症状
当试图在运行 Microsoft Windows Server 2003、带 Service Pack 1 (SP1) 的 Microsoft Windows XP Professional 或 Microsoft Windows 2000 的计算机上修改或查看组策略对象 (GPO) 时,可能会收到类似以下内容的错误信息:
The following entry in the [strings] section is too long and has been truncated.(下列在 [strings] 节中的项目太长,被截断。)
此错误信息后面可能会显示某些文本,这些文本在不同情况下会有所不同。另外,如果在错误信息窗口中单击“确定”,则可能会重复出现类似的错误信息。每条重复的错误信息后面都会显示不同的文本。
原因
发生此问题的原因是:组策略编辑器的较早版本无法解释某些包含多于 255 个字符的字符串类型。这些字符串类型包含在将被“IF VERSION”构造排除的 .adm 文件中。

通常,当您试图查看或修改已由其他工作站查看的 GPO,而该工作站包含使用“IF VERSION >=5”构造的 .adm 文件时,会发生此问题。当管理工作站查看 GPO 时,该工作站会自动使用最新版本的 .adm 文件更新该 GPO。如果工作站的 .adm 文件比域 GPO 的 \Adm 文件夹中包含的文件新,则更新模板文件。如果模板文件包含“IF VERSION >=5”构造,当管理工作站试图修改或查看 GPO 且该工作站未安装此修复程序时,将出现错误。

注意:Microsoft Windows XP Service Pack 2 (SP2) 中包含使用“IF VERSION >=5”构造的管理模板 (.adm) 文件。当使用较早版本的组策略编辑器修改某些组策略设置时,此构造可以防止这些设置中的意外行为。

Windows2000 SP3或更高版本:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=ba478b46-3af7-4eaf-9ce6-e34ea2c74faf

WindowsXP SP1:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=3c599574-0f8d-4c2c-b3be-ebf3fb041214

Windows2003:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=532a4cd0-f2ce-4fa7-92ab-ac336ad18409

原文地址:http://support.microsoft.com/default.aspx?scid=kb;zh-cn;842933
配置 Windows 时间服务以使用内部硬件时钟
警告:注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

要想将 PDC 主机配置为不使用外部时间源,请更改 PDC 主机上的公告标志。PDC 主机是存放域的林根 PDC 主机角色的服务器。这种配置会强制 PDC 主机将它自身宣布为可靠的时间源,从而使用内置的互补金属氧化物半导体 (CMOS) 时钟。要将 PDC 主机配置为使用内部硬件时钟,请按照下列步骤操作:1. 单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
2. 找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
3. 在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”。
4. 在“编辑 DWORD 值”的“数值数据”框中键入 A,然后单击“确定”。
5. 退出注册表编辑器。
6. 在命令提示符处,键入以下命令以重新启动 Windows 时间服务,然后按 Enter 键:
net stop w32time && net start w32time
注意:决不能将 PDC 主机配置为与它自身同步。如果 PDC 主机配置为与它自身同步,应用程序日志中将记录以下事件:

时间提供程序 NtpClient 不能访问,或当前正在从 192.168.1.1 (ntp.m|0x0|192.168.1.1:123->192.168.1.1:123) 接收无效的时间数据。

在尝试联系它 8 次以后,没有收到来自手动对等端 192.168.1.1 的响应。此对等端将不再被作为时间源,同时 NtpClient 将尝试发现一个新的对等端以与其同步。

时间提供程序 NtpClient 被配置为从一个或多个时间源获得时间,但是当前这些源没有一个是可以访问的。在 960 分钟内,不会进行联系时间源的尝试。NtpClient 没有一个能够提供准确时间的时间源。

如果 PDC 主机在没有使用外部时间源的情况下运行,应用程序日志中会记录以下事件:

时间提供程序 NtpClient:此机器配置为用域层级确定它的时间源,但它已经是林的根目录域的 PDC 模拟器,因此在域层级没有机器在它上面以用作时间源。建议您在根域上配置一个可靠的时间服务,或者手动配置 PDC 与外部时间源同步。否则,此机器将作为域层级中的权威时间源。如果没有为此计算机配置或使用外部时间源,您可以选择禁用 NtpClient。

这段文本是为了提醒您使用外部时间源;您可以忽略它。


配置 Windows 时间服务以使用外部时间源
要将内部时间服务器配置为与外部时间源同步,请按照下列步骤操作:1. 将服务器类型更改为 NTP。为此,请按照下列步骤操作:a.  单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
b.  找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
c.  在右窗格中,右键单击“Type”,然后单击“修改”。
d.  在“编辑值”的“数值数据”框中键入 NTP,然后单击“确定”。

2. 将 AnnounceFlags 设置为 5。为此,请按照下列步骤操作:a.  找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
b.  在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”。
c.  在“编辑 DWORD 值”的“数值数据”框中键入 5,然后单击“确定”。

3. 启用 NTPServer。为此,请按照下列步骤操作:a.  找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\Enabled
b.  在右窗格中,右键单击“Enabled”,然后单击“修改”。
c.  在“编辑 DWORD 值”的“数值数据”框中键入 1,然后单击“确定”。

4. 指定时间源。为此,请按照下列步骤操作:a.  找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
b.  在右窗格中,右键单击“NtpServer”,然后单击“修改”。
c.  在“编辑值”的“数值数据”框中键入 Peers,然后单击“确定”。

注意:Peers 是一个占位符,应替换为您的计算机从中获取时间戳的对等端列表(以空格分隔)。列出的每个 DNS 名称都必须是唯一的。必须在每个 DNS 名称后面附加 ,0x1。如果不在每个 DNS 名称后面附加 ,0x1,则在第 5 步中所做的更改将不会生效。

5. 选择轮询间隔。为此,请按照下列步骤操作:a.  找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
b.  在右窗格中,右键单击“SpecialPollInterval”,然后单击“修改”。
c.  在“编辑 DWORD 值”的“数值数据”框中键入 TimeInSeconds,然后单击“确定”。

注意:TimeInSeconds 是一个占位符,应替换为您希望各次轮询所间隔的秒数。建议值为 900(十进制)。该值将时间服务器配置为每隔 15 分钟轮询一次。

6. 配置时间校准设置。为此,请按照下列步骤操作:a.  找到并单击下面的注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
b.  在右窗格中,右键单击“MaxPosPhaseCorrection”,然后单击“修改”。
c.  在“编辑 DWORD 值”的“基数”框中单击以选择“十进制”。
d.  在“编辑 DWORD 值”的“数值数据”框中键入 TimeInSeconds,然后单击“确定”。

注意:TimeInSeconds 是一个占位符,应替换为适当的值,如 1 小时 (3600) 或 30 分钟 (1800)。您选择的值将因轮询间隔、网络状况和外部时间源而异。  
e.  找到并单击下面的注册表子项:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection ”
f.  在右窗格中,右键单击“MaxNegPhaseCorrection”,然后单击“修改”。
g.  在“编辑 DWORD 值”的“基数”框中单击以选择“十进制”。
h.  在“编辑 DWORD 值”的“数值数据”框中键入 TimeInSeconds,然后单击“确定”。

注意:TimeInSeconds 是一个占位符,应替换为适当的值,如 1 小时 (3600) 或 30 分钟 (1800)。您选择的值将因轮询间隔、网络状况和外部时间源而异。  

7. 退出注册表编辑器。
8. 在命令提示符处,键入以下命令以重新启动 Windows 时间服务,然后按 Enter 键:
net stop w32time && net start w32time

原文地址:http://support.microsoft.com/default.aspx?scid=kb;zh-cn;816042

AD数据复制需要的端口

[ 2005/02/21 12:04 | by gOxiA ]

当在两个站点间部署了防火墙,而又要实现两个站点的AD数据复制,那么就需要开放必须的端口:

RPC 终结点影射器:135/TCP,135/UDP
NetBIOS 名称服务:137/TCP,137/UDP
NetBIOS 数据文报服务:138/UDP
NetBIOS 会话服务:139/TCP
RPC 动态分配:1024-65535/TCP
Microsoft-DS:445/TCP,445/UDP
LDAP:389/TCP
SSL 上的LDAP:636/TCP
全局编录 LDAP:3268/TCP
SSL 上的全局编录 LDAP:3269/TCP
Kerberos:88/TCP,88/UDP
DNS:53/TCP,53/UDP
WINS解析(如果需要):1512/TCP,1512/UDP
WINS复制(如果需要):42/TCP,42/UDP

RAS error code base

[ 2005/01/31 16:42 | by gOxiA ]
600-操作挂起-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
601-检测到无效的端口句柄-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
602-指定的端口已打开-网络连接试图使用的com端口正在被其他活动的网络连接或其他的进程(例如:诸如传真程序之类的电话线路监视程序)使用。退出阻止使用com端口的应用程序。
603-呼叫人的缓冲区太小-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效
604 -指定了不正确的信息-远程访问记事簿文件和当前的“网络和拨号连接”配置可能不一致如果更改了通讯设备(例如:串行口或调制解调器),请确保重新配置 “网络和拨号连接”。
605-不能设置端口信息-远程访问记事簿文件和当前的“网络和拨号连接”配置可能不一致如果更改了通讯设备(例如:串行口或调制解调器),请确保重新配置 “网络和拨号连接”。如果错误仍然存在,请删除并重新创建“网络和拨号连接”
606-指定的端口未连接-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效
607-检测到无效事件-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效
608 -指定的设备不存在-远程访问记事簿文件和当前的“网络和拨号连接”配置可能不一致如果更改了通讯设备(例如:串行口或调制解调器),请确保重新配置 “网络和拨号连接”。如果错误仍然存在,请删除并重新创建“网络和拨号连接”.
609-指定的设备类型不存在-远程访问记事簿文件和当前的“网络和拨号连接”配置可能不一致如果更改了通讯设备(例如:串行口或调制解调器),请确保重新配置 “网络和拨号连接”。如果错误仍然存在,请删除并重新创建“网络和拨号连接”.
610 -指定的缓冲区无效-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效
611 -指定的路由不可用-网络配置可能不正确,重新启动计算机,以确保所有最近所作的配置更改都能生效。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
612 -指定的路由未分配-网络配置可能不正确,重新启动计算机,以确保所有最近所作的配置更改都能生效。当计算机运行在一个很低的资源情况下时,也会发生 这种错误。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
613-指定的压缩无效-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效
614-没有足够的缓冲区可用-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
615-未找到指定的端口-远程访问记事簿文件和当前的“网络和拨号连接”配置可能不一致如果更改了通讯设备(例如:串行口或调制解调器),请确保重新配置 。“网络和拨号连接”。如果错误仍然存在,请删除并重新创建“网络和拨号连接”.
616-异步请求挂起-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效
617-调制解调器已经断开连接-等待“网络和拨号连接”完成断开
618-指定的端口未打开-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效
619-指定的端口未连接-重新启动计算机,以确保所有最近所作的配置更改都能生效
620-无法决定端点-网络配置可能不正确,重新启动计算机,以确保所有最近所作的配置更改都能生效。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
621-系统无法打开电话簿-“网络和拨号连接”使用位于%systemroot%\system32\ras文件夹中的rasphone.pbk文件。请确保此文件位于该文件夹中,然后重新启动网络和拨号连接。
622-系统无法加载电话簿-“网络和拨号连接”使用位于%systemroot%\system32\ras文件夹中的rasphone.pbk文件。请确保此文件位于该文件夹中,然后重新启动网络和拨号连接。
623-系统无法找到此连接的电话簿项-“网络和拨号连接”位于电话簿,但不能找到指定的连接项。该错误不应该发生,除非另一个应用程序正在使用“网络和拨号连接”并且使用了不正确的连接项。
624-系统无法更新电话簿文件-“网络和拨号连接”使用位于%systemroot%\system32\ras文件夹中的rasphone.pbk文件。请确保磁盘未满,并且有更改文件的权限。
625-系统在电话簿中找到无效信息-电话簿文件rasphone.pbk可能已经损坏,从%systemroot%\system32\ras文件夹中删除该文件,然后重新启动“网络和拨号连接”,创建一个新文件。
626-无法加载字符串-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
627-无法找到关键字-“网络和拨号连接”的配置文件之一可能含有无效信息,如果正使用Windows 2000不支持的调制解器,则应安装使用支持的调制解调器。
628-连接被关闭-如果是拨号连接,请重拨。如果持续得到该消息,请减小调制解调器的初始速度,并关闭调制解调器的高级特性。如果问题仍然存在,请 与系统管理员联系。如果是虚拟专用网络(VPN)连接,访问可能因远程访问策略或其他身份验证问题而被拒绝。请向系统管理员咨询。
629-连接被远程计算机关闭-连接链接因下列某一原因断开:
1、无法恢复的电话线路错误
2、噪声线路
3、被系统管理员断开
4、不能以选定的速度与远程访问服务器上的调制解调器正确地进行协商。如果重拨错误仍然存在,请把连接的调制解调器的速度降低,然后,试着重拨。可尝试连接其他的服务器以确定此问题是否与正在呼叫的特定远程访问服务器有关。同样,也可尝试通过另一个电话线连接到原始服务器。
630-由于硬件故障,调制解调器断开连接-链接因下列某一原因断开:
1、调制解调器(或其他的通讯设备)发生了无法恢复的错误。
2、通讯端口发生了无法恢复的错误。
3、调制解调器电缆没有插上。
要诊断并更正问题,请执行下列操作:
1、确保调制解调器已经通电,并且电缆可靠地连接。
2、确保调制解调器正常运行,可以通过控制面板进行指令测试。
631-用户断开了调制解调器连接-计算机的某个操作断开了连接。 重拨。

