Bedrohungen und Gegenmaßnahmen
Kapitel 7: Systemdienste
Die Systemdienste werden in diesem Handbuch anders abgehandelt als die anderen Einstellungen, da die Sicherheitsanfälligkeiten, Gegenmaßnahmen und möglichen Auswirkungen für alle Dienste nahezu identisch sind.
Bei der ersten Installation von Microsoft® Windows Server™ 2003 oder Microsoft Windows® XP werden einige Dienste so installiert und konfiguriert, dass sie beim Start des Computers standardmäßig ausgeführt werden. Es sind weniger Standarddienste als unter Windows 2000-Server vorhanden. Für Windows Server 2003 variieren die Dienste je nachdem, welche Rolle dem einzelnen Server zugewiesen wurde. Möglicherweise sind in Ihrer Umgebung nicht alle Standarddienste erforderlich. In diesem Falls sollten Sie die nicht benötigten Dienste zur Erhöhung der Sicherheit deaktivieren.
In diesem Kapitel werden Funktionsweise und Zweck der einzelnen Dienste beschrieben. Außerdem wird erläutert, welche Dienste weiterhin unter Windows Server 2003 und Windows XP aktiviert sind, um die Kompatibilität von Anwendungen und Clients sicherzustellen oder die Computersystemverwaltung zu vereinfachen. In der Microsoft Excel®-Arbeitsmappe „Standardkonfiguration für Sicherheit und Dienste unter Windows“ (im Rahmen der herunterladbaren Version dieses Handbuchs verfügbar) werden die Standardeinstellungen für Systemdienste dokumentiert.
Auf dieser Seite
Dienste – Übersicht
Legen Sie keine Berechtigungen für Dienstobjekte fest
Beschreibung der Systemdienste
Weitere Informationen
Dienste – Übersicht
Ein Dienst muss angemeldet sein, damit er auf Ressourcen und Objekte des Betriebssystems zugreifen kann. Die meisten Dienste wurden so entworfen, dass ihr Standardanmeldekonto nicht geändert werden muss. Wenn Sie das Standardkonto ändern, kann der Dienst wahrscheinlich nicht mehr ausgeführt werden. Wenn Sie ein Konto auswählen, das nicht über die Berechtigung zur Anmeldung als Dienst verfügt, wird diesem Konto vom Snap-In „Dienste“ der Microsoft Management Console (MMC) automatisch die Berechtigung zur Anmeldung als Dienst auf dem Computer gewährt. Durch diese automatische Konfiguration wird jedoch nicht garantiert, dass der Dienst auch startet. Unter Windows Server 2003 stehen als Anmeldekonten für verschiedene Systemdienste die folgenden drei vordefinierten lokalen Konten zur Verfügung:
Lokales Systemkonto. Das lokale Systemkonto ist ein leistungsstarkes Konto, das vollständigen Zugriff auf den Computer hat und im Netzwerk als der Computer handelt. Wenn ein Dienst sich über das lokale Systemkonto bei einem Domänencontroller anmeldet, hat er Zugriff auf die gesamte Domäne. Einige Dienste sind standardmäßig so konfiguriert, dass sie das lokale Systemkonto verwenden. Diese Einstellungen sollten nicht geändert werden. Das lokale Systemkonto wird ohne ein dem Benutzer zugängliches Kennwort verwendet.
Lokales Dienstkonto. Das lokale Dienstkonto ist ein spezielles, vordefiniertes Konto, das einem authentifizierten Benutzerkonto ähnelt. Es verfügt über dieselben Zugriffsrechte auf Ressourcen und Objekte wie die Mitglieder der Gruppe Benutzer. Durch diesen eingeschränkten Zugriff wird der Computer geschützt, wenn einzelne Dienste oder Prozesse beeinträchtigt sind. Dienste, die über das lokale Dienstkonto ausgeführt werden, greifen auf Netzwerkressourcen als Nullsitzung mit anonymen Anmeldeinformationen zu. Der Name dieses Kontos ist „NT-AUTORITÄT\Lokaler Dienst“, und es wird ohne ein dem Benutzer zugängliches Kennwort verwendet.
Netzwerkdienstkonto. Das Netzwerkdienstkonto ist ein spezielles, vordefiniertes Konto, das einem authentifizierten Benutzerkonto ähnelt. Dieses Konto hat dieselben Zugriffsrechte auf Ressourcen und Objekte wie das lokale Dienstkonto und die Mitglieder der Gruppe Benutzer. Dadurch wird der Computer zusätzlich geschützt. Dienste, die das Netzwerkdienstkonto verwenden, greifen mit den Anmeldeinformationen des Computerkontos auf die Netzwerkressourcen zu. Der Name dieses Kontos ist „NT-AUTORITÄT\Netzwerkdienst“, und es wird ohne ein dem Benutzer zugängliches Kennwort verwendet.
Wichtig: Wenn Sie die Standardeinstellungen für einen Dienst ändern, werden wichtige Dienste u. U. nicht mehr ordnungsgemäß ausgeführt. Gehen Sie bei Änderung der Einstellungen Starttyp und Anmelden als besonders vorsichtig vor, wenn der entsprechende Dienst für den automatischen Start konfiguriert ist.
Die Einstellungen für Systemdienste können im Gruppenrichtlinienobjekt-Editor in folgendem Verzeichnis konfiguriert werden:
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Systemdienste
Sicherheitsanfälligkeit
Alle Dienste oder Anwendungen sind potentielle Angriffspunkte. In Ihrer Umgebung sollten Sie deshalb alle nicht erforderlichen Dienste oder ausführbaren Dateien deaktivieren oder entfernen. Für Windows Server 2003 stehen zusätzliche optionale Dienste zur Verfügung (z. B. Zertifikatdienste), die bei der Standardinstallation des Betriebssystems nicht installiert werden.
Sie können diese optionalen Dienste einem Computer über die Option „Software“ in der Systemsteuerung oder mithilfe des Serverkonfigurations-Assistenten für Windows Server 2003 hinzufügen. Sie können auch eine benutzerdefinierte automatisierte Installation von Windows Server 2003 erstellen. In der Mitgliedsserver-Baseline-Richtlinie (MSBP), die im Windows Server 2003-Sicherheitshandbuch (verfügbar unter https://www.microsoft.com/germany/technet/sicherheit/prodtech/windowsserver2003/w2003hg/sgch00.mspx) beschrieben wird, sind diese optionalen Dienste und alle nicht erforderlichen Dienste deaktiviert.
Wichtig: Bei Aktivierung von zusätzlichen Diensten sollte berücksichtigt werden, dass diese Dienste möglicherweise von anderen Diensten abhängig sind. Fügen Sie alle für eine spezifische Serverrolle erforderlichen Dienste der Richtlinie für die jeweilige Serverrolle in der Organisation hinzu.
Gegenmaßnahme
Deaktivieren Sie alle nicht erforderlichen Dienste.
Jedem Systemdienst kann über eine Gruppenrichtlinie ein Dienststatus zugewiesen werden. Folgende Optionen können für diese Einstellung der Gruppenrichtlinie gewählt werden:
Automatisch
Manuelle Bereitstellung
Deaktiviert
Nicht definiert
Eine andere Möglichkeit zur Verwaltung der Dienstsicherheit ist die Konfiguration einer Zugriffssteuerungsliste (ACL, Access Control List) für jeden Dienst mit einer benutzerdefinierten Kontenliste. Diese Methode ermöglicht die Steuerung des Dienststarts und des Zugriffs auf den aktiven Dienst.
Mögliche Auswirkung
Wenn Sie bestimmte Dienste (z. B. die Sicherheitskontenverwaltung) deaktivieren, kann der Computer nicht mehr neu gestartet werden. Die Deaktivierung anderer wichtiger Dienste kann dazu führen, dass der Computer beim Domänencontroller nicht mehr authentifiziert werden kann. Wenn bestimmte Systemdienste deaktiviert werden sollen, sollten Sie die geänderten Einstellungen zunächst auf Computern in einer Testumgebung ausprobieren, bevor Sie sie in der Produktionsumgebung ändern.
Legen Sie keine Berechtigungen für Dienstobjekte fest
Es gibt einige Tools mit grafischer Benutzeroberfläche, die zur Bearbeitung von Diensten verwendet werden können. In Vorgängerversionen dieser Tools, die in früheren Versionen des Windows-Betriebssystems enthalten waren (Versionen vor Windows Server 2003), werden jedoch auf jeden Dienst automatisch Berechtigungen angewendet, sobald eine beliebige Diensteigenschaft konfiguriert wird. Tools wie z. B. der Gruppenrichtlinienobjekt-Editor und das Snap-In „Sicherheitsvorlagen“ verwenden zum Anwenden dieser Berechtigungen die Sicherheitskonfigurations-Editor-DLL.
Wenn Sie z. B. das MMC-Snap-In „Sicherheitsvorlagen“ verwenden, um den Startstatus eines Dienstes unter Windows XP zu konfigurieren, wird folgendes Dialogfeld angezeigt:
.gif "Dd443754.tcfg0701(de-de,TechNet.10).gif")
Abbildung 7.1: Dialogfeld zur Dienstesicherheit
.gif){kind=link}
Die Berechtigungen werden auf den Dienst angewendet, der gerade konfiguriert wird, unabhängig davon, ob Sie auf OK oder auf Abbrechen klicken. Leider stimmen die in diesem Dialogfeld vorgeschlagenen Berechtigungen nicht mit den Standardberechtigungen für die meisten in Windows enthaltenen Dienste überein. Die Berechtigungen verursachen sogar einige Probleme für viele Dienste. Microsoft empfiehlt, die Berechtigungen für die in Windows XP oder Windows Server 2003 enthaltenen Dienste nicht zu ändern, da die Standardberechtigungen bereits erhebliche Einschränkungen bewirken.
Diese Funktionalität wurde in Windows Server 2003 geändert. In der entsprechenden DLL-Version des Sicherheitskonfigurations-Editors wird die Konfiguration von Berechtigungen daher nicht erzwungen, wenn Sie eine Diensteigenschaft bearbeiten. Zur Bewältigung dieser Herausforderung stehen mehrere Möglichkeiten zur Verfügung:
Verwenden Sie den Sicherheitskonfigurations-Assistenten, der als optionale Windows-Komponente in Windows Server 2003 mit Service Pack 1 (SP1) enthalten ist. Microsoft empfiehlt diese Methode, wenn Sie Dienste und Netzwerkportfilter für verschiedene Windows Server 2003-Serverrollen konfigurieren müssen.
Führen Sie das MMC-Snap-In „Sicherheitsvorlagen“ und den Gruppenrichtlinienobjekt-Editor auf einem Server unter Windows Server 2003 mit SP1 aus. Microsoft empfiehlt diese Methode, wenn Sie Dienste für Sicherheitsvorlagen oder Gruppenrichtlinien konfigurieren müssen, die auf Windows XP angewendet werden.
Verwenden Sie einen Texteditor (z. B. Editor), um die Sicherheitsvorlagen oder Gruppenrichtlinien auf einem Computer mit Windows XP Professional zu bearbeiten. Diese Methode sollte nach Möglichkeit vermieden werden. Ausführliche Anweisungen finden Sie im nächsten Abschnitt.
Manuelles Bearbeiten von Sicherheitsvorlagen
Obwohl Sicherheitsvorlagen in einem Texteditor (z. B. Editor) manuell bearbeitet werden können, sollte die Komplexität dieser Dateien nicht unterschätzt werden. Sicherheitsvorlagen, die mit falsch definierten Vorlagenspezifikationen erstellt wurden, können dazu führen, dass ein Computer nicht mehr gestartet werden kann. Die meisten Fehler verursachen zwar keine derartig schwerwiegenden Probleme, dennoch muss bei der manuellen Bearbeitung von Sicherheitsvorlagen mit Geduld und großer Sorgfalt vorgegangen werden.
Wenn Sie eines der Tools mit grafischer Benutzeroberfläche zur Konfiguration von Diensten in einer Sicherheitsvorlage verwenden, werden die Konfigurationsinformationen im Dateiabschnitt „Service General Setting“ gespeichert. Der folgende Beispieltext stammt aus einer Sicherheitsvorlage, in der der Startstatus des Warndienstes sowie der Dienste „Ablagemappe“ und „Computerbrowser“ auf Deaktiviert und der Startstatus des Dienstes „DHCP-Client“ auf Automatisch gesetzt.
[Service General Setting]
Alerter,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)
S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
ClipSrv,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)
S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Browser,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)
S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
Dhcp,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)
(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)
S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
In den Formaten der einzelnen Einträge sind drei kommagetrennte Felder enthalten.
Im ersten Feld wird der Dienstname angegeben. „ClipSrv“ steht z. B. für den Dienst „Ablagemappe“.
Im zweiten Feld wird der Startstatus definiert:
4 = Deaktiviert
3 = Manuell
2 = Automatisch
Im dritten Feld werden die Berechtigungen für das Dienstobjekt in SDDL-Syntax (Security Descriptor Definition Language) definiert.
Zur Verwendung des Sicherheitskonfigurations-Assistenten sind keine umfassenden SDDL-Kenntnisse erforderlich. Weitere Informationen zu SDDL finden Sie im Artikel „Security Descriptor Definition Language“ (in englischer Sprache) auf der MSDN®-Website unter https://msdn.microsoft.com/library/en-us/secauthz/security/security\_descriptor\_definition\_language.asp.
Um mögliche Probleme mit Berechtigungen für Dienstobjekte zu beheben, entfernen Sie die SDDL-Zeichenfolge (nicht jedoch die doppelten Anführungszeichen) aus dem dritten Feld. Im folgenden Beispiel wird der richtige Text für die vier aufgeführten Dienste dargestellt:
[Service General Setting]
Alerter,4,""
ClipSrv,4,""
Browser,4,""
Dhcp,2,""
Nachdem Sie die SDDL-Informationen für alle Dienste in der Sicherheitsvorlage entfernt haben, speichern Sie die Datei. Anschließend können Sie die Sicherheitsvorlage über eine der üblichen Methoden anwenden. Hierbei ist natürlich sehr wichtig, dass die Sicherheitsvorlagen zunächst gründlich getestet werden, bevor sie auf Computer in einer Produktionsumgebung angewendet werden.
Beschreibung der Systemdienste
In den folgenden Abschnitten werden die Windows Server 2003- und Windows XP-Dienste in alphabetischer Reihenfolge ihrer englischen Bezeichnungen beschrieben. Es werden sowohl die Dienste, die standardmäßig installiert werden, als auch die zusätzlichen Dienste, die nachträglich auf dem Computer hinzugefügt werden können, berücksichtigt.
Hinweis: Wenn ein Dienst nicht gestartet wurde, können auch die anderen Dienste, für die dieser Dienst erforderlich ist, nicht gestartet werden. Dies bedeutet, dass die Statusänderung für einen Dienst Auswirkungen auf andere Dienste haben kann, die auf den ersten Blick mit diesem Dienst in keinem Zusammenhang stehen. Solche Abhängigkeiten sind für alle in diesem Abschnitt beschriebenen Dienste vorhanden. Um die Abhängigkeiten für einen Dienst zu überprüfen, klicken Sie im MMC-Snap-In „Dienste“ auf die Registerkarte Abhängigkeiten des Eigenschaftendialogfelds für den entsprechenden Dienst.
Warndienst
Durch den Warndienst erhalten ausgewählte Benutzer und Computer administrative Warnmeldungen. Mit diesem Dienst können Sie Warnmeldungen an bestimmte Benutzer senden, die mit dem Netzwerk verbunden sind.
Mit Warnmeldungen werden Benutzer auf Sicherheits-, Zugriffs- und Benutzersitzungsprobleme aufmerksam gemacht. Warnmeldungen werden von einem Server an einen Clientcomputer gesendet. Damit der Benutzer die Warnmeldungen erhält, muss der Nachrichtendienst auf dem Clientcomputer ausgeführt werden. (Der Nachrichtendienst ist unter Windows XP und Windows Server 2003 standardmäßig deaktiviert, damit unbefugte Benutzer keine falschen Benachrichtigungen senden können.)
Wenn der Warndienst deaktiviert ist, können Anwendungen, in denen die NetAlertRaise-API bzw. die NetAlertRaiseEx-API verwendet wird, Benutzer oder Computer nicht (mit einem Meldungsfeld des Nachrichtendienstes) benachrichtigen, dass eine administrative Warnung vorliegt. Viele USV-Verwaltungstools (unterbrechungsfreie Stromversorgung) verwenden z. B. den Warndienst, um Administratoren über wichtige Ereignisse in Bezug auf die unterbrechungsfreie Stromversorgung zu informieren. Wenn dieser Dienst verwendet werden soll, müssen Sie den Startstatus auf Automatisch setzen, damit er bei Bedarf für externe Komponenten zur Verfügung steht.
Anwendungskompatibilitäts-Suchdienst
Der Anwendungskompatibilitäts-Suchdienst (AELookupSvc) ist Bestandteil des Anwendungskompatibilitäts-Administrators. Er verarbeitet beim Start einer Anwendung die Anwendungskompatibilitäts-Suchanforderungen, bietet Unterstützung für Windows Server 2003-Computer in einer Domäne, meldet Kompatibilitätsprobleme und wendet Softwareupdates automatisch auf die Programme an.
Der Anwendungskompatibilitäts-Suchdienst muss aktiv sein, damit Anwendungskompatibilitäts-Softwareupdates angewendet werden können. Sie können diesen Dienst nicht anpassen, da er vom Betriebssystem intern verwendet wird. Der Dienst verwendet keine Netzwerk-, Internet- oder Active Directory®-Verzeichnisdienstressourcen.
Wenn Sie den Anwendungskompatibilitäts-Suchdienst deaktivieren, wird der Dienst weiterhin ausgeführt. Es werden jedoch keine Aufrufe an den Dienst gesendet. Der eigentliche Prozess kann nicht angehalten werden.
Gatewaydienst auf Anwendungsebene
Der Gatewaydienst auf Anwendungsebene ist eine Unterkomponente des Windows-Netzwerksubsystems. Er bietet Unterstützung für Plug-Ins, mit denen Netzwerkprotokolle durch die Firewall übertragen und über die gemeinsame Nutzung der Internetverbindung hinaus verwendet werden können. ALG-Plug-Ins (Application Layer Gateway) können Ports öffnen und in Paketen eingebettete Daten (z. B. Ports und IP-Adressen) ändern. Windows Server 2003 Standard Edition und Windows Server 2003 Enterprise Edition stellen nur für das FTP-Netzwerkprotokoll (File Transfer Protocol) ein Plug-In zur Verfügung.
Das ALG-FTP-Plug-In unterstützt aktive FTP-Sitzungen über die NAT-Engine (Network Address Translation), die in Windows enthalten ist. Hierzu leitet das ALG-FTP-Plug-In den gesamten über NAT übertragenen und für Port 21 bestimmten Datenverkehr an einen privaten Abhörport im Bereich 3000-5000 auf dem Loopbackadapter um. Das ALG-FTP-Plug-In überwacht und aktualisiert dann den FTP-Steuerungskanal-Verkehr, damit das FTP-Plug-In Portzuordnungen über NAT für die FTP-Datenkanäle vornehmen kann. Das FTP-Plug-In aktualisiert außerdem Ports im FTP-Steuerungskanal-Stream.
Wenn der Gatewaydienst auf Anwendungsebene angehalten wird, steht keine Netzwerkkonnektivität für die aufgeführten Protokolle zur Verfügung. Dies wirkt sich negativ auf das Netzwerk aus. Wenn Sie diesen Dienst deaktivieren, können Anwendungen für Sofortnachrichten (z. B. Windows Messenger und MSN® Messenger) nicht ausgeführt werden.
Anwendungsverwaltung
Der Dienst Anwendungsverwaltung stellt Softwareinstallationsdienste bereit, z. B. „Zuweisen“, „Veröffentlichen“ und „Entfernen“. Er verarbeitet Anforderungen zum Auflisten, Installieren und Entfernen von Anwendungen, die über das Netzwerk einer Organisation bereitgestellt werden. Wenn Sie auf einem einer Domäne beigetretenen Computer in der Systemsteuerung unter „Software“ auf Hinzufügen klicken, ruft das Programm diesen Dienst auf, um die Liste der bereitgestellten Anwendungen abzurufen. Der Dienst wird auch aufgerufen, wenn Sie eine Anwendung über die Option „Software“ installieren oder entfernen. Darüber hinaus wird er aufgerufen, wenn eine Komponente (z. B. Shell oder COM) eine Installationsanforderung für eine auf dem Computer nicht vorhandene Anwendung sendet, mit der diese Dateierweiterung, COM-Klasse (Component Object Model) oder Programm-ID verarbeitet werden kann. Der Dienst wird mit dem ersten Aufruf gestartet und dann nicht mehr beendet.
Hinweis: Weitere Informationen zu COM, COM-Klassen oder Programm-IDs finden Sie in den Informationen zum Software Development Kit (SDK) in der MSDN-Bibliothek auf der Seite Windows Resource Kits – Web Resources (in englischer Sprache) unter www.microsoft.com/windows/reskits/webresources.
Wenn der Dienst Anwendungsverwaltung angehalten oder deaktiviert wird, können Benutzer Anwendungen, die in Active Directory über die Microsoft IntelliMirror®-Verwaltungstechnologien bereitgestellt werden, nicht installieren, entfernen oder auflisten. Wenn Sie diesen Dienst deaktivieren, werden keine Informationen zu bereitgestellten Anwendungen abgerufen und in der Systemsteuerung unter „Software“ im Abschnitt Neue Programme hinzufügen angezeigt. Im Dialogfeld Programme aus dem Netzwerk hinzufügen wird folgende Meldung angezeigt:
Im Netzwerk sind keine Programme verfügbar.
Wenn dieser Dienst einmal gestartet ist, kann er nicht angehalten werden, es sei denn, Sie starten den Computer neu. Wenn dieser Dienst nicht erforderlich ist und nicht gestartet werden soll, müssen Sie ihn deaktivieren.
ASP.NET-Statusdienst
Der ASP.NET-Statusdienst bietet Unterstützung für ASP.NET-Statusdaten zu Out-of-Process-Sitzungen. ASP.NET verfügt über ein Sitzungsstatuskonzept, das darin besteht, dass über die Einstellung Sitzung auf eine mit der Clientsitzung verknüpfte Werteliste auf ASP.NET-Seiten zugegriffen werden kann. Zum Speichern von Sitzungsdaten stehen drei Optionen zur Verfügung: „In-Process“, in der Microsoft SQL Server™-Datenbank und mit dem „Out-of-Process“-Sitzungsstatusserver.
Der ASP.NET-Statusdienst speichert Out-of-Process-Sitzungsdaten. Der Dienst kommuniziert mit ASP.NET, das über Sockets auf dem Webserver ausgeführt wird. Wenn dieser Dienst angehalten oder deaktiviert wird, werden Out-of-Process-Anforderungen nicht mehr verarbeitet. Der ausführbare Code für diesen Dienst wird standardmäßig installiert, der Dienst wird jedoch erst aktiviert, wenn der Dienststarttyp in „Automatisch“ oder „Manuell“ geändert wird.
Automatische Updates
Der Dienst Automatische Updates ermöglicht das Herunterladen und die Installation von Sicherheitsupdates für Windows und Office. Er stellt Windows-Computern automatisch die neuesten Updates, Treiber und Verbesserungen zur Verfügung. Sie müssen nicht mehr manuell nach Sicherheitsupdates und Informationen suchen. Diese werden dem Computer direkt vom Betriebssystem bereitgestellt. Das Betriebssystem erkennt offene Internetverbindungen und verwendet diese, um nach wichtigen Updates vom Windows Update-Dienst zu suchen. Je nach den Konfigurationseinstellungen werden Sie vom Dienst informiert, bevor ein Download oder eine Installation gestartet wird, oder die Updates werden automatisch installiert.
Sie können die Funktion „Automatische Updates“ in der Systemsteuerung über die Option System deaktivieren. Wahlweise können Sie auch mit der rechten Maustaste auf Arbeitsplatz und dann auf Eigenschaften klicken.
Darüber hinaus können Sie das MMC-Snap-In „Gruppenrichtlinienobjekt-Editor“ verwenden, um einen Intranetserver zu konfigurieren, der mit WSUS (Windows Server Update Services) dafür eingerichtet wurde, Updates von den Microsoft Update-Websites zu hosten. Die Einstellung ermöglicht die Angabe eines Servers, der in Ihrem Netzwerk als interner Updatedienst fungieren soll. Der Client für Automatische Updates durchsucht diesen Dienst auf gültige Updates für die Computer im Netzwerk.
Hinweis: Weitere Informationen zu WSUS finden Sie auf der Website Windows Server Update Services (in englischer Sprache) unter https://go.microsoft.com/fwlink/?LinkId=21133.
Wenn der Dienst Automatische Updates angehalten oder deaktiviert wird, werden Updates nicht mehr automatisch auf den Computer heruntergeladen. In diesem Fall müssen Sie auf der Windows Update-Website unter https://update.microsoft.com nach wichtigen Patches suchen und diese herunterladen und installieren.
Intelligenter Hintergrundübertragungsdienst (BITS)
Der Intelligente Hintergrundübertragungsdienst (Background Intelligent Transfer Service) ist ein Dateiübertragungsmechanismus und Warteschlangenmanager, der im Hintergrund ausgeführt wird. BITS wird verwendet, um Dateien asynchron zwischen einem Client und einem HTTP-Server zu übertragen. Das Senden von Anforderungen an BITS und die Übertragung von Dateien erfolgt standardmäßig über sonst ungenutzte Netzwerkbandbreite, damit andere Netzwerkaktivitäten (z. B. Suchvorgänge) nicht beeinträchtigt werden.
BITS hält die Übertragung an, wenn eine Verbindung unterbrochen wird oder der Benutzer sich abmeldet. Die Verbindung über BITS bleibt bestehen, und der Dienst überträgt Informationen, während der Benutzer abgemeldet ist, das Netzwerk getrennt ist oder der Computer neu gestartet wird. Wenn sich der Benutzer erneut anmeldet, nimmt BITS den Übertragungsvorgang des Benutzers wieder auf.
BITS verwaltet die Dateiübertragungen in einer Warteschlange. Sie können die Reihenfolge der Übertragungsaufträge innerhalb der Warteschlange festlegen und einstellen, ob die Daten im Vordergrund oder im Hintergrund übertragen werden. Übertragungen im Hintergrund werden von BITS optimiert. Dies bedeutet, dass die Übertragungsrate je nach Umfang der ungenutzten Netzwerkbandbreite erhöht bzw. verringert wird. Wenn eine Netzwerkanwendung mehr Bandbreite in Anspruch nimmt, verringert BITS die Übertragungsrate, damit der Benutzer weiterhin interaktiv auf seinem Computer arbeiten kann.
BITS stellt eine Vordergrund- und drei Hintergrundprioritätsstufen zur Verfügung, mit denen Sie eine Rangfolge für Übertragungsaufträge festlegen können. Aufträge mit einer höheren Priorität werden vor Aufträgen mit einer niedrigeren Priorität verarbeitet. Aufträge derselben Prioritätsstufe teilen sich die Übertragungszeit, und durch eine Round-Robin-Verarbeitung wird verhindert, dass große Aufträge die Übertragungswarteschlange blockieren. Aufträge geringerer Priorität werden nicht übertragen, bis alle Aufträge höherer Priorität erledigt oder in einem Fehlerstatus sind.
BITS ist für den manuellen Start unter Windows Server 2003 und Windows XP konfiguriert. Der Dienst wird auf Anfrage beim Senden des ersten Auftrags gestartet. Wenn alle ausstehenden Aufträge erledigt sind, wird BITS angehalten.
Wenn BITS angehalten wird, kann z. B. der Dienst „Automatische Updates“ keine Programme und andere Informationen mehr automatisch herunterladen. Dadurch erhält der Computer keine automatischen Updates vom SUS-Server der Organisation (Software Update Services), wenn dieser Dienst über die Gruppenrichtlinie konfiguriert wurde. Wenn Sie diesen Dienst deaktivieren, können über die Dienste, die explizit von diesem Dienst abhängen, keine Datenübertragungen erfolgen, es sei denn, diese Dienste verfügen über eine Ausfallsicherung für die direkte Übertragung mittels anderer Verfahren (z. B. Internet Explorer).
Zertifikatdienste
Die Zertifikatdienste sind Teil des Kernbetriebssystems und ermöglichen es einem Unternehmen, als seine eigene Zertifizierungsstelle (CA) aufzutreten und digitale Zertifikate für Anwendungen auszugeben und zu verwalten. Dies gilt z. B. für Anwendungen wie S/MIME (Secure/Multipurpose Internet Mail Extensions), SSL (Secure Sockets Layer), EFS (Encrypting File System), IPSec (IP Security) und die Smartcard-Anmeldung. Windows Server 2003 unterstützt mehrere Ebenen einer Zertifizierungsstellenhierarchie und ein kreuzzertifiziertes Vertrauensnetzwerk, einschließlich Offline- und Online-Zertifizierungsstellen.
Die Zertifikatdienste sind standardmäßig nicht installiert. Administratoren müssen die Dienste über die Option „Software“ in der Systemsteuerung installieren. Wenn die Zertifikatdienste nach der Installation angehalten oder deaktiviert werden, können Zertifikatanfragen nicht mehr angenommen und Zertifikatssperrlisten (CRLs) und Deltasperrlisten nicht mehr veröffentlicht werden. Wenn der Dienst so lange angehalten wird, bis die Zertifikatssperrlisten abgelaufen sind, kann mit den vorhandenen Zertifikaten keine Gültigkeitsprüfung mehr durchgeführt werden.
