Windows系統服務面面觀(中)
作者: 賴榮樞
http://www.goodman-lai.idv.tw
我在上一篇文章《Windows系統服務面面觀(上)》解釋了何謂Windows系統服務,並且也說明了25個常用的Windows系統服務;常用的系統服務當然不只這25個,因此我將另以兩篇文章來說明其他常用的系統服務;本文及上一篇文章的內容都集中在伺服端(但非伺服器)的系統服務,用戶端的系統服務將於下一篇文章說明。
本頁內容
常用的系統服務(續)
未完待續
常用的系統服務(續)
以下將簡要說明常用的Windows系統服務(版本則以Windows Server 2003為主,也會穿插若干Windows XP的系統服務),這些說明能作為您是否要停用系統服務的參考。括號裡的是系統服務的服務名稱(SCM對服務名稱是不分大小寫),並且也會適時列出伺服端系統服務所使用的協定以及通訊埠。此外,以下所列舉的系統服務包含了Windows內建(例如Alerter)、額外安裝了Windows內建的功能才會出現(例如Microsoft POP3 Service),或者額外安裝了伺服器軟體才會出現(例如MSSQLSERVER),而且有些系統服務適用於用戶端電腦,有些是伺服端專屬,有些則是兩者都有。
HTTP SSL(HTTPFilter):這項系統服務讓IIS能夠具備SSL的加密通訊功能。SSL也就是「安全通訊層」(Secure Sockets Layer)是建立加密通訊通道的開放標準,可以避免重要資訊在傳輸過程遭到攔截而被識別。這項系統服務可以用在網際網路,尤其經常用在WWW的電子金融交易的資訊加密。
協定
通訊埠
HTTPS(TCP)
443
IIS Admin(IISAdmin):這項系統服務能夠管理Internet Information Services (IIS),包括旗下的FTP站台、Web網站、應用程式集區、Web服務延伸、NNTP、SMTP等IIS虛擬伺服器元件。不論停止或停用這項系統服務,都將無法執行FTP、Web、NNTP和SMTP站台,而且也無法設定IIS。Windows 2000預設會安裝這項系統服務以及其他相關服務,而Windows Server 2003則必須安裝了IIS相關元件(例如Web或FTP站台),才會自動安裝這項系統服務。
Internet Authentication Service(IAS):「網際網路驗證服務」實作了IETF(Engineering Task Force)所制訂的RADIUS(Remote Authentication Dial-In User Service)協定,讓伺服器可以集中的方式來認證、授權、稽核透過網路連線登入的使用者。
協定
通訊埠
Legacy RADIUS(UDP)
1645
Legacy RADIUS(UDP)
1646
RADIUS Accounting(UDP)
1813
RADIUS Authentication(UDP)
1812
Internet Connection Firewall (ICF)/Internet Connection Sharing (ICS)(SharedAccess):這項系統服務提供了軟體NAT的功能,若啟用了ICS功能,Windows電腦可作為內部小型網路的網際網路閘道器,其他用戶端電腦便能共用網際網路閘道器與網際網路之間的連線。這項系統服務提供了基本的DHCP和DNS服務,讓內部網路藉以擁有DHCP和DNS能力,而這項系統服務也能與功能完整的Windows DHCP和DNS服務一同運作。此外,在Windows XP SP2及Windows Server 2003 SP1,這項系統服務的顯示名稱已經改成Windows Firewall/Internet Connection Sharing (ICS)。
協定
通訊埠
DHCP Server(UDP)
67
DNS(UDP)
53
DNS(TCP)
53
Kerberos Key Distribution Center(kdc):這是用作Kerberos第五版認證協定的系統服務。啟用這項系統服務之後,使用者能以Kerberos第五版的認證協定登入網路。這項系統服務包含了認證服務(Authentication Service)以及申請其他票證的票證機制(Ticket-Granting Service)。關於Kerberos第五版,可參閱《Kerberos 101》以及《Kerberos在Windows的應用》等文章。
協定
通訊埠
Kerberos(TCP)
88
Kerberos(UDP)
88