632-检测到不正确的结构大小-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
633-调制解调器正在使用或没有配置为拨出-如果是拨号网络连接,网络连接试图使用的com端口正在被其他活动的网络连接或其他的进程(例如:诸如传真程序之类的电话线路监视程序)使用。退出阻止使用com端口的应用程序。如果是虚拟专用网络(VPN),则不能打开网络连接试图使用的VPN设备。如果问题仍然存在,请向系统管理员咨询。
634-您的计算机无法在远程网络上注册-远程访问服务器不能在网络上注册你的计算机名称,这一般随着NetBIOS协议一起出现,但也可能随着tcp/ip或者ipx一起出现。通常,当地址已经在网络上使用时,会发生此错误。请与系统管理员联系
635-出现未知错误-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误
636-连接到端口的设备不是所期望的设备-用于连接的硬件配置和配置设置可能互相矛盾,如果更改通讯设备(例如串行端口或调制解调器),重新配置拨号连接
637-检测到不能转换的字符串-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效
638-请求超时-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效
639-异步网络不可用-NetBIOS网络配置可能不正确。重新启动计算机,以确保所有最近所作的配置更改都能生效。
640-发生与 NetBIOS 有关的错误-调制解调器不能以设置的速度协商连接,将调制解调器的初始速度设置为较低的值,然后重拨。也可以尝试禁用调制解调器压缩和软件压缩。如果还不能建立连接,请试着将ipx/spx、NetBIOS协议添加到该连接。
641-服务器不能分配支持客户机所需的 NetBIOS 资源-请系统管理员提高远程访问服务器的资源容量,或者停掉一些不重要的服务,如:信使服务、网络DDE.
642-计算机的某个 NetBIOS 名已经在远程网络上注册-同名的另一计算机已经登陆到远程网络,网络中的每一台计算机都必须以唯一的名称进行注册,验证下列项目:
1、与你的计算机同名的计算机不位于你正在连接到的网络。
2、计算机没有物理地连接到正在试图连接的网络。
643-服务器端的网卡出现故障-请将该错误报告给系统管理员
644-您将无法接收网络弹出式消息-连接到网络的另一台计算机正在使用你的计算机名,写给你的消息被发送到该计算机。如果要接收远程工作站的消息,则在下次拨入网络之前必须记着注销办公用计算机。该错误不影响outlook、outlook express、exchange发送的消息
645-发生内部身份验证错误-发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效
646-此时间不允许该帐户登录-为限制到该网络的访问配置账户。如果需要在一天的不同时间(而不是当前配置的时间)访问网络,请系统管理员更改设置。
647-此帐户被禁用-用户账号是禁用的。这可能是因为重复的登陆失败尝试,或因为系统管理员因为安全原因而禁用了该账户。请系统管理员启用“本地用户和组”中的账户。
648-该帐户的密码已过期-如果通过“网络和拨号连接”进行连接,则系统会提示更改密码。如果使用rasdial进行连接,则可以通过如下操作更改密码:
1、按Ctrl+Alt+Del
2、单击“更改密码”,然后按照提示操作如果你是系统管理员,但是你的密码过期,你自己不能更改密码,只能由另外的管理员来更改
649-帐户没有拨入的权限-由于下列原因,导致帐户没有拨入的权限:
在选定的域内拥有有效帐户,但该帐户没有访问远程网络的权限。请系统管理员启用用户帐户的拨入权限,或者启用“路由和远程访问”中的拨入权限。帐户或者已经到期、被禁用、或者已被锁定或者拨入访问已被锁定。试图在所允许的服务器登录时间限制之外进行连接,或者试图在所允许的拨入访问的时间界限之外进行连接,或者应用到该帐户的策略可能不允许拨入访问。呼叫者的 ID 规则可能阻止了连接的进行,例如,需要从指定的号码拨入帐户。远程计算机可能只允许本地帐户进行连接。要求某个身份验证协议,而计算机不能对此协议进行协商,或者计算机正在试图使用未被远程计算机上的策略验证的协议。如果在其他域内拥有拨入权限的帐户,请执行下列操作以使用该域上的帐户。
1.右键单击连接,然后单击“属性“。
2.在“选项”选项卡上,选中用于名称、密码、证书等的“提示符”以及 Windows 登录域复选框。
3.在“安全措施”选项卡中,清除“自动使用我的 Windows 登录名和密码(及域,如果有的话)”复选框,然后单击“确定”。
4.双击该连接,然后单击“拨号”。
5.指定适当的用户名、密码和域
650-远程访问服务器没有响应-下列情况中的任一种都可能导致该错误:
1.没有运行远程访问服务器。与系统管理员联系,以确保该服务器正在运行。
2.线路噪声太大,或者调制解调器不能以选定速度与远程访问服务器的调制解调器正确地协商。对于任一可能性,都应降低调制解调器的初始速度 (bps),然后重拨。
3.检查“硬件兼容列表”,以确保您的调制解调器已被列出。
4.可能需要更换调制解调器的串行电缆。
5.用于连接的身份验证设置可能不正确。请与系统管理员联系,以确保您的身份验证设置满足远程访问服务器的要求。
6.可能同时启用了远程访问服务器的软件压缩和调制解调器硬件压缩。通常,启用远程服务器软件压缩,禁用硬件压缩。
651-调制解调器报告错误-调制解调器(或其他设备)报告错误。如果是拨号连接,并且您正在使用所支持的外置调制解调器,请关闭并重新启动调制解调器。关闭并重新启动“网络和拨号连接”,然后重拨。如果“网络和拨号连接”不支持您的调制解调器,请切换到支持的调制解调器。请确保正确地配置了远程访问的调制解调器.如果是虚拟专用网络 (VPN) 连接,则可能已在连接配置中指定了不正确的 TCP/IP 地址,或者试图连接的服务器不可用。要确定该服务器是否可用,请向系统管理员咨询
652-有一个来自调制解调器的无法识别的响应-调制解调器(或其他设备)返回的消息没在您的一个或多个脚本文件(Pad.inf、Switch.inf 或 filename.scp)中列出。如果正在使用支持的外置调制解调器,请关闭并重新启动调制解调器,然后重拨。如果问题仍然存在,请尝试以较低的初始速度连接。
653--在设备 .INF 文件部分中未找到调制解调器所请求的宏
654--设备 .INF 文件部分中的命令或响应引用了未定义的宏。
655--在设备 .INF 文件部分中未找到 > 宏.
656--在设备 .INF 文件部分中的 > 宏包含未定义的宏。
657--无法打开设备 .INF 文件。
658--在设备 .INF 或媒体 .INI 文件中的设备名太长。
659--媒体 .INI 文件引用了未知的设备名。
660--设备 .INF 文件不包含对命令的响应。
661--设备 .INF 文件缺少命令。
662--试图设置设备 .INF 文件部分没有列出的宏。
662--试图设置设备 .INF 文件部分没有列出的宏。
663--媒体 .INI 文件引用了未知的设备类型。
667--系统不能读取媒体 .INI 文件。
669--媒体 .INI 文件中的用法参数无效。
670--系统不能从媒体 .INI 文件中读取部分名称
671--系统不能从媒体 .INI 文件中读取设备类型
672--系统不能从媒体 .INI 文件中读取设备名称。
673--系统不能从媒体 .INI 文件中读取用法。
674--系统不能从媒体 .INI 文件中读取最大的连接速率 (bps)。
675--系统不能从媒体 .INI 文件中读取最大的载波连接速度。
681--调制解调器报告一般错误。
664-系统内存不足-系统内存不足。关闭某些应用程序,然后重拨。
665--未正确配置调制解调器。
666-调制解调器未正常工作-调制解调器(或其他设备)由于下列原因之一而没有响应:
1.外置调制解调器已关闭。
2.调制解调器没有安全地连接到计算机上。应确保电缆安全地固定在调制解调器和计算机上。
3.串行电缆不符合“网络和拨号连接”所要求要求的规格。
4.调制解调器出现过硬件问题。关闭调制解调器,20 秒后重新启动调制解调器。
668-连接被终止-重拨连接。如果持续接收到该消息,则应降低调制解调器的初始速度,并关闭调制解调器的高级功能.如果手动拨号,则在单击“完成”之前应确保已连接上。如果在“网络和拨号连接”文件夹的“高级”菜单选中“接线员辅助拨号”,则是手动拨号
676-电话线忙-重拨号码。在连接属性的“选项”选项卡中实现自动重拨。如果是虚拟专用网络 (VPN) 连接,则检查目标服务器的主机名或 IP 地址,然后再次尝试连接。还要与系统管理员联系,以验证远程服务器是否正在运行。
677-是由人而不是调制解调器应答-调制解调器或其他设备没有摘机。检查号码,再拨号。如果是虚拟专用网络 (VPN) 连接,则检查目标服务器的主机名或 IP 地址,然后再次尝试连接。
678-没有应答-调制解调器或其他设备没有摘机。检查号码,再拨号。如果是虚拟专用网络 (VPN) 连接,则检查目标服务器的主机名或 IP 地址,然后再次尝试连接。还要确保电话线插在调制解调器的正确插槽中。
679-系统无法检测载波-调制解调器或其他设备没有摘机。如果远程调制解调器没有摘机,则很多调制解调器会返回该错误。检查号码,再拨号。如果是虚拟专用网络 (VPN) 连接,则检查目标服务器的主机名或 IP 地址,然后再次尝试连接。在连接属性的“选项”卡中可以实现自动重拨。
680-没有拨号音-电话线可能不正确连接到调制解调器或已从调制解调器断开。电话号码访问外部线路需要前缀,例如 9,或者号码太长。 确保电话线插在调制解调器的正确插槽中。还要确保添加了连接到外线的所有特殊访问号码,例如前缀 9 后跟随一逗号。例如: 9,555*0100。 检查电话线是否有口吃音调,该音调表示语音邮件消息。 很多调制解调器拨号不能超过34位数字。遇到较长的号码时,这些调制解调器将其分为两个或更多的字符串,只拨入第一个字符串(不完 整)。这发生在 Robotics 和Multitech 的解调器中。该问题的已知的唯一解决方法是使用另一品牌的调制解调器。
691-因为用户名和/或密码在此域上无效,所以访问被拒绝-没有用所列出的域注册用户帐户,密码过期,或者错误地输入了信息。如果没指定域,则远程访问服务器试图在自己为其成员的域中验证 用户名和密码。请仔细重新键入用户名、密码和域。如果不能肯定该信息,请向系统管理员咨询。
692-调制解调器出现硬件故障-调制解调器(或其他设备)由于下列原因而没有响应:
调制解调器关掉、出故障或没有可靠地连接到计算机上。
要解决该问题,请执行下列操作:
1)重设调制解调器。详细信息,请查阅硬件文档。
2)如果正在使用外置调制解调器,请确保使用合适的串行电缆,并且电缆连接可靠。可能要尝试更换调制解调器电缆。同样地,如果 正在使用适配器将外置调制解调器连接到串行端口,则要确保适配器接线正确以用于调制解调器通讯。例如,用于鼠标的 9 至 25 针适配器在 串行网络连接中不能正确工作。
3)测试串行端口或多端口适配器,如必要则更换。
4)确保调制解调器的握手选项配置正确。请查阅硬件文档,以获取可用于您的调制解调器的不同握手选项的信息。
5)如果“网络和拨号连接”不支持您的调制解调器,则切换到支持的调制解调器。
6)验证其他应用程序(例如,“超级终端”)没有使用通讯端口。如果正在使用此端口,随后启动“网络和拨号连接”可能导致该消 息出现。
695-未启动状态机器-
696-已启动状态机器-
697-响应循环未完成-
699-调制解调器的响应导致缓冲区溢出-发生内部错误。重新启动计算机,以确保所有最近所做的配置更改都能生效。
700-设备 .INF 文件中的扩展命令太长-脚本文件中的命令不能超过 256 个字符。将该命令分解成多个命令。
701-调制解调器使用了 COM 驱动程序不支持的连接速度-调制解调器试图以串行端口不能解释的速度进行连接。请将初始速度重新设为下一最低的标准 bps 速度。
703-连接需要用户信息,但应用程序不允许用户交互-正在试图连接到的服务器要求有用户交互。rasdial 命令,或用于试图拨号的应用程序,不支持用户交互作用。如果可能,请尝试使用“网络和拨号连接”文件夹中现有的连接进行连接。如果正在使用脚本进行连接,请试着使用配置为具有“终端”功能的拨号连接。终端窗口可能启用所要求的用户交互。
704-回拨号码无效。 -为客户指定的回叫号码无效。
705-身份验证状态无效-发生内部错误。重新启动计算机,以确保所有最近所做的配置更改都能生效。如果错误仍然存在,请参考 Windows 2000 事件日志,查找详细的警告或错误。