Client Service für NetWare
Server, auf denen der Dienst Client Service für NetWare installiert ist, bieten interaktiv angemeldeten Benutzern Zugriff auf Datei- und Druckressourcen in NetWare-Netzwerken. Mit dem Dienst Client Service für NetWare können Sie über Ihren Computer auf Datei- und Druckressourcen auf NetWare-Servern zugreifen, die Novell Directory Services (NDS) oder Bindery-Sicherheit (NetWare-Versionen 3.x oder 4.x) ausführen.
Der Dienst Client Service für NetWare bietet keine Unterstützung für das IP-Protokoll und kann daher nicht verwendet werden, um in einer Umgebung, in der nur IP-Protokolle eingesetzt werden, mit NetWare 5.x zusammenzuarbeiten. Um diese Funktion bereitzustellen, müssen Sie das IPX-Protokoll (Internetwork Packet Exchange) auf den NetWare 5.x-Server laden oder einen Redirectordienst verwenden, der mit NCP (Netware Core Protocol) kompatibel ist und IP unterstützt.
Wenn der Dienst Client Service für NetWare angehalten oder deaktiviert wird, haben Sie keinen Zugriff auf Datei- und Druckressourcen in NetWare-Netzwerken mehr, es sei denn, Sie haben den Novell-Client für NetWare installiert. Dieser Dienst ist standardmäßig nicht installiert und nicht aktiviert.
Ablagemappe
Der Dienst Ablagemappe ermöglicht es, mithilfe der Anwendung „Ablagemappe“ Datenseiten zu erstellen und freizugeben, die auf Remotecomputern angezeigt werden können. Dieser Dienst ist abhängig vom NetDDE-Dienst (Network Dynamic Data Exchange) zur Erstellung der tatsächlichen Dateifreigaben, mit denen von anderen Computern eine Verbindung hergestellt werden kann. Mit der Anwendung „Ablagemappe“ und dem gleichnamigen Dienst können Sie die Datenseiten erstellen, die gemeinsam verwendet werden sollen.
Der Dienst Ablagemappe ist standardmäßig installiert, wobei der Startstatus jedoch auf Deaktiviert gesetzt ist. Wenn dieser Dienst angehalten oder deaktiviert wird, können in der Ablagemappe keine Informationen für Remotecomputer freigegeben werden. Das Programm „Clipbrd.exe“ kann jedoch weiterhin zum Anzeigen der lokalen Zwischenablage verwendet werden. In dieser Zwischenablage werden Daten gespeichert, wenn ein Benutzer Text markiert und im Menü Bearbeiten auf Kopieren klickt oder die Tastenkombination STRG+C drückt.
Clusterdienst
Mit dem Clusterdienst werden Server-Clustervorgänge gesteuert und die Clusterdatenbank verwaltet. Ein Cluster ist eine Sammlung von unabhängigen Computern, die zusammenarbeiten, um Lastenausgleich und Failoverunterstützung bereitzustellen. Die für clusterkompatible Anwendungen (z. B. Microsoft Exchange Server und Microsoft SQL Server) verwendeten Cluster werden dem Benutzer als einzelner virtueller Computer angezeigt. Die Clustersoftware verteilt Daten und Berechnungen zwischen den Knoten des Clusters. Wenn ein Knoten ausfällt, übernehmen andere Knoten die zuvor von dem nun fehlenden Knoten bereitgestellten Dienste und Daten. Wenn ein Knoten hinzugefügt oder repariert wird, gibt die Clustersoftware Daten und Berechnungen an diesen Knoten weiter.
Es gibt zwei Arten von Clusterlösungen für die Windows-Plattform, die verschiedene Anwendungstypen unterstützen: Servercluster und NLB-Cluster (Network Load Balancing). Servercluster bieten eine hoch verfügbare Umgebung für Anwendungen, die für längere Zeiträume zuverlässig ausgeführt werden müssen (z. B. Datenbank- oder Dateiserver). Darüber hinaus wird durch die eng integrierte Clusterverwaltung Failoverunterstützung bereitgestellt. NLB-Cluster bieten eine hoch verfügbare und hoch skalierbare Umgebung für andere Anwendungstypen (z. B. Front-End-Webserver), indem die Anfragen von Clients auf eine Gruppe identischer Server verteilt werden.
Der Clusterdienst bietet Unterstützung für Servercluster. Er ist die grundlegende Softwarekomponente, über die alle Bereiche des Clustervorgangs gesteuert und die Clusterdatenbank verwaltet wird. Jeder Knoten in einem Cluster führt eine Instanz des Clusterdienstes aus.
Windows Server 2003 unterstützt Servercluster mit bis zu acht Knoten sowohl in Enterprise Server als auch in Datacenter Server von Windows. Ein Cluster kann jedoch nur aus Knoten bestehen, die entweder die eine oder die andere Windows-Version ausführen. Die Versionen können innerhalb eines einzelnen Clusters nicht gemischt verwendet werden.
Servercluster können über eine von drei verschiedenen Konfigurationen verfügen:
Einzelner Knoten. Diese Servercluster können mit oder ohne externe Clusterspeichergeräte konfiguriert werden. Bei Clustern mit einem einzelnen Knoten ohne externes Clusterspeichergerät wird die lokale Festplatte als Clusterspeichergerät konfiguriert. Verwenden Sie Einzelknotenkonfigurationen, um clusterkompatible Anwendungen zu entwickeln. Sie können sie auch in einer Produktionsumgebung verwenden, um für Anwendungen eine lokale Überwachung der Funktionstüchtigkeit und der Neustartfunktionen bereitzustellen.
Einzelnes Quorumgerät. Diese Servercluster haben zwei oder mehr als zwei Knoten und sind so konfiguriert, dass jeder Knoten mit einem oder mehreren Clusterspeichergeräten verbunden ist. Die Clusterkonfigurationsdaten sind auf einem einzelnen Clusterspeichergerät gespeichert, das als Quorumdatenträger bezeichnet wird.
Hauptknotensatz. Diese Servercluster verfügen über zwei oder mehrere Knoten, wobei die Knoten mit einem oder mehreren Clusterspeichergeräten verbunden sein können. Die Clusterkonfigurationsdaten werden auf mehreren Datenträgern der Cluster gespeichert. Der Clusterdienst stellt sicher, dass diese Daten auf den verschiedenen Datenträgern konsistent bleiben.
Der Clusterdienst ist standardmäßig weder installiert noch aktiviert. Wenn der Clusterdienst nach der Installation angehalten wird, sind die Cluster nicht mehr verfügbar. Weitere Informationen zur Konfiguration der Sicherheit für Windows-Cluster finden Sie unter den entsprechenden Links im Abschnitt „Weitere Informationen“ am Ende dieses Kapitels.
COM+ Ereignissystem
Der Dienst COM+ Ereignissystem ermöglicht die automatische Verteilung von Ereignissen an teilnehmende COM-Komponenten. COM+-Ereignisse erweitern das COM+-Programmiermodell und bieten Unterstützung für spät gebundene Ereignisse oder Methodenaufrufe zwischen dem Herausgeber oder Abonnenten und dem Ereignissystem. Das Ereignissystem benachrichtigt Ereignisverbraucher, sobald Informationen verfügbar werden, und führt keine wiederholte Serverabfrage durch.
Der Dienst COM+ Ereignissystem verarbeitet den Großteil der Ereignissemantik für den Herausgeber und den Abonnenten. Herausgeber bieten an, Ereignistypen zu veröffentlichen, und Abonnenten fordern Ereignistypen von bestimmten Herausgebern an. Abonnements werden nicht beim Herausgeber oder Abonnenten gepflegt und bei Bedarf abgerufen. Dadurch wird das Programmiermodell für beide Seiten vereinfacht. Der Abonnent muss nicht die Logik für die Erstellung eines Abonnements enthalten. Ein Abonnent kann genauso einfach erstellt werden wie eine COM-Komponente. Die Gültigkeitsdauer des Abonnements ist von der des Herausgebers oder des Abonnenten unabhängig. Sie können Abonnements erstellen, bevor der Abonnent oder Herausgeber aktiviert wird.
Dieser Dienst wird standardmäßig installiert. Er wird jedoch erst gestartet, wenn ein Anwendung die entsprechenden Dienste anfordert. Wenn der Dienst COM+ Ereignissystem angehalten wird, wird der Dienst Systemereignisbenachrichtigung beendet und kann keine Anmelde- und Abmeldebenachrichtigungen zur Verfügung stellen. Der Dienst Volumeschattenkopie, der für das Windows-Sicherungsprogramm und für Sicherungsanwendungen benötigt wird, die über die Windows-Sicherungs-API ausgeführt werden, erfordert diesen Dienst.
COM+ Systemanwendung
Der Dienst COM+ Systemanwendung verwaltet die Konfiguration und Überwachung von COM+-basierten Komponenten. Wenn dieser Dienst angehalten wird, funktionieren die meisten COM+-basierten Komponenten nicht mehr ordnungsgemäß. Der Dienst Volumeschattenkopie, der für das Windows-Sicherungsprogramm und für Sicherungsanwendungen benötigt wird, die über die Windows-Sicherungs-API ausgeführt werden, erfordert diesen Dienst. Dieser Dienst ist standardmäßig installiert und aktiviert.
Computerbrowser
Der Dienst Computerbrowser verwaltet eine aktuelle Liste der Computer im Netzwerk und stellt diese Liste Programmen zur Verfügung, die diese Liste anfordern. Windows-basierte Computer verwenden den Dienst Computerbrowser, um Netzwerkdomänen und -ressourcen anzuzeigen. Computer die als Browser fungieren, verwalten Suchlisten mit allen freigegebenen Ressourcen, die im Netzwerk verwendet werden. Frühere Versionen von Windows-Anwendungen, wie z. B. „Netzwerkumgebung“, der Befehl NET VIEW und Windows NT® Explorer, erfordern die Fähigkeit zum Durchsuchen. Beim Öffnen der Netzwerkumgebung auf einem Windows 95-Computer wird z. B. eine Liste von Domänen und Computern angezeigt, die von einem als Browser fungierenden Computer erstellt wurde.
Ein Computer kann verschiedene Rollen in einer Browserumgebung ausführen. Unter bestimmten Bedingungen, z. B. bei Fehlern oder beim Herunterfahren eines Computers, der für eine bestimmte Browserrolle vorgesehen ist, können Browser oder potenzielle Browser in eine andere Betriebsrolle wechseln.
Der Dienst Computerbrowser ist standardmäßig aktiviert und gestartet. Wenn der Dienst angehalten wird, wird die Suchliste nicht mehr aktualisiert oder verwaltet.
Kryptografiedienste
Die Kryptografiedienste stellen Schlüsselverwaltungsdienste für Ihren Computer bereit. Kryptografiedienste bestehen aus drei verschiedenen Verwaltungsdiensten:
Katalogdatenbankdienst. Dieser Dienst ist für das Hinzufügen, Entfernen und Durchsuchen von Katalogdateien verantwortlich. Katalogdateien werden verwendet, um alle Dateien im Betriebssystem zu signieren. Der Windows-Dateischutz (WFP), die Treibersignatur und Setup verwenden diesen Dienst, um signierte Dateien zu überprüfen. Dieser Dienst kann während des Setup-Vorgangs nicht angehalten werden. Wenn der Dienst nach dem Setup angehalten wird, wird er bei Bedarf gestartet.
Dienst für geschützten Stammspeicher. Dieser Dienst ist für das Hinzufügen und Entfernen von Zertifikaten vertrauenswürdiger Stammzertifizierungsstellen verantwortlich. Von diesem Dienst wird ein Dienstnachrichtenfeld mit dem Namen des Zertifikats und einem Fingerabdruck angezeigt. Wenn Sie auf OK klicken, wird das Zertifikat der aktuellen Liste mit den vertrauenswürdigen Stammzertifizierungstellen hinzugefügt oder aus dieser Liste entfernt. Nur die lokalen Systemkonten verfügen über Schreibzugriff auf diese Liste. Wenn der Dienst angehalten wird, können Benutzer die Zertifikate einer vertrauenswürdigen Stammzertifizierungsstelle nicht mehr hinzufügen oder entfernen.
Schlüsseldienst. Dieser Dienst ermöglicht es Administratoren, Zertifikate im Auftrag des lokalen Computerkontos zu registrieren. Der Dienst stellt verschiedene für die Registrierung erforderliche Funktionen zur Verfügung, wie z. B. die Aufzählung von verfügbaren Zertifizierungsstellen, die Aufzählung von verfügbaren Computervorlagen und die Möglichkeit zum Erstellen und Übermitteln von Zertifikatsanforderungen im lokalen Computerkontext. Nur Administratoren dürfen sich mit dem lokalen Computerkonto registrieren. Der Schlüsseldienst ermöglicht Administratoren auch die Remoteinstallation von PFX-Dateien (Personal Information Exchange) auf einem Computer. Wenn der Dienst angehalten wird, kann der Standardsatz an Computerzertifikaten nicht mehr über die automatische Registrierung abgerufen werden.
Die Kryptografiedienste sind standardmäßig aktiviert und werden automatisch gestartet. Wenn der Dienst angehalten wird, können die in den vorhergehenden Abschnitten erwähnten Verwaltungsdienste nicht mehr ordnungsgemäß ausgeführt werden.
DCOM-Server-Prozessstart
In früheren Windows-Versionen wird der RPC-Dienst (Remote Procedure Call) mit dem Namen RPCSS als lokales System ausgeführt. Um die Angriffsfläche von Windows zu verringern und Tiefenverteidigung bereitzustellen, wurde die RPC-Dienstfunktionalität unter Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 in zwei Dienste aufgeteilt.
Der RPCSS-Dienst behält seine ursprüngliche Funktionalität bei, für die keine lokalen Systemberechtigungen erforderlich waren. Der Dienst wird nun über das Netzwerkdienstkonto ausgeführt. Im Dienst DCOM-Server-Prozessstart (DCOMLaunch) sind die Funktionen des alten RPC-Dienstes vereinigt, für die lokale Systemberechtigungen erforderlich waren. Der Dienst wird über das lokale Systemkonto ausgeführt. Dieser Dienst ist standardmäßig aktiviert und gestartet.
Wenn der Dienst DCOM-Server-Prozessstart angehalten wird, können Remoteprozeduraufrufe und DCOM-Anforderungen auf dem lokalen Computer nicht mehr ordnungsgemäß ausgeführt werden. Insbesondere kann der Windows-Firewalldienst nicht mehr ausgeführt werden, wenn dieser Dienst angehalten wird.
DHCP-Client
Der Dienst DHCP-Client verwaltet die Netzwerkkonfiguration. Er registriert und aktualisiert IP-Adressen und DNS-Namen für den Computer. Die IP-Einstellungen für einen Clientcomputer müssen nicht manuell geändert werden. Hierbei kann es sich z. B. um einen Laptop handeln, der von verschiedenen Standorten im Netzwerk aus eine Verbindung herstellen kann. Der Clientcomputer erhält automatisch eine neue IP-Adresse. Das Subnetz für die erneute Verbindung wird dabei nicht berücksichtigt, sofern es den Zugriff auf einen DHCP-Server ermöglicht. Die Einstellungen für DNS oder WINS müssen nicht manuell konfiguriert werden. Der DHCP-Server kann diese Diensteinstellungen an den Client weitergeben, wenn der DHCP-Server für die Ausgabe solcher Informationen konfiguriert wurde. Um diese Option auf dem Client zu aktivieren, klicken Sie einfach auf DNS-Serveradresse automatisch beziehen. Es werden keine Konflikte durch doppelte IP-Adressen verursacht.
Wenn der Dienst DHCP-Client angehalten wird, erhält der Computer keine dynamischen IP-Adressen mehr und die automatischen dynamischen DNS-Updates werden nicht mehr auf dem DNS-Server registriert.
DHCP-Server
Der Dienst DHCP-Server ordnet IP-Adressen zu und ermöglicht die automatische erweiterte Konfiguration von Netzwerkeinstellungen (z. B. DNS-Server und WINS-Server) in DHCP-Clients. DHCP verwendet ein Client/Server-Modell. Der Netzwerkadministrator richtet einen oder mehrere DHCP-Server ein, die TCP/IP-Konfigurationsinformationen verwalten und diese Informationen für Clientcomputer zur Verfügung stellen. Die Serverdatenbank enthält folgende Informationen:
Gültige Konfigurationsparameter für alle Clientcomputer im Netzwerk.
Gültige, in einem Pool gespeicherte IP-Adressen für die Zuweisung an Clientcomputer und reservierte Adressen für die manuelle Zuweisung.
Vom Server zur Verfügung gestellte Leasedauer. Mit der Leasedauer wird festgelegt, wie lange die zugewiesene IP-Adresse gültig ist.
DHCP ist ein IP-Standard, der zur Vereinfachung der Verwaltung von Adressenkonfigurationen entwickelt wurde. Dabei werden die IP-Adressen und andere darauf bezogene Konfigurationsinformationen über einen Servercomputer im Netzwerk zentral verwaltet. Die Windows Server 2003-Produktfamilie bietet den DHCP-Dienst, durch den der Servercomputer als DHCP-Server fungieren kann und DHCP-fähige Clients im Netzwerk konfiguriert werden können. Eine Beschreibung hierzu finden Sie im aktuellen DHCP-Entwurfsstandard RFC 2131 (Request for Comments) der IETF (Internet Engineering Task Force).
DHCP enthält das MADCAP-Protokoll (Multicast Address Dynamic Client Assignment Protocol), das für die Multicastadresszuordnung verwendet wird. Wenn registrierten Clientcomputern über MADCAP dynamisch IP-Adressen zugeordnet werden, können sie effizient am Datenflussprozess teilnehmen, z. B. bei Echtzeitvideos oder Audionetzwerkübertragungen.
Wenn ein DHCP-Server im Netzwerk installiert und konfiguriert wurde, können DHCP-fähige Clientcomputer ihre IP-Adressen und zugehörige Konfigurationsparameter, jedes Mal wenn sie gestartet oder mit dem Netzwerk verbunden werden, dynamisch empfangen. DHCP-Server stellen diese Konfiguration dem Clientcomputer in Form eines Adressenleaseangebots zur Verfügung.
Wenn der Dienst DHCP-Server angehalten wird, kann der Server die IP-Adressen oder andere Konfigurationsparameter nicht mehr automatisch ausgeben. Dieser Dienst wird nur installiert und aktiviert, wenn Sie einen Windows Server 2003-Computer als DHCP-Server konfigurieren.
Verteiltes Dateisystem
Der Dienst Verteiltes Dateisystem verwaltet logische Datenträger, die in einem lokalen Netzwerk oder WAN (Wide Area Network) verteilt sind, und ist für Active Directory- und SYSVOL-Freigaben erforderlich. DFS ist ein verteilter Dienst, der verschiedene Dateifreigaben in einem logischen Namespace integriert.
Dieser Namespace ist eine logische Darstellung der Netzwerkspeicherressourcen, die Benutzern im Netzwerk zur Verfügung stehen. Wenn der Dienst Verteiltes Dateisystem angehalten wird, können Sie nicht mehr über den logischen Namespace auf Dateifreigaben oder Netzwerkdaten zugreifen. Für den Datenzugriff bei angehaltenem Dienst müssen die Namen aller Server und aller Freigaben im Namespace bekannt sein. Außerdem muss auf jedes Ziel einzeln zugegriffen werden. Dieser Dienst wird auf Windows Server 2003-Computern standardmäßig installiert und ausgeführt.
Überwachung verteilter Verknüpfungen (Client)
Der Dienst Überwachung verteilter Verknüpfungen (Client) verwaltet Verknüpfungen zwischen den NTFS-Dateien auf Ihrem Computer oder computerübergreifend in der Netzwerkdomäne. Durch diesen Dienst wird sichergestellt, dass Verknüpfungen und OLE-Verknüpfungen auch nach dem Umbenennen und Verschieben der Zieldatei funktionieren.
Wenn Sie eine Verknüpfung zu einer Datei auf einem NTFS-Datenträger erstellen, wird vom Dienst zur Überwachung verteilter Verknüpfungen eine eindeutige Objekt-ID in die Zieldatei eingetragen, die als Verknüpfungsquelle bezeichnet wird. In der Datei, die auf die Zieldatei verweist, erfolgt ebenfalls eine interne Speicherung der Objekt-ID. In den folgenden Szenarios kann der Dienst zur Überwachung verteilter Verknüpfungen mithilfe dieser Objekt-ID die Verknüpfungsquelldatei lokalisieren:
Die Verknüpfungsquelldatei wurde umbenannt.
Die Verknüpfungsquelldatei wurde in einen anderen Ordner auf demselben Datenträger oder auf einen anderen Datenträger auf demselben Computer verschoben.
Die Verknüpfungsquelldatei wurde auf einen anderen Computer im Netzwerk verschoben.
Hinweis: Wenn der Computer nicht in einer Domäne ist, auf der der Dienst Überwachung verteilter Verknüpfungen (Server) verfügbar ist, ist diese Form der Verknüpfungsüberwachung langfristig nicht zuverlässig.
Der freigegebene Netzwerkordner, in dem die Verknüpfungsquelldatei gespeichert ist, wurde umbenannt.
In einer Windows 2000- oder Windows Server 2003-Domäne, in der der Dienst Überwachung verteilter Verknüpfungen (Server) verfügbar ist, kann die Verknüpfungsquelldatei zusätzlich in folgenden Szenarios gefunden werden:
Der Computer, auf dem die Verknüpfungsquelldatei gespeichert ist, wurde umbenannt.
Der Datenträger, auf dem die Verknüpfungsquelldatei gespeichert ist, wurde auf einen anderen Computer innerhalb derselben Domäne verschoben.
In den Szenarios mit dem Dienst Überwachung verteilter Verknüpfungen (Server) wird vorausgesetzt, dass auf dem Clientcomputer (dem Computer, auf dem der Dienst Überwachung verteilter Verknüpfungen (Client) ausgeführt wird) die Systemrichtlinie DLT_AllowDomainMode für Clients mit Windows XP mit SP1 oder SP2 konfiguriert ist. Bei allen beschriebenen Szenarios muss die Verknüpfungsquelldatei auf einem NTFS-Datenträger gespeichert sein, auf dem Windows 2000, Windows XP oder die Windows Server 2003-Produktfamilie ausgeführt wird. NTFS-Datenträger können nicht auf Wechselmedien gespeichert werden.
Hinweis: Der Dienst Überwachung verteilter Verknüpfungen (Client) überwacht Aktivitäten auf NTFS-Datenträgern und speichert Wartungsinformationen in der Datei Tracking.log, die in dem verborgenen Ordner „System Volume Information“ im Stamm jedes Datenträgers abgelegt ist. Dieser Ordner ist durch Berechtigungen, aufgrund derer nur dem Computer der Zugriff auf den Ordner gewährt wird, geschützt. Der Ordner wird auch von anderen Windows-Diensten verwendet, z. B. vom Indexdienst.
Wenn der Dienst Überwachung verteilter Verknüpfungen (Client) angehalten wird, werden die Inhaltsverknüpfungen auf dem Computer nicht mehr verwaltet oder überwacht.
Überwachung verteilter Verknüpfungen (Server)
Der Dienst Überwachung verteilter Verknüpfungen (Server) speichert Informationen, damit zwischen Datenträgern verschobene Dateien für jeden Datenträger in der Domäne erfasst werden können. Wenn der Dienst Überwachung verteilter Verknüpfungen (Server) aktiviert ist, wird er auf jedem Domänencontroller einer Domäne ausgeführt. Dieser Dienst ermöglicht dem Dienst Überwachung verteilter Verknüpfungen (Client) die Erfassung verknüpfter Dokumente, die an einen anderen Ort auf einem anderen NTFS-Datenträger in derselben Domäne verschoben wurden.
Der Dienst Überwachung verteilter Verknüpfungen (Server) ist standardmäßig deaktiviert. Wenn dieser Dienst aktiviert wird, muss er auf allen Domänencontrollern einer Domäne aktiviert werden. Wenn der Dienst Überwachung verteilter Verknüpfungen (Server) auf einem Domänencontroller aktiviert wird, dessen Windows Server-Version aktualisiert wurde, muss der Dienst manuell erneut aktiviert werden.
Wenn der Dienst Überwachung verteilter Verknüpfungen (Server) aktiviert wird, muss auch die Systemrichtlinie DLT_AllowDomainMode aktiviert werden, damit Windows XP-Clientcomputer den Dienst verwenden können. Wenn der Dienst Überwachung verteilter Verknüpfungen (Server) aktiviert und später deaktiviert wird, müssen die entsprechenden Einträge in Active Directory gelöscht werden. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel „Überwachung verteilter Verknüpfungen auf Windows-basierten Domänencontrollern“ (in englischer Sprache) unter https://support.microsoft.com/kb/312403/en-us.
Wenn der Dienst Überwachung verteilter Verknüpfungen (Server) angehalten oder deaktiviert wird, werden die Verknüpfungen, die vom Dienst Überwachung verteilter Verknüpfungen (Client) verwaltet werden, nach einer Weile unzuverlässig.
Unter Windows Server 2003 ist der Dienst Überwachung verteilter Verknüpfungen (Server) standardmäßig installiert, aber deaktiviert.
Distributed Transaction Coordinator
Der Dienst Distributed Transaction Coordinator dient zur Koordination von Transaktionen, die über mehrere Computer und/oder Ressourcen-Manager verteilt werden. Dazu zählen Datenbanken, Nachrichtenwarteschlangen, Dateisysteme und andere transaktionsbasierte Ressourcen-Manager. Dieser Dienst wird benötigt, wenn Transaktionskomponenten über COM+ konfiguriert werden sollen. Er wird ebenfalls für MSMQ-Transaktionswarteschlangen (Message Queuing) und SQL-Servervorgänge benötigt, die mehrere Computer umfassen.
Der Dienst Distributed Transaction Coordinator ist standardmäßig installiert und aktiviert. Wenn der Dienst angehalten wird, können Transaktionen, die diesen Dienst verwenden, nicht mehr ausgeführt werden. Das Anhalten dieses Dienstes kann auch Auswirkungen auf Clusterinstallationen von Microsoft Exchange, SQL Server oder anderen Anwendungen haben, die Transaktionsdienste verwenden.
DNS-Client
Der Dienst DNS-Client löst DNS-Namen für Ihren Computer auf und sorgt für ihre Zwischenspeicherung. Der Dienst DNS-Client muss auf jedem Computer mit DNS-Namensauflösung ausgeführt werden. Die DNS-Namensauflösung ist für die Suche nach Domänencontrollern in Active Directory-Domänen erforderlich. Darüber hinaus ist der Dienst DNS-Client notwendig, um nach Geräten zu suchen, die über die DNS-Namensauflösung identifiziert werden.
Der Dienst DNS-Client, der unter Windows Server 2003 ausgeführt wird, implementiert folgende Funktionen:
Systemweites Zwischenspeichern. Ressourcenprotokolle (RR) von Abfrageantworten werden im Clientcache als Anwendungsabfragen des DNS-Servers gespeichert. Diese Informationen werden dann für eine bestimmte Gültigkeitsdauer (TTL, Time to Live) zwischengespeichert und können zur Beantwortung von Folgeabfragen verwendet werden.
RFC-kompatibler Support für die Zwischenspeicherung negativer Antworten. Neben den positiven Abfrageantworten von DNS-Servern, in denen Ressourcenprotokollinformationen enthalten sind, speichert der Dienst DNS-Client auch negative Abfrageantworten.
Zu einer negativen Antwort kommt es, wenn es zu dem abgefragten Namen kein Ressourcenprotokoll gibt. Durch die Zwischenspeicherung negativer Antworten wird die wiederholte Abfrage von nicht existierenden Namen vermieden, durch die die Leistung des Clientcomputers beeinträchtigt werden könnte. Negative Abfrageinformationen werden nicht so lange zwischengespeichert wie positive Abfrageinformationen. Die Standardspeicherdauer beträgt nicht mehr als fünf Minuten. Durch diese Konfiguration wird das kontinuierliche Zwischenspeichern von veralteten negativen Abfrageinformationen verhindert, wenn die Datensätze zu einem späteren Zeitpunkt verfügbar werden.
Vermeidung nicht reagierender DNS-Server. Der Dienst DNS-Client verwendet eine nach Bevorzugungskriterien geordnete Serversuchliste. Diese Liste enthält alle bevorzugten und alternativen DNS-Server, die für die einzelnen aktiven Netzwerkverbindungen auf dem Computer konfiguriert sind. Windows Server 2003 aktualisiert diese Liste nach den folgenden Kriterien:
Bevorzugte DNS-Server haben oberste Priorität.
Wenn keine bevorzugten DNS-Server zur Verfügung stehen, werden andere Server verwendet.
Nicht reagierende Server werden temporär von dieser Liste gestrichen.
Wenn der Dienst DNS-Client angehalten wird, können auf dem Computer keine DNS-Namen mehr aufgelöst oder Active Directory-Domänencontroller gesucht werden. Außerdem können Benutzer sich möglicherweise nicht mehr am Computer anmelden.
DNS-Server
Der Dienst DNS-Server aktiviert die DNS-Namensauflösung. Es beantwortet Abfragen und aktualisiert Anforderungen für DNS-Namen. DNS-Server sind für die Suche nach Geräten erforderlich, die über ihre DNS-Namensauflösung identifiziert werden. Darüber hinaus sind sie notwendig, um nach Domänencontrollern in Active Directory zu suchen.
Wenn der Dienst DNS-Server angehalten oder deaktiviert wird, können keine DNS-Aktualisierungen mehr erfolgen. Der Dienst DNS-Server muss nicht auf jedem Computer ausgeführt werden. Wenn jedoch kein autorisierender DNS-Server für einen bestimmten DNS-Namespacebereich vorhanden ist, kann nicht nach den Geräten gesucht werden, die DNS-Namen in diesem Namespacebereich verwenden. Ohne einen autorisierenden DNS-Server für den DNS-Namespace, der zur Benennung von Active Directory-Domänen verwendet wird, können Domänencontroller in dieser Domäne nicht gefunden werden.
