务器并运行Windows的计算机还在另一日志中记录事件：•“DNS服务器”日志。此日志包含WindowsDNS服务记录的事件。无法停止EventLog服务。假如禁用该服务，将无法跟踪事件，这将大大降低成功诊断计算机问题的能力。此外，将不审核安全事件，同时您将无法使用MMC事件查看器治理单元来查看往常的事件日志。FastUserSwitchingCompatibilityFastUserSwitchingCompatibility服务为在多用户环境中要求协助的应用程序提供治理。WindowsXP中的“快速用户切换”功能同意同时登录到计算机的多个用户轻松地在会话之间切换。他们无需关闭应用程序并注销。许多程序未设计为在多用户环境中运行，当多个用户登录到计算机时，它们可能会遇到问题。当出现问题的特定程序正在使用中和当“快速用户切换”已激活时，FastUserSwitchingCompatibility服务将执行四种不同操作之一：•关于第1类程序，该服务将同意用户在这些程序的第二个实例启动时关闭第一个实例。这种操作的入侵性最小，但要求用户具有治理特权。•关于第2类程序，当会话被断开（被“切换用户”操作，或当屏幕爱护程序解除后计算机返回到欢迎屏幕）时，该服务将关闭这些程序。•关于第3类程序，该服务将在会话被断开时关闭这些程序，并在用户重新连接到其会话时重新启动程序。此选项关于使用不容易在多个会话间共享的资源的程序来讲特不有益，如COM端口。•关于第4类程序，该服务会在其他用户登录时关闭程序。此选项解决了对计算机可能具有侵入性、但无需在返回到欢迎屏幕时关闭的程序问题。当用户断开时程序将接着运行，仅当另一用户登录时才会被关闭。假如禁用FastUserSwitchingCapability服务，启用了“快速用户切换”功能的计算机上某些应用程序可能无法正常工作。FaxServiceFaxService是一种兼容电话应用程序编程接口(TAPI)的服务，它为用户计算机提供了传真功能。FaxService同意用户通过本地传真设备或共享的网络传真设备从他们的桌面应用程序收发传真。该服务提供下列功能：•发送和接收传真•跟踪和监视传真活动•传入传真路由•服务器和设备的配置治理•归档已发送的传真假如禁用打印后台处理程序或电话服务，FaxService将无法成功启动。假如此服务停止，用户将无法发送或接收传真。假如没有传真活动，FaxService将停止，需要时可再次重新启动。FileReplicationServiceFileReplication服务同意在多个服务器上自动同时复制和维护文件。“FileReplicationService”(FRS)是Windows2000和WindowsServer2003系列中的自动文件复制服务，其功能是复制域中所有域操纵器间的系统卷(SYSVOL)的内容。它还可被配置为复制与容错DFS相关的备用目标间的文件。假如FileReplication服务停止，文件复制将可不能进行同时服务器数据也可不能同步。此外，假如此服务停止，域操纵器功能可能会受到严峻阻碍。默认情况下，Windows

Server

2003中已安装FileReplication服务，但其启动状态被配置为“手动”。FileServerforMacintoshFileServerforMacintosh服务同意Macintosh计算机用户在运行WindowsServer2003的计算机中存储并访问文件。假如关闭此服务，Macintosh客户端计算机将无法存储并访问基于Windows