707-出现与 X.25 协议有关的错误-X.25 连接返回错误。请 X.25 提供商解释所给出的诊断信息
708-帐户过期-请系统管理员重新激活您的帐户
709-更改域上的密码时发生错误密码可能太短或者与以前使用的密码相匹配-请试着再次更改密码。如果持续接收到该消息,请将其报告给系统管理员
710-当与调制解调器通讯时检测到序列溢出错误-应降低调制解调器的初始速度(位每秒),然后重拨。
711-远程访问服务管理器无法启动。事件日志中提供了其他信息-可能没有运行“远程访问连接管理器”服务。修改服务以自动启动。重新启动计算机,以保证所有最近所做的配置更改都能生效。如果错误仍然存在,请参考 Windows 2000 事件日志,查找详细的警告或错误。详细信息,请访问 Microsoft Web 站点 (http://www.microsoft.com/) 的 Personal Support Center。调制解调器,或调制解调器电缆可能产生问题。请试着更换调制解调器电缆
712-双路端口正在初始化。等几秒钟再重拨-在配置为接收呼叫(双工连接)的连接会出现该错误。在服务器正初始化接收呼叫连接的同时拨出时,也会发生该错误。“网络和拨号连接”几秒钟后将重拨。
713 -没有活动的 ISDN 线路可用-请确保 ISDN 线插入正确,并且终结电阻器安装正确(请参阅关于 ISDN 卡的文档),然后重拨。如果还接收到该错误,请与 ISDN 供应商或 ISDN 电话公司的客户服务联系。
714 -没有 ISDN 信道可用于拨号-所有可用的 ISDN 信道都在忙。通常,以服务的 BRI(“基本速率接口”)等级提供的 ISDN 提供可在其上制作语音或数据呼叫的两个信道。如果这两个信道都在使用中,则“网络和拨号连接”将不能拨出。挂断一个信道,然后重拨。
715-由于电话线质量差,所以发生过多错误-身份验证期间,电话线路发生了太多的异步错误。重试。如问题仍然存在,则应降低波特率并禁用所设置的调制解调器的所有功能。
716-远程访问服务 IP 配置不可用-远程访问服务器上的 TCP/IP 配置有问题。例如,连接正在从服务器上请求不可用的 TCP/IP 地址。请与系统管理员联系,以检验服务器的 TCP/IP 设置。
717-在远程访问服务 IP 地址的静态池中没有 IP 地址可用-设法使用不会导致远程网络冲突的 IP 地址。如果可能,请使用 DHCP 避免地址冲突。
718-等待远程计算机有效响应的连接超时。 -PPP 会话已启动,但由于远程计算机在适当的时间内没有响应而中断。这可能是由于线路质量太差或是由于服务器的问题而导致的。
719-连接被远程计算机终止-PPP 会话启动,但因远程计算机的请求而中断。服务器可能出现错误。
720-由于您的计算机与远程计算机的 PPP 控制协议不一致,所以连接尝试失败。没有为该连接配置 PPP 网络控制协议,或者没有安装相应的网络协议。在产品升级过程中更改网络协议类型时,可能会出现该错误。
721-远程计算机没有响应-试图使用 PPP 会话,但远程计算机没有响应。服务器(例如,Windows NT 3.51 或者更早期的远程访问服务器或者 SLIP 服务器)不支持PPP 时将出现该错误。如果在服务器启动 PPP 前要求使用终端窗口登录,则也可能出现该错误。如果使用终端窗口登录解决问题,可以使将来的连接进程自动进行。该错误同样表明您的计算机或远程服务器上有硬件错误。
722-从远程计算机接收到无效的数据。该数据将被忽略-接收的 PPP 数据包不是有效格式。系统管理员可能需要将 PPP 事件记录到文件,以解决问题
723-电话号码(包含前缀和后缀)太长-电话号码的最大长度(包括前缀和后缀)是 128 个字符。
726-IPX 协议不能用于在多个的调制解调器上同时向外拨号。 -使用 IPX 协议,只有一个连接可用于拨出。
728-系统找不到 IP 适配器-TCP/IP 配置有问题。重新启动计算机,以保证最近所做的所有配置更改都生效。
729-除非安装 IP 协议,否则不能使用 SLIP-验证是否已安装了 TCP/IP。
731-未配置协议。 -要求有关未配置的 PPP 控制协议的特定信息。要识别 PPP 协商问题,请系统管理员使用 Netsh.exe 实用程序启用 PPP 登录。
732-您的计算机和远程计算机的 PPP 控制协议无法一致-PPP 参数协商失败,这是因为本地计算机和远程计算机不能就一套公用参数集达成协议。请向系统管理员咨询,以验证诸如 TCP/IP、IPX 或 NetBEUI 的网络协议的配置。
733-您的计算机和远程计算机的 PPP 控制协议无法一致。 -服务器支持 PPP,但不支持连接用的网络协议。请系统管理员将连接配置为使用您的服务器所支持的网络协议。
734-PPP 链接控制协议被终止-PPP 链接控制协议会话启动,但被远程计算机的请求中断。服务器可能出现错误。请向系统管理员咨询
735-请求的地址被服务器拒绝。 -将连接配置为请求特定的 IP 地址。不将服务器配置为允许客户请求特定的 IP 地址,或者特定的 IP 地址可以为其他客户所使用。如果可能,请使用 DHCP 以避免寻址冲突。
736-远程计算机终止了控制协议-PPP 网络控制协议会话启动,但被远程计算机的请求中断。服务器可能出现错误。请向系统管理员咨询
737-检测到环回-在 PPP 会话中涉及的本地计算机和远程计算机是同一台计算机。这通常意味着链接中的设备(例如,调制解调器)正在回显字符。试着重设这些设备。对于其他供应商的服务器,这可能表明远程计算机在连接前试图使用电传打字机 (TTY) 登录。可在“安全措施”选项卡为连接后终端配置连接。
738-服务器没有指派地址。 -服务器不能从已指派的地址池中将某一 IP 地址指派给您。请系统管理员将该连接配置为使用在远程网络上不会引起冲突的客户上的特定的 IP地址。
739-远程服务器所需的身份验证协议不能使用存储的密码-重拨,明确地输入密码。建立到非 Microsoft 服务器的 PPP 连接时,会出现该错误。用于与其他服务器进行交互操作的标准 PPP 身份验证协议,要求密码使用明文格式,但 Windows 出于安全考虑只存储加密格式。
740-检测到无效拨号规则。 -为“网络和拨号连接”配置的 TAPI 设备初始化失败,或者没有正确安装。重新启动计算机,以确保所有最近所做的配置更改都能生效。如果错误仍然存在,请参考事件日志,查找具体的警告或错误。
741- 本地计算机不支持所需的数据加密类型。 -在“安全措施”选项卡选中“需要数据加密(如果没有就断开)”复选框,但您的连接没有加密功能。请清除该复选框以使用不加密的连接,或者向系统管理员咨询。如果密码超过 14 个字符,则也会出现该错误。在“安全措施”选项卡上选中了“需要数据加密(如果没有就断开)”复选框,在“验证
我的身份为”选择“需要有安全措施的密码”。使用少于 14 个字符的密码,清除“需要数据加密(如果没有就断开)”复选框,并在“验证我的身份为”单击“允许没有安全措施的密码”。
742- 远程计算机不支持所需的数据加密类型。 -需要的加密等级在远程计算机上不可用。一台计算机可能正在使用 128 位加密技术,而另一计算机使用 40 位或 56 位加密。请向系统管理员咨询,以确定加密等级,并检验服务器正在使用同一加密等级。有 Service Pack 3 的 Windows 2000、Windows NT 4.0 北美用户和使用拨号网络 1.2 以及更高版本的客户可以不受限制的使用 128 位加密。需要单独订购支持 128 位加密产品的各个版本。
743-远程服务器要求数据加密。 -远程访问服务器需要加密,但您的连接不是为加密而启用的。
751- 回拨号码包含无效的字符-无效的回叫号码。该号码只允许字符 0 到 9、T、P、W、(, )、-、@ 和空格。输入正确号码,然后重拨。当处理脚本时遇到语法错误。 -752-处理脚本文件时出现语法错误。请参阅使用 Windows 脚本拨号使登录过程自动化、使用 Switch.inf 脚本拨号使登录过程自动化或登录脚本疑难解答。
753-由于连接是由多协议路由器创建的,因此该连接无法断开。 -“路由和远程访问”正在使用该连接。使用“路由和远程访问”服务断开该连接。该连接或出现在路由选择接口列表中或出现在远程访问客户列表中。
754-系统无法找到多链路绑定。 -
发生内部错误。重新启动计算机,以确保所有最近所做的配置更改都能生效。
755-由于该项已经指定自定义的拨号程序,因此系统不能执行自动拨号。 -请与系统管理员联系。
756-已经拨打该连接。 -请等待,稍后再重试。
757-远程访问服务不能自动启动。事件日志中提供了其他信息。- 发生内部错误。重新启动计算机,以确保所有最近所做的配置更改都能生效。如果错误仍然存在,请参考 Windows 2000 事件日志,查找详细的警告或错误。
758- 该连接上已经启用 Internet 连接共享。 -打开连接属性过程中,如果应用程序启用 Internet 连接共享,然后试图启用该功能,则会出现该错误。关闭该连接的属性,然后重新打开。应选中“Internet 连接共享”选项卡中的“启用 Internet 连接共享”复选框。
760-启用路由功能时发生错误。 -试图启用路由时,发生内部错误。请与系统管理员联系。
761-启用连接的 Internet 连接共享时发生错误。 -启用 Internet 连接共享时,发生了内部错误。请与系统管理员联系。
763-不能启用 Internet 连接共享。除了共享的连接之外,还有两个或多个局域网连接。 -关闭,然后重新打开连接的属性。应选中“Internet 连接共享”选项卡上的“启用 Internet 连接共享”复选框。从列表中选择一个 LAN 连接。
764-未安装智能卡阅读器。 -安装智能卡读取器。
765-不能启用 Internet 连接共享。LAN 连接已经配置了自动填写 IP 地址所需的 IP 地址。 -
Internet 连接共享使用静态地址配置家庭网络或小型办公室网络的 LAN 连接。系统中另一网络适配器被配置为使用同一地址。启用Internet 连接共享前,请更改网络适配器的静态地址。
766-系统找不到任一证书。 -请与系统管理员联系。如果您是 Active Directory 域的成员并需要申请证书,则请参阅申请证书。如果您不是 Active Directory 域的成员,或者需要从 Internet 申请证书,请参阅通过 Web 提交用户证书申请。
767- 不能启动 Internet 连接共享。-专用网络上选择的 LAN 连接配置了多个 IP 地址。在启用 Internet 连接共享之前,请使用单个 IP 地址重新配置 LAN 连接。删除其他静态 IP 地址,或者重新配置 DHCP 的 LAN 连接。请参阅配置 TCP/IP 设置。
768- 由于加密数据失败,导致连接尝试失败。 -如果没有必要加密,请禁用加密,并重试。请参阅配置拨号连接的身份验证和数据加密设置和配置 VPN 连接的身标验证和数据加密设置。
769-指定的目的地是不可访问的。 -指定了无效的目标地址,或者是远程访问服务器关闭。检查目标地址并重试。
770-远程机器拒绝连接尝试。 -由于呼叫者的 ID 规则或者其他硬件设置,远程计算机可能拒绝连接。
771- 由于网络忙,因此连接尝试失败。 -请等待,稍后再重试。
772- 远程计算机的网络硬件与请求的电话类型不兼容。 -请向系统管理员咨询。
773- 由于目标号码已更改,从而导致连接尝试失败。 -输入正确的号码,并重试。
774- 临时故障导致连接尝试失败。再次尝试连接。 -请等待,稍后再重试。该错误表明可能是时间问题,或是远程计算机的问题。
775- 呼叫被远程计算机阻塞。 -由于呼叫者的 ID 规则、只在特定的时间允内许访问的计划策略或其他设置,远程计算机可能阻止您的连接。
776-由于目标已经调用“请勿打扰”功能,因此该呼叫无法连接。 -请向系统管理员咨询。
777-远程计算机上的调制解调器出现故障,导致连接尝试失败。 -请向系统管理员咨询。
778-不能验证服务器的身份。 -在身份验证进程中,服务器将自身标识为您的计算机,并将您的计算机标识为该服务器。出现该此错误时,您的计算机不识别服务器。
779- 使用该连接向外拨号,必须使用智能卡。 -要安装智能卡,请参阅在计算机上安装智能卡阅读器。
780-所尝试使用的功能对此连接无效。 -发生内部错误。请与系统管理员联系。可能需要配置 EAP 连接。
781-由于找不到有效的证书,从而导致加密尝试失败。 -申请证书。如果您是 Active Directory 域的成员,请参阅申请证书。如果您不是 Active Directory 域的成员,或者需要从 Internet申请证书,请参阅通过 Web 提交用户证书申请。
Microsoft 服务器产品端口
本节提供了每个系统服务的说明,包括与该系统服务对应的逻辑名称,并显示了每个服务所需要的端口和协议。