License Logging(LicenseService):原創於Windows NT Server 3.51,這項系統服務可以管理Server Client Access License(CAL)所授權的產品,不過目前這項系統服務僅適合Small Business Server。
協定
通訊埠
NetBIOS Datagram Service(UDP)
138
NetBIOS Session Service(TCP)
139
SMB(TCP)
445
Message Queuing(MSMQ):這項系統服務是建立Windows分散式訊息程式的基礎以及發展工具。Windows分散式訊息程式可以跨越異質網路進行通訊,並且就算電腦暫時無法連線,也能夠彼此相互傳送訊息。這項系統服務能夠提供安全且有效率的訊息傳送機制,並且能以交易、選擇優先順序的方式保證訊息的傳達。
協定
通訊埠
MSMQ(TCP)
1801
MSMQ(UDP)
1801
MSMQ-DCs(TCP)
2101
MSMQ-Mgmt(TCP)
2107
MSMQ-Ping(UDP)
3527
MSMQ-RPC(TCP)
2105
MSMQ-RPC(TCP)
2103
RPC(TCP)
135
Messenger(Messenger):這不是微軟的即時通訊軟體,它與Alerter類似,而且都是古老的系統服務了。Alerter與Messenger使用相同的方式提供簡易的網路訊息傳遞功能,例如Messenger可以讓Net Send指令將文字訊息傳到另一部電腦(不過Net Send及Net Name等指令已沒有作用)。但是這兩個系統服務的功能太陽春,而且有安全疑慮,因此許多版本的Windows Service Pack都會停用這兩個系統服務,而且Windows Server 2003預設也已停用這兩個系統服務;您也應該停用。
協定
Protocol
通訊埠
NetBIOS Datagram Service(UDP)
UDP
138
Microsoft Exchange MTA Stacks(MSExchangeMTA):為了回溯相容,Microsoft Exchange 2000/2003 Server經常利用MTA(Message Transfer Agent)與Exchange Server 2000/5.5等舊版傳遞訊息。
協定
通訊埠
X.400(TCP)
102
Microsoft Operations Manager 2000(one point):這是用在Microsoft Operations Manager(MOM)2000的系統服務。在安裝了MOM 2000 Service Pack 1之後,MOM 2000就不再以明文作為通訊方式,而會改以加密的方式傳送MOM代理者和MOM伺服器之間的訊息。而MOM管理者控制台(MOM Administrator console)是以DCOM連接伺服器,也就是說,以網路管理MOM伺服器的管理者,必須能存取隨機的TCP高通訊埠。
協定
通訊埠
MOM-Clear(TCP)
51515
MOM-Encrypted(TCP)
1270
Microsoft POP3 Service(POP3SVC):這是用在收信的電子郵件伺服器系統服務。管理者可以利用這項系統服務來儲存和管理郵件伺服器裡的電子郵件帳號及其郵件;安裝這項系統服務的電腦便成為郵件伺服器,使用者就可以利用支援POP3協定的用戶端程式連上郵件伺服器,並收取帳號的電子郵件。
協定
通訊埠
POP3(TCP)
110
MSSQLSERVER(MSSQLSERVER):這是用在SQL資料庫伺服器的系統服務。安裝SQL資料庫伺服器軟體的電腦便成為SQL資料庫伺服器,而能提供資料儲存與管理的能力。
協定
通訊埠
SQL over TCP(TCP)
1433
SQL Probe(UDP)
1434
Net Logon(Netlogon):這項系統服務維護了用戶端電腦與網域控制器之間的安全通道,用以認證使用者及伺服端服務。用戶端電腦的憑證是以這項系統服務傳送到網域控制器,而網域控制器會將網域安全識別子和使用者權利傳回給使用者;但是必須將成員電腦或網域控制器加入網域,才能將這項系統服務調整成自動啟動。
協定
通訊埠
NetBIOS Datagram Service(UDP)
138
NetBIOS Name Resolution(UDP)
137
NetBIOS Session Service(TCP)
139
SMB(TCP)
445
NetMeeting Remote Desktop Sharing(mnmsrvc):這項系統服務可以讓授權的使用者從另一部個人電腦以Windows NetMeeting遠端存取Windows桌面。