Der Dienst DNS-Server wird nur installiert und aktiviert, wenn Sie einen Windows Server 2003-Computer als DNS-Server konfigurieren.
Fehlerberichterstattungsdienst
Der Fehlerberichterstattungsdienst erfasst und speichert unerwartete Anwendungsfehler und -beendigungen und meldet diese an Microsoft. Zudem autorisiert der Dienst die Fehlerberichterstattung für Dienste und Anwendungen, die in Nicht-Standardumgebungen ausgeführt werden. Dieser Dienst liefert Microsoft-Produktgruppen effiziente und effektive Informationen zum Debuggen von Treiber- und Anwendungsfehlern.
Sie können die Fehlerberichterstattung zum Senden von Microsoft-spezifischen Fehlerinformationen und zum Erstellen von Berichten über Betriebssystemfehler, Windows-Komponentenfehler oder Programmfehler verwenden. Aufgrund eines Betriebssystemfehlers wird auf dem Computer ein Fenster mit Fehlercodes angezeigt. Bei einem Komponentenfehler bricht das Programm oder die Komponente ab.
Wenn Sie einen Internetanschluss haben, können Sie Meldungen über diese Fehler direkt an Microsoft weiterleiten. Für die Konfiguration des Fehlerberichterstattungsdienstes zur Reaktion auf Programmfehler stehen zwei Möglichkeiten zur Verfügung: Erstens kann ein Benutzer über das Dialogfeld Fehlerberichterstattung aufgefordert werden, die Fehlermeldung an Microsoft zu senden, sobald ein Fehler eintritt, und zweitens kann ein Administrator über das Dialogfeld Fehlerberichterstattung aufgefordert werden, die Meldung an Microsoft weiterzuleiten, wenn er sich nach Auftreten des Fehlers das nächste Mal anmeldet.
Betriebssystemfehler und das ungewollte Herunterfahren des Computers werden von Windows anders behandelt als Programmfehler. Kommt es zu Betriebssystemfehlern oder einem ungewollten Herunterfahren des Computers, werden die Fehlerinformationen in eine Protokolldatei geschrieben. Bei der nächsten Anmeldung eines Administrators wird dieser über das Dialogfeld Fehlerberichterstattung aufgefordert, den Fehler zu melden. Wenn Sie über das Internet einen Fehlerbericht an Microsoft senden, stellen Sie Microsoft technische Informationen zur Verfügung, die von Microsoft-Mitarbeitern zur Verbesserung neuer Produktversionen verwendet werden. Diese Daten werden ausschließlich zur Qualitätskontrolle verwendet und dienen nicht dazu, aus irgendwelchen Marketinggründen einzelne Benutzer oder Installationen zu erfassen. Wenn Informationen zur Behebung des Problems verfügbar sind, wird von Windows ein zusätzliches Dialogfeld Fehlerberichterstattung mit einem Link zu diesen Informationen angezeigt.
Wenn in Ihrer Organisation Gruppenrichtlinien konfiguriert sind, können die Administratoren Ihrer IT-Abteilung die Firmen-Fehlerberichterstattung verwenden. Dadurch werden nur die Fehler erfasst und gemeldet, die von den Administratoren als wichtig erachtet werden. Um Arbeitsstationen und Server für die Verwendung der Firmen-Fehlerberichterstattung zu konfigurieren, können Administratoren die Richtlinie „Fehler melden“ aktivieren. Außerdem können sie den Dateiuploadpfad für zentrale Fehlerberichte auf dem lokalen Dateiserver konfigurieren, auf dem das Tool „Firmen-Fehlerberichterstattung“ installiert ist. Wenn Fehler auftreten, werden die Informationen automatisch an diesen Dateiserver umgeleitet. Die Administratoren können dann die Fehlerinformationen überprüfen, die wichtigen Daten herausfiltern und diese über das Tool zur Firmen-Fehlerberichterstattung an Microsoft senden. Sie können das Tool zur Firmen-Fehlerberichterstattung auf der Website Office XP Resource Kit (in englischer Sprache) unter https://office.microsoft.com/en-us/FX011511511033.aspx herunterladen.
Wenn der Fehlerberichterstattungsdienst angehalten wird, kann keine Fehlerberichterstattung mehr erfolgen. Wenn im Dialogfeld Fehlerberichterstattung die Einstellung Fehlerbenachrichtigung anzeigen aktiviert wurde, erhalten Benutzer weiterhin Meldungen zu Problemen. Dabei wird jedoch keine Option mehr angezeigt, mit der diese Informationen an Microsoft oder an eine lokale Netzwerkfreigabe weitergeleitet werden können. Dieser Dienst ist standardmäßig installiert und ausgeführt.
Ereignisprotokoll
Der Dienst Ereignisprotokoll ermöglicht das Anzeigen der von Windows-basierten Programmen und Komponenten ausgegebenen Ereignisprotokollmeldungen in der Ereignisanzeige. Diese Ereignisprotokollberichte enthalten nützliche Informationen für die Diagnose von Problemen mit Anwendungen, Diensten und dem Betriebssystem. Die Protokolle können über die Ereignisprotokoll-APIs oder im MMC-Snap-In „Ereignisanzeige“ angezeigt werden.
Standardmäßig werden auf Computern, auf denen ein Betriebssystem der Windows Server 2003-Produktfamilie ausgeführt wird, drei verschiedene Ereignisprotokolle aufgezeichnet:
Anwendungsprotokoll. Dieses Protokoll zeichnet Anwendungsprogrammereignisse auf. Ein Datenbankprogramm kann z. B. einen Dateifehler im Anwendungsprotokoll aufzeichnen. Programmentwickler entscheiden, welche Ereignisse protokolliert werden.
Sicherheitsprotokoll. Im Sicherheitsprotokoll werden gültige und ungültige Anmeldeversuche sowie ressourcenbezogene Ereignisse (z. B. Erstellen, Öffnen oder Löschen von Dateien oder anderen Objekten) festgehalten. Wenn Sie z. B. die Anmeldeüberwachung aktivieren, werden Anmeldeversuche beim Computer im Sicherheitsprotokoll aufgezeichnet.
Systemprotokoll. In diesem Protokoll werden Ereignisse festgehalten, die sich auf Windows-Komponenten beziehen. Das Systemprotokoll erfasst z. B. den fehlgeschlagenen Ladevorgang für einen Treiber oder andere Komponenten beim Starten des Computers. Die Ereignistypen, die von Windows protokolliert werden können, werden durch den verwendeten Server festgelegt.
Auf einem Windows Server 2003-Computer, der als Domänencontroller konfiguriert wurde, stehen zwei zusätzliche Protokolle zur Verfügung:
Verzeichnisdienstprotokoll. In diesem Protokoll werden Ereignisse festgehalten, die sich auf Active Directory beziehen. Beispielsweise werden Verbindungsprobleme zwischen dem Server und dem globalen Katalog im Verzeichnisdienstprotokoll festgehalten.
Dateireplikationsdienst-Protokoll. In diesem Protokoll werden Ereignisse aufgezeichnet, die sich auf den Windows-Dateireplikationsdienst beziehen. Beispielsweise werden im Dateireplikationsdienst-Protokoll Replikationsfehler sowie Ereignisse, die eintreten, während Domänencontroller mit Systemdatenträgeränderungen aktualisiert werden, festgehalten.
Bei einem Computer unter Windows, der als DNS-Server konfiguriert ist, werden Ereignisse in ein zusätzliches Protokoll geschrieben:
- DNS-Server-Protokoll. Dieses Protokoll enthält Ereignisse, die vom Windows-DNS-Dienst aufgezeichnet werden.
Sie können den Dienst Ereignisprotokoll anhalten. Wenn der Dienst deaktiviert ist, können Ereignisse nicht mehr erfasst werden, und die Problemdiagnose wird erheblich erschwert. Außerdem werden keine Sicherheitsereignisse überwacht und frühere Ereignisprotokolle können nicht im MMC-Snap-In „Ereignisanzeige“ angezeigt werden.
Kompatibilität für schnelle Benutzerumschaltung
Der Dienst Kompatibilität für schnelle Benutzerumschaltung bietet Verwaltungsfunktionen für Anwendungen, die in einer Umgebung mit mehreren Benutzern unterstützt werden müssen. Mit der Funktion für schnelle Benutzerumschaltung unter Windows XP können mehrere Benutzer, die beim Computer gleichzeitig angemeldet sind, leicht zwischen den verschiedenen Sitzungen wechseln. In diesem Fall ist kein Schließen der Anwendungen und keine Abmeldung erforderlich.
Viele Programme sind jedoch nicht für die Ausführung in einer Umgebung mit mehreren Benutzern konzipiert. Bei diesen Programmen können daher Probleme auftreten, wenn sich mehrere Benutzer beim Computer anmelden. Der Dienst Kompatibilität für schnelle Benutzerumschaltung führt eine von vier verschiedenen Aktionen durch, wenn ein bestimmtes „Problemprogramm“ verwendet wird und die schnelle Benutzerumschaltung aktiviert ist:
Bei Programmen des Typs 1 ermöglicht der Dienst dem Benutzer, die erste Instanz dieser Programme zu beenden, wenn eine zweite Instanz gestartet wird. Bei dieser Aktion wird der Normalbetrieb am wenigsten gestört, der Benutzer muss jedoch über Administratorrechte verfügen.
Der Dienst beendet Programme des Typs 2, wenn die Sitzungsverbindung getrennt wird (entweder durch eine Benutzerumschaltungsaktion oder bei Anzeige des Begrüßungsbildschirms nach Ablauf des Bildschirmschoners).
Der Dienst beendet Programme des Typs 3, wenn die Sitzungsverbindung getrennt wird, und startet sie neu, wenn der Benutzer die Sitzungsverbindung wiederherstellt. Diese Option ist nützlich für Programme, die Ressourcen verwenden, deren gemeinsame Verwendung in mehreren Sitzungen nur schwer umzusetzen ist, z. B. COM-Ports.
Der Dienst beendet Programme des Typs 4, wenn sich ein zweiter Benutzer anmeldet. Diese Option wird für Programme verwendet, die den Normalbetrieb des Computers stören können, jedoch bei Anzeige des Begrüßungsbildschirms nicht beendet werden müssen. Das Programm wird weiterhin ausgeführt, wenn der Benutzer die Verbindung trennt. Es wird nur beendet, wenn sich ein zweiter Benutzer anmeldet.
Wenn Sie den Dienst Kompatibilität für schnelle Benutzerumschaltung deaktivieren, werden einige Anwendungen möglicherweise nicht mehr ordnungsgemäß auf einem Computer ausgeführt, auf dem die Funktion für schnelle Benutzerumschaltung aktiviert ist.
Faxdienst
Der Faxdienst ist ein Telefonie-API-kompatibler Dienst (TAPI), der Faxfunktionen für den Benutzercomputer bereitstellt. Über den Faxdienst können Benutzer Faxe über ihre Desktopanwendungen senden und empfangen, indem sie entweder ein lokales Faxgerät oder ein freigegebenes Netzwerkfaxgerät verwenden. Folgende Funktionen werden von dem Dienst bereitgestellt:
Senden und Empfangen von Faxen
Zurückverfolgen und Überwachen von Faxaktivitäten
Weiterleitung eingehender Faxe
Server- und Gerätekonfigurationsverwaltung
Archivierung gesendeter Faxe
Wenn die Dienste „Druckwarteschlange“ oder „Telefonie“ deaktiviert sind, kann der Faxdienst nicht erfolgreich gestartet werden. Wenn dieser Dienst angehalten wird, können Benutzer keine Faxe senden oder empfangen. Der Faxdienst wird angehalten, wenn keine Faxaktivitäten vorhanden sind, und der Neustart dieses Dienstes erfolgt je nach Bedarf.
Dateireplikation
Der Dienst Dateireplikation ermöglicht das gleichzeitige und automatische Kopieren und Verwalten von Dateien auf mehreren Servern. Der Dienst „Dateireplikation“ ist der automatische Dateireplikationsdienst unter Windows 2000 und unter der Windows Server 2003-Produktfamilie. Seine Funktion besteht in der Replikation des Inhalts auf dem Systemdatenträger (SYSVOL) zwischen allen Domänencontrollern in einer Domäne. Er kann auch so konfiguriert werden, dass Dateien zwischen anderen Zielen, die dem fehlertoleranten DFS zugeordnet sind, repliziert werden.
Wenn der Dienst Dateireplikation angehalten wird, findet keine Dateireplikation statt, und Serverdaten werden nicht synchronisiert. Darüber hinaus kann das Funktionieren eines Domänencontrollers erheblich beeinträchtigt werden, wenn dieser Dienst angehalten wird. Der Dienst Dateireplikation ist unter Windows Server 2003 standardmäßig installiert. Der Startstatus ist jedoch auf Manuell gesetzt.
Dateiserver für Macintosh
Der Dienst Dateiserver für Macintosh ermöglicht Macintosh-Computerbenutzern das Speichern von Dateien auf Windows Server 2003-Computern sowie den Zugriff auf diese Dateien. Wenn dieser Dienst deaktiviert wird, können Macintosh-Clientcomputer keine Dateien auf Windows Server 2003-Computern speichern und nicht auf diese Dateien zugreifen. Dieser Dienst wird standardmäßig nicht installiert oder gestartet.
FTP-Publishingdienst
Der FTP-Publishingdienst ermöglicht die FTP-Konnektivität und die Verwaltung über das IIS-Snap-In (Microsoft Internet Information Server). Zu den Funktionen zählen: Bandbreitenbeschränkung, Sicherheitskonten und erweiterbare Protokollierung. Dieser Dienst enthält die neue Funktion „FTP-Benutzerisolation“, die dafür sorgt, dass Benutzer nur auf ihre eigenen Dateien auf einer FTP-Site zugreifen können. Darüber hinaus wird besserer internationaler Support angeboten.
Wenn der FTP-Publishingdienst angehalten wird, kann der Server nicht als FTP-Server fungieren. Dieser Dienst ist standardmäßig nicht installiert.
Hilfe und Support
Der Dienst Hilfe und Support ermöglicht und unterstützt die Ausführung der Anwendung „Hilfe- und Supportcenter“ auf den Benutzercomputern und ermöglicht darüber hinaus die Kommunikation zwischen der Clientanwendung und den Hilfedaten möglich. Dieser Dienst bietet Zugriff auf Speicher und Dienste. Dazu zählen die Klassifizierungsdatenbank (enthält Metadaten und Informationen zu den Hilfethemen), das Supportautomatisierungs-Framework (ermöglicht die Datenerfassung für registrierte Supportanbieter, Benutzerchroniken und Voreinstellungen) und der Suchmaschinen-Manager. Wenn Sie die Funktionen des Hilfe- und Supportcenters (z. B. Suche, Index und Inhalt) interaktiv verwenden, ermöglicht der Dienst die Datenübertragungsunterstützung für alle diese Funktionen.
Wenn der Dienst Hilfe und Support mit dem Wert Manuell konfiguriert ist, wird der Dienst gestartet, wenn ein Benutzer über den Desktop auf das Hilfe- und Supportcenter zugreift. Wenn dieser Dienst angehalten oder deaktiviert wird, steht die Anwendung „Hilfe- und Supportcenter“ nicht zur Verfügung. In diesem Fall wird den Benutzern folgende Meldung angezeigt:
Windows kann Hilfe und Support nicht öffnen, da kein Systemdienst ausgeführt wird.
Benutzer können auf einige Themen auf höherer Ebene zugreifen, die eventuell auf dem lokalen Computer zwischengespeichert wurden. Die meisten Funktionen des Hilfe- und Supportcenters (einschließlich Remoteunterstützung) stehen jedoch bei Deaktivierung des Dienstes Hilfe und Support nicht zur Verfügung. Trotzdem kann der Benutzer die *.HLP- und *.CHM-Dateien anzeigen, die im Ordner Windows\Hilfe gespeichert sind. Der Dienst Hilfe und Support wird unter Windows XP und Windows Server 2003 standardmäßig installiert und automatisch gestartet.
HTTP SSL
Der Dienst HTTP SSL ermöglicht IIS die Ausführung von SSL-Funktionen (Secure Sockets Layer). SSL ist ein offener Standard für den Aufbau von sicheren Kommunikationskanälen, um das Abfangen von wichtigen Informationen (z. B. Kreditkartennummern) zu verhindern. Hauptsächlich ermöglicht es sichere elektronische Finanzübertragungen über das Internet, obwohl es auch für andere Internetdienste entwickelt wurde.
Wenn der Dienst HTTP SSL angehalten wird, kann IIS keine SSL-Funktionen ausführen. Dieser Dienst wird nur bei Installation von IIS installiert. Andernfalls ist er nicht vorhanden oder nicht aktiv.
Eingabegerätezugang
Der Dienst Eingabegerätezugang ermöglicht einen Standardeingabezugang für USB-Geräte (Universal Serial Bus), z. B. Tastatur und Maus. Durch den Dienst werden vordefinierte Abkürzungstasten für Tastaturen, Fernbedienungen und andere Multimediageräte aktiviert und verwaltet. Dieser Dienst wird auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert und gestartet.
Wenn der Dienst Eingabegerätezugang angehalten wird, können Abkürzungstasten, die über diesen Dienst gesteuert werden, nicht mehr verwendet werden. Abkürzungstasten auf USB-Tastaturen (z. B. für das Vorspulen, Zurückspulen, die Lautstärke und die Titelwahl) sowie die Lautstärkeregler an USB-Lautsprechern können nicht mehr verwendet werden.
IAS Jet-Datenbankzugriff
Der Dienst IAS Jet-Datenbankzugriff verwendet das RADIUS-Protokoll (Remote Authentication Dial-in User Service), um Authentifizierungs-, Autorisierungs- und Kontoführungsdienste zur Verfügung zu stellen. Er ist nur auf 64-Bit-Versionen von Windows verfügbar. Mit Internetauthentifizierungsdiensten (IAS) können Sie die Authentifizierung, Autorisierung und Kontoführung zentral verwalten. Sie können IAS auch verwenden, um Benutzer anhand von Domänencontrollern zu authentifizieren, auf denen die Betriebssysteme Windows NT® 4.0, Windows 2000 oder Windows Server 2003 ausgeführt werden. IAS wird in homogenen und in heterogenen Netzwerken gleich gut ausgeführt.
IAS kann als RADIUS-Proxy zum Routen von RADIUS-Nachrichten zwischen RADIUS-Clients (Zugriffsservern) und RADIUS-Servern, die die Authentifizierung, Autorisierung und Kontoführung für den Verbindungsversuch durchführen, verwendet werden. Wenn IAS als RADIUS-Proxy verwendet wird, ist er ein zentraler Schalt- und Routingpunkt, durch den RADIUS-Zugriffs- und Kontoführungsnachrichten fließen. Ein IAS zeichnet in einem Kontoführungsprotokoll Informationen über die Nachrichten, die weitergeleitet wurden, auf.
Eine Infrastruktur für die RADIUS-Authentifizierung, -Autorisierung und -Kontoführung besteht aus den folgenden Komponenten:
Es stehen zwei IAS Jet-Datenbanken zur Verfügung. Die Datenbank „Ias.mdb“ dient zur Konfiguration von IAS, und die Datenbank „Dnary.mdb“ wird zur Überprüfung des Wörterbuchs verwendet, mit dem IAS die herstellerspezifischen Attribute RADIUS-kompatibler Netzwerkzugriffsserver erfasst. Die Jet-Datenbanken dürfen nicht geändert werden.
Wenn der Dienst IAS Jet-Datenbankzugriff angehalten wird, ist der Remotenetzwerkzugriff, der eine Benutzerauthentifizierung erfordert, nicht mehr verfügbar. In diesem Fall können z. B. die Funktionen RAS-DFÜ-Verbindung, VPN, drahtloser LAN-Zugriff (802.1x) und Ethernet 802.1x LAN-Zugriff nicht mehr verwendet werden. Bei Deaktivierung dieses Dienstes können der Routing- und RAS-Dienst (RRAS) und der IAS-Dienst nicht gestartet werden. RRAS oder IAS kann zudem weder lokal noch von einem Remotestandort aus verwaltet werden. Dieser Dienst wird für keine der Windows-Versionen standardmäßig installiert. Er ist nur unter Itanium-basierten Versionen der Windows Server 2003-Produktfamilie verfügbar.
IIS-Verwaltungsdienst
Der IIS-Verwaltungsdienst ermöglicht die Verwaltung von IIS-Komponenten wie FTP, Anwendungspools, Websites, Webdiensterweiterungen sowie von virtuellen NNTP-Servern (Network News Transfer Protocol) und virtuellen SMTP-Servern (Simple Mail Transfer Protocol). Wenn dieser Dienst angehalten oder deaktiviert wurde, können Websites sowie FTP-, NNTP- und SMTP-Sites nicht verwendet werden.
Unter Windows 2000 sind der IIS-Verwaltungsdienst und zugehörige Dienste standardmäßig installiert. Bei Verwendung eines Betriebssystems der Windows Server 2003-Produktfamilie muss die IIS-Komponente über „Windows-Komponenten hinzufügen/entfernen“ oder mithilfe des Serverkonfigurations-Assistenten installiert werden.
IMAPI-CD-Brenn-COM-Dienste
Die IMAPI-CD-Brenn-COM-Dienste verwalten die Erstellung von CDs über die IMAPI-COM-Schnittstelle (Image Mastering Applications Programming Interface) und brennen CDs, wenn Benutzer über Windows Explorer, Windows Media® Player (WMP) oder Anwendungen von Drittanbietern, die diese API verwenden, einen entsprechenden Auftrag erteilen. IMAPI ermöglicht einer Anwendung das Verwalten und Brennen einfacher Audio- oder Datenabbilder auf Medien des Typs „CD-R“ (CD-Recordable) und „CD-RW“ (CD-Rewritable). Die API unterstützt Redbook-Audio- und Daten-CD-Formate, die den Normen „Joliet“ und „ISO 9660“ entsprechen. Die spezielle Architektur ermöglicht eine spätere Erweiterung des unterstützten Formatsatzes.
Wenn die IMAPI-CD-Brenn-COM-Dienste angehalten oder deaktiviert werden, kann der Computer keine CDs mithilfe der integrierten Funktionen von Windows XP und Windows Server 2003 beschreiben. Bei Verwendung einer CD-RW-Anwendung eines Drittanbieters hat die Deaktivierung dieser Dienste keine Auswirkungen auf CD-Aufzeichnungen, wenn die betreffende Software des Drittanbieters nicht auf diesem Dienst basiert. Wenn diese Dienste nach der Anmeldung gestartet werden, müssen Sie sich beim Computer abmelden und anschließend erneut anmelden, damit Daten mit dem CD-R-Brenner und mit Windows Explorer auf CD-R-Medien geschrieben werden können. Diese Dienste sind unter Windows XP standardmäßig installiert. Sie werden jedoch erst gestartet, wenn ein Benutzer einen CD-R-Schreibvorgang über Windows Explorer anfordert. Unter Windows Server 2003 sind diese Dienste standardmäßig installiert, aber deaktiviert.
Indexdienst
Der Indexdienst indiziert Inhalt und Eigenschaften von Dateien auf lokalen Computern und Remotecomputern und ermöglicht über eine flexible Abfragesprache den schnellen Zugriff auf die Dateien. Der Indexdienst ermöglicht außerdem die schnelle Dokumentsuche auf lokalen Computern und Remotecomputern und die Erstellung eines Suchindexes für freigegebenen Inhalt im Internet. Durch den Dienst werden Indizes für alle in Dateien und Dokumenten enthaltenen Textinformationen erstellt. Nach Abschluss der ersten Indexerstellung verwaltet der Indexdienst die Indizes und berücksichtigt jede Erstellung, Änderung oder Löschung einer Datei.
Diese erste Indizierung kann relativ viele Ressourcen in Anspruch nehmen. Der Indexdienst ist standardmäßig für den manuellen Start konfiguriert. Bei Aktivierung des Dienstes wird die Indizierung nur ausgeführt, wenn sich der Computer im Leerlauf befindet. Sie können den Dienst mit dem MMC-Snap-In „Indexdienst“ jedoch so konfigurieren, dass er auch außerhalb der Leerlaufzeiten ausgeführt wird. Mit MMC kann darüber hinaus die Ressourcenzuweisungskonfiguration des Dienstes im Hinblick auf die Verwendungsmuster für Abfragen oder Indizierungen optimiert werden.
Wenn der Indexdienst angehalten wird, werden textbasierte Suchvorgänge verlangsamt.
Infrarotmonitor
Der Dienst Infrarotmonitor ermöglicht die Datei- und Bildfreigabe über Infrarotverbindungen. Dieser Dienst wird unter Windows XP nur standardmäßig installiert, wenn bei der Installation des Betriebssystems ein Infrarotgerät erkannt wird. Der Dienst ist in den Versionen Windows Server 2003 Web, Enterprise oder Datacenter Server nicht verfügbar.
Wenn der Dienst Infrarotmonitor angehalten wird, können Dateien und Bilder nicht über Infrarotverbindungen freigegeben werden.
Internetauthentifizierungsdienst
Mit dem Internetauthentifizierungsdienst (IAS, Internet Authentication Service) wird die zentralisierte Authentifizierung, Autorisierung, Überwachung und Kontoführung von Benutzern durchgeführt, die über LAN oder Remotezugriff eine Verbindung mit einem Netzwerk herstellen und dafür VPN- oder RAS-Geräte (Remote Access) oder drahtlose 802.1x- bzw. Ethernet/Switch-Zugriffspunkte verwenden.
IAS implementiert das IETF-Standard-RADIUS-Protokoll, mit dem heterogene Netzwerkzugangsgeräte aktiviert werden. Wenn IAS angehalten oder deaktiviert wird, werden Authentifizierungsanforderungen an einen IAS-Sicherungsserver (falls vorhanden) übergeben. Falls kein IAS-Reserveserver zur Verfügung steht, können Benutzer keine Verbindung mit dem Netzwerk herstellen. Dieser Dienst muss manuell installiert werden. Er ist nur auf Computern verfügbar, auf denen ein Betriebssystem der Windows Server 2003-Produktfamilie ausgeführt wird.
Standortübergreifender Messagingdienst
Der Standortübergreifender Messagingdienst ermöglicht den Nachrichtenaustausch zwischen Computern, auf denen Windows Server-Sites ausgeführt werden. Dieser Dienst wird für die E-Mail-basierte Replikation zwischen Standorten verwendet. Active Directory unterstützt die Replikation zwischen Standorten mittels SMTP über IP-Transport. Die SMTP-Unterstützung wird durch den SMTP-Dienst zur Verfügung gestellt, der eine Komponente von IIS ist.
Die für die Kommunikation zwischen Standorten verwendeten Transportmöglichkeiten müssen erweiterbar sein. Daher ist jeder Transport in einer separaten Add-In-DLL-Datei (Dynamic Link Library) definiert. Diese Add-In-DLL-Dateien werden in den standortübergreifenden Messagingdienst geladen, der auf allen Domänencontrollern ausgeführt wird, die für die Kommunikation zwischen Standorten geeignet sind. Der standortübergreifende Messagingdienst übergibt die Sende- und Empfangsanforderungen an die entsprechenden Transport-Add-In-DLL-Dateien, die diese Nachrichten wiederum an den standortübergreifenden Messagingdienst auf dem Zielcomputer weiterleiten.
Wenn der standortübergreifende Messagingdienst angehalten wird, können keine Nachrichten ausgetauscht werden, die standortübergreifende Messagingreplikation funktioniert nicht, und es können keine Standortweiterleitungsinformationen für andere Dienste berechnet werden. Dieser Dienst ist auf Windows Server 2003-Computern standardmäßig installiert. Er wird jedoch erst aktiviert, wenn der Server zur Domänencontrollerrolle heraufgestuft wird.
IPv6-Hilfsdienst
Der IPv6-Hilfsdienst ermöglicht IPv6-Verbindungen (Internetprotokoll, Version 6) über ein IPv4-Netzwerk (Internetprotokoll, Version 4). IPv6 ist eine neue Gruppe von Standardprotokollen für die Netzwerkebene des Internets. Mit diesem Dienst können viele IPv4-Probleme gelöst werden, die sich auf Adressenmangel, Sicherheit, automatische Konfiguration und Erweiterbarkeit beziehen. Mit diesem Dienst, der häufig als „IP6-zu-IP4“ bezeichnet wird, können IPv6-fähige Sites und Hosts mittels IPv6 über eine IPv4-Infrastruktur (z. B. das Internet) kommunizieren. IPv6-Sites und -Hosts können für die Kommunikation ihre IP6-zu-IP4-Adresspräfixe und das Internet verwenden. Dabei muss kein globales IPv6-Adresspräfix von einem Internetdienstanbieter abgerufen und keine Verbindung mit 6bone, dem IPv6-fähigen Teil des Internets, hergestellt werden.
IP6-zu-IP4 ist ein Tunneling-Verfahren, das in RFC 3056 beschrieben wird. IP6-zu-IP4-Hosts müssen nicht manuell konfiguriert werden und verwenden zur Erstellung von IP6-zu-IP4-Adressen die standardmäßige automatischen Konfiguration. IP6-zu-IP4 verwendet das globale Adresspräfix 2002:WWXX:YYZZ::/48, wobei WWXX:YYZZ den durch Doppelpunkt getrennten Hexadezimalwert einer öffentlichen IPv4-Adresse (w.x.y.z) darstellt, die einer Site oder einem Host zugewiesen wird. Dieser wird auch als NLA-Teil (Next Level Aggregator) einer IP6-zu-IP4-Adresse bezeichnet.