Application Layer Gateway (ALG) Service(应用层网关 (ALG) 服务)
这个 Internet Connection Sharing (ICS)/Internet Connection Firewall (ICF) 服务的子组件提供了对插件的支持,这些插件允许所有网络协议穿过防火墙并在 ICS 后面工作。应用层网关插件有能力打开端口并更改嵌入在数据包内的数据(例如端口和 IP 地址)。文件传输协议 (FTP) 是唯一随 Windows Server 2003 Standard Edition 和 Windows Server 2003 Enterprise Edition 发布的带有插件的网络协议。

ALG FTP 插件经设计,可以通过这些组件所使用的网址转换 (NAT) 引擎来支持活动的 FTP 会话。ALG FTP 插件将穿过 NAT 的、目标为端口 21 的所有流量重新定向到环回适配器上范围为 3000-5000 的专有的侦听端口上,这样即实现了网址转换。然后 ALG FTP 插件监视并更新 FTP 控制通道流量,以便 FTP 插件可以通过此 FTP 数据通道的 NAT 来探测端口映射。FTP 插件还会更新 FTP 控制通道流中的端口。

系统服务名称 ALG

应用程序协议 协议 端口
FTP control
TCP
21


ASP.NET State Service(ASP.NET 状态服务)
ASP.NET State Service 对 ASP.NET 进程外会话状态提供支持。ASP.NET State Service 存储进程外会话数据。此服务与运行在使用套接字的 Web 服务器上的 ASP.NET 进行通信。

系统服务名称 aspnet_state

应用程序协议 协议 端口
ASP.Net Session State
TCP
42424


Certificate Services(证书服务)
Certificate Services 是核心操作系统的一部分,可以使企业成为自己的证书颁发机构 (CA)。以这种方式,企业可以为诸如安全/多用途 Internet 邮件扩展 (S/MIME)、安全套接字层 (SSL)、加密文件系统 (EFS)、IPSec 和智能卡登录之类的应用程序和协议颁发并管理数字证书。Certificate Services 依赖于 RPC 和 DCOM,使用端口大于 1024 的随机 TCP 端口与客户端进行通信。

系统服务名称 CertSvc

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机


Cluster Service(群集服务)
Cluster service 控制服务器群集操作并管理群集数据库。一个群集是许多独立的计算机的集合,就像一个单独的计算机一样易于使用。管理人员、编程人员和用户都把群集看作一个独立的系统。软件在群集节点之间分发数据。如果一个节点出现故障,它以往所提供的服务和数据将由其他节点代为提供。如果添加一个新节点或修复了一个节点,则群集软件将向该节点迁移部分数据。

系统服务名称 ClusSvc

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机

Cluster Services
UDP
3343


Computer Browser(计算机浏览器)
Computer Browser 系统服务维护网络中计算机的最新列表,并将此列表提供给提出请求的程序。基于 Windows 的计算机使用 Computer Browser 服务来查看网络域和资源。被指派为浏览器的计算机维护浏览列表,其中包含网络上使用的全部共享资源。早期版本的 Windows 应用程序(如网上邻居、NET VIEW 命令和 Microsoft Windows NT® 资源管理器)都需要浏览功能。例如,在运行 Windows XP 的计算机上打开“网上邻居”,将显示域和计算机的列表,这是此计算机通过从指定为浏览器的计算机上获得浏览列表的副本实现的。

系统服务名称 Browser

应用程序协议 协议 端口
NetBIOS Datagram Service
UDP
138

NetBIOS Name Resolution
UDP
137

NetBIOS Session Service
TCP
139


DHCP Server
通过动态主机配置协议 (DHCP),DHCP Server 服务自动分配 IP 地址并启用网络设置的高级配置,例如为 DHCP 客户端配置域名系统 (DNS) 服务器和 Windows Internet 名称服务 (WINS) 服务器。网络管理员建立一个或多个 DHCP 服务器,这些服务器维护 TCP/IP 配置信息并将其提供给客户端。

系统服务名称 DHCPServer

应用程序协议 协议 端口
DHCP Server
UDP
67

MADCAP
UDP
2535


Distributed File System(分布式文件系统)
Distributed File System 服务管理局域网或广域网(LAN 或 WAN)上分布的逻辑卷,Microsoft® Active Directory® SYSVOL 共享需要使用 DFS。DFS 是一种分布式服务,将各种迥然不同的文件共享集成为一个独立逻辑名称空间。

系统服务名称 DFS

应用程序协议 协议 端口
NetBIOS Datagram Service
UDP
138

NetBIOS Session Service
TCP
139

LDAP Server
TCP
389

LDAP Server
UDP
389

SMB
TCP
445

RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机

NetBIOS Datagram Service
UDP
138


Distributed Link Tracking Server(分布式链接跟踪服务器)
Distributed Link Tracking 系统服务存储了一些信息,以便可以在域中的每个卷中跟踪到各个卷之间移动的文件。Distributed Link Tracking 服务运行在域中的每个域控制器上。这个服务使 Distributed Link Tracking Server Client 服务可以跟踪到链接的文档,即使文档已经移动到同一域中的其他 NTFS 文件系统卷中的某个位置。

系统服务名称 TrkSvr

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机


Distributed Transaction Coordinator(分布式事务处理协调器)
Distributed Transaction Coordinator (DTC) 系统服务负责协调在多个计算机系统和资源管理器(如数据库、消息队列、文件系统或其他受事务保护的资源管理器等)上分布的事务。如果通过 COM+ 配置了事务性组件,则 DTC 系统服务是必需的。Message Queuing (MSMQ) 中的事务性队列和横跨多个系统的 SQL Server 操作也需要这种系统服务。

系统服务名称 MSDTC

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机


DNS Server
DNS Server 系统服务能够通过应答查询和更新 DNS 名称的请求进行 DNS 名称解析。DNS 服务器的存在对于定位通过 DNS 名称和 Active Directory 目录服务中的域控制器标识的设备和服务是很关键的。

系统服务名称 DNS

应用程序协议 协议 端口
DNS
UDP
53

DNS
TCP
53


Event Log(事件日志)
此系统服务记录了各种程序和 Windows 操作系统发出的事件消息。“事件日志”报告包含了用于故障诊断的有用信息。可以在“事件查看器”中查看报告。Event Log 服务在日志文件中记录了由应用程序、服务和操作系统发送的事件。这些事件包括源应用程序、服务或组件的特定错误以及诊断信息。可以通过“事件日志”应用程序编程接口 (API) 以编程方式查看日志,也可以通过 MMC(Microsoft 管理控制台)管理单元中的事件查看器查看日志。

系统服务名称 Eventlog

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机


Exchange Server
Microsoft Exchange Server 包括几个系统服务。当一个 MAPI 客户端(如 Microsoft Outlook®)连接到 Exchange Server 时,客户端首先在 TCP 端口 135 上连接 RPC 终结点映射程序 (RPC Locator Service)。RPC 终结映射程序告诉客户端可以使用哪些端口连接到 Exchange Server 服务,这些端口是动态分配的。Exchange Server 5.5 使用两个端口,分别用于信息存储和目录。Microsoft Exchange 2000 Server 和 Exchange Server 2003 使用三个端口,一个用于信息存储,另外两个分别用于系统助理。另外,Microsoft Outlook 2003 可以使用基于 HTTP 的 RPC 连接到运行 Exchange Server 2003 的服务器,Exchange 还可以提供对其他协议(如 SMTP、POP3 和 IMAP 协议)的支持。