協定
通訊埠
Terminal Services(TCP)
3389
Network News Transfer Protocol(NNTPSVC):這是用作新聞群組的系統服務,執行這項系統服務的電腦,便成為新聞群組(Network News Transfer Protocol,NNTP)伺服器。
協定
通訊埠
NNTP(TCP)
119
NNTP over SSL(TCP)
563
Performance Logs and Alerts(SysmonLog):這項系統服務會以事先排定好的時程參數,收集本機或遠端電腦的執行效能資料,並且將收集到的資料寫入日誌(log)或觸發訊息。
協定
通訊埠
NetBIOS Session Service(TCP)
139
Print Spooler(Spooler):這項系統服務將管理所有本機和網路列印佇列,並且控制所有的列印工作。Print Spooler是Windows列印子系統的中心,它會管理系統的列印佇列,並且與印表機驅動程式及諸如USB埠、TCP/IP協定等輸出入元件通訊。
協定
通訊埠
NetBIOS Session Service(TCP)
139
SMB(TCP)
445
Remote Installation(BINLSVC):這項系統服務可以用在「開機前執行環境」(Pre-Boot eXecution Environment,PXE),能在遠端啟動的用戶端電腦安裝Windows 2000、Windows XP或Windows Server 2003。遠端安裝伺服器的主要元件,Boot Information Negotiation Layer(BINL),會回覆PXE用戶端的要求、為用戶端確認AD,並且在伺服器與用戶端之間傳送相關資訊(只要替伺服器增加RIS元件,BINL就會裝進伺服器)。
協定
通訊埠
BINL(UDP)
4011
Remote Procedure Call(RpcSs):Remote Procedure Call(RPC)系統服務是「行程間通訊」(interprocess communication,IPC)的基礎機制,而IPC則可以讓不同的行程交換資料、啟用彼此的功能,不同的行程可以位於同一部電腦或分別位於網路的不同電腦。這項系統服務是用在RPC端點以及COM服務控制管理者(Service Control Manager)。必須注意的是,許多系統服務必須依靠RPC系統服務才能執行。
協定
通訊埠
RPC(TCP)
135
RPC over HTTP(TCP)
593
Remote Procedure Call Locator(RpcLocator):這項系統服務的目的是管理RPC名稱服務資料庫。啟動這項系統服務之後,RPC用戶端就能找到RPC伺服端,但這項系統服務預設並未開啟。
協定
通訊埠
NetBIOS Session Service(TCP)
139
SMB(TCP)
445
Remote Storage Notification(Remote_Storage_User_Link):當使用者從遠端的第二儲存媒介讀取或寫入檔案資料時,這項系統服務就會通知使用者;而若關閉這項系統服務,就不會通知使用者。
協定
通訊埠
RPC(TCP)
135
Randomly allocated high TCP ports(TCP)
1024到65534之間的隨機通訊埠
Remote Storage Server(Remote_Storage_Server):這項系統服務會在第二儲存媒介儲存甚少使用的檔案,如果停止這項系統服務,使用者將無法從第二儲存媒介搬移或取回檔案。
協定
通訊埠
RPC(TCP)
135
Randomly allocated high TCP ports(TCP)
1024到65534之間的隨機通訊埠
Routing and Remote Access(RemoteAccess):這項系統服務提供LAN到LAN、LAN到WAN、VPN、NAT等各種路由服務,並且也提供撥接和VPN遠端存取服務。
Server(lanmanserver):這項系統服務提供RPC的支援,以及檔案、列印、命名資料通道(named pipe)的跨網路共用。這項系統服務允許共用諸如磁碟和印表機的本機資源,因此網路上的其他使用者便能存取這些共用的資源。這項系統服務也允許程式之間利用命名資料通道相互通訊。
協定
通訊埠
NetBIOS Datagram Service(UDP)
138
NetBIOS Name Resolution(UDP)
137
NetBIOS Session Service(TCP)