Der IPv6-Hilfsdienst unterstützt auch „IP6-über-IP4“, das auch als IPv4-Multicast-Tunneling bezeichnet wird. Hierbei handelt es sich um ein Verfahren, das in RFC 2529 beschrieben wird. Mit IP6-über-IP4 können IPv6- und IPv4-Knoten mittels einer IPv6-über-IPv4-Infrastruktur miteinander kommunizieren. IP6-über-IP4 verwendet die IPv4-Infrastruktur als eine multicastfähige Verbindung. Zur Gewährleistung einer fehlerfreien Funktionsweise von IP6-über-IP4 muss die IPv4-Infrastruktur IPv4-multicastfähig sein.
Wenn der IPv6-Hilfsdienst angehalten wird, kann der Computer IPv6-Verbindungen nur über eine Direktverbindung mit einem systemeigenen IPv6-Netzwerk herstellen. Dieser Dienst ist standardmäßig nicht installiert oder aktiviert.
IPSec-Richtlinien-Agent (IPSec-Dienst)
Der IPSec-Richtlinien-Agent (IPSec-Dienst) ermöglicht End-to-End-Sicherheit zwischen Clients und Servern in TCP/IP-Netzwerken, verwaltet die IPSec-Richtlinie, startet den Internetschlüsselaustausch (Internet Key Exchange, IKE) und koordiniert die IPSec-Richtlinieneinstellungen mit dem IP-Sicherheitstreiber. Dieser Dienst wird durch die Befehle NET START und NET STOP gesteuert.
IPSec ist auf der IP-Ebene wirksam und für andere Betriebssystemdienste und Anwendungen transparent. Dieser Dienst ermöglicht eine Paketfilterung und kann die Sicherheit zwischen den Computern in IP-Netzwerken aushandeln. Sie können IPSec zur Bereitstellung der folgenden Merkmale und Funktionen konfigurieren:
Paketfilterung mit Aktionen, die Sicherheit zulassen, sperren oder aushandeln.
Ausgehandeltes Vertrauen und sichere IP-Kommunikation. Mit dem IKE-Protokoll werden Absender und Empfänger von IP-Datenpaketen auf Grundlage von Richtlinieneinstellungen gegenseitig authentifiziert. Zur Authentifizierung können das Kerberos-Authentifizierungsprotokoll, digitale Zertifikate oder ein gemeinsamer geheimer Schlüssel (Kennwort) verwendet werden. IKE erzeugt automatisch kryptografische Schlüssel und IPSec-Sicherheitszuordnungen.
Schutz von IP-Paketen mit sicheren IPSec-Formaten, die kryptografische Integrität, Authentizität und (optional) Verschlüsselung von IP-Paketen bieten.
Sichere End-to-End-Verbindungen mit dem IPSec-Übertragungsmodus.
Sichere IP-Tunnel durch den IPSec-Tunnelmodus.
IPSec bietet darüber hinaus Sicherheit für VPN-Verbindungen, die das Layer-Two-Tunneling-Protokoll (L2TP) verwenden.
Wenn der IPSec-Richtlinien-Agent (IPSec-Dienst) angehalten wird, ist die TCP/IP-Sicherheit zwischen Clients und Servern im Netzwerk gestört. Dieser Dienst ist auf Windows Server 2003- und Windows XP-Computern standardmäßig installiert und aktiviert.
Kerberos-Schlüsselverteilungscenter
Der Dienst Kerberos-Schlüsselverteilungscenter ermöglicht Benutzern die Netzwerkanmeldung und Authentifizierung über das Kerberos v5-Authentifizierungsprotokoll.
Wie bei den anderen Implementierungen des Kerberos-Protokolls handelt es sich bei der Kerberos-Schlüsselverteilung (Kerberos Key Distribution, KDC) um einen einzelnen Prozess, der zwei Dienste bereitstellt:
Authentifizierungsdienst. Dieser Dienst gibt Bestätigungstickets (Ticket-Granting Tickets, TGTs) aus, mit denen eine Verbindung mit dem Ticketerteilungsdienst in der eigenen Domäne oder einer anderen vertrauenswürdigen Domäne hergestellt werden kann. Bevor ein Clientcomputer ein Ticket zur Verbindung mit einem anderen Computer anfordern kann, muss zunächst ein TGT vom Authentifizierungsdienst der Kontodomäne des Clients angefordert werden. Der Authentifizierungsdienst sendet ein TGT für den Ticketerteilungsdienst in der Domäne des Zielcomputers zurück. Das TGT kann bis zum Ablauf seiner Gültigkeit wiederverwendet werden. Allerdings muss der Clientcomputer beim ersten Zugriff auf den Ticketerteilungsdienst einer Domäne stets den Authentifizierungsdienst in der Kontodomäne des Clients aufrufen.
Ticketerteilungsdienst (Ticket-Granting Service, TGS). Durch diesen Dienst werden die Tickets für die Verbindung mit Computern in der eigenen Domäne ausgestellt. Wenn ein Clientcomputer Zugriff auf einen anderen Computer benötigt, muss er ein TGT und ein Ticket zu diesem Computer anfordern. Das Ticket kann bis zum Ablauf seiner Gültigkeit wiederverwendet werden. Allerdings muss beim ersten Zugriff auf einen Computer stets der Ticketerteilungsdienst in der Kontodomäne des Zielcomputers aufgerufen werden.
Wenn der Dienst Kerberos-Schlüsselverteilungscenter angehalten wird, können sich Benutzer nicht mehr beim Netzwerk anmelden und nicht mehr auf Ressourcen im Netzwerk zugreifen. Dieser Dienst wird auf allen Windows Server 2003-Computern installiert, aber nur auf Domänencontrollern ausgeführt. Wenn dieser Dienst deaktiviert wird, können sich Benutzer nicht mehr bei der Domäne anmelden.
Lizenzprotokollierdienst
Der Lizenzprotokollierdienst überwacht und erfasst die Informationen zur Clientzugriffslizenzierung. Er wird im Zusammenhang mit Teilen des Betriebssystems ausgeführt. Dazu zählen IIS, Terminaldienste sowie Datei- und Druckerfreigaben. Außerdem sind Produkte beteiligt, die nicht Teil des Betriebssystems sind. Dazu zählen SQL Server oder Microsoft Exchange Server.
Wenn der Lizenzprotokollierdienst angehalten oder deaktiviert wird, wird die Lizenzierung erzwungen, aber nicht überwacht. Dieser Dienst ist auf Windows Server 2003-Computern standardmäßig deaktiviert.
Verwaltung logischer Datenträger
Der Dienst Verwaltung logischer Datenträger erkennt und überwacht neue Festplattenlaufwerke und sendet Datenträgerinformationen zur Konfiguration an den Verwaltungsdienst für die Verwaltung logischer Datenträger. Dieser Dienst überwacht Plug & Play-Ereignisse, um neue Laufwerke zu erkennen. Außerdem verwendet er einen Administratordienst und einen Überwachungsdienst. Der Dienst darf nicht deaktiviert werden, wenn auf dem Computer dynamische Datenträger vorhanden sind.
Der Dienst Verwaltung logischer Datenträger ist auf Windows Server 2003- und Windows XP-Computern standardmäßig aktiviert. Wenn der Dienst angehalten wird, können Status- und Konfigurationsinformationen für dynamische Datenträger nicht mehr aktualisiert werden. Festplattenlaufwerke können z. B. nicht mehr erkannt werden. Der Administrator- und der Überwachungsdienst bilden im Grunde genommen eine Komponente. Der Verwaltungsdienst wird nur gestartet, wenn ein Laufwerk oder eine Partition konfiguriert bzw. ein neues Laufwerk erkannt wird.
Verwaltungsdienst für die Verwaltung logischer Datenträger
Der Verwaltungsdienst für die Verwaltung logischer Datenträger führt administrative Dienste für die Datenträgerverwaltung aus und konfiguriert Festplattenlaufwerke und Datenträger. Er wird nur gestartet, wenn ein Laufwerk oder eine Partition konfiguriert bzw. ein neues Laufwerk erkannt wird. Dieser Dienst wird nicht standardmäßig gestartet, wird aber bei Änderungen an der Konfiguration dynamischer Datenträger sowie beim Öffnen des MMC-Snap-Ins „Datenträgerverwaltung“ oder des Tools „Diskpart.exe“ aktiviert. Zu den Änderungen, die diesen Dienst aktivieren können, zählen: Umwandlung eines Standarddatenträgers in einen dynamischen Datenträger, Wiederherstellung fehlertoleranter Datenträger, Formatierung von Datenträgern oder Änderungen an einer Auslagerungsdatei.
Der Dienst Verwaltungsdienst für die Verwaltung logischer Datenträger wird nur für Konfigurationsprozesse ausgeführt und nach Abschluss der Prozesse angehalten. Wenn bei deaktiviertem Dienst versucht wird, Datenträger mit dem MMC-Snap-In „Datenträgerverwaltung“ zu konfigurieren, wird folgende Fehlermeldung angezeigt:
Die Verbindung zum Dienst für die Verwaltung logischer Datenträger konnte nicht hergestellt werden.
Machine Debug Manager
Der Dienst Machine Debug Manager verwaltet das lokale Debuggen und das Remotedebuggen für mehrere Anwendungen, z. B. Microsoft Script Editor, verschiedene Versionen des Office-Anwendungspakets und Microsoft Visual Studio.
Wenn der Dienst Machine Debug Manager deaktiviert wird, ist es nicht möglich, Skripts oder Prozesse zu debuggen, und es wird folgende Fehlermeldung angezeigt:
Debuggen kann nicht gestartet werden. Der Dienst „Machine Debug Manager“ wird deaktiviert.
Darüber hinaus können Benutzer keine Skriptfehler auf Webseiten debuggen.
Message Queuing
Der Dienst Message Queuing ist eine Messaginginfrastruktur und ein Entwicklungsprogramm zum Erstellen verteilter Messaginganwendungen für Windows. Solche Anwendungen können innerhalb von heterogenen Netzwerken kommunizieren und Nachrichten zwischen Computern senden, die vorübergehend nicht miteinander verbunden werden können. Dieser Dienst bietet eine garantierte Nachrichtenzustellung, effizientes Routing, Sicherheit und prioritätsbasiertes Messaging. Er unterstützt auch das Senden von Nachrichten innerhalb von Transaktionen und bietet Microsoft Win32®- und COM-APIs für alle Programmierfunktionen, einschließlich Administration und Verwaltung.
Die Implementierung der Remotelesefunktionen in der Windows XP-Version des Dienstes Message Queuing ermöglicht nicht authentifizierten Benutzern das Herstellen einer Warteschlangenverbindung. Ein böswilliger Benutzer kann eine Warteschlange bereinigen und einen Denial-of-Service verursachen. Darüber hinaus werden die Message Queuing-Daten mit Remotelesezugriff als Klartext über das Netzwerk gesendet. Dies bedeutet, dass die Daten von unbefugten Benutzern gelesen werden können, die Netzwerkdaten abfangen können.
Microsoft empfiehlt daher, den Dienst Message Queuing auf Windows XP-Computern, die nicht vertrauenswürdigen Netzwerken (wie z. B. dem Internet) ausgesetzt sind, nicht zu installieren. Der Dienst ist unter Windows XP standardmäßig nicht installiert. Deshalb sollten die meisten Organisationen bereits vor dieser Sicherheitsanfälligkeit geschützt sein.
Wenn der Dienst Message Queuing angehalten wird, sind keine verteilten Nachrichten verfügbar. Wenn dieser Dienst deaktiviert wird, können explizit von diesem Dienst abhängige Dienste nicht gestartet werden. Die Deaktivierung hat auch Auswirkungen auf die Funktion COM+ Queued Component (QC), einige WMI-Funktionen (Windows Management Instrumentation) sowie den Dienst Message Queuing-Trigger. Dieser Dienst ist auf Windows Server 2003-Computern standardmäßig nicht installiert.
Message Queuing für Vorgängerversions-Clients
Der Dienst Message Queuing für Vorgängerversions-Clients ermöglicht den Active Directory-Zugriff für Windows NT 4.0-, Windows 9x- und Windows 2000-Clients, die den Dienst Message Queuing auf Domänencontrollern verwenden. Der Dienst Message Queuing verwendet (optional) in Active Directory veröffentlichte Informationen, um Routinginformationen für sicherheitsbezogene Objekte (z. B. öffentliche Zielschlüssel) und Informationen zu öffentlichen Warteschlangen abzurufen. Wenn Sie den Dienst Message Queuing im Arbeitsgruppenmodus installieren, wird auf Active Directory niemals zugegriffen. Dieser Dienst ist nur auf Windows Server 2003-Domänencontrollern erforderlich, die den Dienst Message Queuing ausführen.
Wenn der Dienst Message Queuing für Vorgängerversions-Clients auf einem Domänencontroller angehalten wird, sind für Vorgängerversionen von MSMQ-Clients (früher als Version 3.0) keine Active Directory-Dienste auf dem betreffenden Domänencontroller zur Erkennung öffentlicher Warteschlangen, Nachrichtenweiterleitung und Siteerkennung verfügbar. Dieser Dienst ist auf Windows Server 2003-Computern standardmäßig nicht installiert.
Message Queuing-Trigger
Der Dienst Message Queuing-Trigger ermöglicht die regelbasierte Überwachung der in einer Message Queuing-Warteschlange eingehenden Nachrichten. Wenn die Bedingungen einer Regel erfüllt sind, wird eine COM-Komponente oder ein eigenständiges ausführbares Programm zur Verarbeitung der Nachricht aufgerufen.
Der Dienst Message Queuing-Trigger wird als integraler Bestandteil des Dienstes Message Queuing installiert. Message Queuing ist eine optionale Windows-Komponente, die in allen Windows-Versionen mit Ausnahme von Windows XP Home Edition verfügbar ist.
Wenn der Dienst Message Queuing-Trigger angehalten wird, kann keine regelbasierte Überwachung angewendet werden. Außerdem können keine Programme zur automatischen Verarbeitung von Prozessen aufgerufen werden. Dieser Dienst ist auf Windows Server 2003-Computern standardmäßig nicht installiert.
Messenger
Der Nachrichtendienst sendet und empfängt Nachrichten an Benutzer bzw. von anderen Benutzern, Computern, Administratoren und dem Warndienst. Dieser Dienst steht in keiner Beziehung zu Windows Messenger, einem kostenlosen Sofortnachrichtendienst, der über MSN verfügbar ist.
Wenn der Nachrichtendienst deaktiviert wird, können keine Benachrichtigungen an den Computer oder die Benutzer gesendet bzw. vom Computer oder von den Benutzern empfangen werden, die gerade angemeldet sind. Die Shell-Befehle NET SEND und NET NAME sind in diesem Fall ebenfalls unwirksam. Dieser Dienst ist auf Windows Server 2003- und Windows XP-Computern standardmäßig installiert, aber deaktiviert.
Microsoft POP3-Dienst
Der Microsoft POP3-Dienst stellt Dienste für das Übertragen und Abrufen von E-Mails bereit. Administratoren können diesen Dienst zum Speichern und Verwalten von E-Mail-Konten auf einem Mailserver verwenden. Wenn der Microsoft POP3-Dienst auf einem Mailserver installiert wird, kann über einen E-Mail-Client, der das POP3-Protokoll unterstützt (z. B. Microsoft Outlook®), eine Verbindung mit dem Mailserver zum Abrufen von E-Mail-Nachrichten hergestellt werden. Der Microsoft POP3-Dienst wird mit dem SMTP-Dienst kombiniert, der Benutzern das Senden von E-Mails ermöglicht.
Der Microsoft POP3-Dienst ermöglicht Benutzern das Abrufen von E-Mail-Nachrichten von einem Mailserver. Der Absendercomputer und der Empfängercomputer stellen über den jeweiligen Internetdienstanbieter (Internet Service Provider, ISP) eine Internetverbindung her. Wenn der Absender einen E-Mail-Client zum Senden einer Nachricht verwendet, überträgt der SMTP-Dienst die Nachricht an den Absender-ISP. Die Nachricht wird dann an das Internet gesendet und über verschiedene Zwischenstationsserver weitergeleitet. Wenn die Nachricht den Empfänger-ISP erreicht, wird sie im Postfach des Empfängers abgelegt. Wenn der Empfängercomputer eine Verbindung mit seinem Internetdienstanbieter herstellt, wird die Nachricht gemäß dem POP3-Protokoll an den E-Mail-Client des Empfängers auf dem lokalen Computer übertragen.
Wenn der Microsoft POP3-Dienst angehalten wird, können die Dienste für das Übertragen und Abrufen von E-Mails nicht mehr verwendet werden. Dieser Dienst muss auf Windows Server 2003-Computern manuell installiert werden.
Microsoft Volumenschattenkopieanbieter
Der Dienst Microsoft Volumenschattenkopieanbieter verwaltet softwarebasierte Schattenkopien, die durch den Dienst Volumeschattenkopie erstellt wurden. Mit einer Schattenkopie kann eine Snapshotkopie eines Datenträgers erstellt werden, die ein konsistentes schreibgeschütztes Abbild dieses Datenträgers zu einem bestimmten Zeitpunkt darstellt. Dieser zu einem bestimmten Zeitpunkt erstellte Snapshot bleibt dann unverändert bestehen, sodass mit einer Anwendung, z. B. einer Sicherungssoftware, Daten aus der Schattenkopie auf Band kopiert werden können.
Es gibt zwei allgemeine Klassen von Schattenkopien:
Hardware. Eine Hardwareschattenkopie ist eine Spiegelung von mindestens zwei Datenträgern, die in separate Volumes aufgeteilt sind. Eines der beiden Volumes bleibt als Arbeitssatz bestehen, während das andere Volume gesondert bereitgestellt werden kann.
Software. Eine Softwareschattenkopie kopiert anhand eines Copy-on-Write-Schemas alle im Laufe der Zeit geänderten Sektoren eines Volumes in einen Differenzbereich auf der Festplatte. Bei Bereitstellung der Schattenkopie werden alle unveränderten Sektoren vom ursprünglichen Volume und alle geänderten Sektoren aus dem Differenzbereich gelesen.
Durch die Verwendung von Schattenkopien werden drei klassische Aufgaben der Datensicherung erfüllt:
Die Notwendigkeit zur Sicherung von Dateien, die mit exklusivem Zugriff geöffnet wurden. Die Sicherung einer geöffneten Datei stellt eine Herausforderung dar, da die Datei wahrscheinlich gerade geändert wird. Ohne Schattenkopie oder eine Möglichkeit zur Unterbrechung der Anwendung werden Dateien häufig fehlerhaft gesichert.
Die Notwendigkeit zur Aufrechterhaltung der Computerverfügbarkeit während der Erstellung der Schattenkopie.
Die Verwendung derselben Kommunikationskanäle wie bei Snapshots, um die Informationsübertragung zwischen einer Anwendung und den Sicherungsprogrammen zu erleichtern.
Die Plattform für Schattenkopien besteht aus folgenden Komponenten:
Eine Gruppe von Schattenkopie-APIs, die eine Anwendungssynchronisierung durchführt. Durch diese Synchronisierung wird sichergestellt, dass eine Schattenkopie einwandfrei ist, da sich die Anwendungsdaten in einem als gültig anerkannten Zustand befinden. Diese APIs bieten die erforderliche Funktionalität für Plug-In-Schattenkopieanbieter und eine Schattenkopiekoordination für mehrere Volumes.
Ein Schattenkopie-Gerätetreiber, der beim erstmaligen Überschreiben alte Sektoren in eine „Differenzdatei“ kopiert, um Volumeschattenkopien für beliebige lokal bereitgestellte Volumes bereitzustellen. Ein Schattenkopievolume wird erzeugt, indem die Differenzdatei über das aktuelle Volume gelegt wird.
Unterstützung für Synchronisierungs- und Anbieter-APIs bei Softwareentwicklern.
Wenn der Dienst Microsoft Volumenschattenkopieanbieter angehalten wird, können softwarebasierte Volumeschattenkopien nicht mehr verwaltet werden. Möglicherweise ist in diesem Fall auch die Ausführung des Windows-Sicherungsprogramms nicht mehr möglich. Dieser Dienst ist auf Windows Server 2003-Computern standardmäßig installiert, wird aber nur bei Anforderung ausgeführt.
MSSQL$UDDI
Der Dienst MSSQL$UDDI wird während der Installation der UDDI-Funktion (Universal Description, Discovery, and Integration) von Betriebssystemen der Windows Server 2003-Produktfamilie installiert. (Diese Funktion ermöglicht das Ausführen von UDDI-Funktionen innerhalb einer Organisation.) Bei Installation dieses Dienstes wird auch eine SQL Server-Datenbankinstanz installiert. Diese Instanz verwaltet alle Datenbankdateien, die vom Dienst verwendet werden. Außerdem werden alle Transact-SQL-Anweisungen verarbeitet, die von SQL Server-Clientanwendungen gesendet werden. Der Dienst MSSQL$UDDI weist mehreren gleichzeitig arbeitenden Benutzern auf effektive Weise Ressourcen zu. Durch den Dienst werden außerdem Geschäftsregeln durchgesetzt, die in gespeicherten Prozeduren und Auslösern definiert sind. Darüber hinaus werden die Konsistenz der Daten sichergestellt und logische Probleme verhindert (z. B. wenn zwei Personen gleichzeitig versuchen, dieselben Daten zu aktualisieren).
UDDI ist eine Industriespezifikation zur Beschreibung und Erkennung von Webdiensten. Die UDDI-Spezifikation basiert auf den Protokollstandards SOAP (Simple Object Access-Protokoll), XML (Extensible Markup Language) und HTTP/S, die durch das World Wide Web Consortium (W3C) und die IETF entwickelt wurden. UDDI-Dienste sind standardbasierte XML-Webdienste, mit denen Entwickler Webdienste auf effiziente Weise direkt über ihre Entwicklungsprogramme veröffentlichen, suchen, freigeben und wiederverwenden können. Die auf Grundlage des Microsoft .NET Frameworks entwickelten UDDI-Dienste nutzen bewährte Microsoft SQL Server-Technologien und -Programme, um einen skalierbaren Speichermechanismus bereitzustellen. Die Unterstützung der UDDI-Dienste für standardmäßige Kategorisierungsschemas und die Active Directory-Authentifizierung ermöglicht IT-Managern eine einfache Integration innerhalb einer Unternehmensumgebung.
Der Dienst MSSQL$UDDI muss auf Windows Server 2003-Computern manuell installiert werden. Nach der Installation wird der Starttyp mit dem Wert Manuell konfiguriert. Wenn dieser Dienst angehalten wird, ist die SQL Server-UDDI-Datenbank nicht mehr verfügbar, und Clients können weder die in den Datenbanken gespeicherten Daten abfragen noch auf diese Daten zugreifen.
MSSQLServerADHelper
Der Dienst MSSQLServerADHelper ermöglicht Microsoft SQL Server und Microsoft SQL Server Analysis Services das Veröffentlichen von Informationen in Active Directory, wenn die Dienste nicht über das lokale Systemkonto aufgerufen werden. Auf jedem Computer darf jeweils nur eine Instanz des Dienstes MSSQLServerADHelper ausgeführt werden. Alle Instanzen von Microsoft SQL Server und Microsoft SQL Server Analysis Services verwenden bei Bedarf diesen Dienst.
MSSQLServerADHelper ist kein Serverdienst und bedient keine Anforderungen vom Client. Dieser Dienst verwendet keinen UDP- oder TCP-Port.
Der Dienst MSSQLServerADHelper kann nicht angehalten werden. Dieser Dienst wird gegebenenfalls durch eine Instanz von SQL Server oder Analysis-Manager dynamisch gestartet. Nach Abschluss des entsprechenden Vorgangs wird der Dienst beendet. Dieser Dienst sollte stets über das lokale Systemkonto ausgeführt und nicht manuell über die Konsole gestartet werden. Wenn dieser Dienst deaktiviert wird, hat das u. U. Auswirkungen auf das Hinzufügen, Aktualisieren oder Löschen von Active Directory-Objekten, die sich auf SQL Server beziehen. Dieser Dienst muss auf Windows Server 2003-Computern manuell installiert werden. Bei Installation wird der Starttyp mit dem Wert Manuell konfiguriert.
.NET Framework Support Service
Der Dienst .NET Framework Support Service benachrichtigt einen teilnehmenden Client, wenn ein bestimmter Prozess den Clientlaufzeitdienst initialisiert. .NET Framework Support Service bietet eine als gemeinsame Sprachlaufzeit (Common Language Runtime, CLR) bezeichnete Laufzeitumgebung, die die Ausführung von Code verwaltet und Dienste bereitstellt, die den Entwicklungsprozess vereinfachen. Durch Compiler und Tools wird die Funktionalität der Laufzeit offen gelegt. Somit kann Code erstellt werden, der Vorteile aus dieser verwalteten Ausführungsumgebung nutzt. Mithilfe der Sprachlaufzeit können Komponenten und Anwendungen entwickelt werden, deren Objekte sprachübergreifend interagieren. In verschiedenen Sprachen erstellte Objekte können miteinander kommunizieren, und ihr Verhalten kann optimal aufeinander abgestimmt werden. Dieser Dienst wird normalerweise als Bestandteil der Visual Studio.NET-Entwicklungsumgebung installiert. Er ist erst vorhanden oder aktiv, wenn er manuell installiert wurde.
Wenn der Dienst .NET Framework Support Service angehalten oder deaktiviert wird, erhält der Benutzer beim Starten der gemeinsamen Sprachlaufzeit durch eine .NET-Anwendung keine Benachrichtigung.
Netzwerkanmeldung
Der Dienst Netzwerkanmeldung unterstützt einen sicheren Kanal zwischen dem Computer und dem Domänencontroller, der zur Authentifizierung von Benutzern und Diensten verwendet wird. Der Dienst leitet die Anmeldeinformationen des Benutzers über einen sicheren Kanal an einen Domänencontroller weiter und stellt die Domänensicherheits-IDs und Benutzerrechte für den Benutzer bereit. Dieser Vorgang wird allgemein als Durchgangsauthentifizierung bezeichnet. Der Dienst ist auf allen Windows Server 2003- und Windows XP-Computern installiert, und der Starttyp ist mit dem Wert „Manuell“ konfiguriert. Nachdem der Computer einer Domäne beigetreten ist, wird der Dienst automatisch gestartet.
In Betriebssystemen der Windows 2000 Server- und der Windows Server 2003-Produktfamilie veröffentlicht der Dienst Netzwerkanmeldung DNS-Dienstressourceneinträge und verwendet DNS zum Auflösen von Namen in IP-Adressen der Domänencontroller. Der Dienst implementiert außerdem das auf RPC (Remote Procedure Call) basierende Replikationsprotokoll zur Synchronisierung von primären Domänencontrollern (PDCs) und Reservedomänencontrollern (BDCs) von Windows NT 4.0.
Wenn der Dienst Netzwerkanmeldung angehalten wird, kann der Computer u. U. keine Benutzer und Dienste authentifizieren, und der Domänencontroller kann keine DNS-Einträge registrieren. Die Deaktivierung dieses Dienstes kann insbesondere zu einer Verweigerung von NTLM-Authentifizierungsanforderungen führen, und Domänencontrollern können von Clientcomputern nicht mehr erkannt werden.
NetMeeting-Remotedesktop-Freigabe
Der Dienst NetMeeting-Remotedesktop-Freigabe ermöglicht es autorisierten Benutzern, mit der Microsoft NetMeeting®-Anwendung per Remotezugriff von einem anderen Computer über ein Intranet auf Ihren Windows-Desktop zuzugreifen. Der Dienst ist standardmäßig installiert und deaktiviert. Er muss vom Benutzer über NetMeeting explizit aktiviert werden und kann in NetMeeting deaktiviert oder über ein Symbol in der Windows-Taskleiste heruntergefahren werden.
Wenn der Dienst NetMeeting-Remotedesktop-Freigabe angehalten oder deaktiviert wird, wird der NetMeeting-Anzeigetreiber entfernt, und die Remotedesktop-Freigabe ist nicht mehr verfügbar.
Netzwerkverbindungen
Der Dienst Netzwerkverbindungen ist auf Windows Server 2003- und Windows XP-Computern standardmäßig installiert. Dieser Dienst verwaltet Objekte im Ordner Netzwerkverbindungen, in dem sowohl Netzwerk- als auch Remoteverbindungen angezeigt werden. Der Dienst ist für die Konfiguration des Clientnetzwerks verantwortlich und zeigt den Verbindungsstatus im Infobereich in der Taskleiste an. Über diesen Dienst können Sie auch Netzwerkschnittstelleneinstellungen anzeigen und konfigurieren.
Der Netzwerkverbindungsdienst wird automatisch gestartet, wenn der Startyp mit dem Wert „Manuell“ konfiguriert wurde und die Schnittstelle für Netzwerkverbindungen aufgerufen wird. Wenn dieser Dienst angehalten wird, ist die clientseitige Konfiguration von LAN-, DFÜ- und VPN-Verbindungen nicht mehr verfügbar. Die Deaktivierung dieses Dienstes kann folgende Auswirkungen haben:
Die Verbindungen werden im Ordner Netzwerkverbindungen nicht angezeigt. Somit ist auch kein Hinauswählzugriff möglich, und die LAN-Einstellungen können nicht konfiguriert werden.
Andere Dienste, die über den Dienst „Netzwerkverbindungen“ nach Gruppenrichtlinien suchen, die den Netzwerkspeicherort berücksichtigen, können nicht ordnungsgemäß ausgeführt werden.
Ereignisse im Zusammenhang mit dem Verbinden und Trennen von Medien können nicht empfangen werden.
Die gemeinsame Nutzung der Internetverbindung funktioniert nicht ordnungsgemäß.
Die Funktion zum Konfigurieren eingehender Verbindungen, drahtloser Einstellungen oder des Heimnetzwerks ist nicht verfügbar.
Es können keine neuen Verbindungen erstellt werden.
Es können keine Dienste gestartet werden, die explizit von diesem Dienst abhängig sind.