应用程序协议 协议 端口
IMAP
TCP
143

IMAP over SSL
TCP
993

POP3
TCP
110

POP3 over SSL
TCP
995

Randomly allocated high TCP ports
TCP
随机

RPC
TCP
135

RPC over HTTP
TCP
593

SMTP
TCP
25

SMTP
UDP
25


Fax Service(传真服务)
Fax Service(兼容电话应用程序编程接口 (TAPI) 的系统服务)在计算机上提供传真功能。Fax Service 允许用户通过本地传真设备或共享的网络传真设备从桌面应用程序上发送和接收传真。

系统服务名称 Fax

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机

NetBIOS Session Service
TCP
139

SMB
TCP
445


File Replication(文件复制)
File Replication 系统服务允许文件同时在多个服务器上自动复制并维护。File Replication service (FRS) 是 Windows 2000 和 Microsoft Windows Server™ 2003 系列中的自动文件复制服务。它的功能是可以复制所有域控制器上的 Sysvol。另外,可以将 FRS 配置成在与容错 DFS 相关联的可选目标之间复制文件。

系统服务名称 NtFrs

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机


File Server for Macintosh
File Server for Macintosh 系统服务使 Macintosh 计算机用户可以存储和访问运行 Windows Server 2003 的计算机上的文件。如果这项服务被关闭或阻止,Macintosh 客户端将无法在您的计算机上访问或存储文件。

系统服务名称 MacFile

应用程序协议 协议 端口
File Server for Macintosh
TCP
548


FTP Publishing Service(FTP 发布服务)
File Transfer Protocol (FTP) Publishing 服务提供 FTP 连接。FTP 控制端口默认为 21,但您可以通过 Internet 信息服务 (IIS) 管理器(一个管理单元)来配置此系统服务。 默认的数据端口(用于主动模式的 FTP)自动配置为控制端口减一,因此,如果您配置控制端口为 4131,则默认数据端口将是 4130。多数 FTP 客户端使用被动模式,这表明客户端最初通过控制端口连接到 FTP 服务器,FTP 服务器分配一个位于 1025 和 5000 之间的高 TCP 端口,客户端再打开一个与 FTP 服务器的连接以传输数据。高端口的范围可以在 IIS 元数据库中配置。

系统服务名称 MSFtpsvc

应用程序协议 协议 端口
FTP 控制
TCP
21

FTP default data
TCP
20

Randomly allocated high TCP ports
TCP
随机


HTTP SSL
HTTP SSL 系统服务使 IIS 可以执行 SSL 功能。SSL 是一个开放标准,可以用来建立安全通信通道,防止侦听关键信息(例如信用卡帐号)。此服务主要可以使 Web 上的安全电子金融事务成为可能,尽管它也可以在其他 Internet 服务上起作用。您可以通过 IIS 管理器为这项服务配置端口。

系统服务名称 HTTPFilter

应用程序协议 协议 端口
HTTPS
TCP
443


Internet Authentication Service(Internet 验证服务)
Internet Authentication Service (IAS) 对使用 VPN 设备、远程访问设备 (RAS) 或 802.1X 无线和以太网/交换机接入点连接到网络(LAN 或远程)的用户执行集中身份验证、授权、审核和记帐。IAS 实现了 Internet 工程任务组 (IETF) 标准 RADIUS 协议(此协议启用异类网络访问设备)。

系统服务名称 IAS

应用程序协议 协议 端口
Legacy RADIUS
UDP
1645

Legacy RADIUS
UDP
1646

RADIUS Accounting
UDP
1813

RADIUS Authentication
UDP
1812


ICF/ICS
此系统服务为您家或小办公室的网络中的所有计算机提供了 NAT、寻址和名称解析服务。启用 ICS 时,您的计算机变成了网络上的“Internet 网关”,使其他客户端计算机共享与 Internet 的一个连接,如拨号或宽带连接。这个服务提供了基本的 DHCP 和 DNS 服务,但会与功能完善的 Windows DHCP 或 DNS 服务一起使用。

当 ICF/ICS 作为网关为网络中的其他计算机服务时,它向内部网络接口上的专用网络提供 DHCP 和 DNS 服务。它不向面向外部的接口提供这些服务。

系统服务名称 SharedAccess

应用程序协议 协议 端口
DHCP Server
UDP
67

DNS
UDP
53

DNS
TCP
53


Kerberos Key Distribution Center
Kerberos Key Distribution Center (KDC) 系统服务使用 Kerberos 版本 5 身份验证协议使用户登录网络。与在 Kerberos 协议的其他实现中一样,KDC 是一个过程,提供两种服务:身份验证服务,发出票证授予的票证;票证授予服务,发出票证以连接到它自己的域中的计算机。

系统服务名称 KDC

应用程序协议 协议 端口
Kerberos
TCP
88

Kerberos
UDP
88


License Logging Service(许可证记录服务)
License Logging Service (LLS) 是个工具,最初设计是为了帮助客户管理在服务器客户端访问许可证 (CAL) 模型中经过许可的 Microsoft 服务器产品的许可证。LLS 随 Windows NT Server 3.51 引入。默认情况下,LLS 在 Windows Server 2003 中禁用,因为最初设计的约束而且涉及到许可证条款和条件,LLS 无法提供与一个服务器或整个企业内使用的 CAL 总数相比较的、所购买的 CAL 总数的精确视图。LLS 报告的 CAL 可能会与最终用户许可协议 (EULA) 以及产品使用权 (PUR) 的解释产生冲突。Windows 操作系统的未来版本将不包括 LLS。(只有 Small Business Server 的用户可以在他们的服务器上启用这项服务)

系统服务名称 LicenseService

应用程序协议 协议 端口
NetBIOS Datagram Service
UDP
138

NetBIOS Session Service
TCP
139

SMB
TCP
445


Local Security Authority(本地安全机构)
Local Security Authority (LSASS) 服务提供核心操作系统安全机制。它使用 RPC 服务为域控制器复制分配随机的TCP 端口。

尽管 LSASS 可以使用下列的全部协议,但它只使用它们的一个子集。例如,如果您要配置筛选路由器后面的 VPN 网关,您可能会使用 L2TP 和 IPSec。如果这样,则必须允许 IPSec ESP(IP 协议 50)、NAT-T(基于端口 4500 的 TCP)和 IPSec ISAKMP(基于端口 500 的 TCP)通过路由器。尽管 IPSec ESP 是 L2TP 所必需的,但它实际受到 Routing and Remote Access 服务的监视。

系统服务名称 LSASS

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机

Global Catalog Server
TCP
3269

Global Catalog Server
TCP
3268

LDAP Server
TCP
389

LDAP Server
UDP
389

LDAP SSL
UDP
636

LDAP SSL
TCP
636

IPSec ISAKMP
UDP
500

NAT-T
UDP
4500


Message Queuing
Message Queuing 系统服务是一种消息基础结构和开发工具,可用来创建 Windows 分布式消息应用程序。这样的应用程序可以跨异类网络进行通信,在临时无法相互连接的计算机之间发送消息。Message Queuing 提供安全可靠的消息传递、高效路由、安全性、对事务内发送消息的支持以及基于优先级的消息传递。

系统服务名称 MSMQ

应用程序协议 协议 端口
MSMQ
UDP
1801

MSMQ
TCP
1801

MSMQ-DC
TCP
2101

MSMQ-Mgmt
TCP
2107

MSMQ-Ping
UDP
3527

MSMQ-RPC
TCP
2105

MSMQ-RPC
TCP
2103

RPC
TCP
135


Messenger
Messenger 系统服务在用户和计算机、管理员和“警报”服务之间发送消息或接收消息。该服务与 Microsoft Windows Messenger 或 MSN® Messenger 无关。当此服务被禁用时,NET SEND 和 NET NAME 解释器命令不再起作用。不能再收到发送到当前登录网络的计算机或用户的 Messenger 通知。

系统服务名称 Messenger

应用程序协议 协议 端口
NetBIOS Datagram Service
UDP
138


Microsoft Exchange MTA Stacks
在 Exchange 2000 Server 和 Exchange Server 2003 中,邮件传输代理(MTA 堆栈)通常用于提供向后兼容的、在混合模式环境中的基于 Exchange 2000 Server 的服务器和基于 Exchange Server 5.5 的服务器之间的邮件传输服务。

应用程序协议 协议 端口
X.400
TCP
102


Microsoft Operations Manager 2000
Microsoft Operations Manager 2000 (MOM) 通过提供全面的事件管理、事前监视和警报、报告和趋势分析来执行企业级操作管理。安装 Service Pack 1 后,MOM 将停止使用明文通信通道,MOM 代理与 MOM 服务器之间的所有流量将通过 TCP 端口 1270 加密。MOM 管理员控制台使用 DCOM 连接到服务器。这说明通过网络管理 MOM 服务器的管理员还必须有随机高 TCP 端口的访问权。

系统服务名称 one point

应用程序协议 协议 端口
MOM 明文
TCP
51515

MOM 加密
TCP
1270


Microsoft POP3 服务
Microsoft POP3 服务提供电子邮件传输和检索服务。管理员可以使用此服务在邮件服务器上存储并管理电子邮件帐号。在邮件服务器上安装 Microsoft POP3 服务之后,用户可以连接到邮件服务器并使用支持 POP3 协议的电子邮件客户端(如 Microsoft Outlook)检索电子邮件。

系统服务名称 POP3SVC

应用程序协议 协议 端口
POP3
TCP
110


Microsoft SQL Server
Microsoft SQL Server 2000 提供强大而全面的数据管理平台。可以通过 SQL Server 网络实用工具对 SQL Server 的每个实例所使用的端口进行配置。

系统服务名称 SQLSERVR

应用程序协议 协议 端口
SQL over TCP
TCP
1433

SQL Probe
UDP
1434


MSSQL$UDDI
在安装 Windows Server 2003 系列操作系统的通用描述发现和集成 (UDDI) 功能(在企业内部提供 UDDI 功能)的过程中,也会安装此系统服务。SQL Server 数据库引擎是此功能的核心组件。

系统服务名称 SQLSERVR

应用程序协议 协议 端口
SQL over TCP
TCP
1433

SQL Probe
UDP
1434


Net Logon
Net Logon 系统服务在您的计算机与域控制器之间维护一个安全通道,以便对用户和服务进行身份验证。它将用户的凭据通过安全通道传递给域控制器,并返回此用户的域安全标识符和用户权限。这通常称作传递式身份验证。Net Logon 在计算机成为域成员的时候自动启动。在 Windows 2000 Server 和 Windows 2003 Server 系列中,Net Logon 服务在 DNS 中发布服务资源记录。Net Logon 服务仅在属于域的计算机上启用。服务运行时,它依赖于 Server 和 Local Security Authority 服务来侦听传入的请求。在域成员计算机上,它使用基于命名管道的 RPC;在域控制器上,它使用基于命名管道的 RPC、基于 TCP/IP 的 RPC、mailslots和 LDAP。

系统服务名称 Netlogon

应用程序协议 协议 端口
NetBIOS Datagram Service
UDP
138

NetBIOS Name Resolution
UDP
137

NetBIOS Session Service
TCP
139

SMB
TCP
445


NetMeeting Remote Desktop Sharing(NetMeeting 远程桌面共享)
NetMeeting Remote Desktop Sharing 系统服务允许授权用户在公司 Intranet 内的另外一台个人计算机上使用 Microsoft® NetMeeting® 远程访问您的 Windows 桌面。您必须在 NetMeeting 中明确启用此服务。您也可以通过 Windows 通知区域中的图标来禁用或关闭此服务。