139
SMB(TCP)
445
Simple Mail Transfer Protocol(SMTPSVC):這項系統服務(SMTP)是用作電子郵件的傳送及轉送(POP3則用於郵件的收取)。而Windows Server 2003的CDO(Collaboration Data Objects)COM元件,也會使用這項系統服務來傳送電子郵件。
協定
通訊埠
SMTP(TCP)
25
SMTP(UDP)
25
Simple TCP/IP Services(SimpTcp):這項系統服務實作了Echo(RFC 862)、Discard(RFC 863)、Character Generator(RFC 864)、Daytime(RFC 867)、Quote of the Day(RFC 865)等協定。
協定
通訊埠
Chargen(TCP)
19
Chargen(UDP)
19
Daytime(TCP)
13
Daytime(UDP)
13
Discard(TCP)
9
Discard(UDP)
9
Echo(TCP)
7
Echo(UDP)
7
Quotd(TCP)
17
Quoted(UDP)
17
SMS Remote Control Agent(Wuser32):這是Microsoft Systems Management Server (SMS) 2003的系統服務,能為微軟的作業系統提供完整且全面的調整、設定功能,並且也能為用戶端提供完整的軟體更新服務。
協定
通訊埠
SMS Remote Chat(TCP)
2703
SMS Remote Chat(UDP)
2703
SMS Remote Control (control) (TCP)
2701
SMS Remote Control (control) (UDP)
2701
SMS Remote Control (data) (TCP)
2702
SMS Remote Control (data) (UDP)
2702
SMS Remote File Transfer(TCP)
2704
SMS Remote File Transfer(UDP)
2704
SNMP Service(SNMP):這項系統服務提供了「簡易網路協定」(Simple Network Management Protocol,SNMP)的功能,它能從執行了網管軟體的主控電腦管理其他亦支援SNMP協定的網路主機(包括工作站、伺服器、路由器、橋接器、集線器),並且是以分散式架構的管理系統進行網路管理。這項系統服務包含了監控網路的代理程式(agent),並且能將監控結果回報給網路控制台工作站。
協定
通訊埠
SNMP(UDP)
161
SNMP Trap Service(SNMPTRAP):這項系統服務會收到由本機或遠端SNMP代理程式所產生的設陷訊息(trap message),並將訊息轉送到SNMP管理程式。如果針對代理程式設定SNMP服務,則只要發生任何特定事件,服務就會產生設陷訊息,而這些訊息都會傳送到設陷目的地。如果停止這項系統服務,電腦上的SNMP程式就不會收到SNMP設陷訊息。如果這部電腦使用SNMP設陷監視網路裝置或伺服器應用程式,就會錯過重要的系統事件。
協定
通訊埠
SNMP Traps Outbound(UDP)
162
SQL Analysis Server:這項系統服務是SQL 2000資料庫伺服器的元件之一,可以存取本機或遠端的資料,以建立並管理OLAP Cube及資料探勘(data mining)。
協定
通訊埠
SQL Analysis Services(TCP)
2725
SQL Server: Downlevel OLAP Client Support:如果SQL Analysis Server必須支援OLAP Services 7.0的用戶端連線,就需要這項系統服務。
協定
通訊埠
OLAP Services 7.0(TCP)
2393
OLAP Services 7.0(TCP)
2394
SSDP Discovery Service(SSDPRSR):這項系統服務實作了「簡單服務搜尋協定」(Simple Service Discovery Protocol,SSDP),它會管理所收到的裝置出席公告、更新其快取、並通知用戶端。SSDP是實現「通用隨插即用」(Universal Plug and Play,UPnP)的重要基本協定,UPnP是分散式網路架構的公開標準,可以利用現有的網路技術,讓電腦、周邊裝置、甚至家電能夠互通資訊或控制。UPnP是以原本硬體的隨插即用技術為基礎,但更延伸到網路架構,除了能讓裝置動態的透過網路新增或移除,也能讓裝置具備自動搜尋的功能。如果是較舊的Windows版本(例如Windows XP SP1),是以TCP 5000作為事件通知的通訊埠;較新的Windows(例如Windows XP SP2)則是使用TCP 2869作為事件通知的通訊埠。