Netzwerk-DDE-Dienst
Der Netzwerk-DDE-Dienst stellt für Programme, die auf demselben Computer oder auf unterschiedlichen Computern ausgeführt werden, Netzwerktransport und Sicherheit für den dynamischen Datenaustausch (Dynamic Data Exchange, DDE) bereit. Sie können DDE-Netzwerkfreigaben programmgesteuert oder durch Ausführung der Datei Ddeshare.exe erstellen und diese Freigaben für andere Anwendungen und Computer sichtbar machen. Üblicherweise wird vom Benutzer, der die Freigabe erstellt, ein Serverprozess erstellt und ausgeführt, der die eingehenden Anforderungen von Clientprozessen und/oder Anwendungen verarbeitet, unabhängig davon, ob sie auf demselben oder einem anderen Computer ausgeführt werden. Nach der Verbindungsherstellung können diese Prozesse jede Art von Daten durch eine sichere Netzwerkübertragung austauschen.
Dieser Dienst wird standardmäßig installiert, ist jedoch deaktiviert. Um die Netzwerk-DDE-Funktion zu verwenden, müssen Sie den Starttyp mit dem Wert „Manuell“ konfigurieren. Danach wird der Dienst nur gestartet, wenn er durch eine Anwendung aufgerufen wird, die Netzwerk-DDE verwendet (z. B. Clipbrd.exe oder Ddeshare.exe).
Wenn der Netzwerk-DDE-Dienst angehalten wird, sind DDE-Übertragungen und DDE-Sicherheit nicht mehr verfügbar. Bei Deaktivierung dieses Dienstes werden alle abhängigen Anwendungen das Zeitlimit überschreiten, wenn sie versuchen, den Dienst zu starten. Wenn eine Anwendung auf einem Remotecomputer versucht, den Netzwerk-DDE-Dienst auf einem anderen Computer zu starten, ist der Remotecomputer im Netzwerk nicht sichtbar.
Netzwerk-DDE-Serverdienst
Mit dem Netzwerk-DDE-Serverdienst werden DDE-Netzwerkfreigaben verwaltet. Dieser Dienst wird ausschließlich vom Netzwerk-DDE-Dienst zum Verwalten freigegebener DDE-Übertragungen verwendet. Sie können DDE-Freigaben mit Ddeshare.exe erstellen und ihnen eine Vertrauensstellung zuweisen, um Remotecomputern und Anwendungen die Verbindungsherstellung und die Freigabe von Daten zu erlauben. Der Netzwerk-DDE-Serverdienst verfügt über eine Datenbank mit DDE-Freigaben, die Informationen zu vertrauenswürdigen Freigaben enthält. Bei jeder Verbindungsanforderung von oder zu einer Anwendung fragt der Dienst die Datenbank ab und bestimmt anhand Ihrer Sicherheitseinstellungen, ob die Anforderung zugelassen wird.
Der Netzwerk-DDE-Serverdienst ist standardmäßig installiert, aber deaktiviert. Um die Netzwerk-DDE-Funktion zu verwenden, müssen Sie den Starttyp mit dem Wert „Manuell“ konfigurieren. Danach wird der Dienst nur gestartet, wenn er durch eine Anwendung aufgerufen wird, die Netzwerk-DDE verwendet. Wenn der Dienst Netzwerk-DDE-Serverdienst angehalten wird, sind keine DDE-Netzwerkfreigaben verfügbar. Bei Deaktivierung dieses Dienstes werden alle abhängigen Anwendungen das Zeitlimit überschreiten, wenn sie versuchen, den Dienst zu starten.
NLA (Network Location Awareness)
Der Dienst NLA (Network Location Awareness) sammelt und speichert Netzwerkkonfigurationsinformationen, wie z. B. Änderungen von IP-Adressen, Domänennamen und Speicherorten. Kompatible Anwendungen werden vom Dienst über diese Änderungen benachrichtigt, damit sie sich neu konfigurieren und die aktuelle Netzwerkverbindung nutzen können.
Der Dienst NLA (Network Location Awareness) ist unter Windows XP standardmäßig installiert. Auch wenn Sie den Starttyp dieses Dienstes mit dem Wert „Manuell“ konfigurieren, wird der Dienst normalerweise von abhängigen Diensten gestartet. Wenn dieser Dienst angehalten wird, steht die NLA-Funktion nicht zur Verfügung.
Netzwerkversorgungsdienst
Mit dem Netzwerkversorgungsdienst können XML-Konfigurationsdateien über Netzwerkversorgungsdienste (z. B. Microsoft Wireless Provisioning Services, WPS) heruntergeladen und verwaltet werden. Dadurch wird die automatische Netzwerkversorgung für Internetdienstanbieter und private Netzwerke ermöglicht. Dieser Dienst arbeitet mit dem konfigurationsfreien Dienst für drahtlose Verbindung zusammen, um die neuesten drahtlosen Sicherheitsstandards zu unterstützen.
Wenn der Netzwerkversorgungsdienst angehalten oder deaktiviert wird, schlägt die Konfiguration und der Betrieb von drahtlosen Netzwerkschnittstellen u. U. fehl, auch wenn die Netzwerkumgebung kein WPS oder ähnliche Dienste verwendet.
NNTP (Network News Transfer Protocol)
Mit dem Dienst NNTP (Network News Transfer Protocol) können Computer, auf denen Windows Server 2003 ausgeführt wird, als Newsserver fungieren. Clientcomputer können eine Newsclientanwendung (wie z. B. den Messaging-Client von Microsoft Outlook Express) verwenden, um Newsgroups vom Server abzurufen und Überschriften oder Nachrichtentext in den Artikeln der einzelnen Newsgroups zu lesen. Die Clientcomputer können dann im Gegenzug Nachrichten auf dem Server veröffentlichen.
NNTP ist ein Internetstandard. Der in Windows Server 2003 enthaltene NNTP-Dienst unterstützt keine Übertragungen, bei denen zwei Newsserver ihre Inhalte untereinander replizieren. Die in Exchange 2000 enthaltene Version verfügt jedoch über diese Funktionalität. Dieser Dienst ist standardmäßig nicht installiert und nicht aktiviert. Er kann nur in Verbindung mit IIS installiert werden.
Wenn der Dienst NNTP (Network News Transfer Protocol) angehalten wird, können Clientcomputer keine Verbindung herstellen und keine veröffentlichten Artikel lesen oder abrufen.
NT-LM-Sicherheitsdienst
Der NT-LM-Sicherheitsdienst stellt Sicherheit für RPC-Programme bereit, die keine Named Pipes als Transportweg verwenden. Darüber hinaus können sich Benutzer mit diesem Dienst über das NTLM-Authentifizierungsprotokoll beim Netzwerk anmelden. Dadurch können Clients authentifiziert werden, die nicht das Kerberos-Authentifizierungsprotokoll, Version 5, verwenden.
Das Anfrage/Antwort-NTLM-Authentifizierungsprotokoll von Windows NT wird auf eigenständigen Systemen sowie in Netzwerken verwendet, die Systeme mit Windows NT-Betriebssystemversionen enthalten. NTLM steht für Windows NT-LAN-Manager. Diese Bezeichnung wurde gewählt, um dieses leistungsfähigere Anfrage/Antwort-basierte Protokolls von seinem Vorgänger, dem LAN-Manager (LM), zu unterscheiden.
Unter Windows 2000 wird das Kerberos-Authentifizierungsprotokoll, Version 5, verwendet, das Computernetzwerken größere Sicherheit als NTLM bietet. Obwohl Kerberos das bevorzugte Authentifizierungsprotokoll für Windows 2000- und Windows Server 2003-Netzwerke darstellt, wird NTLM weiterhin unterstützt und muss zur Netzwerkauthentifizierung verwendet werden, wenn das Netzwerk Computer enthält, auf denen Windows NT, Windows 98 oder Windows ME ausgeführt wird. Außerdem ist NTLM für die Anmeldeauthentifizierung auf eigenständigen Computern erforderlich.
NTLM-Anmeldeinformationen basieren auf Daten, die während des interaktiven Anmeldevorgangs abgerufen werden und aus einem Domänennamen, einem Benutzernamen und einem unidirektional übertragenen Hashwert des Benutzerkennworts bestehen. NTLM verwendet ein verschlüsseltes Anfrage/Antwort-Protokoll zur Authentifizierung eines Benutzers, ohne dass das Kennwort dieses Benutzers über das Netzwerk gesendet werden muss. Stattdessen muss der authentifizierende Computer eine Berechnung ausführen, durch die bestätigt wird, dass dieser Computer Zugriff auf die gesicherten NTLM-Anmeldeinformationen hat.
An einer interaktiven NTLM-Authentifizierung über ein Netzwerk sind in der Regel zwei Computer beteiligt: ein Clientcomputer, auf dem der Benutzer die Authentifizierung anfordert, und ein Domänencontroller, auf dem die Informationen zum Kennwort des Benutzers gespeichert werden. Eine nicht interaktive Authentifizierung kann erforderlich sein, um einem bereits angemeldeten Benutzer den Zugriff auf eine Ressource (z. B. eine Serveranwendung) zu erteilen. An einer solchen Authentifizierung sind in der Regel drei Computer beteiligt: ein Client, ein Server und ein Domänencontroller, der die Authentifizierungsberechnungen für den Server ausführt.
Der NT-LM-Sicherheitsdienst wird auf allen Windows XP- und Windows Server 2003-Computern standardmäßig installiert und ausgeführt. Wenn dieser Dienst angehalten oder deaktiviert wird, können Clients, die das NTLM-Authentifizierungsprotokoll verwenden, sich nicht mehr anmelden oder auf Netzwerkressourcen zugreifen. Der MOM (Microsoft Operations Manager) basiert auf diesem Dienst.
Leistungsprotokolle und Warnungen
Der Dienst Leistungsprotokolle und Warnungen sammelt Leistungsdaten von lokalen Computern oder Remotecomputern anhand von vorkonfigurierten Planparametern und schreibt die Daten dann in ein Protokoll oder löst eine Warnung aus. Dieser Dienst startet und stoppt jede benannte Leistungsdatensammlung anhand von Informationen, die in der Einstellung für die benannte Protokollsammlung enthalten sind. Dieser Dienst wird nur ausgeführt, wenn mindestens eine Sammlung geplant ist. Er ist jedoch auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert.
Wenn der Dienst Leistungsprotokolle und Warnungen angehalten oder deaktiviert wird, werden keine Leistungsinformation erfasst. Außerdem werden die derzeit ausgeführten Datensammlungen beendet und die für einen späteren Zeitpunkt geplanten Sammlungen verhindert.
Plug & Play
Der Dienst Plug & Play ermöglicht es einem Computer, mit nur wenigen oder ganz ohne Benutzereingaben Hardwareänderungen zu erkennen und entsprechende Anpassungen vorzunehmen. Mit diesem Dienst können Geräte hinzugefügt oder entfernt werden, ohne dass der Benutzer über detaillierte Kenntnisse der Computerhardware verfügen und eine manuelle Konfiguration der Hardware oder des Betriebssystems vornehmen muss. Sie können z. B. eine USB-Tastatur anschließen, die dann vom Dienst Plug & Play als neues Gerät erkannt wird. Daraufhin wird automatisch ein geeigneter Treiber gesucht und installiert. Wahlweise können Sie auch einen tragbaren Computer an eine Dockingstation anschließen und den Computer über die Ethernet-Karte der Dockingstation mit dem Netzwerk verbinden, ohne die Konfigurationseinstellungen zu ändern. Anschließend können Sie diesen Computer entfernen und eine Netzwerkverbindung mit einem Modem herstellen, wiederum ohne manuelle Konfigurationsänderungen vornehmen zu müssen.
Der Dienst Plug & Play ist so installiert und konfiguriert, dass er unter Windows Server 2003 und Windows XP automatisch ausgeführt wird. Der Dienst kann nicht über das MMC-Snap-In „Dienste“ angehalten oder deaktiviert werden, da hierdurch die Stabilität des Betriebssystems beeinträchtigt wird. Wenn das MSCONFIG-Problembehandlungsprogramm verwendet und dieser Dienst angehalten wird, werden im Geräte-Manager keine Hardwaregeräte angezeigt.
Seriennummern der tragbaren Medien
Der Dienst Seriennummern der tragbaren Medien ruft die Seriennummer von am Computer angeschlossenen tragbaren Audioplayern ab. Mit diesem Dienst kann der Windows Media Device Manager (WMDM), die Seriennummern von tragbaren Audiogeräten abrufen, sodass Medieninhalte auf sichere Weise auf diese Geräte kopiert werden können. Ohne die entsprechende Seriennummer können die Inhalte dem jeweiligen Gerät nicht zugeordnet werden. Dadurch wird u. U. die Übertragung von geschütztem Inhalt an das Gerät verhindert.
Zur eindeutigen Identifizierung tragbarer Medien wurden durch viele Hersteller von Speichermedien eindeutige Seriennummern implementiert, die in einem permanenten Bereich des Speichergeräts gespeichert sind. Beispielsweise müssen gemäß der von CFA (CompactFlash Association) entwickelten CompactFlash-Spezifikation, Revision 1.3, alle CompactFlash-Karten eine eindeutige Seriennummer haben. Einige Typen von Wechseldatenträgern verfügen ebenfalls über eindeutige Seriennummern.
Damit ein Lesegerät oder Adapter für tragbare Medien kompatibel mit Windows Media ist, muss dieses Gerät das Abrufen von Seriennummern der Medien unterstützen.
Der Dienst Seriennummern der tragbaren Medien ist auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert. Der Starttyp ist mit dem Wert Manuell konfiguriert, und der Dienst wird auf WMDM-Anforderung gestartet. Wenn der Dienst angehalten oder deaktiviert wird, besteht die Möglichkeit, dass geschützter Inhalt nicht an das Gerät übertragen und die Seriennummer nicht von tragbaren Mediengeräten abgerufen werden kann.
SFM-Druck-Server
Der Dienst SFM-Druck-Server ermöglicht Apple Macintosh-Clients die Weiterleitung von Druckaufträgen an eine Druckwarteschlange auf einem Computer, auf dem Windows Server 2003 ausgeführt wird. Außerdem ermöglicht dieser Dienst Windows Server 2003 Enterprise Edition die Kommunikation mit einem Drucker über das AppleTalk-Protokoll. Dieser Dienst ist standardmäßig nicht installiert.
Wenn der Dienst SFM-Druck-Server angehalten wird, können Macintosh AppleTalk-Clients keine Druckaufträge an Druckwarteschlangen auf Windows Server 2003-Computern weiterleiten.
Druckwarteschlange
Der Dienst Druckwarteschlange verwaltet alle lokalen Druckerwarteschlangen und Netzwerkdruckerwarteschlangen und steuert alle Druckaufträge. Der Dienst „Druckwarteschlange“ kommuniziert mit den Druckertreibern und den E/A-Komponenten (Eingabe/Ausgabe), wie z. B. dem USB-Port und der TCP/IP-Protokollsammlung. Außerdem ist er das Zentrum des Windows-Drucksubsystems. Der Dienst ist auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert und aktiviert.
Wenn der Dienst Druckwarteschlange angehalten wird, können Sie vom lokalen Computer keine Faxe senden oder drucken. Wenn der Dienst Druckwarteschlange auf einem Server angehalten wird, der Terminaldienste ausführt, wird die Systemstruktur der Registrierung langsam vergrößert, bis der Systemdatenträger überfüllt ist und der Server abstürzt. Dieses Problem ist darauf zurückzuführen, dass bei der Anmeldung von neuen Clients beim Server über Terminaldienste das System automatisch versucht, dem Druckeranschluss auf dem Server einen lokalen Drucker des Clients zuzuordnen, und dass diese Zuordnung in der Registrierung erfasst wird. Da der Dienst Druckwarteschlange bei Beendigung der Benutzersitzung für das Löschen aller Datensätze zuständig ist, wird keiner der nicht verwendeten Datensätze gelöscht, wenn der Dienst deaktiviert ist.
Darüber hinaus ist der Dienst Druckwarteschlange für die Ausführung der Printer Pruner-Funktion (Funktion für Druckerlöschung) von Active Directory erforderlich. Für das organisationsweite Funktionieren von Printer Pruner-Vorgängen und das nicht verwaltete Beseitigen von verwaisten Warteschlangen muss jeder Standort in der Organisation über mindestens einen Domänencontroller verfügen, auf dem der Dienst Druckwarteschlange ausgeführt wird. Wenn Sie diesen Dienst mit dem Wert Deaktiviert oder Manuell konfigurieren, wird er bei Einreichung von Druckaufträgen nicht automatisch gestartet.
Geschützter Speicher
Der Dienst Geschützter Speicher schützt den für wichtige Informationen (z. B. private Schlüssel) verwendeten Speicher und verhindert den Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer. Der Dienst bietet eine Gruppe von Softwarebibliotheken, mit denen Anwendungen Sicherheitsdaten und andere Informationen von einem persönlichen Speicherort abrufen können. Dabei bleiben die Implementierung und die Einzelheiten der Speicherung verborgen.
Der von diesem Dienst bereitgestellte Speicherort ist sicher und vor Änderungen geschützt. Zur Verschlüsselung des Hauptschlüssels des Benutzers verwendet der Dienst Geschützter Speicher den HMAC (Hash-Based Message Authentication Code) und die kryptografische Hashfunktion „SHA1“ (Secure Hash Algorithm 1). Diese Komponente muss nicht konfiguriert werden.
Der Dienst Geschützter Speicher wurde ursprünglich mit Windows 2000 eingeführt. Unter Windows XP und Windows Server 2003 wurde dieser Dienst durch DPAPI (Data Protection API) ersetzt. DPAPI ist der derzeit bevorzugte Dienst für geschützten Speicher. Im Gegensatz zu DPAPI wurde die Schnittstelle für den Dienst Geschützter Speicher nicht offen gelegt.
Wenn der Dienst Geschützter Speicher angehalten wird, sind private Schlüssel nicht mehr zugänglich, die Windows-Zertifikatdienste sowie S/MIME (Secure Multipurpose Internet Mail Extensions) und SSL sind nicht funktionsfähig, und es kann keine Smartcard-Anmeldung vorgenommen werden.
QoS-RSVP-Dienst
QoS (Quality of Service) ist ein branchenweiter Standard, der für die effizientere Nutzung von Netzwerkressourcen entwickelt wurde. Der Dienst ermöglicht es Clients und Servern, zwischen verschiedenem Datentypen zu unterscheiden und Prioritäten für den End-to-End-Netzwerkverkehr festzulegen. Die IETF (Internet Engineering Task Force) hat wesentlich dazu beigetragen, dass es allen betroffenen Netzwerkgeräten durch QoS-Standards ermöglicht wird, an der QoS-fähigen End-to-End-Verbindung teilzunehmen. Mit QoS können Anwendungen (oder Netzwerkadministratoren) Netzwerkressourcen (z. B. verfügbare Bandbreite und Wartezeiten) für lokale Computer und Geräte vorhersagen und über das Netzwerk verwalten.
Durch den QoS-RSVP-Dienst wird die QoS-Unterstützung von Windows implementiert. Der Dienst ist auf Windows XP-Computern standardmäßig installiert, nicht jedoch nicht auf Windows Server 2003-Computern. Bei Installation wird der Starttyp mit dem Wert Manuell konfiguriert. Wenn dieser Dienst deaktiviert oder deinstalliert wird, kann der Computer nicht an QoS-Verbindungen teilnehmen oder Ressourcenreservierungen für QoS-gesteuerte Bandbreite anfordern.
Verwaltung für automatische RAS-Verbindung
Der Dienst Verwaltung für automatische RAS-Verbindung erkennt fehlgeschlagene Verbindungsversuche mit einem Remotenetzwerk oder -computer und stellt alternative Verbindungsmethoden bereit. Wenn ein Programm nicht auf einen Remote-DNS- oder NetBIOS-Namen oder eine entsprechende Adresse verweisen kann oder wenn der Netzwerkzugriff nicht verfügbar ist, zeigt der Dienst ein Dialogfeld an, in dem Sie eine DFÜ- oder VPN-Verbindung mit dem Remotecomputer herstellen können.
Zur Unterstützung des Benutzers verwaltet der Dienst Verwaltung für automatische RAS-Verbindung eine lokale Datenbank mit den Verbindungen, die in der Vergangenheit zum Zugriff auf benannte Computer oder Freigaben verwendet wurden. Wenn durch den Dienst ein fehlgeschlagener Verbindungsversuch mit einem Remotecomputer oder eine Freigabe erkannt wird, bietet der Dienst an, die bei der letzten erfolgreichen Verbindungsherstellung mit diesem Remotegerät verwendeten Verbindungsdaten zu wählen. Dieser Dienst ist auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert. Der Starttyp wird jedoch mit dem Wert Manuell konfiguriert. Der Dienst wird bei Bedarf automatisch gestartet. Wenn der Dienst Verwaltung für automatische RAS-Verbindung deaktiviert wird, müssen Verbindungen mit Remotecomputern manuell hergestellt werden, sobald der Zugriff auf diese Computer erforderlich ist.
RAS-Verbindungsverwaltung
Der Systemdienst RAS-Verbindungsverwaltung verwaltet DFÜ- und VPN-Verbindungen zwischen Ihrem Computer und dem Internet oder anderen Remotenetzwerken. Wenn Sie im Ordner Netzwerkverbindungen auf eine Verbindung doppelklicken und auf die Schaltfläche Verbinden klicken, wird durch den Dienst RAS-Verbindungsverwaltung die Verbindung gewählt oder eine VPN-Verbindungsanforderung gesendet. Anschließend wird mit dem RAS-Server die Einrichtung der Verbindung ausgehandelt.
Der Dienst RAS-Verbindungsverwaltung wird automatisch beendet, wenn keine weiteren Anforderungen vorhanden sind. Der Ordner Netzwerkverbindungen ruft diesen Dienst auf, um eine Liste der Verbindungen und den Status für jede Verbindung anzuzeigen. Obwohl der Standardstartstatus mit dem Wert Manuell konfiguriert ist, wird dieser Dienst gestartet, wenn eine oder mehrere VPN- oder DFÜ-Verbindungen im Ordner Netzwerkverbindungen vorhanden sind.
Wenn der Dienst RAS-Verbindungsverwaltung angehalten oder deaktiviert wird, kann der Computer keine DFÜ- oder VPN-Verbindungen mit einem Remotenetzwerk herstellen und keine eingehenden Verbindungsanforderungen akzeptieren. Außerdem werden in diesem Fall im Ordner Netzwerkverbindungen keine VPN- oder DFÜ-Verbindungen angezeigt, und in den Internetoptionen der Systemsteuerung können Benutzer keine Optionen konfigurieren, die mit DFÜ- oder VPN-Verbindungen in Zusammenhang stehen.
Remoteverwaltungsdienst
Der Remoteverwaltungsdienst führt die folgenden Remoteverwaltungsaufgaben aus, wenn ein Server neu gestartet wird:
Erhöhen des Serverstartzählers
Erzeugen eines selbstsignierten Zertifikats
Ausgeben einer Warnung, wenn das Datum und die Uhrzeit nicht an den Server gesendet wurden
Ausgeben einer Warnung, wenn die Funktion für die Benachrichtigungs-E-Mail nicht konfiguriert wurde
Der Remoteverwaltungsdienst beginnt mit der Ausführung der jeweiligen Aufgaben, wenn eine entsprechende Anforderung vom Remoteserver-Manager über eine COM-Schnittstelle gesendet wird. Der Dienst wird über das lokale Systemkonto ausgeführt. Anforderungen auf der COM-Schnittstelle werden nur von Clients akzeptiert, die über das Administratorkonto oder das lokale Systemkonto ausgeführt werden.
Wenn der Remoteverwaltungsdienst mit dem Wert Manuell konfiguriert ist, wird er bei Aufruf durch den Dienst Remoteserver-Manager gestartet. Danach kann er ohne Auswirkungen auf die Serverfunktionalität angehalten werden. Dieser Dienst ist auf Windows Server 2003-Computern standardmäßig installiert und für den automatischen Start konfiguriert.
Wenn der Remoteverwaltungsdienst angehalten wird, werden einige Remoteverwaltungs-Programmfunktionen (z. B. die Webschnittstelle für Remoteverwaltung) möglicherweise nicht mehr ordnungsgemäß ausgeführt.
Sitzungs-Manager für Remotedesktophilfe
Der Dienst Sitzungs-Manager für Remotedesktophilfe verwaltet und steuert die Remoteunterstützungsfunktion in der Anwendung „Hilfe- und Supportcenter“ (Helpctr.exe). Der Dienst ist auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert. Er wird jedoch erst gestartet, wenn eine Remoteunterstützungsanforderung gesendet bzw. empfangen wird.
Wenn der Dienst Sitzungs-Manager für Remotedesktophilfe angehalten wird, sind die Remoteunterstützung und die Möglichkeit, über die Remoteunterstützung Hilfe anzufordern, nicht mehr verfügbar.
Remoteinstallation
Der Dienst Remoteinstallation ermöglicht die Installation von Windows 2000, Windows XP und Windows Server 2003 auf remotestartfähigen Clientcomputern in einer PXE-Umgebung (Pre-Boot Execution Environment). Beim BINL-Dienst (Boot Information Negotiation Layer) (BINL) handelt es sich um die primäre Komponente der Remoteinstallationsdienste (Remote Installation Services, RIS), die Antworten an PXE-Clients sendet, die Clientberechtigung in Active Directory überprüft und Clientinformationen an den Server übergibt bzw. diese vom Server abruft. Der BINL-Dienst wird installiert, wenn die RIS-Komponente über „Windows-Komponenten hinzufügen/entfernen“ hinzugefügt oder dieser Dienst bei der ersten Installation des Betriebssystems ausgewählt wurde.
RIS ist eine Windows-Bereitstellungsfunktion, die in den Betriebssystemen der Windows Server 2003-Produktfamilie verfügbar ist. Mit RIS können bedarfsabhängige, abbild- oder skriptbasierte Betriebsysteminstallationen über eine Netzwerkverbindung von einem RIS-Server aus auf einem Clientcomputer ausgeführt werden. Mit RIS wird die Bereitstellung von Betriebssystemen und Anwendungen vereinfacht und die Wiederherstellbarkeit nach Fehlern verbessert.
Es gibt verschiedene Verwendungsmöglichkeiten für RIS:
Bereitstellen eines Betriebssystems für Benutzer bei Bedarf. Sie können RIS verwenden, um automatisierte Installationsabbilder von den Betriebssystemen der Windows Server 2003-Produktfamilie, von Windows XP und von Windows 2000 zu erstellen. Wenn ein Benutzer einen Clientcomputer startet, kann der RIS-Server selbst dann antworten, wenn der Clientcomputer über kein Betriebssystem verfügt. Dazu wird ein Betriebssystem über das Netzwerk installiert, ohne dass eine CD erforderlich wäre. Damit diese Funktion unterstützt wird, müssen Clientcomputer die PXE-Umgebung über den Netzwerkadapter verwenden.
Bereitstellen von Betriebssystemabbildern, die bestimmte Einstellungen und Anwendungen enthalten, z. B. ein Abbild, das bestimmte Desktopstandards der Organisation erfüllt. Einer bestimmten Gruppe von Benutzern können die Abbilder bzw. das Abbild angeboten werden, die bzw. das Sie für diese Gruppe vorgesehen haben.
Der Remoteinstallationsdienst ist standardmäßig nicht installiert. Wenn der Dienst installiert und dann angehalten wird, können PXE-fähige Clientcomputer Windows nicht mehr über eine Remoteverbindung installieren oder andere RIS-basierte Programme auf dem Computer verwenden.
Remoteprozeduraufruf (RPC)
Der Microsoft-Dienst Remoteprozeduraufruf (RPC) ist eine Funktion zur sicheren prozessübergreifenden Kommunikation, die den Datenaustausch sowie den Aufruf von Funktionen ermöglicht, die Bestandteil unterschiedlicher Prozesse sind. Die verschiedenen Prozesse können sich auf demselben Computer, im LAN oder im Internet befinden. Der Dienst Remoteprozeduraufruf (RPC) dient als RPC-Endpunktzuordnung und als COM-Dienststeuerungs-Manager. Der RPC-Dienst ist für das erfolgreiche Starten von über 50 Diensten erforderlich.
Der Dienst Remoteprozeduraufruf (RPC) kann nicht angehalten oder deaktiviert werden. Wenn dieser Dienst nicht verfügbar ist, wird das Betriebssystem nicht geladen.
RPC-Locator
Der Dienst RPC-Locator ermöglicht RPC-Clients, die die RpcNs*-APIs verwenden, die Suche nach RPC-Servern. Außerdem verwaltet er die RPC-Namensdienstdatenbank. Dieser Dienst ist standardmäßig deaktiviert und wird nur von wenigen Anwendungen verwendet, die nach der Veröffentlichung von Windows 95 entwickelt wurden.
Weitere Informationen zu RpcNs-APIs finden Sie in den SDK-Informationen, die über den Link „MSDN Library“ auf der Seite Web-Ressourcen (in englischer Sprache) unter www.microsoft.com/windows/reskits/webresources abgerufen werden können.
Wenn der Dienst RPC-Locator angehalten oder deaktiviert wird, können RPC-Clients, die RPC-Dienste auf anderen Computern suchen müssen, die entsprechenden Server u. U. nicht finden. Es kann auch sein, dass die RPC-Clients nicht gestartet werden können. RPC-Clients, die RpcNs*-APIs desselben Computers verwenden, können in diesem Fall möglicherweise keine RPC-Server finden, die eine bestimmte Schnittstelle unterstützen. Wenn der Dienst angehalten oder auf dem Domänencontroller deaktiviert wird, können während der Suche nach Clients Funktionsstörungen bei den RPC-Clients auftreten, die die RpcNs*-APIs und den Domänencontroller verwenden. RpcNs*-APIs werden nicht intern unter Windows verwendet. Sie müssen diesen Dienst nur starten, wenn Anwendungen von Drittanbietern dies erfordern.