Server

2003的计算机中的文件。默认情况下不安装和启动此服务。FTPPublishingServiceFTPPublishingService可通过MicrosoftInternetInformationServer(IIS)治理单元提供FTP连接和治理。功能包括：带宽限制、安全帐户和可扩展日志。此服务包括了新的“FTP用户隔离”功能，它使用户只能访问FTP站点中自己的文件。此外，功能中还增强了国际化支持。假如FTPPublishingService停止，服务器将无法作为FTP服务器工作。默认情况下不安装此服务。HelpandSupportHelpandSupport服务同意“关心和支持中心”应用程序在用户计算机上运行，支持该应用程序，并同意在客户端应用程序和关心数据之间进行通信。此服务提供对存储和服务（如包含元数据和关心主题信息的分类数据库）的访问，还提供对自动化框架的支持。自动化框架可为已注册的支持提供程序、用户历史记录、优先信息和搜索引擎治理器收集相关数据。假如与“关心和支持中心”中的功能（如搜索、索引、目录）交互，该服务可为这些功能提供数据事务支持。假如HelpandSupport服务被配置为“手动”，该服务将在用户从桌面访问“关心和支持中心”时启动。假如禁用或停止此服务，“关心和支持中心”应用程序将不可用，且用户将看到以下消息：Windows不能打开关心和支持，因为一个系统服务没有在运行。假如未启用HelpandSupport服务，用户能够访问可能缓存在本地计算机上的某些高级主题，但大多数“关心和支持中心”应用程序功能（包括“远程协助”）都不能工作。然而，用户仍可查看位于Windows\Help文件夹中的*.HLP和*.CHM文件。默认情况下，Windows

XP和Windows

Server

2003中均已安装并自动启动HelpandSupport服务。HTTPSSLHTTPSSL服务同意IIS执行安全套接字层(SSL)功能。SSL是一种建立安全通信通道的开放标准，它可防止截获像信用卡号如此关键的信息。最重要的是，SSL使万维网中实现安全电子金融事务成为可能，因此也可实现其他Internet服务。假如HTTPSSL服务停止，IIS将无法执行SSL功能。此服务在安装IIS时安装，否则可不能存在和被激活。HumanInterfaceDeviceAccessHumanInterfaceDeviceAccess服务启用通用串行总线(USB)设备（如键盘和鼠标）的通用输入访问。该服务激活并保存键盘、远程操纵和其他多媒体设备上的预先定义的热按钮。在Windows

XP和Windows

Server

2003计算机上默认安装并已启动此服务。假如HumanInterfaceDeviceAccess服务停止，此服务操纵的热按钮将不再起作用。例如，USB键盘上用于后退、前进、音量、往常跟踪等的热键按钮以及USB扬声器上的音量按钮将不起作用。IASJetDatabaseAccessIASJetDatabaseAccess服务使用远程身份验证拨入用户服务(RADIUS)协议来提供身份验证、授权和记帐服务。它只在64位版本的Windows系统中可用。使用Internet身份验证服务(IAS)可集中治理用户的身份验证、授权和记帐。您还可使用IAS在运行Windows

NT®4.0、Windows

2000或Windows

Server

2003操作系统的域操纵器中验证用户的身份。IAS在同类和异类网络中的工作性能相同。IAS可用作RADIUS代理来路由RADIUS客户端（访问服务器）与RADIUS服务器（为连接尝试执行用户身份验证、授权和记帐）之间的RADIUS消息。假如用作RADIUS代理，IAS是RADIUS访问和记帐消息流的中央交换或路由点。IAS可在记帐日志中记录有关转发消息的信息。RADIUS的身份验证、授权和记帐基础结构包括下列组件：IASJet数据库有两种。Ias.mdb用于配置IAS，Dnary.mdb对IAS跟踪RADIUS兼容网络访问服务器的供应商特定属性时使用的字典进行验证。不要修改Jet数据库。假如IASJetDatabaseAccess服务停止，要求验证用户身份的远程网络访问将不可用。例如，远程访问拨号、VPN、无线LAN(802.1x)和以太网802.1xLAN访问将无法工作。假如禁用此服务，RoutingandRemoteAccessService(RRAS)和IAS服务可不能启动。此外，您也无法在本地或远程治理RRAS或IAS。在Windows任何版本上都可不能默认安装此服务，它只在基于Itanium版本的WindowsServer2003系列上可用。IISAdminServiceIISAdminService同意治理IIS组件（如FTP、应用程序池、网站、Web服务扩展）以及网络新闻传输协议(NNTP)和简单邮件传输协议(SMTP)虚拟服务器。假如停止或禁用此服务，系统将无法运行Web、FTP、NNTP或SMTP站点。在Windows2000中，IISAdminService和相关服务在默认情况下安装。在WindowsServer2003系列中，必须通过“添加/删除Windows组件”或“配置服务器”安装IIS组件。IMAPICD-BurningCOMServiceIMAPICD-BurningCOMService通过ImageMasteringApplicationsProgrammingInterface(IMAPI)COM接口治理CD创建，并在用户通过Windows资源治理器、WindowsMedia®Player(WMP)或使用此API的第三方应用程序发出请求时执行CD-R写操作。IMAPI同意应用程序暂存并将简单的音频或数据映像刻录到CD-R和CD可重写(CD-RW)设备。API支持遵循Joliet和ISO9660标准的Redbook音频和数据磁盘格式。该标准的体系结构考虑了今后对所支持格式集的扩展。假如IMAPICD-BurningCOMService停止或被禁用，计算机将无法使用Windows