系统服务名称 mnmsrvc

应用程序协议 协议 端口
Terminal Services
TCP
3389


Network News Transfer Protocol(网络新闻传输协议)
Network News Transfer Protocol 系统服务允许允许 Windows Server 2003 的计算机用作新闻服务器。客户端可以使用新闻客户端(如 Microsoft Outlook Express 消息客户端)来从服务器检索新闻组,阅读每个新闻组中的文章的标题或正文。

系统服务名称 NntpSvc

应用程序协议 协议 端口
NNTP
TCP
119

NNTP over SSL
TCP
563


Performance Logs and Alerts(性能日志和警报)
Performance Logs and Alerts 系统服务根据预先配置的计划参数从本地或远程计算机收集性能数据,然后将数据写入日志或触发警报。Performance Logs and Alerts 服务根据已命名的日志集合设置中的信息来启动和停止每个已命名的性能数据集合。这个服务仅在至少计划了一个性能数据集合时才运行。

系统服务名称 SysmonLog

应用程序协议 协议 端口
NetBIOS Session Service
TCP
139


Print Spooler(打印后台处理程序)
Print Spooler 系统服务管理所有本地和网络打印队列并控制所有打印作业。打印后台处理程序是 Windows 打印子系统的中心,控制着所有的打印作业。它管理系统中的打印队列,与打印机驱动程序和输入/输出 (I/O) 组件(如 USB 端口和 TCP/IP 协议套件)进行通信。

系统服务名称 Spooler

应用程序协议 协议 端口
NetBIOS Session Service
TCP
139

SMB
TCP
445


Remote Installation(远程安装)
Remote Installation 系统服务提供了在启用了预执行环境 (PXE) 远程引导的客户端计算机上安装 Windows 2000、Windows XP 和 Windows Server 2003 的能力。Boot Information Negotiation Layer (BINL) 服务是 Remote Installation Services (RIS) 的主要组件,它应答 PXE 客户端请求,检查 Active Directory 以进行客户端验证,与服务器相互传递客户端信息。在从“添加/删除 Windows 组件”中添加 RIS 组件时候安装 BINL 服务,或者在最初安装操作系统时选择此服务。

系统服务名称 BINLSVC

应用程序协议 协议 端口
BINL
UDP
4011


Remote Procedure Call
Microsoft Remote Procedure Call (RPC) 系统服务是一种安全的进程间通信 (IPC) 机制,它启用数据交换和对驻留在另一进程中的功能的调用。此另一进程可以位于同一台计算机上、LAN 上或通过 WAN 或 VPN 连接的全球范围内。RPC 服务用作 RPC 终结点映射程序和组件对象模型 (COM) 服务控制管理程序 (SCM)。许多服务依赖于 RPC 服务才可以成功启动。

系统服务名称 RpcSs

应用程序协议 协议 端口
RPC
TCP
135

RPC over HTTP
TCP
593


Remote Procedure Call Locator(远程过程调用定位器)
Remote Procedure Call Locator 系统服务使利用 RpcNs 系列的应用程序编程接口 (API) 的 RPC 客户端能够定位 RPC 服务器并管理 RPC 名称服务数据库。此服务默认情况下是关闭的。

系统服务名称 RpcLocator

应用程序协议 协议 端口
NetBIOS Session Service
TCP
139

SMB
TCP
445


Remote Storage Notification(远程存储通知)
如果用户读写的文件仅可从辅助存储媒体上获得,则 Remote Storage Notification 系统服务将通知用户。如果停止此服务,则不再生成通知。

系统服务名称 Remote_Storage_User_Link

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机


Remote Storage Server(远程存储服务器)
Remote Storage Server 系统服务在辅助存储媒体上存储不常用的文件。停止此服务将阻止用户在辅助存储媒体上移动或检索文件。

系统服务名称 Remote_Storage_Server

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机


Routing and Remote Access(路由和远程访问)
Routing and Remote Access (RRAS) 系统服务提供多协议的 LAN 到 LAN、LAN 到 WAN、VPN 和 NAT 路由服务。另外,RRAS 服务还提供拨号和 VPN 远程访问服务。

尽管 RRAS 可以使用下列的全部协议,但通常它只使用它们的一个子集。例如,如果您要配置筛选路由器后面的 VPN 网关,您可能只会利用一项技术。如果您使用 L2TP 和 IPSec,则您必须允许 IPSec ESP(IP 协议 50)、NAT-T(基于端口 4500 的 TCP)和 IPSec ISAKMP(基于端口 500 的 TCP)通过路由器。尽管 NAT-T 和 IPSec ISAKMP 对于 L2TP 是必需的,这些端口实际上受到 Local Security Authority 的监视。有关详细信息,请参阅本文档后面的“相关主题”。

系统服务名称 RemoteAccess

应用程序协议 协议 端口
GRE(IP 协议 47)
GRE
n/a

IPSec AH(IP 协议 51)
AH
n/a

IPSec ESP(IP 协议 50)
ESP
n/a

L2TP
UDP
1701

PPTP
TCP
1723


Server(服务器)
Server 系统服务提供 RPC 支持以及文件、打印和命名管道在网络上的共享。Server 服务允许本地资源(如磁盘和打印机)共享,因此网络上的其他用户可以访问它们。它还允许在其他计算机上的应用程序与您计算机上的应用程序之间进行命名管道通信,这是用于 RPC 的。命名管道通信是为一个进程的输出(此输出用作另外一个进程的输入)而保留的内存。接受输入的进程不必是本地进程。

系统服务名称 lanmanserver

应用程序协议 协议 端口
NetBIOS Datagram Service
UDP
138

NetBIOS Name Resolution
UDP
137

NetBIOS Session Service
TCP
139

SMB
TCP
445


SharePoint Portal Server
SharePoint Portal Server 系统服务使企业可以开发一个智能门户,无缝连接用户、工作组和知识,以便人们可以利用业务过程中的相关信息,使工作更加有效率。Microsoft Office SharePoint™ Portal Server 2003 提供了企业商务解决方案(此解决方案通过单一登录和企业应用程序集成功能将来自各个系统的信息集成)以及灵活的部署选项和管理工具。

应用程序协议 协议 端口
HTTP
TCP
80

HTTPS
TCP
443


Simple Mail Transfer Protocol
Simple Mail Transfer Protocol 系统服务是电子邮件提交和中继代理。它可以为远程目标接收电子邮件并将其放入队列中,并在指定的时间间隔内重试。Windows 域控制器使用 SMTP 服务进行站点间基于电子邮件的复制。Windows Server 2003 COM 组件的协作数据对象 (CDO) 使用 SMTP 服务提交传出的电子邮件并放入队列中。

系统服务名称 SMTPSVC

应用程序协议 协议 端口
SMTP
TCP
25

SMTP
UDP
25


Simple TCP/IP 服务
Simple TCP/IP 服务实现了对下列协议的支持:

• Echo,端口 7,RFC 862

• Discard,端口 9,RFC 863

• Character Generator,端口 9,RFC 864

• Daytime,端口 3,RFC 867

• Quote of the Day,端口 7,RFC 865


系统服务名称 SimpTcp

应用程序协议 协议 端口
Chargen
TCP
19

Chargen
UDP
19

Daytime
TCP
13

Daytime
UDP
13

Discard
TCP
9

Discard
UDP
9

Echo
UDP
7

Echo
TCP
7

Quotd
UDP
17

Quotd
TCP
17


SMS Remote Control Agent(SMS 远程控制代理)
Systems Management Server (SMS) 2003 为 Microsoft 平台提供了更改和配置管理的全面解决方案,使组织可以快速、低成本地向用户提供相关软件和更新。

应用程序协议 协议 端口
SMS REMOTE CHAT
UPD
2703

SMS REMOTE CHAT
TCP
2703

SMS REMOTE CONTROL(控制)
UDP
2701

SMS REMOTE CONTROL(控制)
TCP
2701

SMS REMOTE CONTROL(数据)
TCP
2702

SMS REMOTE CONTROL(数据)
UDP
2702

SMS Remote File Transfer
UDP
2704

SMS Remote File Transfer
TCP
2704


SNMP Service(SNMP 服务)
SNMP Service 系统服务允许本地计算机为传入的简单网络管理协议 (SNMP) 请求提供服务。SNMP 服务包括监视网络设备活动并向网络控制台工作站进行报告的代理。SNMP 服务提供了一种方法,从处于中央位置且运行着网络管理软件的计算机来管理网络主机(如工作站或服务器计算机)、路由器、网桥和集线器。SNMP 通过管理系统和代理的分布式体系结构来执行管理服务。

系统服务名称 SNMP

应用程序协议 协议 端口
SNMP
UDP
161


SNMP Trap Service(SNMP 陷阱服务)
SNMP Trap Service 接收本地或远程 SNMP 代理生成的陷阱消息并将消息转发到您计算机上运行的 SNMP 管理程序。为代理配置 SNMP Trap Service 后,此服务在发生了任何指定事件的时候都会生成陷阱消息。 这些消息将发送到陷阱目标。例如,代理可以这样配置,如果有无法识别的管理系统发送信息请求,则启动一个身份验证陷阱。陷阱目标包括管理系统的计算机名称或 IP 地址或 IPX 地址。陷阱目标必须是运行着 SNMP 管理软件的、能够接入网络的主机。

系统服务名称 SNMPTRAP

应用程序协议 协议 端口
SNMP Traps Outbound
UDP
162


SQL Analysis Server
SQL Analysis Server 系统服务是 SQL Server 2000 的一个组件。它可以用来创建和管理 OLAP 多维数据集和数据挖掘模型。为创建和存储多维数据集或数据挖掘模型,分析服务器可能会访问本地或远程数据源。

应用程序协议 协议 端口
SQL ANALYSIS SERVICES
TCP
2725


SQL Server: Downlevel OLAP Client Support
当 SQL Analysis 服务必须支持下层 (OLAP Services 7.0) 客户端连接时,SQL Server 2000 使用此系统服务。

SQL Server 7.0 使用的 OLAP 服务的默认端口

应用程序协议 协议 端口
OLAP Services 7.0
TCP
2393

OLAP Services 7.0
TCP
2394


SSDP Discovery Service(SSDP 发现服务)
SSDP Discovery Service 将简单服务发现协议 (SSDP) 作为 Windows 服务实现。 SSDP Discovery Service 对设备存在公告的回执进行管理,更新它的缓存并将这些通知一起传递给搜索请求尚未完成的客户端。SSDP Discovery Service 还接受来自客户端的事件回调的注册,将它们转换成订阅请求,并监视事件通知,然后传递给已注册的回调。此系统服务还向托管设备定期提供公告。

目前,SSDP event notification 服务使用 TCP 端口 5000。在 Windows XP Service Pack 2 中,它依赖于 TCP 端口 2869。

系统服务名称 SSDPRSRV

应用程序协议 协议 端口
SSDP
UDP
1900

SSDP event notification
TCP
2869

SSDP legacy event notification
TCP
5000


Systems Management Server
Systems Management Server (SMS) 2003 为 Microsoft 平台提供了更改和配置管理的全面解决方案,使组织可以快速、低成本地向用户提供相关软件和更新。

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机

NetBIOS Datagram Service
UDP
138

NetBIOS Name Resolution
UDP
137

NetBIOS Session Service
TCP
139


TCP/IP Print Server(TCP/IP 打印服务器)
TCP/IP Print Server 系统服务通过“行式打印机后台程序”协议启用基于 TCP/IP 的打印。服务器上的 Line Printer Daemon Service (LPDSVC) 从 UNIX 计算机上运行的“行式打印机远程 (LPR)”实用工具接收文档。