Remoteregistrierungsdienst
Der Remoteregistrierungsdienst ermöglicht Remotebenutzern, die über die entsprechenden Berechtigungen verfügen, das Ändern der Registrierungseinstellungen auf dem Domänencontroller. Dieser Dienst wird auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert und automatisch ausgeführt. Die Standardkonfiguration des Dienstes ermöglicht Administratoren und Sicherungs-Operatoren jedoch nur den Remotezugriff auf die Registrierung. Dieser Dienst ist für das Dienstprogramm Microsoft Baseline Security Analyzer (MBSA) erforderlich. Das Dienstprogramm MBSA ist ein Tool, mit dem Sie überprüfen können, welche Patches auf jedem Server in der Organisation installiert sind.
Wenn der Remoteregistrierungsdienst angehalten wird, kann nur die Registrierung auf dem lokalen Computer geändert werden. Die Deaktivierung dieses Dienstes hat zur Folge, dass alle Dienste, die explizit von diesem Dienst abhängig sind, nicht gestartet werden können. Dies hat jedoch keine Auswirkungen auf Registrierungsvorgänge auf Ihrem lokalen Computer. Andere Computer oder Geräte können allerdings keine Verbindung mehr mit der Registrierung des lokalen Computers herstellen.
Remoteserver-Manager
Der Dienst Remoteserver-Manager bietet folgende Funktionen:
Speichern der Warninformationen der Remoteverwaltung
Bereitstellen einer Schnittstelle zum Ausgeben, Löschen und Auflisten von Warnungen der Remoteverwaltung
Bereitstellen einer Schnittstelle zum Ausführen von Remoteverwaltungsaufgaben
Der Dienst Remoteserver-Manager ist auf Windows Server 2003-Computern standardmäßig installiert und für den automatischen Start konfiguriert. Der Dienst dient als WMI-Instanzanbieter für Remoteverwaltungs-Warnobjekte und als WMI-Methodenanbieter für Remoteverwaltungsaufgaben. Der Dienst wird über das lokale Systemkonto ausgeführt. Anforderungen auf der COM-Schnittstelle werden nur von Clients akzeptiert, die über das Administratorkonto oder das lokale Systemkonto ausgeführt werden.
Wenn der Dienst Remoteserver-Manager mit dem Wert Manuell konfiguriert ist, wird er bei Erhalt der nächsten Anforderung für Remoteverwaltungsaufgaben oder Remoteverwaltungswarnungen gestartet. Wenn der Dienst angehalten wird, wird er beim Zugriff auf die Webschnittstelle für Remoteverwaltung neu gestartet. Wenn dieser Dienst deaktiviert wird, können alle explizit von diesem Dienst abhängigen Dienste nicht gestartet werden. Darüber hinaus gehen bei Deaktivierung dieses Dienstes alle Informationen zu aktuellen Remoteverwaltungswarnungen verloren.
Remote Server Monitor
Der Dienst Remote Server Monitor überwacht wichtige Computerressourcen und verwaltet optionale Überwachungszeitgeberhardware auf Servern, die von einem Remotestandort aus verwaltet werden.
Wenn der Dienst Remote Server Monitor angehalten wird, werden wichtige Computerressourcen nicht mehr überwacht, und der Hardwareüberwachungszeitgeber wird angehalten.
Remotespeicher-Benachrichtigungsdienst
Der Remotespeicher-Benachrichtigungsdienst benachrichtigt den Benutzer, wenn ein Benutzerprogramm versucht, Dateien zu lesen oder in Dateien zu schreiben, die nur auf einem sekundären Speichermedium verfügbar sind. Da für den Zugriff auf eine auf Band übertragene Datei eine größere Zeitspanne notwendig ist, benachrichtigt der Remotespeicher-Benachrichtigungsdienst den Benutzer, sobald versucht wird, eine solche Datei zu lesen. Der Dienst ermöglicht dem Benutzer auch, die Anforderung zurückzuziehen, anstatt zu warten.
Der Remotespeicher-Benachrichtigungsdienst ist auf Windows XP- und Windows Server 2003-Computern standardmäßig nicht installiert. Wenn dieser Dienst angehalten wird, erhalten Sie beim Versuch, Offlinedateien zu öffnen, keine zusätzliche Benachrichtigung. Sie können dann auch keine Vorgänge abbrechen, an denen Offlinedateien beteiligt sind.
Remotespeicherserver
Der Dienst Remotespeicherserver speichert selten verwendete Dateien auf einem sekundären Speichermedium. Dieser Dienst ermöglicht die Benachrichtigung des Benutzers über das Remotespeichersubsystem in Windows, wenn auf eine Offlinedatei zugegriffen wird.
Remotespeicher ist eine hierarchisch aufgebaute Speicherverwaltungsanwendung, die Daten aus einem übergeordneten Speicher in einen untergeordneten Speicher verschiebt. Der übergeordnete Speicher wird im Allgemeinen als lokaler Speicher bezeichnet. Daten, auf die häufig zugegriffen wird, werden lokal auf Hochleistungsdatenträgern gespeichert. Der untergeordnete Speicher wird auch als Remotespeicher bezeichnet. Daten, auf die nur selten zugegriffen wird, werden bis zur erneuten Verwendung auf kostengünstigeren Medien gespeichert. Durch eine hierarchische Speicherverwaltung werden die Kosten zum Speichern großer Datenmengen verringert. Gleichzeitig wird sichergestellt, dass auf die Daten jederzeit zugegriffen werden kann.
Der Dienst Remotespeicherserver wird als Bestandteil der Remotespeicherkomponente von Windows installiert. Diese Komponente muss manuell installiert werden. Bei Installation wird der Dienst für die automatische Ausführung konfiguriert. Wenn dieser Dienst angehalten wird, können Dateien auf dem sekundären Speichermedium nicht verschoben oder abgerufen werden.
Wechselmedien
Der Dienst Wechselmedien verwaltet und katalogisiert Wechselmedien und steuert automatisierte Wechselmediengeräte. Dieser Dienst verwaltet einen Katalog mit Identifizierungsinformationen für die von Ihrem Computer verwendeten Wechselmedien, einschließlich Bändern und CDs. Wenn der Computer außerdem über automatisierte Geräte zum Verwalten von Wechselmedien verfügt (z. B. einen Band-Autoloader oder eine CD-Jukebox) werden durch den Dienst Wechselmedien auch die Medienfunktionen zum Bereitstellen, zum Aufheben der Bereitstellung und zum Auswerfen der Medien automatisiert. Anwendungen wie „Sicherung“ und „Remotespeicher“ verwenden diesen Dienst zur Katalogisierung und Automatisierung von Medien. Alles in Allem werden durch diesen Dienst Medien bezeichnet und überwacht sowie Bibliothekslaufwerke, -steckplätze und -türen gesteuert. Darüber hinaus werden Reinigungsvorgänge für Laufwerke ermöglicht.
Der Dienst Wechselmedien ist auf Windows Server 2003- und Windows XP-Computern standardmäßig installiert. Der Dienst ist standardmäßig so konfiguriert, dass er nur ausgeführt wird, wenn Wechselmedienzugriff von einem Programm auf dem lokalen Computer angefordert wird. Wenn dieser Dienst angehalten wird, können die von diesem Dienst abhängigen Anwendungen (z. B. Sicherung und Remotespeicher) nur verlangsamt ausgeführt werden. Wenn keine zu verarbeitenden Objekte vorhanden sind, wird Dienst Wechselmedien deaktiviert. Wenn keine automatisierten Geräte am Computer angeschlossen sind, wird der Dienst nur ausgeführt, wenn Anwendungen diesen Dienst verwenden. Daher muss der Dienst nicht angehalten werden. Bei einem Start unter diesen Bedingungen muss der Wechselmedien-Manager häufig eine Bestandsaufnahme aller Inhalte der angeschlossenen Autoloader und Jukeboxes durchführen. Hierzu muss jedes Medium in einem Laufwerk bereitgestellt werden.
Anbieter des Richtlinienergebnissatzes
Der Dienst Anbieter des Richtlinienergebnissatzes ermöglicht eine Verbindung mit einem Windows Server 2003-Domänencontroller, den Zugriff auf die WMI-Datenbank für diesen Computer und die Simulation des Richtlinienergebnissatzes (RSoP, Resultant Set of Policy) für die Gruppenrichtlinieneinstellungen. Die Richtlinieneinstellungen werden für einen Benutzer oder Computer in Active Directory festgelegt. Diese Simulation wird häufig als Planungsmodus bezeichnet.
Der Dienst Anbieter des Richtlinienergebnissatzes ist auf Windows Server 2003-Computern standardmäßig installiert. Der Starttyp ist jedoch mit dem Wert Manuell konfiguriert. Wenn dieser Dienst angehalten wird, steht die Simulation des Richtlinienergebnissatzes im Planungsmodus auf dem Domänencontroller nicht mehr zur Verfügung. RSoP muss nur auf Domänencontrollern ausgeführt werden. Mitgliedsserver und Arbeitsstationen müssen diesen Dienst nicht ausführen, um die Funktion verwenden zu können.
Routing und RAS
Der Dienst Routing und RAS bietet Multiprotokoll-Routingdienste für LAN-zu-LAN, LAN-zu-WAN, VPN und NAT. Zusätzlich ermöglicht dieser Dienst DFÜ-Dienste und VPN-RAS-Dienste.
Der Dienst Routing und RAS ersetzt die RRAS-Funktion (Routing and Remote Access Service) und die RAS-Funktion (Remote Access Service) unter Windows NT 4.0. Beim Dienst Routing und RAS handelt es sich um einen einzelnen integrierten Dienst, der DFÜ- oder VPN-Clientverbindungen beendet und IP-Routing, IPX-Routing und Dienstrouting für Macintosh bereitstellt. Mit diesem Dienst kann ein Server als RAS-Server, VPN-Server, Gateway oder Zweigstellenrouter verwendet werden.
Für das Routing unterstützt der Dienst Routing und RAS die Routingprotokolle OSPF (Open Shortest Path First) und RIP (Routing Information Protokoll) und steuert die Routingtabellen für die TCP/IP-Stapelweiterleitung.
Der Dienst Routing und RAS ist auf Windows Server 2003-Computern standardmäßig installiert. Er ist standardmäßig deaktiviert. Wenn dieser Dienst angehalten wird, kann Ihr Computer keine eingehenden RAS-, VPN- oder Dial-on-Demand-Verbindungen annehmen, und die Routingprotokolle werden nicht empfangen oder übertragen.
SAP-Agent
Der Dienst SAP-Agent kündigt Netzwerkdienste in einem IPX-Netzwerk über das IPX-SAP (IPX Service Advertising Protocol) an. Außerdem werden Ankündigungen auf mehrfach vernetzten Hosts weitergeleitet. Für einige Funktionen (z. B. Datei- und Druckdienste für NetWare von Microsoft) ist dieser Dienst erforderlich.
Der Dienst SAP-Agent erfordert die Installation des NWLINK IPX/SPX-kompatiblen Transportprotokolls und ist standardmäßig nicht installiert bzw. nicht aktiviert. Wenn dieser Dienst deaktiviert ist, werden die entsprechenden Funktionen möglicherweise nicht ordnungsgemäß ausgeführt.
Sekundäre Anmeldung
Der Dienst Sekundäre Anmeldung ermöglicht dem Benutzer das Erstellen von Prozessen im Kontext unterschiedlicher Sicherheitsprinzipale. Dieser Dienst wird häufig von Administratoren verwendet, die sich als Benutzer mit eingeschränktem Zugriff anmelden, eine bestimmte Anwendung jedoch nur mit Administratorrechten ausführen können. In diesem Fall können die entsprechenden Anwendungen mit einer sekundären Anmeldung temporär ausgeführt werden.
Eine weitere Komponente des Dienstes Sekundäre Anmeldung ist RunAs.exe. Damit können Sie Programme (*.exe-Dateien), gespeicherte MMC-Konsolen (*.msc-Dateien), Verknüpfungen zu Programmen und gespeicherten MMC-Konsolen sowie Systemsteuerungselemente als Administrator ausführen, während Sie bei Ihrem Computer als Mitglied einer anderen Gruppe (z. B. der Gruppe Benutzer) angemeldet sind. Unter Windows 2000 wird dieser Dienst RunAs genannt.
Der Dienst Sekundäre Anmeldung wird auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert und automatisch ausgeführt. Wenn der Dienst angehalten oder deaktiviert wird, kann kein Zugriff über eine solche Anmeldung erfolgen. Sämtliche Aufrufe an die CreateProcessWithLogonW-API schlagen fehl. Insbesondere können beim Anhalten oder bei Deaktivierung dieses Dienstes das MMC-Snap-In für den Start von Anwendungen als anderer Benutzer und das Tool RunAs.exe nicht mehr ordnungsgemäß ausgeführt werden.
Sicherheitskontenverwaltung
Der Dienst Sicherheitskontenverwaltung ist ein geschütztes Subsystem, das Benutzer- und Gruppenkonteninformationen verwaltet. Unter Windows 2000 und in der Windows Server 2003-Produktfamilie werden Sicherheitskonten für Arbeitsstationen vom Dienst in der Registrierung des lokalen Computers gespeichert. Sicherheitskonten für Domänencontroller werden in Active Directory gespeichert. Unter Windows NT 4.0 werden sowohl die lokalen Sicherheitskonten als auch die Domänensicherheitskonten in der Registrierung gespeichert.
Der Start des Dienstes Sicherheitskontenverwaltung signalisiert anderen Diensten, dass der Dienst zur Anforderungsannahme bereit ist.
Der Dienst Sicherheitskontenverwaltung ist unter allen Versionen von Windows XP und Windows Server 2003 vorhanden und kann nicht angehalten werden. Wenn Sie diesen Dienst deaktivieren, werden andere Dienste auf dem Computer möglicherweise nicht ordnungsgemäß gestartet. Deaktivieren Sie diesen Dienst nicht.
Sicherheitscenter
Der Dienst Sicherheitscenter bietet einen zentralen Speicherort zur Verwaltung von sicherheitsbezogenen Einstellungen für Computer, auf denen Windows XP mit SP2 ausgeführt wird. Er ist standardmäßig für die automatische Ausführung konfiguriert. Bei Ausführung werden folgende Aufgaben durchgeführt:
Überprüfen, ob der Dienst Windows-Firewall ausgeführt wird und bestimmte WMI-Drittanbieter abfragt, um festzustellen, ob kompatible Softwarefirewallanwendungen vorhanden sind und ausgeführt werden.
Abfragen von bestimmten WMI-Drittanbietern, um festzustellen, ob kompatible Antivirensoftware installiert wurde, ob die Software aktuell ist und ob der Echtzeitscanvorgang aktiviert ist.
Überprüfen der Konfiguration des Dienstes Automatische Updates. Wenn der Dienst Automatische Updates deaktiviert oder nicht gemäß der empfohlenen Einstellungen konfiguriert ist, informiert der Dienst Sicherheitscenter den Benutzer.
Wenn der Dienst Sicherheitscenter feststellt, dass eine geschützte Komponente fehlt, falsch konfiguriert wurde oder veraltet ist, wird der Benutzer über eine Warnmeldung bei der Anmeldung und über ein Symbol im Infobereich der Taskleiste darüber in Kenntnis gesetzt.
Wenn Sie den Dienst Sicherheitscenter deaktivieren, werden die geschützten Komponenten weiterhin gemäß der jeweiligen Konfigurationeneinstellungen ausgeführt. Es wird jedoch kein zentraler Überwachungsdienst bereitgestellt.
Server
Der Dienst Server bietet RPC-Unterstützung sowie Datei-, Druck- und Named Pipes-Freigaben über das Netzwerk. Er ermöglicht die Freigabe lokaler Ressourcen (z. B. Datenträger und Drucker), damit andere Benutzer im Netzwerk darauf zugreifen können. Er ermöglicht außerdem die Named Pipe-Kommunikation zwischen Anwendungen, die auf anderen Computern ausgeführt werden, und Ihrem Computer, der für die RPC-Unterstützung verwendet wird. Bei der Named Pipe-Kommunikation handelt es sich um Speicher, der für die Ausgabe eines Prozesses reserviert ist, der als Eingabe für einen anderen Prozess verwendet werden soll. Der Prozess, der die Eingabe akzeptiert, muss nicht lokal auf dem Computer vorhanden sein. Dieser Dienst wird auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert und automatisch gestartet.
Wenn der Dienst Server angehalten oder deaktiviert wird, können lokale Dateien und Drucker auf diesem Computer nicht für andere Computer im Netzwerk freigegeben werden. Darüber hinaus kann der Computer keine RPC-Anforderungen verarbeiten.
Shellhardwareerkennung
Der Dienst Shellhardwareerkennung überwacht AutoPlay-Hardwareereignisse und zeigt entsprechende Benachrichtigungen an. AutoPlay erkennt Bilder-, Musik- oder Videodateien auf Wechselmedien und -geräten. Anschließend werden automatisch Anwendungen zur Wiedergabe oder Anzeige des Inhalts gestartet. Dadurch wird die Verwendung von bestimmten Peripheriegeräten (z. B. MP3 Player und digitale Fotolesegeräte) vereinfacht. Außerdem vereinfacht dieser Dienst den Zugriff für Benutzer, denen die einzelnen Softwareanwendungen für die verschiedenen Inhaltstypen nicht bekannt sind.
AutoPlay unterstützt verschiedenste Medientypen und Anwendungen. Sowohl unabhängige Hardware- als auch Softwarehersteller können diese Unterstützung erweitern, indem sie ihre Hardwaregeräte und Anwendungen hinzufügen. Benutzer können für sämtliche Kombinationen von Bildern, Musikdateien oder Videos eine andere AutoPlay-Aktion konfigurieren.
Zu den von AutoPlay unterstützten Medien und Gerätetypen zählen:
Wechselspeichermedien
Flash-Medien
PC-Karten
Externe Hot-Plug-USB- oder 1394-Festplattenlaufwerke
Unterstützte Inhaltstypen, wie z. B. folgende:
Bilddateien (.jpg-, .bmp-, .gif- und .tif-Dateien)
Musikdateien (.mp3- und .wma-Dateien)
Videodateien (.mpg- und .asf-Dateien)
Der Dienst Shellhardwareerkennung wird auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert und automatisch ausgeführt. Wenn der Dienst angehalten wird, ist die Hardware-AutoPlay-Funktionalität nicht mehr verfügbar. Arbeitsplatzsymbole und Bezeichnungen werden auf die Windows 2000-Funktionalität zurückgesetzt. Dadurch wird auch die Shellleistung beeinträchtigt.
SMTP (Simple Mail Transport Protocol)
Der Dienst SMTP (Simple Mail Transport Protocol) ist ein Dienst zum Senden von E-Mail-Nachrichten, der als Relay-Agent fungiert. Er kann für Remotesysteme bestimmte E-Mail-Nachrichten annehmen und in eine Warteschlange stellen. Darüber hinaus stellt der Dienst in vorgegebenen Intervallen Verbindungen mit anderen Computern her. Windows-Domänencontroller verwenden den SMTP-Dienst für die standortübergreifende E-Mail-basierte Replikation. Darüber hinaus können die CDOs (Collaboration Data Objects) für die Windows Server 2003 COM-Komponente diesen Dienst verwenden, um ausgehende E-Mails zu übermitteln und in Warteschlangen zu stellen.
Der SMTP-Dienst wird unter Windows Server 2003 Web Edition standardmäßig installiert und ausgeführt. Unter Windows XP und anderen Windows Server 2003-Versionen ist der Dienst eine optionale Komponente und wird nicht standardmäßig installiert.
Einfache TCP/IP-Dienste
Durch Einfache TCP/IP-Dienste wird die Unterstützung der folgenden Protokolle und Ports implementiert:
Echo, Port 7, RFC 862
Discard, Port 9, RFC 863
Zeichengenerator, Port 19, RFC 864
Daytime, Port 13, RFC 867
Zitat des Tages, Port 17, RFC 865
Durch Aktivierung von Einfache TCP/IP-Dienste werden alle fünf Protokolle auf sämtlichen Adaptern aktviert. Eine selektive Aktivierung bestimmter Dienste oder die Aktivierung des Dienstes pro Adapter ist nicht möglich.
Wenn Einfache TCP/IP-Dienste angehalten oder deaktiviert wird, hat das keine Auswirkungen auf das restliche Betriebssystem. Dieser Dienst muss manuell installiert werden. Der Dienst sollte nur installiert werden, wenn auf dem Computer die Kommunikation mit anderen Computern unterstützt werden muss, die die erwähnten Protokolle verwenden.
SIS-Groveler
Der Dienst SIS-Groveler (Single Instance Storage Groveler) ist ein integraler Bestandteil des Remoteinstallationsdienstes (RIS). Dieser Dienst durchsucht den RIS-Datenträger nach doppelten Dateien, um den Gesamtspeicherplatz zu verringern, der auf dem Datenträger erforderlich ist. Wenn doppelte Dateien vorhanden sind, wird die ursprüngliche Datei im SIS gespeichert und durch eine Verknüpfungsdatei ersetzt. Die Verknüpfungsdatei enthält Informationen über die ursprüngliche Datei, etwa den aktuellen Speicherort, die Größe und Attribute. Wenn ein Abbild doppelte Dateien enthält, werden diese in den Speicher kopiert. Dadurch wird auf dem RIS-Server weniger Speicherplatz benötigt.
Der Dienst SIS-Groveler unterliegt zwei Einschränkungen.
Eine Ausführung für Dateien, die über Abzweigungspunkte zugewiesen sind, ist nicht möglich.
Eine Ausführung ist lediglich mit dem einzigen auf RIS-Servern unterstützten Dateisystem NTFS möglich.
Der Dienst SIS-Groveler ist nur vorhanden, wenn die Remoteinstallationsdienste installiert wurden. In diesem Fall wird er automatisch beim Systemstart gestartet. Wenn der Dienst SIS-Groveler angehalten wird, können Dateien nicht mehr automatisch auf diese Weise verknüpft werden. Auf die bereits verknüpften Dateien kann jedoch weiterhin zugegriffen werden. Neue RIS-Installationsabbilder beanspruchen die vollständige Abbildgröße und somit sehr viel Speicherplatz. Wenn der Dienst SIS-Groveler auf dem Computer nicht mehr erforderlich ist, sollte er deaktiviert werden, indem Sie über die Option „Windows-Komponenten hinzufügen/entfernen“ die Remoteinstallationsdienste entfernen.
Smartcard
Der Dienst Smartcard verwaltet und steuert den Zugriff auf eine Smartcard, die in ein am Computer angeschlossenen Smartcard-Lesegerät eingelegt ist. Das Smartcard-Subsystem basiert auf Konsortialstandards für Computer und Smartcards und besteht aus der Ressourcen-Manager-Komponente für die Zugriffsverwaltung bei Lesegeräten und Smartcards. Zur Verwaltung dieser Ressourcen, führt der Ressourcen-Manager folgende Funktionen aus:
Identifizieren und Verfolgen von Ressourcen
Zuweisen von Lesegeräten und Ressourcen für mehrere Anwendungen
Unterstützen von Transaktionsprimitiven für den Zugriff auf Dienste, die auf einer bestimmten Karte verfügbar sind
Außerdem legt der Ressourcen-Manager einen Teil der Win32 API offen, um Anwendungen den Zugriff auf eine Benutzeroberfläche für die Auswahl von Karten/Lesegeräten zu ermöglichen. Diese Komponente ermöglicht einfachen Smartcard-kompatiblen Anwendungen den Zugriff auf Karten und Lesegeräte mit minimalem Programmieraufwand.
Der Dienst Smartcard ist auf Windows XP- und Windows Server 2003-Computern standardmäßig und automatisch installiert. Der Starttyp wird mit dem Wert Manuell konfiguriert. Der Dienst wird gestartet, wenn eine Anwendung den Smartcardzugriff anfordert. Wenn dieser Dienst angehalten wird, können Smartcards vom Computer nicht gelesen werden.
SNMP-Dienst
Der SNMP-Dienst ermöglicht die Bearbeitung von eingehenden SNMP-Anforderungen (Simple Network Management Protocol) durch den lokalen Computer. Dieser Dienst enthält Agenten, die Netzwerkgeräteaktivitäten überwachen und der Netzwerkkonsolen-Arbeitsstation Berichte senden. Außerdem steht mit dem Dienst eine Methode zur Verfügung, mit der Netzwerkhosts (z. B. Arbeitsstationen, Servercomputer, Router, Bridges und Hubs) von einem zentralen Computer mit Netzwerkverwaltungssoftware verwaltet werden können. SNMP führt Verwaltungsdienste über eine verteilte Architektur aus, die aus Verwaltungscomputern und Agenten besteht.
Mittels SNMP können folgende Aufgaben ausgeführt werden:
Konfigurieren von Remotegeräten. Die Konfigurationsinformationen können vom Verwaltungscomputer an jeden Netzwerkhost gesendet werden.
Überwachen der Netzwerkleistung. Die Verarbeitungsgeschwindigkeit und der Netzwerksdurchsatz können überwacht und Informationen zum Erfolg von Datenübertragungen können gesammelt werden.
Erkennen von Netzwerkfehlern oder unzulässigem Zugriff. Netzwerkgeräte können so konfiguriert werden, dass beim Auftreten bestimmter Ereignisse Alarm ausgelöst wird. Wenn ein Alarm ausgelöst wird, leitet das Gerät eine Ereignismeldung an den Verwaltungscomputer weiter. Die häufigsten Alarmtypen umfassen das Herunterfahren und Neustarten eines Gerätes, Verknüpfungsfehler auf einem Router und unzulässigen Zugriff.
Überwachen der Netzwerknutzung. Es können sowohl die Gesamtnutzung des Netzwerks zur Identifizierung von Benutzer- oder Gruppenzugriff als auch verschiedene Nutzungsarten für Netzwerkgeräte und -dienste überwacht werden.
Der SNMP-Dienst enthält außerdem einen SNMP-Agenten, der eine zentralisierte Remoteverwaltung von Computern ermöglicht, auf denen folgende Windows-Betriebssystemversionen ausgeführt werden:
Windows XP Home Edition
Windows XP Professional
Windows 2000 Professional
Windows 2000 Server
Windows Server 2003-Produktfamilie
Mithilfe des SNMP-Agenten können außerdem folgende Dienste verwaltet werden:
WINS, der auf Windows XP oder der Windows Server 2003-Produktfamilie und Windows 2000 basiert.
DHCP, der auf Windows XP oder der Windows Server 2003-Produktfamilie und Windows 2000 basiert.
Internet Information Services, der auf Windows XP oder der Windows Server 2003-Produktfamilie und Windows 2000 basiert.
LAN Manager
Der SNMP-Dienst wird nur installiert, wenn Sie die optionale SNMP-Komponente mithilfe des Assistenten für Windows-Komponenten manuell installieren. Bei Installation wird der Dienst automatisch gestartet. Wenn der SNMP-Dienst angehalten oder deaktiviert wird, kann der Computer nicht mehr auf SNMP-Anforderungen reagieren. Wenn der Computer mit Netzwerkverwaltungsprogrammen überwacht wird, die auf SNMP basieren, können diese Programme keine Computerdaten mehr sammeln und die Computerfunktionen nicht mehr über den Dienst steuern.
SNMP-Trap-Dienst
Der SNMP-Trap-Dienst empfängt Trap-Nachrichten, die von lokalen SNMP-Agenten oder von SNMP-Remoteagenten erzeugt wurden und Informationen zu bestimmten Ereignissen enthalten. Der Dienst leitet die Nachrichten an SNMP-Verwaltungsprogramme auf Ihrem Computer weiter. Sofern der SNMP-Dienst für einen Agenten konfiguriert ist, werden Trap-Nachrichten bei Eintreten eines bestimmten Ereignisses erzeugt. Diese Nachrichten werden dann an ein Trapziel gesendet. Ein Agent kann z. B. so konfiguriert sein, dass er einen Authentifizierungstrap startet, wenn ein unbekannter Verwaltungscomputer eine Informationsanforderung sendet. Trapziele bestehen aus dem Computernamen, der IP-Adresse oder der IPX-Adresse des Verwaltungscomputers. Das Trapziel muss ein netzwerkfähiger Host sein, auf dem SNMP-Verwaltungssoftware ausgeführt wird. Trapziele können von Benutzern konfiguriert werden. Die Ereignisse, die eine Trapnachricht erzeugen (z. B. der Neustart eines Computers), werden jedoch intern vom SNMP-Agenten definiert.
Der SNMP-Trap-Dienst wird nur installiert, wenn Sie die optionale SNMP-Komponente über den Assistenten für Windows-Komponenten manuell installieren. Bei Installation wird der Dienst automatisch gestartet. Wenn der SNMP-Trap-Dienst angehalten oder deaktiviert wird, empfangen SNMP-basierte Programme auf dem Computer keine Trapnachrichten von anderen Computern. Wenn dieser Computer Netzwerkgeräte oder Serveranwendungen mit SNMP-Traps überwacht, gehen wichtige Computerereignisse verloren.
Hilfsprogramm für spezielle Verwaltungskonsole (SAC)
Mit dem Dienst Hilfsprogramm für spezielle Verwaltungskonsole (SAC) können Remoteverwaltungsaufgaben auf Computern mit einer Version von Windows Server 2003 ausgeführt werden, wenn die Computerfunktionen aufgrund einer Abbruchfehlermeldung angehalten wurden. Die Windows-Komponente der Notverwaltungsdienste unterstützt zwei Out-of-Band-Konsolenschnittstellen: die spezielle Verwaltungskonsole (Special Administration Console, SAC) sowie !SAC. (!SAC bietet einen Teil der SAC-Befehle, die verwendet werden können, wenn der Server angehalten wurde.)