XP和WindowsServer2003的内置功能来刻录CD。假如关闭此服务并使用第三方CD-RW应用程序，可不能阻碍CD的刻录能力（假如第三方软件不依靠此服务）。假如在登录后启动此服务，必须注销计算机然后再登录才能使用Windows资源治理器的CD-R设备向CD-R媒体写数据。默认情况下Windows

XP上安装了此服务，但直到用户请求通过Windows资源治理器进行CD-R编写才会启动。Windows

Server

2003上已安装但默认情况下禁用此服务。IndexingServiceIndexingService为本地和远程计算机上文件的内容和属性编制索引，然后通过灵活的查询语言提供文件的快速访问。IndexingService还同意在本地和远程计算机中快速搜索文档，并为Web中的共享内容提供搜索索引。该服务为文件和文档中的所有文本信息建立了索引。建立了初始索引后，只要文件被创建、修改或删除，IndexingService都将对索引进行维护。初始索引能够是资源密集型的。默认情况下，IndexingService设置为手动启动。当服务被激活时，尽管可使用MMC索引治理单元将服务配置为在非空闲时工作，但它只会在计算机空闲时才进行索引。MMC还可优化查询和索引使用模式的服务资源分配配置。假如IndexingService停止，基于文本的搜索会变慢。InfraredMonitorInfraredMonitor服务同意通过红外线连接共享文件和图像。假如在操作系统安装过程中检测到红外设备，默认情况下Windows