協定
通訊埠
SSDP(UDP)
1900
SSDP event notification(TCP)
2869
SSDP legacy event notification(TCP)
5000
Systems Management Server 2.0:這也是Microsoft Systems Management Server (SMS) 2003所提供的系統服務。SMS 2003能為微軟的作業系統提供完整且全面的調整、設定功能,並且也能為用戶端提供完整的軟體更新服務。
協定
通訊埠
NetBIOS Datagram Service(UDP)
138
NetBIOS Name Resolution(UDP)
137
NetBIOS Session Service(TCP)
139
RPC(TCP)
135
Randomly allocated high TCP ports(TCP)
1024到65534之間的隨機通訊埠
TCP/IP Print Server(LPDSVC):這項系統服務能讓TCP/IP網路印表機使用Line Printer Daemon(LPD)協定。伺服器上的LPD服務能接收來自UNIX電腦、LPR(Line Printer Remote)工具程式的文件。
協定
通訊埠
LPD(TCP)
515
Telnet(TlntSvr):這項系統服務能為Telnet用戶端提供文字模式的終端連線服務,所支援的通訊方式包括了ANSI、VT-100、VT-52或VTNT。
協定
通訊埠
Telnet(TCP)
23
Terminal Services(TermService):這項系統服務提供了多連線(multi-session)環境,能讓用戶端存取虛擬Windows桌面和執行於伺服器的Windows程式,而這項系統服務也能讓多位使用者同時連上一部伺服器並進行互動。
協定
通訊埠
Terminal Services(TCP)
3389
Terminal Services Licensing(TermServLicensing):這項系統服務會安裝授權伺服器(license server),並在連線至terminal server時提供登錄的用戶端授權。這項系統服務會存放針對terminal server發出的用戶端授權,然後追蹤已發出的授權。如果關閉這項系統服務,伺服器將無法在用戶端要求時,發放授權給用戶端。如果在樹系中的網域控制站上找到其他授權伺服器,要求的terminal server會嘗試使用該伺服器。
協定
通訊埠
RPC(TCP)
135
Randomly allocated high TCP ports(TCP)
1024到65534之間的隨機通訊埠
SMB (命名資料通道)(TCP)
139, 445
Terminal Services Session Directory(Tssdis):這項系統服務提供多重工作階段環境,允許用戶端裝置存取Windows Server 2003的虛擬Windows桌面Windows程式。這項系統服務允許負載平衡終端機伺服器叢集正確地將使用者的連線要求,路由到使用者已在執行工作階段的伺服器。不論使用者是否已在叢集其他地方執行工作階段,都會路由到第一個可用的終端機伺服器。負載平衡會使用TCP/IP網路通訊協定集合許多伺服器的處理資源。如果已停止這項系統服務,連線要求將會路由至第一部可用的伺服器。不論使用者在叢集中他處是否有執行中的工作階段,都會路由到第一部可用的「終端機伺服器」。
協定
通訊埠
RPC(TCP)
135
Randomly allocated high TCP ports(TCP)
1024到65534之間的隨機通訊埠
Trivial FTP Daemon(tftpd):這項系統服務(TFTP)不需要使用者名稱或密碼,而且會和「遠端安裝服務」(Remote Installation Services,RIS)整合在一起。這項系統服務實作了RFC 1350、2347、2348、2349等文件定義的內容。如果停止這項系統服務,從這個伺服器要求遠端安裝服務的用戶端電腦將無法安裝。如果使用「服務」嵌入式管理單元停用這項服務,則從這個伺服器要求遠端安裝服務的用戶端電腦將無法安裝。停用這項服務的正確方法是解除安裝遠端安裝服務。
協定
通訊埠
TFTP(UDP)
69