系统服务名称 LPDSVC

应用程序协议 协议 端口
LPD
TCP
515


Telnet
Windows 的 Telnet 系统服务向 Telnet 客户端提供 ASCII 终端会话。Telnet 服务器支持两种身份验证和四种终端:美国国家标准学会 (ANSI)、VT-100、VT-52 和 VTNT。

系统服务名称 TlntSvr

应用程序协议 协议 端口
Telnet
TCP
23


Terminal Services(终端服务)
Terminal Services 提供多会话环境,允许客户端设备访问虚拟 Windows 桌面会话和服务器上运行的基于 Windows 的程序。Terminal Services 允许多个用户交互连接到计算机上。

系统服务名称 TermService

应用程序协议 协议 端口
Terminal Services
TCP
3389


Terminal Services Licensing(终端服务授权)
Terminal Services Licensing 系统服务安装许可证服务器,并在连接到终端服务器时提供注册的客户端许可证。Terminal Services Licensing 服务是低影响的服务,它存储了某个终端服务器颁发的客户端许可证,然后跟踪这些颁发到客户端计算机或终端的许可证。

系统服务名称 TermServLicensing

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机


Terminal Services Session Directory(终端服务会话目录)
Terminal Services Session Directory 系统服务允许负载均衡的终端服务器群集将用户的连接请求路由到该用户已经具有运行会话的服务器上。用户将被路由到第一个可用的终端服务器,而不管这些用户在群集中的其他服务器上是否有运行的会话。负载均衡通过 TCP/IP 网络协议将几个服务器上正在处理的资源集中起来。对终端服务器的群集使用此服务,可以通过在多个服务器之间分布会话来平衡单个终端服务器的性能。会话目录跟踪群集中的断开的会话,确保用户可以重新连接到那些会话。

系统服务名称 Tssdis

应用程序协议 协议 端口
RPC
TCP
135

Randomly allocated high TCP ports
TCP
随机


Trivial FTP Daemon 服务
Trivial FTP (TFTP) Daemon 系统服务不要求用户名称和密码,它是 Remote Installation Services (RIS) 的一个组成部分。Trivial FTP Daemon 服务实现对下列 RFC 所定义的 TFTP 协议的支持:

• RFC 350 —TFTP

• RFC 2347 —选项扩展

• RFC 2348 —块大小选项

• RFC 2349 —超时时间间隔和传输大小选项


日常文件传输协议是设计来支持无盘引导环境的。TFTP 守护程序侦听 UDP 端口 69,但通过随机分配的高端口进行响应。因此,启用此端口将允许 TFTP 服务接收传入的 TFTP 请求,但不允许选定的服务器响应那些请求。只有将 TFTP 服务器配置为从端口 69 来响应,才可以实现允许选定的服务器响应传入的 TFTP 请求。

系统服务名称 tftpd

应用程序协议 协议 端口
TFTP
UDP
69


通用即插即用设备主机
UPnP(通用即插即用)主机发现系统服务实现了设备注册、控制和响应主机设备事件所要求的所有组件。与设备相关的注册信息(说明、生存期和容器)可以保留在磁盘上,在注册后或系统重新启动时在网络上公告。此服务还包括为设备提供服务的 Web 服务器以及服务说明和演示文稿页。

系统服务名称 UPNPHost

应用程序协议 协议 端口
UPNP
TCP
2869


Windows Internet 名称服务
Windows Internet 名称服务 (WINS) 启用 NetBIOS 名称解析。WINS 服务器的存在对于查找可以通过 NetBIOS 名称识别的网络资源是很重要的。WINS 服务器是必需的,除非所有域都已经升级到 Active Directory,且网络上的所有计算机都运行 Windows 2000 Server 或更高版本。WINS 服务器与使用 NetBIOS 名称解析的网络客户端通信。WINS Replication 仅在 WINS 服务器之间是必需的。

系统服务名称 WINS

应用程序协议 协议 端口
NetBIOS Name Resolution
UDP
137

WINS Replication
TCP
42

WINS Replication
UDP
42


Windows Media Services(Windows Media 服务)
Windows Server 2003 中的 Windows Media Service 取代了构成 Windows Media Service 版本 4.0 和版本 4.1 的四个独立的服务:Windows Media Minitor Service、Windows Media Program Service、Windows Media Station Service 和 Windows Media Unicast Service。

现在,Windows Media Service 系统服务是在 Windows Server 2003 Standard Edition、Enterprise Edition 和 Datacenter Edition 上运行的单一服务。它的核心组件是使用 COM 开发的,创建了一个灵活的、易于根据特定应用程序进行自定义的体系结构。它支持更多种类的控制协议,包括实时流协议 (RTSP)、Microsoft Media Server (MMS) 协议和 HTTP。

系统服务名称 WMServer

应用程序协议 协议 端口
HTTP
TCP
80

MMS
TCP
1755

MMS
UDP
1755

MS Theater
UDP
2460

RTCP
UDP
5005

RTP
UDP
5004

RTSP
TCP
554


Windows Time
对于运行 Windows XP 和 Windows Server 2003 的计算机,Windows Time 系统服务维护 Microsoft Windows 网络上运行的所有计算机的日期和时间的同步。此服务使用网络时间协议 (NTP) 来同步计算机时钟,以便可以为网络验证和资源访问请求分配精确的时钟值或时间戳。

NTP 的实现和时间提供方的集成使 Windows Time 成为企业管理员的可靠、可缩放的时间服务。对于未加入域的计算机,可以配置 Windows Time 来与外部时间源同步时间。如果此服务关闭,则为本地计算机设置的时间将不会与 Windows 域中的任何时间服务同步,也不会与外部配置的时间服务同步。

Windows Server 2003 使用 NTP,它运行在 UDP 端口 123 上。此服务的 Windows 2000 版使用简单网络时间协议 (SNTP),它也运行在 UDP 端口 123 上。

系统服务名称 W32Time

应用程序协议 协议 端口
NTP
UDP
123

SNTP
UDP
123


World Wide Web Publishing Service(万维网发布服务)
World Wide Web Publishing Service 为网站以及使用 IIS 注册的应用程序提供注册、管理、监视和提供服务所必需的基础结构。此系统服务包括一个进程管理器和一个配置管理器。进程管理器控制自定义应用程序和网站驻留的进程。配置管理器读取 W3SVC 的存储系统配置,确保 HTTP.sys 的配置可以将 HTTP 请求路由到合适的应用程序池或操作系统进程中。可通过 IIS 管理器对此服务使用的端口进行配置。