Sowohl für die SAC- als auch für die !SAC-Komponente werden Eingaben über den Out-of-Band-Port akzeptiert und Ausgaben über diesen Port gesendet. SAC ist eine separate Einheit in Bezug auf die Befehlszeilenumgebungen von !SAC und der Windows Server 2003-Produktfamilie. Wenn ein bestimmter Fehlerpunkt erreicht ist, legen Komponenten der Notverwaltungsdienste fest, zu welchem Zeitpunkt von SAC auf !SAC übergegangen werden sollte. !SAC ist automatisch verfügbar, sobald SAC nicht mehr geladen werden kann oder nicht mehr funktioniert. Der Dienst Hilfsprogramm für spezielle Verwaltungskonsole (SAC) ermöglicht es, über die Eingabeaufforderung Kanäle für eingehende Kommunikation zu erstellen. Dieser Dienst ist nur auf Windows Server 2003-Computern installiert. Außerdem erfolgt die Installation nur, wenn zuvor die Funktion der Notverwaltungsdienste aktiviert wurde. (Dieser Vorgang wird in der Dokumentation zu Windows Server 2003 beschrieben.)
Wenn der Dienst Hilfsprogramm für spezielle Verwaltungskonsole (SAC) angehalten wird, sind die SAC-Dienste nicht mehr verfügbar.
SQLAgent$* (* UDDI oder WebDB)
Der Dienst SQLAgent$* (* UDDI oder WebDB) ist ein Auftragsplanungs- und Überwachungsdienst. Dieser Dienst wird für die Übertragung von Informationen zwischen SQL-Servern und für Sicherungen und Replikationen verwendet. Der Dienst ist standardmäßig nicht installiert bzw. nicht aktiviert.
Wenn der Dienst SQLAgent$* (* UDDI oder WebDB) angehalten wird, findet keine SQL-Replikation statt. Darüber hinaus werden alle geplanten Aufträge und die Warnungs-/Ereignisüberwachung unterbrochen, und die Funktion für den automatischen Neustart des SQL Server-Dienstes ist nicht mehr verfügbar .
SSDP-Suchdienst
Der in Windows XP enthaltene Dienst „Host für universelles Plug & Play“ unterstützt die Plug & Play-Funktionalität für Netzwerkgeräte auf Peer-to-Peer-Basis. Mit der UPnP-Spezifikation wird die Installation und Verwaltung von Geräten und Netzwerkdiensten vereinfacht. Der Dienst „Host für universelles Plug & Play“ verwendet den SSDP-Suchdienst (Simple Service Discovery Protocol), um nach UPnP-Netzwerkgeräten zu suchen und diese zu identifizieren.
Der SSDP-Suchdienst ist auf Windows XP-Computern installiert und mit dem Wert Manuell konfiguriert. Er wird erst gestartet, wenn der Computer versucht, nach UPnP-Geräten zu suchen, um diese Geräte zu konfigurieren. Wenn Sie diesen Dienst deaktivieren, kann der Computer nicht nach UPnP-Geräten im Netzwerk suchen. Außerdem kann der Dienst „Host für universelles Plug & Play“ nicht nach UPnP-Geräten suchen und auch nicht mit diesen Geräten interagieren.
Systemereignisbenachrichtigung
Der Dienst Systemereignisbenachrichtigung (SENS) überwacht und verfolgt Computerereignisse (z. B. Windows-Netzwerkanmeldungen und Stromversorgungsereignisse). Er benachrichtigt auch die Abonnenten des COM+ Ereignissystems über diese Ereignisse. Dieser Dienst wird auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert und automatisch ausgeführt.
Wenn der Dienst Systemereignisbenachrichtigung angehalten wird, erhalten die Abonnenten des Dienstes COM+ Ereignissystem keine Ereignisbenachrichtigungen. Dabei treten folgende Probleme auf:
Die Win32 APIs IsNetworkAlive() und IsDestinationReachable() funktionieren nicht. Diese APIs werden hauptsächlich für mobile Anwendungen auf Laptops verwendet.
Die ISens*-Schnittstellen funktionieren nicht. Die SENS-Anmelde-/Abmeldebenachrichtigungen können nicht erstellt werden.
SyncMgr (Mobsync.exe) kann nicht ordnungsgemäß ausgeführt werden. Dieser Dienst ist von Verbindungsinformationen und Benachrichtigungen über Netzwerkverbindungen und -trennungen sowie Netzwerkanmeldungen und -abmeldungen, die von SENS gesendet werden, abhängig.
Der Dienst „COM+ Ereignissystem“ schlägt beim Versuch fehl, SENS über bestimmte Ereignisse zu benachrichtigen.
Der Dienst Volumeschattenkopie kann nicht ordnungsgemäß geladen und das Windows-Sicherungsprogramm kann nicht ausgeführt werden.
Systemwiederherstellungsdienst
Mit dem Systemwiederherstellungsdienst können Windows XP-Benutzer Snapshots von ihrer Computerkonfiguration erstellen und als eine Reihe von Wiederherstellungspunkten speichern. Diese Wiederherstellungspunkte können als Ausfallsicherungskonfigurationen verwendet werden, nachdem ein Versuch zur Installation oder Aktualisierung eines Gerätetreibers oder einer Anwendung fehlgeschlagen ist.
Der Systemwiederherstellungsdienst ist standardmäßig installiert. Er erstellt automatisch einen neuen Wiederherstellungspunkt, kurz bevor größere Änderungen am Computer vorgenommen werden. Größere Änderungen sind z. B. die Installation von neuen Gerätetreibern, Updates und Anwendungen. Darüber hinaus werden automatische Wiederherstellungspunkte auf täglicher Basis erstellt. Der Zeitplan für diese Vorgänge kann allerdings geändert werden.
Wenn Sie den Systemwiederherstellungsdienst deaktivieren, ist die automatische Funktion zu Wiederherstellung des Computers nicht verfügbar. Dies bedeutet, dass keine Wiederherstellungspunkte (weder automatisch noch manuell) erstellt werden.
Taskplaner
Der Dienst Taskplaner ermöglicht Ihnen das Konfigurieren und Planen automatisierter Tasks auf Ihrem Computer. Der Dienst überwacht die von Ihnen ausgewählten Kriterien und führt die Tasks aus, wenn die Kriterien erfüllt werden.
Sie können die grafische Benutzeroberfläche des Dienstes Taskplaner verwenden, um folgende Tasks auszuführen:
Erstellen von Arbeitselementen (derzeit ist nur das Arbeitselement „Tasks“ verfügbar)
Planen der Taskausführung zu festgelegten Zeitpunkten oder bei Eintreten bestimmten Ereignisses (Es kann z. B. festgelegt werden, dass ScanDisk jeweils sonntags um 19.00 Uhr ausgeführt wird.)
Ändern des Zeitplans für einen Task
Anpassen der Ausführung von Tasks
Anhalten eines geplanten Tasks
Der Dienst Taskplaner kann über das MMC-Snap-In „Dienste“ unter „Computerverwaltung“ gestartet oder für den automatischen Start konfiguriert werden. Der Dienst Taskplaner ist auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert. Auf den Dienst kann über die grafische Benutzeroberfläche des Taskplaners, über die Taskplaner-API (siehe Beschreibung im SDK) oder über das Dienstprogramm SchTasks.exe zugegriffen werden.
Wenn der Dienst Taskplaner angehalten wird, werden geplante Tasks nicht mehr zu den festgelegten Zeitpunkten oder in den geplanten Intervallen ausgeführt. Dieser Dienst wird auch für das Windows-Sicherungsprogramm und für Sicherungsanwendungen benötigt, die über die Windows-Sicherungs-API ausgeführt werden. Wenn im Ordner %System Root%\Tasks\ keine Aufträge aufgeführt sind, hat das Anhalten des Dienstes nur minimale Auswirkungen. Andernfalls können die Aufträge, die ausgeführt werden müssen, nicht gestartet werden. Das SMS SUS Feature Pack schlägt fehl, wenn der Dienst Taskplaner nicht verfügbar ist. Darüber hinaus können geplante Sicherungen nicht ausgeführt werden, wenn der Dienst Taskplaner angehalten wurde.
TCP/IP-NetBIOS-Hilfsprogramm
Der Dienst TCP/IP-NetBIOS-Hilfsprogramm bietet Unterstützung für NetBIOS-über-TCP/IP-Dienst (NetBT) und NetBIOS-Namensauflösung für Clients im Netzwerk. Er ermöglicht Benutzern das Freigeben von Dateien und Druckern sowie das Anmelden beim Netzwerk. Insbesondere führt der Dienst eine DNS-Namensauflösung und eine Reihe von Ping-Vorgängen für IP-Adressen aus. Dadurch wird eine Liste mit verfügbaren IP-Adressen für den NetBT-Dienst zurückgegeben.
Der Dienst TCP/IP-NetBIOS-Hilfsprogramm wird auf Windows Server 2003- und Windows XP-Computern standardmäßig installiert und automatisch gestartet. Wenn dieser Dienst angehalten oder deaktiviert wird, können Dienstclients für NetBT, Redirector (RDR) und Server (SRV), den Dienst Netzwerkanmeldung und den Nachrichtendienst möglicherweise keine Dateien und Drucker freigeben und sich nicht bei Computern anmelden. Domänenbasierte Gruppenrichtlinien können z. B. nicht mehr ausgeführt werden.
TCP/IP-Druckserver
Der Dienst TCP/IP-Druckserver ermöglicht das TCP/IP-basierte Drucken über das LPD-Protokoll (Line Printer Daemon). Der LPD-Dienst auf dem Server empfängt Dokumente von den LPR-Dienstprogrammen (Line Printer Remote), die auf UNIX-Computern ausgeführt werden.
Der Dienst TCP/IP-Druckserver ist eine optionale Komponente, die separat mit dem Assistenten für Windows-Komponenten installiert werden muss. Wenn dieser Dienst angehalten wird, ist das TCP/IP-basierte Drucken nicht verfügbar.
Telefonie
Der Dienst Telefonie stellt TAPI-Unterstützung für Programme bereit, die Telefoniegeräte und IP-basierte Sprachverbindungen steuern, die auf dem lokalen Computer und über LAN-Server, die ebenfalls diesen Dienst verwenden, ausgeführt werden. Mit dem Dienst können Anwendungen als Clients für Telefonieausrüstung eingesetzt werden. Dazu zählen PBXs (Private Branch Exchanges), Telefone und Modems. Der Dienst unterstützt die TAPI, die wiederum verschiedene Kabelprotokolle unterstützt, die mit der Telefonieausrüstung kommunizieren. Diese Protokolle werden von TSPs (Telephony Service Providers) implementiert.
Der Dienst Telefonie ist auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert, und der Starttyp ist mit dem Wert Manuell konfiguriert. Der Dienst kann von Anwendungen gestartet werden, für die der TAPI-Dienst erforderlich ist. Wenn der Dienst Telefonie angehalten oder deaktiviert wird, können die Dienste, für die dieser Dienst explizit erforderlich ist (z. B. Modemsupport), nicht gestartet werden. Der Dienst kann nicht angehalten werden, wenn ein anderer abhängiger Dienst (z. B. RAS) aktiviert ist. Wenn keine weiteren abhängigen Dienste ausgeführt werden und der Dienst angehalten wird, erfolgt ein Neustart, sobald eine Anwendung einen Initialisierungsaufruf an die TAPI-Schnittstelle sendet.
Telnet
Mit dem Dienst Telnet für Windows können ASCII-Terminalsitzungen zu Telnet-Clients ausgeführt werden. Er unterstützt zwei Authentifizierungstypen und die folgenden vier Terminaltypen: ANSI (American National Standards Institute), VT-100, VT-52 und VTNT.
Der Dienst Telnet ermöglicht außerdem eine Remoteanmeldung am Computer und die anschließende Ausführung von Konsolenprogrammen über die Eingabeaufforderung. Ein Computer, auf dem der Dienst Telnet ausgeführt wird, unterstützt Verbindungen von verschiedenen TCP/IP-Telnet-Clients, einschließlich UNIX- und Windows-basierter Computer. Der Dienst Telnet ist auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert, aber deaktiviert. Bei Updateinstallationen wird der Starttyp des Dienstes Telnet in der vorherigen Windows-Version beibehalten.
Wenn der Dienst Telnet angehalten wird, ist kein Remotebenutzerzugriff auf Programme über den Telnet-Client möglich. Remotebenutzer können zu diesem Computer keine Verbindung über das Telnet-Protokoll herstellen. Außerdem können Benutzer keine Verbindung zum Computer herstellen oder konsolenbasierte Anwendungen ausführen.
Terminaldienste
Die Terminaldienste bieten eine Multisessionumgebung, die Clientgeräten die Interaktion mit virtuellen Windows-Desktopsitzungen und Windows-basierten Programmen ermöglicht, die auf dem Server ausgeführt werden.
Die Terminaldienste sind auf Windows Server 2003-Computern standardmäßig im Remoteverwaltungsmodus installiert. Wenn die Terminaldienste im Anwendungsmodus installiert werden sollen, können Sie den Modus Terminaldienste mit dem Serverkonfigurations-Assistenten oder über „Windows-Komponenten hinzufügen/entfernen“ ändern. Dieser Dienst ist für Windows Server 2003-Computer erforderlich, wenn Remotedesktop verwendet werden soll. Unter Windows XP ist der Dienst erforderlich, wenn schnelle Benutzerumschaltung, Remotedesktop und Remoteunterstützung verwendet werden sollen. Unter beiden Windows-Versionen ist dieser Dienst standardmäßig installiert. Der Starttyp ist mit dem Wert Manuell konfiguriert.
Wenn die Terminaldienste angehalten oder deaktiviert werden, wird der Computer u. U. unzuverlässig und die Remoteunterstützung steht nicht mehr zur Verfügung. Wenn Sie für Ihren Computer den Remotezugriff nicht zulassen möchten, deaktivieren Sie auf der Registerkarte Remote des Dialogfelds Systemeigenschaften die Kontrollkästchen Remoteunterstützung ermöglichen und Remotedesktop ermöglichen.
Terminaldienstelizenzierung
Der Dienst Terminaldienstelizenzierung installiert einen lizenzierten Server und stellt registrierte Clientlizenzen bereit, wenn eine Verbindung mit einem Terminalserver hergestellt wird. Der Dienst Terminaldienstelizenzierung hat nur geringfügige Auswirkungen. Er speichert die für einen Terminalserver erstellten Clientlizenzen und überwacht dann die für Clientcomputer oder Terminals erstellten Lizenzen. Dieser Dienst ist nur auf Servern vorhanden (und für diese Server erforderlich), auf denen die Terminaldienste im Anwendungsmodus installiert wurden.
Wenn der Dienst Terminaldienstelizenzierung deaktiviert wird, kann der Server von Clients angeforderte Terminalserverlizenzen nicht ausstellen. Wenn auf einem Domänencontroller in der Gesamtstruktur ein anderer Lizenzserver erkannt werden kann, versucht der anfragende Terminalserver, diesen zu verwenden.
Terminaldienste-Sitzungsverzeichnis
Der Dienst Terminaldienste-Sitzungsverzeichnis bietet eine Multisessionumgebung, die Clientgeräten den Zugriff auf eine virtuelle Windows-Desktopsitzung und auf Windows-basierte Programme ermöglicht, die unter Windows Server 2003 ausgeführt werden.
Der Dienst Terminaldienste-Sitzungsverzeichnis ermöglicht Clustern von Lastenausgleich-Terminalservern die ordnungsgemäße Weiterleitung der Verbindungsanforderung eines Benutzers an den Server, auf dem bereits eine Sitzung des Benutzers ausgeführt wird. Durch den Dienst „Netzwerklastenausgleich“ von Windows werden die Verarbeitungsressourcen von mehreren Servern, die das TCP/IP-Netzwerkprotokoll verwenden, gebündelt. Sie können den Dienst „Netzwerklastenausgleich“ von Windows mit einem Cluster von Terminalservern verwenden, um einen einzelnen Terminalserver-Zugriffspunkt für die Benutzer bereitzustellen, während die Sitzungen auf mehrere Server verteilt werden.
Getrennte Sitzungen im Cluster werden vom Dienst Terminaldienste-Sitzungsverzeichnis erfasst, und es wird sichergestellt, dass die Benutzer erneut mit diesen Sitzungen verbunden werden. Dieser Dienst ist auf Windows Server 2003-Computern installiert, die über die Komponente „Terminaldienste“ verfügen. Standardmäßig ist der Dienst jedoch deaktiviert. Microsoft empfiehlt, dass der Dienst Terminaldienste-Sitzungsverzeichnis auf einem Server installiert wird, der kein Terminaldiensteserver ist.
Wenn der Dienst Terminaldienste-Sitzungsverzeichnis angehalten wird, werden Verbindungsanforderungen an den nächsten verfügbaren Server weitergeleitet, unabhängig davon, ob an einer anderen Stelle im Cluster eine Sitzung dieser Benutzer ausgeführt wird.
Designs
Der Dienst Designs stellt Dienste für die Verwaltung von Designoptionen bereit. Der Dienst Designs bietet Renderingunterstützung für die neue grafische Benutzeroberfläche von Windows XP. Bei einem Desktopdesign handelt es sich um eine vordefinierte Zusammenstellung von Symbolen, Schriftarten, Farben, Sounds und anderen Elementen, die dem Computerdesktop ein einheitliches, individuelles Aussehen verleihen. Sie können zwischen Designs wechseln, ein eigenes Design erstellen und unter einem neuen Namen speichern oder das traditionelle Design „Windows - klassisch“ wiederherstellen. Auf Windows XP-Computern ist der Dienst Designs für den automatischen Start konfiguriert. Auf Windows Server 2003-Computern ist der Dienst deaktiviert.
Wenn der Dienst Designs angehalten oder deaktiviert wird, erfolgt die Anzeige der Fenster, Schaltflächen, Bildlaufleisten und anderer Steuerelemente nicht im neuen Design von Windows XP, sondern im Design „Windows - klassisch“.
Daemon für 'Trivial FTP'
Für den Dienst Daemon für 'Trivial FTP' (TFTP) wird kein Benutzername oder Kennwort benötigt. Er ist in die Remoteinstallationsdienste (Remote Installation Services, RIS) für Windows Server 2003 integriert. Der Dienst implementiert die Unterstützung für das TFTP-Protokoll, das durch die folgenden RFCs definiert ist:
RFC 1350 – TFTP
RFC 2347 – Optionserweiterung
RFC 2348 – Blockgrößenoption
RFC 2349 – Zeitlimit- und Übertragungsgrößenoptionen
Ein Remoteinstallationsserver verwendet den Dienst Daemon für 'Trivial FTP', um die für den Start des Remoteinstallationsprozesses erforderlichen Initialisierungsdateien herunterzuladen. Die über diesen Dienst am häufigsten auf den Clientcomputer heruntergeladene Datei ist Startrom.com, die für den Initialisierungsprozess des Clientcomputers verantwortlich ist. Wenn der Benutzer bei entsprechender Aufforderung die Taste F12 drückt, wird der Clientinstallationsassistent heruntergeladen, um den Remoteinstallationsprozess zu starten.
Der Dienst Daemon für 'Trivial FTP' ist standardmäßig nicht installiert. Wenn dieser Dienst angehalten oder deaktiviert wird, schlägt die Installation auf Clientcomputern fehl, die RIS von diesem Server anfordern. Zum ordnungsgemäßen Deaktivieren dieses Dienstes muss RIS deinstalliert werden.
Unterbrechungsfreie Stromversorgung
Der Dienst Unterbrechungsfreie Stromversorgung verwaltet eine an einen seriellen Port des Computers angeschlossene unterbrechungsfreie Stromversorgung (USV). Dieser Dienst ist auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert. Der Starttyp ist jedoch mit dem Wert Manuell konfiguriert.
Wenn der Dienst Unterbrechungsfreie Stromversorgung angehalten oder deaktiviert wird, ist die Kommunikation mit der USV nicht mehr möglich. Bei einem Stromausfall kann USV den Computer möglicherweise nicht mehr sicher herunterfahren, und Daten können verloren gehen.
Host für universelle Plug & Play-Geräte
Der Dienst Host für universelle Plug & Play-Geräte unterstützt die universelle Plug & Play-Funktionalität (UPnP) für Netzwerkgeräte auf Peer-to-Peer-Basis. Mit der UPnP-Spezifikation wird die Installation und Verwaltung von Geräten und Netzwerkdiensten vereinfacht. UPnP ermöglicht die Erkennung und Steuerung von Geräten und Diensten über treiberlose, standardbasierte Protokollverfahren.
UPnP-Geräte können Netzwerkadressen automatisch konfigurieren, ihr Vorhandensein in einem Netzwerksubnetz ankündigen und den Austausch von Gerät- und Dienstbeschreibungen ermöglichen. Wenn der Dienst Host für universelle Plug & Play-Geräte installiert wird, kann ein Windows XP-Computer als UPnP-Steuerungspunkt agieren, um Geräte über eine Web- oder Anwendungsschnittstelle zu erkennen und zu steuern. Dieser Dienst ist auf Windows XP-Computern standardmäßig installiert und mit dem Wert Manuell konfiguriert.
Upload-Manager
Der Dienst Upload-Manager verwaltet synchrone und asynchrone Dateiübertragungen zwischen Clientcomputern und Servern im Netzwerk. Treiberdaten werden anonym von Kundencomputern zu Microsoft hochgeladen. Diese Daten werden dann verwendet, um Benutzer bei der Suche nach den für ihre Computer erforderlichen Treibern zu unterstützen. Der Treiberfeedbackserver von Microsoft fordert beim Client die Berechtigungen zum Hochladen des Computerhardwareprofils an und sucht dann im Internet nach den entsprechenden Treibern oder Support von Microsoft oder entsprechenden Drittanbietern.
Die Informationen, die während des Hochladens zum Auffinden der Treiberinformationen vom Computer übertragen werden, beinhalten die Hardwareidentifikationsnummer des Geräts, den Zeitpunkt, zu dem der Windows-Hardware-Assistent fertig gestellt wurde, sowie eine ID für das Windows-Betriebssystem auf dem Computer. Die beim Hochladen gesammelten Computerinformationen können nicht für die Erfassung von Benutzern, Computern, Firmen, IP-Adressen oder anderen Quellinformationen verwendet werden.
Die gesammelten Daten werden verwendet, um zu festzustellen, für welche Geräte keine leicht auffindbaren Treiber verfügbar sind. Zusätzliche vorhandene Gerätetreiberinformationen werden verfügbar, nachdem die Geräteidentifikationsnummer hochgeladen wurde. Wenn keine zusätzlichen Treiberinformationen verfügbar sind, zeichnet Microsoft die Geräteidentifikationsnummer auf, um gemeinsam mit Hardwareanbietern die Verfügbarkeit von Gerätetreibern für Windows zu verbessern oder Informationen zur Verfügbarkeit von Treibern und zum Gerätesupport bereitzustellen.
Der Dienst Upload-Manager ist auf Windows Server 2003-Computern standardmäßig installiert und mit dem Wert Manuell konfiguriert. Wenn dieser Dienst angehalten wird, ist keine Verwaltung von synchronen und asynchronen Dateiübertragungen zwischen Clients und Servern im Netzwerk möglich.
Dienst für virtuelle Datenträger
Der Dienst für virtuelle Datenträger (VDS) stellt eine einzelne Schnittstelle für die Verwaltung der Blockspeichervirtualisierung in der Betriebssystemsoftware, in RAID-Speicherhardware-Subsystemen (Redundant Array of Independent Disks) oder in anderen Virtualisierungsmodulen bereit.
Der Dienst für virtuelle Datenträger bietet eine hersteller- und technologieunabhängige Schnittstelle für die Verwaltung von logischen Datenträgern (Software) und logischen Einheiten (Hardware). Sie können diese Schnittstelle für folgende Vorgänge verwenden: Verwaltung von Bindungsvorgängen, Leistungsüberwachung, Topologieerkennung und -überwachung, Datenträgerstatus und Fehlerüberwachung.
Virtuelle Datenträger sollten nicht mit Snapshots verwechselt werden. Anders als der Dienst Volumeschattenkopie wird der Dienst für virtuelle Datenträger nicht mit Anwendungen oder dem Dateisystem koordiniert, und die Daten auf einem Datenträger werden nicht synchronisiert, bevor ein Vorgang zur Konfiguration eines Datenträgers oder eines Laufwerks durchgeführt wird. Der Dienst für virtuelle Datenträger kann verwendet werden, um einen Spiegelungsplex zu konfigurieren. Für die Koordination beim Entfernen des Plex und der Anzeige des Snapshots ist jedoch ein Snapshotanbieter erforderlich. Diese Verwendung wird mit zwei Ausnahmen nicht in diesem Dokument behandelt:
Der Dienst für Virtuelle Datenträger wird vor dem Erweitern oder Verkleinern von Datenträgern mit dem Dateisystem koordiniert.
Vollständige Kopiensnapshots werden im Dienst für virtuelle Datenträger als Plexe angezeigt.
Der Dienst für virtuelle Datenträger ist auf Windows Server 2003-Computern installiert und mit dem Wert Manuell konfiguriert. Der Dienst wird erst gestartet, wenn eine Anwendung versucht, den Dienst für virtuelle Datenträger (VDS) zu verwenden. Wenn er angehalten wird, ist der Dienst für virtuelle Datenträger nicht mehr verfügbar.
Volumenschattenkopie
Der Dienst Volumeschattenkopie verwaltet und implementiert Volumeschattenkopien, die zur Sicherung und zu anderen Zwecken verwendet werden. Der Dienst verwaltet die Datenträgersnapshots. Wenn eine Sicherungsanwendung versucht, über die neue Snapshotinfrastruktur eine Sicherung zu starten, ermittelt die Sicherungsanwendung die Anzahl der derzeit auf dem Dienst aktiven Verfasser. Anschließend wird jeder Verfasser abgefragt, um die erforderlichen Metadaten zu erfassen. Daraufhin kann die Sicherungsanwendung die Datenträger ermitteln, die eine Schattenkopie erfordern, um eine erfolgreiche Sicherungssitzung zu gewährleisten. Die Datenträger werden dem Schattenkopiekoordinator vorgelegt und eine Schattenkopie erstellt. Die Schattenkopie erstellt Datenträger, die den ursprünglichen Datenträgern zum Zeitpunkt der Erstellung der Schattenkopie entsprechen.
Der Dienst Volumeschattenkopie ist auf Windows XP- und Windows Server 2003-Computern installiert, und sein Starttyp ist mit dem Wert Manuell konfiguriert. Wenn der Dienst angehalten wird, sind keine Schattenkopien für die Sicherung verfügbar und der Sicherungsvorgang schlägt möglicherweise fehl. Der Dienst Volumeschattenkopie, der für das Windows-Sicherungsprogramm und für Sicherungsanwendungen benötigt wird, die über die Windows-Sicherungs-API ausgeführt werden, erfordert diesen Dienst.
Webclient
Der Dienst Webclient ermöglicht Win32-Anwendungen den Zugriff auf Dokumente im Internet. Der Dienst erweitert die Netzwerkfunktionen von Windows, indem Win32-Standardanwendungen ermöglicht wird, Dateien auf Internetdateiservern über WebDAV zu erstellen, zu lesen und zu schreiben. Bei WebDAV handelt es sich um ein in XML beschriebenes Dateizugriffsprotokoll, das für die Kommunikation HTTP verwendet. Da WebDAV Standard-HTTP verwendet, wird WebDAV über die vorhandene Internetinfrastruktur (z. B. Firewalls und Router) ausgeführt.
Der Dienst WebClient ist sowohl auf Windows XP- als auch auf Windows Server 2003-Computern installiert. Unter Windows XP wird der Dienst automatisch gestartet. Unter Windows Server 2003 ist der Dienst deaktiviert. Wenn der Dienst WebClient angehalten wird, kann der Webpublishing-Assistent an Internetstandorten, die das WebDAV-Protokoll verwenden, nicht für die Veröffentlichung von Daten verwendet werden.
Webelement-Manager
Der Dienst Webelement-Manager ist nur unter Windows Server 2003 Web Edition installiert. Er ist für das Bereitstellen von Elementen für Webbenutzeroberflächen der Verwaltungswebsite auf Port 8098 zuständig. Über diese Elemente werden folgende Informationen festgelegt:
Registerkarten, die auf der Verwaltungswebsite angezeigt werden
Remoteverwaltungsaufgaben, die dem Administrator zur Verfügung stehen
Inhaltsverzeichnis
Hilfethemen
Darstellbare Remoteverwaltungswarnungen
Für die Remoteverwaltung eines Servers kann der Administrator unter der Adresse https://<Servername>:8098 eine Verbindung mit dem Server herstellen. Wenn diese Website eine Verbindung erhält, fragt der Standard-ASP-Code (Active Server Pages) den Dienst Webelement-Manager nach den oben erwähnten Informationstypen ab. Wenn alle Information gesammelt wurden, wird dem Administrator die entsprechende Webseite angezeigt.
Der Dienst Webelement-Manager lädt alle Information zum Startzeitpunkt. Der Client (in diesem Fall der ASP-Code) fordert die Webbenutzeroberflächenelemente über eine COM-Schnittstelle an. Der Dienst wird über das lokale Systemkonto ausgeführt. Anforderungen auf der COM-Schnittstelle werden nur von Clients akzeptiert, die über das Administratorkonto oder das lokale Systemkonto ausgeführt werden. Wenn der Dienst angehalten oder mit dem Wert Manuell konfiguriert wird, erfolgt der Start mit der nächsten Anforderung von Webbenutzeroberflächenelementen.