XP上会安装此服务。此服务在WindowsServer2003WebEdition、EnterpriseEdition或DatacenterServerEdition中不可用。假如InfraredMonitor服务停止，文件和图像无法通过红外连接共享。InternetAuthenticationServiceInternetAuthenticationService(IAS)对使用VPN设备、远程访问设备(RAS)或802.1X无线和以太网/交换机接入点连接到网络（LAN或远程）的用户执行集中身份验证、授权、审核和记帐。IAS实施IETF标准RADIUS协议，以同意异类网络访问设备。假如IAS停止或被禁用，身份验证请求会被故障转移到备份IAS服务器中（假如可用）。假如没有可用的备份IAS服务器，用户将无法连接网络。此服务必须手动安装，同时只在WindowsServer2003系列成员上可用。IntersiteMessagingIntersiteMessaging服务启用在运行WindowsServer站点的计算机间交换消息。此服务用于站点间基于邮件的复制。ActiveDirectory包括了对通过SMTP（通过IP传输）进行站点间复制的支持。SMTP支持由作为IIS组件的SMTP服务提供。用于站点间通信的传输设置必须可扩展。因此，每个传输都在独立的加载项动态链接库(DLL)文件中定义。这些加载项DLL文件均加载至IntersiteMessaging服务，该服务运行于所有可能执行站点间通信的域操纵器中。IntersiteMessaging服务将发送和接收请求定向至合适的传输加载项DLL文件，然后将这些消息路由至目标计算机的IntersiteMessaging服务。假如IntersiteMessaging服务停止，系统可不能交换消息，站点间的消息复制也可不能起作用，更可不能为其他服务计算站点路由信息。WindowsServer2003计算机上默认安装此服务，但此服务被禁用，直到服务器被提升为域操纵器角色。IPVersion6HelperServiceIPVersion6HelperService可在Internet协议版本4(IPv4)网络中提供Internet协议版本6(IPv6)的连接。IPv6是Internet网络层的新标准协议套件。它旨在解决专门多IPv4中关于地址衰竭、安全、自动配置和扩展性等方面的问题。此服务（常称为“6to4”）通过在IPv4基础结构（如Internet）上使用IPv6，同意在启用了IPv6的站点与主机间进行通信。IPv6站点和主机可使用自己的6to4地址前缀和Internet进行通信。它们不必从Internet服务提供商(ISP)处获得IPv6全局地址前缀并连接6bone（Internet中启用了IPv6的部分）。6to4是RFC3056中描述的隧道技术，6to4主机不需进行任何手动配置，它使用标准的自动配置来创建6to4地址。6to4使用的全局地址前缀是2002:WWXX:YYZZ::/48，其中WWXX:YYZZ是分配给站点或主机的公共IPv4地址(w.x.y.z)的十六进制表示（冒号分隔），也称作6to4地址的NextLevelAggregator(NLA)部分。IPv6HelperService也支持6over4，即所谓的IPv4多播隧道（RFC2529中描述的一种技术）。6over4同意IPv6和IPv4节点使用IPv4基础结构上的IPv6进行通信。6over4将IPv4基础结构用作具有多播功能的链接。为使6over4正常工作，IPv4基础结构必须启用IPv4多播。假如IPVersion6HelperService停止，计算机一旦连接纯IPv6网络，将只具有IPv6连接。默认情况下不安装和激活此服务。IPSecPolicyAgent(IPSecServices)IPSecPolicyAgent(IPSecService)服务提供TCP/IP网络上客户端和服务器之间端对端的安全，并可治理IPsec策略、启动Internet密钥交换(IKE)并协调IPsec策略设置和IP安全驱动程序。服务由NETSTART或NETSTOP命令操纵。IPsec在IP层工作，它关于其他操作系统服务和应用程序而言是透明的。服务提供了数据包筛选，并可在IP网络的计算机间进行安全协商。您可通过配置IPsec来提供：•具许可、堵塞或协商安全性等操作的数据包筛选。•协商信任和安全IP通信。IKE协议可基于策略设置来相互验证IP数据包发送者和接收者的身份。身份验证可使用Kerberos身份验证协议、数字证书或共享密钥（密码）。IKE自动生成加密密钥和IPsec安全关联。•具有可提供加密完整性、身份验证以及（可选）IP数据包加密的IPsec安全格式的IP数据包爱护。•通过IPsec传输模式的安全端到端连接。•通过IPsec隧道模式的安全IP隧道。IPsec还为第2层隧道协议(L2TP)VPN连接提供安全性。假如IPSecPolicyAgent(IPSecService)服务停止，网络中客户端和服务器之间的TCP/IP安全将受到损害。在Windows

Server

2003和Windows

XP计算机上默认安装并激活此服务。KerberosKerberosKeyDistributionCenter服务同意用户使用Kerberosv5身份验证协议登录网络并进行身份验证。与Kerberos协议的其他实现一样，KerberosKeyDistribution(KDC)是一个单独的进程，可提供两种服务：•身份验证服务。此服务将票证授予票证(TGT)颁发给所属域或任何信任域中的票证授予服务连接。在客户端计算机向其他计算机请求票证之前，必须先向客户端的帐户域中的身份验证服务请求TGT。身份验证服务则向目标计算机域中的票证授予服务返回TGT。该TGT可不断重用，直至过期。但第一次访问任意域的票证授予服务始终要客户端帐户域中的客户端计算机联系身份验证服务。•票证授予服务(TGS)。此服务将连接票证颁发给所属域中的计算机。当客户端计算机希望访问另一台计算机时，必须请求TGT，然后要求该计算机的票证。票证可不断重用，直至过期。但第一次访问任意计算机始终要联系目标计算机帐户域中的票证授予服务。假如KerberosKeyDistributionCenter服务停止，用户将无法登录网络，也无法访问资源。此服务安装在所有WindowsServer2003计算机上，但只在域操纵器上运行