Universal Plug and Play Device Host(UPNPHost):這項系統服務讓「通用隨插即用」(Universal Plug and Play,UPnP)主機裝置具備必要的註冊、控制、回應等事件。
協定
通訊埠
UPNP(TCP)
2869
Windows Internet Name Service(WINS):這項系統服務能夠執行NetBIOS名稱解析,以找出使用NetBIOS作為識別名稱的網路資源。除非所有網域都已升級至Active Directory,而且網路上所有電腦執行的都是Windows Server 2000或較新的版本,否則就需要WINS伺服器。如果停止這項服務,將無法找到網路上的Windows NT4網域及網域控制站,也將無法從Windows NT4用戶端找到Windows 2000或Windows Server 2003 Active Directory網域和網域控制站。再者,除非必須要解析名稱的裝置和嘗試名稱解析的裝置在同一個子網路上,否則NetBIOS名稱解析會失敗;也就是說,必須將裝置設定成以廣播嘗試解析NetBIOS名稱。
協定
通訊埠
NetBIOS Name Resolution(UDP)
137
WINS Replication(TCP)
42
WINS Replication(UDP)
42
Windows Media Services(WMServer):Windows Server 2003的這項系統服務取代了Windows Media Services 4.0及4.1的Windows Media Monitor Service、Windows Media Program Service、Windows Media Station Service和Windows Media Unicast Service等服務,而且也是Windows Server 2003所有版本的單一服務。這項系統服務支援眾多的控制通訊協定,包括Real Time Streaming Protocol (RTSP)、Microsoft Media Server (MMS)通訊協定和HTTP。
協定
通訊埠
HTTP(TCP)
80
MMS(TCP)
1755
MMS(UDP)
1755
MS Theater(UDP)
2460
RTCP(UDP)
5005
RTP(UDP)
5004
RTSP(TCP)
554
Windows Time(W32Time):這項系統服務會讓Microsoft Windows網路上的所有電腦保持日期和時間的同步。它使用「網路時間通訊協定」(Network Time Protocol,NTP)來同步電腦時鐘,讓準確的時鐘數值或時間戳記指派給網路驗證及資源存取要求。NTP的實作與時間提供者的整合讓這項系統服務成為企業系統管理員的可靠及可調整的時間服務。未加入網域的電腦,也可以利用這項系統服務與外部時間來源同步時間。如果關閉這項服務,電腦的時間設定就不會與Windows網域中的任何時間服務或外部設定的時間服務同步。如果停止或停用Windows Time服務,樹系或外部NTP伺服器將無法使用日期與時間同步,這有兩種可能的情況:若停止工作站上的Windows Time,會讓工作站無法與其他來源同步時間,但是對其他任何外部伺服器並沒有影響;若停止網域控制站的Windows Time,還會造成任何網域成員無法與其同步時間。
協定
通訊埠
NTP(UDP)
123
SNTP(UDP)
123
World Wide Web Publishing Service(W3SVC):這項系統服務是IIS網站及程式的基礎,它包含了行程管理和設定管理,前者控制了自訂程式和網站的行程,後者會讀取所儲存的系統設定,並確保Http.sys能將HTTP要求轉送到適當的應用程式集區或作業系統的行程。如果停止這項系統服務,Windows將無法為任何形式的Web要求提供服務。如果啟用管理網站,其虛擬網站將使用TCP通訊埠8098。
協定
通訊埠
HTTP(TCP)
80
HTTPS(TCP)
443
未完待續
本文列舉了常用的Windows伺服端系統服務,有些諸如IMAPI CD-Burning COM Service,雖然也內建於Windows Server,但我將這類系統服務歸於用戶端,並將於下篇文章說明;而有些如DHCP Client或DNS Client系統服務,則配合其伺服端服務,已於這兩篇文章說明過了。
參考資料
- Service overview and network port requirements for the Windows Server system