Der Dienst Webelement-Manager wird automatisch gestartet, wenn auf die Weboberfläche für die Remoteverwaltung zugegriffen wird. Wenn dieser Dienst deaktiviert wird, können alle explizit von diesem Dienst abhängigen Dienste nicht gestartet werden, und die Remoteverwaltungs-Webbenutzeroberfläche für die Serververwaltung kann nicht ordnungsgemäß ausgeführt werden.
Windows-Audio
Der Dienst Windows-Audio bietet Unterstützung für Sounds und zugehörige Windows-Audio-Ereignisfunktionen. Dieser Dienst verwaltet Plug & Play-kompatible Ereignisse für Audiogeräte (z. B. Soundkarten) und globale Soundeffekte (Global Audio Effects, GFX) für die Benutzeroberflächen von Windows-Audioanwendungsprogrammen. Beispiele für globale Soundeffekte sind Equalizer (EQ), Bassverstärkung und Lautsprecherkorrektur. Der Dienst verwaltet für die einzelnen Sitzungen das Laden und Entfernen sowie das Speichern/Wiederherstellen des Zustandes für die globalen Soundeffekte.
Über die Multimedia-Systemsteuerung können Benutzer folgende Einstellungen vornehmen:
Aktivieren oder Deaktivieren eines globalen Soundeffekts
Auswählen eines GFX-Filters, wenn für die betreffende Audiohardware mehrere globale Soundeffekte vorhanden sind. In der INF-Datei eines Treibers für globale Soundeffekte ist die Zielhardware des Effekts festgelegt.
Der Dienst Windows-Audio ist auf Windows Server 2003- und Windows XP-Computern installiert und für den automatischen Start auf Computern konfiguriert, auf denen Windows XP bzw. Windows Server 2003 Standard Edition ausgeführt wird. Unter anderen Versionen von Windows Server 2003 ist der Dienst deaktiviert.
Der Dienst Windows-Audio kann nach dem Starten nicht angehalten werden. Wenn dieser Dienst deaktiviert wird, kann die Audiofunktionalität beeinträchtigt werden. Möglicherweise ist dann die Wiedergabe von Sounds oder die Verarbeitung von globalen Soundeffekten nicht mehr möglich.
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung
Der Dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (ICS) stellt über eine DFÜ- oder Breitbandverbindung Netzwerkadressübersetzung (NAT), Adressen- und Namensauflösung und/oder Dienste zum Schutz vor Eindringungsversuchen für alle Computer in einem Heimnetzwerk oder kleinen Büronetzwerk bereit.
Wenn dieser Dienst aktiviert ist, wird der Computer zum „Internetgateway“ im Netzwerk. Dadurch wird ermöglicht, dass andere Clientcomputer eine Internetverbindung sowie Dateien und Drucker gemeinsam verwenden. Dieser Dienst verfügt über eine speicherortbezogene Gruppenrichtlinie.
Der Dienst wird unter Windows 2000 und Windows XP Service Pack 1 als „Gemeinsame Nutzung der Internetverbindung“ bezeichnet. Er war in der ursprünglichen Version von Windows Server 2003 nicht enthalten.
Der Dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung wird auf Windows XP-Computern standardmäßig installiert und automatisch gestartet. Der Dienst ist auch auf Windows Server 2003-Computern standardmäßig installiert, ist aber Deaktiviert.
Wenn der Dienst Windows-Firewall/Gemeinsame Nutzung der Internetverbindung angehalten wird, sind bestimmte Netzwerkdienste wie die gemeinsame Nutzung von Internetverbindungen, Namensauflösung, Adressauflösung und/oder der Schutz vor Eindringungsversuchen nicht mehr verfügbar. Clients im Netzwerk können dann u. U. nicht mehr auf das Internet zugreifen, und ihre IP-Adressen werden ungültig, sodass einige Clients die APIPA-Funktion (Automatic Private IP Addressing) verwenden, um Peer-to-Peer-Netzwerkverbindungen herzustellen.
Windows-Bilderfassung (WIA)
Der Dienst Windows-Bilderfassung (WIA) bietet Bilderfassungsdienste für Scanner und Kameras.
Windows Server 2003 unterstützt Digitalbildgeräte über diesen Dienst, der die WDM-Architektur (Windows Driver Model) verwendet. Der Dienst bietet eine stabile Kommunikation zwischen Anwendungen und Bildaufnahmegeräten, sodass Bilder effizient aufgenommen und zur Bearbeitung und Verwendung auf den Computer übertragen werden können. Dieser Dienst ist erforderlich, um die von Bildverarbeitungsgeräten erzeugten Ereignisse aufnehmen zu können.
Der Dienst Windows-Bilderfassung (WIA) unterstützt SCSI-, IEEE 1394-, USB- und serielle Digitalbildgeräte. Unterstützung für Infrarot-, parallele und serielle Digitalbildgeräte wird von den vorhandenen Infrarot-, parallelen und seriellen Schnittstellen bereitgestellt. Digitalbildgeräte sind z. B. Bildscanner und Digitalkameras. Der Dienst unterstützt außerdem Microsoft DirectShow®-basierte WebCams und digitale Videocamcorder für die Erfassung von Bildern von Videos.
Der Dienst Windows-Bilderfassung (WIA) ist auf Windows XP-Computern installiert und mit dem Wert Manuell konfiguriert. Auf Windows Server 2003-Computern ist dieser Dienst standardmäßig installiert und deaktiviert. Wenn der Dienst angehalten wird, können Ereignisse von Bildverarbeitungsgeräten nicht erfasst und bearbeitet werden. Wenn ein WIA-Gerät installiert ist, startet der Dienst automatisch beim Systemstart. Außerdem wird der Dienst automatisch mit einer WIA-aktivierten Anwendung gestartet.
Windows Installer
Der Dienst Windows Installer verwaltet die Installation und das Entfernen von Anwendungen. Er wendet während des Installationsvorgangs eine Gruppe von zentral definierten Setupregeln an, mit denen die Installations- und Konfigurationseinstellungen festgelegt werden. Darüber hinaus wird dieser Dienst verwendet, um vorhandene Anwendungen zu ändern, zu reparieren oder zu entfernen. Die Windows Installer-Technologie besteht aus dem Dienst Windows Installer für die Windows-Betriebssysteme und dem Paketdateiformat (.msi), das zum Ablegen von Anwendungssetup- und Installationsinformationen verwendet wird.
Der Dienst Windows Installer ist nicht nur ein Installationsprogramm, sondern auch ein erweiterbares Softwareverwaltungssystem. Der Dienst verwaltet die Installation, das Hinzufügen und Entfernen von Softwarekomponenten, überwacht den Dateizustand und verwaltet grundlegende Notfallwiederherstellungen über Rollbacks. Darüber hinaus unterstützt der Dienst das Installieren und Ausführen von Software aus mehreren Quellen und kann von Entwicklern für die Installation von benutzerdefinierten Anwendungen angepasst werden.
Der Dienst Windows Installer ist auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert und mit dem Wert Manuell konfiguriert. Er wird von Anwendungen gestartet, wenn diese den Installer verwenden. Wenn dieser Dienst angehalten wird, können die Anwendungen, die den Dienst verwenden, nicht mehr installiert, entfernt, repariert oder geändert werden. Außerdem verwenden einige Anwendungen diesen Dienst während der Ausführung und können in diesem Fall möglicherweise nicht mehr ausgeführt werden.
WINS (Windows Internet Name Service)
Der Dienst WINS (Windows Internet Name Service) ermöglicht die NetBIOS-Namensauflösung. Für das Auffinden von Netzwerkressourcen, die mit NetBIOS-Namen identifiziert werden, muss ein WINS-Server vorhanden sein. WINS-Server sind erforderlich, es sei denn, alle Domänen wurden auf Active Directory aktualisiert, und alle Computer im Netzwerk führen Windows Server 2000 oder höhere Versionen des Windows-Betriebssystems aus.
Wenn Sie diesen Dienst anhalten, treten die folgenden Funktionsänderungen auf:
Es kann nicht nach Windows NT 4.0-Domänen und -Domänencontrollern gesucht werden.
Active Directory-Domänen und -Domänencontroller unter Windows 2000 oder Windows Server 2003 können nicht von Windows NT 4.0-Clients gesucht werden.
Die NetBIOS-Namensauflösung schlägt fehl, es sei denn, das Gerät, dessen Name aufgelöst werden soll, befindet sich im selben Subnetz wie das Gerät, das die Namensauflösung durchzuführen versucht. Das Gerät muss für eine NetBIOS-Namensauflösung über Broadcasts konfiguriert werden.
Der Dienst WINS (Windows Internet Name Service) ist nur auf Windows Server 2003-Computern vorhanden, die so konfiguriert wurden, dass sie die WINS-Serverrolle übernehmen können.
Windows-Verwaltungsinstrumentation
Der Dienst Windows-Verwaltungsinstrumentation (WMI) stellt eine gemeinsame Schnittstelle und ein Objektmodell für den Zugriff auf Verwaltungsinformationen zu Betriebssystemen, Geräten, Anwendungen und Diensten bereit. WMI ist eine zur aktuellen Generation von Microsoft-Betriebssystemen gehörende Infrastruktur für die Erstellung von Verwaltungsanwendungen und für die Instrumentation.
Die WMI-Infrastruktur ist eine Komponente der Microsoft Windows-Betriebssysteme, die Informationen über verwaltete Objekte verschiebt und speichert. Sie besteht aus zwei Komponenten: dem Dienst Windows-Verwaltungsinstrumentation und dem WMI-Repository. Der Dienst fungiert als Vermittler zwischen den Anbietern, den Verwaltungsanwendungen und dem WMI-Repository, indem Informationen vom Anbieter zum WMI-Repository übertragen werden. Außerdem greift der Dienst auf das WMI-Repository zu, um auf Abfragen und Anweisungen von Verwaltungsanwendungen zu reagieren. Der Dienst kann auch Informationen direkt zwischen einem Anbieter und einer Verwaltungsanwendung übertragen. Das WMI-Repository hingegen fungiert als Speicherbereich für die Informationen von den verschiedenen Anbietern.
Der Dienst Windows-Verwaltungsinstrumentation ermöglicht außerdem den Zugriff auf die Verwaltungsdaten über verschiedene Schnittstellen (z. B. COM-API, Skripts und Befehlszeilenschnittstellen). Er ist mit verschiedenen bereits erhältlichen Verwaltungsschnittstellen und -protokollen, wie z. B. SNMP (Simple Network Management Protocol), kompatibel. Der Dienst wird auf Windows XP- und Windows Server 2003-Computern installiert und automatisch ausgeführt. Wenn der Dienst angehalten wird, kann ein Großteil der Windows-basierten Software nicht ordnungsgemäß ausgeführt werden.
Windows-Verwaltungsinstrumentations-Treibererweiterungen
Der Dienst Windows-Verwaltungsinstrumentations-Treibererweiterungen überwacht alle Treiber und Ablaufverfolgungsanbieter, die für die Veröffentlichung von WMI-Informationen oder Informationen zur Ereignisablaufverfolgung konfiguriert wurden. Dieser Dienst ist auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert und mit dem Wert Manuell konfiguriert.
Windows Media-Dienste
Die Windows Media-Dienste stellen Streaming Media-Dienste über IP-basierte Netzwerke bereit. Diese Dienste ersetzen die vier separaten Dienste, aus denen die Vorgängerversionen 4.0 und 4.1 bestehen:
Windows Media-Überwachungsdienst
Windows Media-Programmdienst
Windows Media-Stationsdienst
Windows Media-Unicastdienst
Die nun zusammengefassten Windows Media-Dienste können unter Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition und Windows Server 2003 Web Edition ausgeführt werden. Die Kernkomponenten wurden mit COM entwickelt. Dadurch entstand eine flexible Architektur, die leicht an bestimmte Anwendungen angepasst werden kann. Der Dienst unterstützt eine größere Bandbreite an Steuerungsprotokollen einschließlich RTSP (Real Time Streaming Protocol), MMS (Microsoft Media Server-Protokoll) und HTTP.
Die Plattform für Windows Media-Dienste entspricht den folgenden Branchenstandards:
WMI für Serverereignisbenachrichtigung und Messaging
SNMP für Netzwerkkomponenten
XML, SMIL 2.0 (Synchronized Multimedia Integration Language) und DOM (Document Object Model) für die Implementierung von Wiedergabelisten
MPEG 1 und 2 (Moving Picture Experts Group) für Audio- und Videoformate
Die meisten Streaming Media-Szenarios können mit den durch die Windows Media-Dienste installierten Kernkomponenten erstellt werden. Erweiterte Szenarios erfordern jedoch möglicherweise Programmier- und Integrationsarbeit. Für Entwickler und Systemintegratoren bietet das SDK für Windows Media-Dienste über eine Kombination von Plug-Ins, ein vollständig dokumentiertes Objektmodell und zahlreiche externe Ereignisbenachrichtigungen, die alle problemlos angepasst werden können, Zugriff auf alle Elemente des Servers.
Die Windows Media-Dienste sind ein optionaler Dienst, der auf Windows Server 2003-Computern separat installiert werden muss. Wenn dieser Dienst angehalten oder deaktiviert wird, sind Streaming Media-Dienste möglicherweise nicht mehr verfügbar.
Windows-Systemressourcen-Manager
Der Dienst Windows-Systemressourcen-Manager (WSRM) ist ein optionales Tool, das Kunden bei der Bereitstellung von Anwendungen in Konsolidierungsszenarios unterstützt. Er bietet eine richtlinienbasierte Verwaltung der CPU und des Arbeitsspeicherverbrauchs von Prozessen, die auf einer einzelnen Betriebssysteminstanz ausgeführt werden. Zu den geplanten Szenarios gehören mehrere heterogene Serveranwendungen, mehrere Benutzer von Terminaldiensten, mehrere SQL Server-Instanzen, mehrere IIS V6-Anwendungspools oder das gemeinsame Ausführen von Exchange und IIS V6 auf demselben Computer.
Die primäre Option für die CPU-Verwaltung sind Bandbreitenziele, die als Prozentanteil an der CPU-Auslastung angegeben werden. Die Ziele werden durch eine dynamische Überwachung und Anpassung der Prozessprioritäten eingehalten. Der Dienst Windows-Systemressourcen-Manager bietet außerdem die Affinitätsverwaltung unter Verwendung prozessweiser APIs für starke Affinität.
Zu den Arbeitspeicher-Verwaltungsoptionen gehören Arbeitssatzgrenzwerte und einzelnen Prozessen zugesicherter maximaler Arbeitsspeicher. Die Arbeitssatzgrenzwerte werden in einer Richtlinie festgelegt und vom WSRM über eine Kernel-API angewendet. Anschließend wendet der Kernelspeicher-Manager die Grenzwerte für die Arbeitssatzgröße an, indem der Prozess bei Bedarf ausgelagert wird. Der zugesicherte Arbeitsspeicher wird einfach anhand eines oberen Grenzwerts überwacht. Je nach Ermessen des Benutzers wird bei einer Überschreitung des oberen Grenzwertes der Prozess entweder beendet, oder es wird ein Ereignis protokolliert.
Zu den zusätzlichen Funktionen zählen: vollständige Kalenderfunktionen für die Planung von gewünschten Richtlinien, hoch entwickelter Mustervergleich zur Identifizierung von Prozessen während der Laufzeit, WSRM-spezifische Zähler und ein grundlegendes System zur Auftragskontenführung.
Der Dienst Windows-Systemressourcen-Manager wird als Option implementiert und unter Windows-Betriebssystemversionen ausgeführt, die nach Windows 2000 Service Pack 3 veröffentlicht wurden. Die Serverkomponenten können unter Windows Server 2003 Datacenter Edition und Windows Server 2003 Enterprise Edition (einschließlich der x64-Versionen dieser Betriebssysteme) installiert werden. Der WSRM-Client muss auf jedem verwalteten Computer installiert werden. Für die Administration des Dienstes werden ein MMC-Snap-In und Befehlszeilenprogramme bereitgestellt. Diese Clientbestandteile können auf allen Windows 2000- oder Windows XP Professional-Computern oder auf dem Windows .NET-System installiert und ausgeführt werden. Der Dienst kann ausschließlich unter .NET Datacenter und .NET Enterprise installiert und ausgeführt werden. Diese SKUs werden bei der Installation und während der Laufzeit erzwungen.
Windows-Zeitgeber
Der Dienst Windows-Zeitgeber verwaltet die Datums- und Uhrzeitsynchronisierung auf allen in einem Microsoft Windows-Netzwerk ausgeführten Computern. Dieser Dienst verwendet NTP (Network Time Protocol) zum Synchronisieren von Computeruhren, sodass Netzwerküberprüfungs- und Ressourcenzugriffsanforderungen ein genauer Uhrwert oder Zeitstempel zugewiesen werden kann. Dank der Implementierung von NTP und der Integration von Zeitanbietern dient der Dienst Windows-Zeitgeber Administratoren als zuverlässiger und skalierbarer Zeitgeber. Für Computer, die nicht mit einer Domäne verbunden sind, kann der Dienst Windows-Zeitgeber so konfiguriert werden, dass mit einer externen Zeitquelle synchronisiert wird. Wenn dieser Dienst deaktiviert wird, werden die Zeiteinstellungen für lokale Computer nicht mit einem Zeitdienst in der Windows-Domäne oder einem externen Zeitdienst synchronisiert.
Wenn der Dienst Windows-Zeitgeber angehalten oder deaktiviert wird, ist die Datums- und Uhrzeitsynchronisierung für die Gesamtstruktur oder externe NTP-Server nicht verfügbar. Folgende zwei Szenarios sind möglich:
Wenn der Dienst Windows-Zeitgeber auf einer Arbeitsstation angehalten wird, kann die Arbeitsstation die Uhrzeit nicht mehr mit einer anderen Quelle synchronisieren, andere externe Server sind jedoch nicht betroffen.
Wenn der Dienst Windows-Zeitgeber auf einem Domänencontroller angehalten wird, hat das dieselben Auswirkungen wie im vorhergehenden Szenario mit der Ausnahme, dass nun auch Domänenmitglieder ihre Uhrzeit nicht mehr mit dem Dienst synchronisieren können. Dies kann sich negativ auf die Synchronisierung in der gesamten Organisation auswirken.
Der Dienst Windows-Zeitgeber wird auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert und automatisch gestartet.
Hinweis: Weitere Informationen zum Dienst Windows-Zeitgeber unter Windows Server 2003 finden Sie im Artikel „Funktionsweise des Windows-Zeitdienstes“ unter www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/71e76587-28f4-4272-a3d7-7f44ca50c018.mspx und im Artikel „Tools und Einstellungen des Windows-Zeitdienstes“ unter www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/b43a025f-cce2-4c82-b3ea-3b95d482db3a.mspx (jeweils in englischer Sprache).
WinHTTP-Web Proxy Auto-Discovery-Dienst
Der WinHTTP-Web Proxy Auto-Discovery-Dienst implementiert das WPAD-Protokoll (Web Proxy Auto-Discovery) für Windows HTTP-Dienste (WinHTTP). WPAD ist ein Protokoll, das HTTP-Clients die automatische Erkennung einer Proxykonfiguration ermöglicht.
Wenn der WinHTTP-Web Proxy Auto-Discovery-Dienst angehalten oder deaktiviert wird, wird anstelle eines externen Dienstprozesses das WPAD-Protokoll innerhalb des HTTP-Clientprozess ausgeführt. Dies führt zu keinerlei Funktionsverlust. Dieser Dienst ist auf Windows Server 2003-Computern standardmäßig installiert, und der Starttyp ist mit dem Wert Manuell konfiguriert.
Drahtloskonfiguration
Der Dienst Drahtloskonfiguration ermöglicht die automatische Konfiguration von IEEE 802.11-Drahtlosadaptern für die drahtlose Kommunikation. Microsoft hat mit Herstellern von 802.11-Netzwerkschnittstellenkarten (NIC) bei der Automatisierung des NIC-Konfigurationsprozesses zusammengearbeitet, durch den die Netzwerkschnittstellenkarte mit einem verfügbaren Netzwerk verknüpft und die drahtlosen Roamingleistung unter Windows verbessert wird.
Hinweis: Der Dienst Drahtloskonfiguration wird unter Windows XP als Konfigurationsfreie drahtlose Verbindung bezeichnet.
Die drahtlose Netzwerkschnittstellenkarte und die NDIS-Treiber (Network Driver Interface Specification) müssen lediglich einige neue NDIS-Objekt-IDs (OIDs) für das Abfragen und Einstellen des Geräte- und Treiberverhaltens unterstützen. Die Netzwerkschnittstellenkarte sucht nach verfügbaren Netzwerken und gibt die Informationen an Windows weiter. Der Dienst Drahtloskonfiguration konfiguriert die Netzwerkschnittstellenkarte für ein verfügbares Netzwerk. Wenn zwei Netzwerke denselben Bereich abdecken, kann eine bevorzugte Netzwerkreihenfolge konfiguriert werden, damit der Computer sämtliche Netzwerke in dieser Reihenfolge durchsucht, bis ein aktives Netzwerk gefunden wird. Außerdem kann die Zuweisung auf die konfigurierten bevorzugten Netzwerke beschränkt werden.
Der Dienst Drahtloskonfiguration wird auf Windows Server 2003- und Windows XP-Computern installiert und automatisch gestartet. (Unter Windows Server 2003 Web Edition ist der Starttyp allerdings mit dem Wert Manuell konfiguriert.) Wenn dieser Dienst angehalten wird, ist die automatische Drahtloskonfiguration nicht verfügbar.
WMI-Leistungsadapter
Der Dienst WMI-Leistungsadapter stellt Leistungsbibliotheksinformationen von WMI-Hochleistungsanbietern bereit. Anwendungen und Dienste, die heutzutage Leistungszähler zur Verfügung stellen müssen, können dies auf zwei Arten tun: durch Schreiben eines WMI-Hochleistungsanbieters oder durch Schreiben einer Leistungsbibliothek. Nutzer von Hochleistungsdaten können ebenfalls auf zwei Arten Leistungsdaten anfordern: über WMI oder über PDH-APIs (Performance Data Helper). Entsprechende Mechanismen sorgen dafür, dass die beiden Modelle interagieren. Clients, die über beide Modelle auf Zähler zugreifen, können auch die vom anderen Modell bereitgestellten Zähler erkennen. Einer dieser Mechanismen ist der Reverseadapter.
Der Dienst WMI-Leistungsadapter wandelt Leistungszähler, die von WMI-Hochleistungsanbietern zur Verfügung gestellt werden, in Zähler um, die von PDH über die Reverseadapter-Leistungsbibliothek verwendet werden können. Auf diese Weise können PDH-Clients (z. B. Sysmon) Leistungszähler von jedem WMI-Hochleistungsanbieter auf dem Computer verwenden.
Der Dienst WMI-Leistungsadapter ist auf Windows XP- und Windows Server 2003-Computern standardmäßig installiert. Die Ausführung erfolgt jedoch nicht standardmäßig, sondern muss manuell gestartet werden. Er wird bei Bedarf ausgeführt, wenn ein Leistungsclient, (z. B. Sysmon) PDH verwendet, um Leistungsdaten abzufragen. Nach der Trennung der Clientverbindung wird der Dienst angehalten.
Wenn der Dienst WMI-Leistungsadapter angehalten wird, stehen WMI-Leistungszähler nicht zur Verfügung.
Arbeitsstation
Der Dienst Arbeitsstation ist auf Windows XP- und Windows Server 2003-Computern installiert und wird automatisch ausgeführt. Dieser Dienst erstellt und verwaltet Clientnetzwerkverbindungen und die zugehörige Kommunikation. Der Dienst Arbeitsstation ist ein Wrapper im Benutzermodus für den Microsoft Netzwerk-Redirectordienst. Er lädt und führt Konfigurationsfunktionen für den Redirectordienst aus, unterstützt Netzwerkverbindungen mit Remoteservern und WNet-APIs und erstellt Statistiken für den Redirectordienst.
Wenn der Dienst Arbeitsstation angehalten wird, kann keine Verbindung mit Remoteservern hergestellt und nicht über Named Pipes auf Dateien zugegriffen werden. Dadurch können Clients und Programme nicht auf Dateien und Drucker zugreifen, die auf anderen Remotecomputern gespeichert sind. Die TCP/HTTP-Verbindung ist jedoch nicht betroffen. Der Zugriff auf das Internet und Webclients ist nach wie vor verfügbar.
WWW-Publishingdienst
Der WWW-Publishingdienst ermöglicht Webverbindungen und die Verwaltung von Websites über das MMC-Snap-In „IIS“. Er ermöglicht HTTP-Dienste für Anwendungen auf der Windows-Plattform und beinhaltet einen Prozess- und einen Konfigurations-Manager. Der Prozess-Manager steuert die Prozesse für benutzerdefinierte Anwendungen und einfache Websites. Der Konfigurations-Manager liest die gespeicherte Computerkonfiguration und stellt sicher, dass Windows für das Weiterleiten von HTTP-Anforderungen an die entsprechenden Anwendungspools oder Betriebssystemprozesse konfiguriert ist.
Dieser Dienst kann die Prozesse benutzerdefinierter Anwendungen überwachen und für diese Anwendungen Wiederverwendungsdienste bereitstellen. Die Wiederverwendung ist eine Konfigurationseigenschaft eines Anwendungspools und kann auf der Grundlage von Arbeitsspeicher- oder Abfragegrenzwerten, Verarbeitungszeit oder Tageszeit ausgeführt werden. Der Dienst stellt HTTP-Anforderungen in eine Warteschlange, wenn die benutzerdefinierten Anwendungen nicht mehr antworten. Außerdem wird ein Neustart der benutzerdefinierten Anwendungen versucht.
Dieser Dienst ist eine optionale Komponente, die auf Windows Server 2003- oder Windows XP-Computern als Bestandteil des IIS-Pakets installiert werden kann. Wenn der WWW-Publishingdienst angehalten wird, kann das Windows Server 2003-Betriebssystem keine Webanforderungen beantworten.
Weitere Informationen
Die folgenden Links bieten weitere Informationen zu einigen Einstellungen, die in diesem Kapitel erläutert werden:
Eine ausführliche Beschreibung zum Konfigurieren und Sperren von Clustern auf Windows-Servern würde über Rahmen dieses Handbuchs hinausgehen. Ausführliche Anleitungen finden Sie jedoch im Microsoft Knowledge Base-Artikel 891597 „Anwenden strengerer Sicherheitseinstellungen auf einem Windows Server 2003-basierten Clusterserver“ (in englischer Sprache) unter https://support.microsoft.com/kb/891597/en-us.
Der Sicherheitskonfigurations-Assistent unter Windows Server 2003 enthält eine Konfigurationsdatenbank mit Beschreibungen und Informationen zu den in Windows Server 2003 und vielen anderen Microsoft-Serverprodukten verfügbaren Diensten. Um diese Datenbank zu durchsuchen, können Sie den Sicherheitskonfigurations-Assistenten auf einem beliebigen Windows Server 2003-Computer installieren und anschließend starten.
Ausführliche Informationen zu SDDL finden Sie im Artikel „Security Descriptor Definition Language“ (in englischer Sprache) auf der MSDN®-Website unter https://msdn.microsoft.com/library/en-us/secauthz/security/security\_descriptor\_definition\_language.asp.
Weitere Informationen zur Sicherung der Terminaldienste finden Sie im Artikel „Sichern von Windows 2000-Terminaldiensten“ (in englischer Sprache). Die Informationen in diesem Artikel beziehen sich auch auf Windows Server 2003 und sind unter der folgenden URL-Adresse verfügbar: www.microsoft.com/technet/prodtechnol/win2kts/maintain/optimize/secw2kts.mspx.
Weitere Informationen zu den Standarddiensteinstellungen unter Windows Server 2003 finden Sie auf der Microsoft TechNet-Seite Standardeinstellungen für Dienste (in englischer Sprache) unter www.microsoft.com/resources/documentation/windowsserv/2003/standard/proddocs/en-us/sys\_srv\_default\_settings.aspx.
Weitere Informationen zum lokalen Wiederherstellen der Standardsicherheitseinstellungen finden Sie im Microsoft Knowledge Base-Artikel „How to Reset Security Settings Back to the Defaults“ (in englischer Sprache) unter https://support.microsoft.com/?scid=313222.
Weitere Informationen zum Wiederherstellen der Standardsicherheitseinstellungen in den vordefinierten Gruppenrichtlinienobjekten der Domäne finden Sie im Microsoft Knowledge Base-Artikel „How to Reset User Rights in the Default Domain Group Policy in Windows Server 2003“ (in englischer Sprache) unter https://support.microsoft.com/kb/324800/en-us.
In diesem Beitrag
- Überblick
- Kapitel 1: Einführung zu Bedrohungen und Gegenmaßnahmen: Sicherheitseinstellungen unter Windows Server 2003 und Windows XP
- Kapitel 2: Richtlinien auf Domänenebene
- Kapitel 3: Überwachungsrichtlinie
- Kapitel 4: Benutzerrechte
- Kapitel 5: Sicherheitsoptionen
- Kapitel 6: Ereignisprotokoll
- Kapitel 7: Systemdienste
- Kapitel 8: Richtlinien für Softwareeinschränkungen
- Kapitel 9: Administrative Vorlagen für Windows XP und Windows Server 2003
- Kapitel 10: Zusätzliche Registrierungseinträge
- Kapitel 11: Zusätzliche Gegenmaßnahmen
- Kapitel 12: Zusammenfassung
- Danksagungen
Download
Handbuch „Bedrohungen und Gegenmaßnahmen“ herunterladen (engl.)
Benachrichtigung über Neuerungen
Melden Sie sich an, um sich über Updates und neue Versionen zu informieren
Feedback
Senden Sie uns Ihre Kommentare oder Vorschläge
.gif "Dd443754.pageLeft(de-de,TechNet.10).gif") 8 von 14 .gif "Dd443754.pageRight(de-de,TechNet.10).gif") |