如果启用了管理网站,将创建一个虚拟网站,此站点在 TCP 端口 8098 上使用 HTTP 流量。

系统服务名称 W3SVC

应用程序协议 协议 端口
HTTP
TCP
80

HTTPS
TCP
443


返回页首
端口和协议
下表汇总了前一节中的信息,但是按端口号分类的,而不是按服务名称分类。

端口 协议 应用程序协议 系统服务名称
n/a
GRE
GRE(IP 协议 47)
Routing and Remote Access

n/a
ESP
IPSec ESP(IP 协议 50)
Routing and Remote Access

n/a
AH
IPSec AH(IP 协议 51)
Routing and Remote Access

7
TCP
Echo
Simple TCP/IP Service

7
UDP
Echo
Simple TCP/IP Service

9
TCP
Discard
Simple TCP/IP Service

9
UDP
Discard
Simple TCP/IP Service

13
TCP
Daytime
Simple TCP/IP Service

13
UDP
Daytime
Simple TCP/IP Service

17
TCP
Quotd
Simple TCP/IP Service

17
UDP
Quotd
Simple TCP/IP Service

19
TCP
Chargen
Simple TCP/IP Service

19
UDP
Chargen
Simple TCP/IP Service

20
TCP
FTP default data
FTP Publishing Service

21
TCP
FTP 控制
FTP Publishing Service

21
TCP
FTP 控制
Application Layer Gateway Service

23
TCP
Telnet
Telnet

25
TCP
SMTP
Simple Mail Transfer Protocol

25
UDP
SMTP
Simple Mail Transfer Protocol

25
TCP
SMTP
Exchange Server

25
UDP
SMTP
Exchange Server

42
TCP
WINS Replication
Windows Internet Name Service

42
UDP
WINS Replication
Windows Internet Name Service

53
TCP
DNS
DNS Server

53
UDP
DNS
DNS Server

53
TCP
DNS
Internet Connection Firewall/Internet Connection Sharing

67
UDP
DHCP SERVER
DHCP SERVER

67
UDP
DHCP SERVER
Internet Connection Firewall/Internet Connection Sharing

69
UDP
TFTP
Trivial FTP Daemon Service

80
TCP
HTTP
Windows Media Services

80
TCP
HTTP
World Wide Web Publishing Service

80
TCP
HTTP
SharePoint Portal Server

88
TCP
Kerberos
Kerberos Key Distribution Center

88
UDP
Kerberos
Kerberos Key Distribution Center

102
TCP
X.400
Microsoft Exchange MTA Stacks

110
TCP
POP3
Microsoft POP3 Service

110
TCP
POP3
Exchange Server

119
TCP
NNTP
Network News Transfer Protocol

123
UDP
NTP
Windows Time

123
UDP
SNTP
Windows Time

135
TCP
RPC
Message Queuing

135
TCP
RPC
Remote Procedure Call

135
TCP
RPC
Exchange Server

135
TCP
RPC
Certificate Services

135
TCP
RPC
Cluster Service

135
TCP
RPC
Distributed File System

135
TCP
RPC
Distributed Link Tracking

135
TCP
RPC
Distributed Transaction Coordinator

135
TCP
RPC
Event Log

135
TCP
RPC
Fax Service

135
TCP
RPC
File Replication

135
TCP
RPC
Local Security Authority

135
TCP
RPC
Remote Storage Notification

135
TCP
RPC
Remote Storage Server

135
TCP
RPC
Systems Management Server 2.0

135
TCP
RPC
Terminal Services Licensing

135
TCP
RPC
Terminal Services Session Directory

137
UDP
NetBIOS Name Resolution
Computer Browser

137
UDP
NetBIOS Name Resolution
Server

137
UDP
NetBIOS Name Resolution
Windows Internet Name Service

137
UDP
NetBIOS Name Resolution
Net Logon

137
UDP
NetBIOS Name Resolution
Systems Management Server 2.0

138
UDP
NetBIOS Datagram Service
Computer Browser

138
UDP
NetBIOS Datagram Service
Messenger

138
UDP
NetBIOS Datagram Service
Server

138
UDP
NetBIOS Datagram Service
Net Logon

138
UDP
NetBIOS Datagram Service
Distributed File System

138
UDP
NetBIOS Datagram Service
Systems Management Server 2.0

138
UDP
NetBIOS Datagram Service
License Logging Service

139
TCP
NetBIOS Session Service
Computer Browser

139
TCP
NetBIOS Session Service
Fax Service

139
TCP
NetBIOS Session Service
Performance Logs and Alerts

139
TCP
NetBIOS Session Service
Print Spooler

139
TCP
NetBIOS Session Service
Server

139
TCP
NetBIOS Session Service
Net Logon

139
TCP
NetBIOS Session Service
Remote Procedure Call Locator

139
TCP
NetBIOS Session Service
Distributed File System

139
TCP
NetBIOS Session Service
Systems Management Server 2.0

139
TCP
NetBIOS Session Service
License Logging Service

143
TCP
IMAP
Exchange Server

161
UDP
SNMP
SNMP Service

162
UDP
SNMP Traps Outbound
SNMP Trap Service

389
TCP
LDAP SERVER
Local Security Authority

389
UDP
LDAP SERVER
Local Security Authority

389
TCP
LDAP SERVER
Distributed File System

389
UDP
LDAP SERVER
Distributed File System

443
TCP
HTTPS
HTTP SSL

443
TCP
HTTPS
World Wide Web Publishing Service

443
TCP
HTTPS
SharePoint Portal Server

445
TCP
SMB
Fax Service

445
TCP
SMB
Print Spooler

445
TCP
SMB
Server

445
TCP
SMB
Remote Procedure Call Locator

445
TCP
SMB
Distributed File System

445
TCP
SMB
License Logging Service

445
TCP
SMB
Net Logon

500
UDP
IPSec ISAKMP
Local Security Authority

515
TCP
LPD
TCP/IP Print Server

548
TCP
File Server for Macintosh
File Server for Macintosh

554
TCP
RTSP
Windows Media Services

563
TCP
NNTP over SSL
Network News Transfer Protocol

593
TCP
RPC over HTTP
Remote Procedure Call

593
TCP
RPC over HTTP
Exchange Server

636
TCP
LDAP SSL
Local Security Authority

636
UDP
LDAP SSL
Local Security Authority

993
TCP
IMAP over SSL
Exchange Server

995
TCP
POP3 over SSL
Exchange Server

1270
TCP
MOM 加密
Microsoft Operations Manager 2000

1433
TCP
SQL over TCP
Microsoft SQL Server

1433
TCP
SQL over TCP
MSSQL$UDDI

1434
UDP
SQL Probe
Microsoft SQL Server

1434
UDP
SQL Probe
MSSQL$UDDI

1645
UDP
Legacy RADIUS
Internet Authentication Service

1646
UDP
Legacy RADIUS
Internet Authentication Service

1701
UDP
L2TP
Routing and Remote Access

1723
TCP
PPTP
Routing and Remote Access

1755
TCP
MMS
Windows Media Services

1755
UDP
MMS
Windows Media Services

1801
TCP
MSMQ
Message Queuing

1801
UDP
MSMQ
Message Queuing

1812
UDP
RADIUS Authentication
Internet Authentication Service

1813
UDP
RADIUS Accounting
Internet Authentication Service

1900
UDP
SSDP
SSDP Discovery Service

2101
TCP
MSMQ-DC
Message Queuing

2103
TCP
MSMQ-RPC
Message Queuing

2105
TCP
MSMQ-RPC
Message Queuing

2107
TCP
MSMQ-Mgmt
Message Queuing

2393
TCP
OLAP Services 7.0
SQL Server: Downlevel OLAP Client Support

2394
TCP
OLAP Services 7.0
SQL Server: Downlevel OLAP Client Support

2460
UDP
MS Theater
Windows Media Services

2535
UDP
MADCAP
DHCP SERVER

2701
TCP
SMS REMOTE CONTROL(控制)
SMS Remote Control Agent

2701
UDP
SMS 远程控制(控制)
SMS Remote Control Agent

2702
TCP
SMS REMOTE CONTROL(数据)
SMS Remote Control Agent

2702
UDP
SMS REMOTE CONTROL(数据)
SMS Remote Control Agent

2703
TCP
SMS REMOTE CHAT
SMS Remote Control Agent

2703
UPD
SMS REMOTE CHAT
SMS Remote Control Agent

2704
TCP
SMS Remote File Transfer
SMS Remote Control Agent

2704
UDP
SMS Remote File Transfer
SMS Remote Control Agent

2725
TCP
SQL Analysis Services
SQL Analysis Server

2869
TCP
UPNP
UPNP Device Host

2869
TCP
SSDP event notification
SSDP Discovery Service

3268
TCP
Global Catalog Server
Local Security Authority

3269
TCP
Global Catalog Server
Local Security Authority

3343
UDP
Cluster Services
Cluster Service

3389
TCP
Terminal Services
NetMeeting Remote Desktop Sharing

3389
TCP
Terminal Services
Terminal Services

3527
UDP
MSMQ-Ping
Message Queuing

4011
UDP
BINL
Remote Installation

4500
UDP
NAT-T
Local Security Authority

5000
TCP
SSDP legacy event notification
SSDP Discovery Service

5004
UDP
RTP
Windows Media Services

5005
UDP
RTCP
Windows Media Services

42424
TCP
ASP.Net Session State
ASP.NET State Service

51515
TCP
MOM 明文
Microsoft Operations Manager 2000


可以从 Microsoft 网站获取包含此表中信息的 Microsoft Excel 2003 格式的电子表格,其网址为 http://go.microsoft.com/fwlink/?linkid=21179。
SID:S-1-0
名称:Null Authority
描述:标识符颁发机构。
SID:S-1-0-0
名称:Nobody
描述:无安全主体。
SID:S-1-1
名称:World Authority
描述:标识符颁发机构。
SID:S-1-1-0
名称:Everyone
描述:包括所有用户(甚至匿名用户和来宾)的组。成员身份由操作系统控制。
SID:S-1-2
名称:Local Authority
描述:标识符颁发机构。
SID:S-1-3
名称:Creator Authority
描述:标识符颁发机构。
SID:S-1-3-0
名称:Creator Owner
描述:可继承访问控制项 (ACE) 中的占位符。当 ACE 被继承时,系统用对象创建者的 SID 替换此 SID。
SID:S-1-3-1
名称:Creator Group
描述:可继承 ACE 中的占位符。当 ACE 被继承时,系统用对象创建者的主要组 SID 替换此 SID。主要组仅供 POSIX 子系统使用。
SID:S-1-3-2
名称:Creator Owner Server
描述:Windows 2000 中不使用此 SID。
SID:S-1-3-3
名称:Creator Group Server
描述:Windows 2000 中不使用此 SID。
SID:S-1-4
名称:Non-unique Authority
描述:标识符颁发机构。
SID:S-1-5
名称:NT Authority
描述:标识符颁发机构。
SID:S-1-5-1
名称:Dialup
描述:一个包括所有通过拨号连接登录的用户的组。成员身份由操作系统控制。
SID:S-1-5-2
名称:Network
描述:一个包括所有通过网络连接登录的用户的组。成员身份由操作系统控制。
SID:S-1-5-3
名称:Batch
描述:一个包括所有通过批队列工具登录的用户的组。成员身份由操作系统控制。
SID:S-1-5-4
名称:Interactive
描述:一个包括所有以交互方式登录的用户的组。成员身份由操作系统控制。
SID:S-1-5-5-X-Y
名称:Logon Session
描述:登录会话。这些 SID 的 X 和 Y 值因会话而异。
SID:S-1-5-6
名称:Service
描述:一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。
SID:S-1-5-7
名称:Anonymous
描述:一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。
SID:S-1-5-8
名称:Proxy
描述:Windows 2000 中不使用此 SID。
SID:S-1-5-9
名称:Enterprise Controllers
描述:一个由使用 Active Directory 目录服务的林中的所有域控制器组成的组。成员身份由操作系统控制。
SID:S-1-5-10
名称:Principal Self
描述:Active Directory 中的帐户对象或组对象上可继承 ACE 中的一个占位符。当 ACE 被继承时,系统用持有此帐户的安全主体的 SID 替换此 SID。
SID:S-1-5-11
名称:Authenticated Users
描述:一个包括登录时已经过身份验证的用户的组。成员身份由操作系统控制。
SID:S-1-5-12
名称:Restricted Code
描述:此 SID 保留供以后使用。
SID:S-1-5-13
名称:Terminal Server Users
描述:一个包括所有登录到终端服务服务器的用户的组。成员身份由操作系统控制。
SID:S-1-5-18
名称:Local System
描述:操作系统使用的服务帐户。
SID:S-1-5-19
名称:NT Authority
描述:本地服务
SID:S-1-5-20
名称:NT Authority
描述:网络服务
SID:S-1-5-域-500
名称:Administrator
描述:系统管理员的用户帐户。默认情况下,它是唯一能够完全控制系统的用户帐户。
SID:S-1-5-域-501
名称:Guest
描述:无个人帐户的人员的用户帐户。此用户帐户不需要密码。默认情况下,Guest 帐户被禁用。
SID:S-1-5-域-502
名称:KRBTGT
描述:密钥分发中心 (KDC) 服务使用的服务帐户。
SID:S-1-5-域-512
名称:Domain Admins
描述:一个全局组,其成员被授权管理该域。默认情况下,Domain Admins 组属于所有加入域的计算机(包括域控制器)上的 Administrators 组。Domain Admins 是该组的任何成员创建的任何对象的默认所有者。
SID:S-1-5-域-513
名称:Domain Users
描述:一个全局组,默认情况下它包括域中的所有用户帐户。在域中创建用户帐户时,默认情况下,帐户将添加到该组中。
SID:S-1-5-域-514
名称:Domain Guests
描述:一个全局组,默认情况下它只有一个成员,即域的内置 Guest 帐户。
SID:S-1-5-域-515
名称:Domain Computers
描述:一个包括加入域的所有客户端和服务器的全局组。
SID:S-1-5-域-516
名称:Domain Controllers
描述:一个包括域中所有域控制器的全局组。默认情况下,新的域控制器将添加到该组中。
SID:S-1-5-域-517
名称:Cert Publishers
描述:一个包括所有运行企业证书颁发机构的计算机的全局组。Cert Publishers 被授权为 Active Directory 中的 User 对象发布证书。
SID:S-1-5-根域-518
名称:Schema Admins
描述:纯模式域中的通用组;混合模式域中的全局组。该组被授权在 Active Directory 中更改架构。默认情况下,该组的唯一成员是目录林根域的 Administrator 帐户。
SID:S-1-5-根域-519
名称:Enterprise Admins
描述:纯模式域中的通用组;混合模式域中的全局组。该组被授权在 Active Directory 中进行目录林范围的更改,例如添加子域。默认情况下,该组的唯一成员是目录林根域的 Administrator 帐户。
SID:S-1-5-域-520
名称:Group Policy Creator Owners
描述:一个被授权在 Active Directory 中新建组策略对象的全局组。默认情况下,该组的唯一成员是 Administrator。
SID:S-1-5-域-533
名称:RAS and IAS Servers
描述:域本地组。默认情况下,该组没有成员。该组中的服务器对 Active Directory 域本地组中的 User 对象具有“读取帐户限制”和“读取登录信息”访问权限。默认情况下,该组没有成员。该组中的服务器对 Active Directory 中的 User 对象具有“读取帐户限制”和“读取登录信息”访问权限。
SID:S-1-5-32-544
名称:Administrators
描述:内置组。初次安装操作系统后,该组的唯一成员是 Administrator 帐户。当计算机加入域时,Domain Admins 组将被添加到 Administrators 组中。当服务器成为域控制器时,Enterprise Admins 组也被添加到 Administrators 组中。
SID:S-1-5-32-545
名称:Users
描述:内置组。初次安装操作系统后,该组的唯一成员是 Authenticated Users 组。当计算机加入域时,Domain Users 组将被添加到计算机上的 Users 组中。
SID:S-1-5-32-546
名称:Guests
描述:内置组。默认情况下,该组的唯一成员是 Guest 帐户。Guests 组允许临时或一次性用户使用有限权限登录到计算机的内置 Guest 帐户。
SID:S-1-5-32-547
名称:Power Users
描述:内置组。默认情况下,该组没有成员。Power Users 可以创建本地用户和组,修改和删除以前创建的帐户,删除 Power Users、Users 和 Guests 组中的用户。Power Users 还可以安装程序,创建、管理和删除本地打印机以及创建和删除文件共享目录。
SID:S-1-5-32-548
名称:Account Operators
描述:一种只存在于域控制器上的内置组。默认情况下,该组没有成员。默认情况下,Account Operators 有权为 Active Directory 的所有容器和组织单位中的用户、组和计算机创建、修改和删除帐户,Builtin 容器和 Domain Controllers OU 除外。Account Operators 无权修改 Administrators 和 Domain Admins 组,也无权为那些组的成员修改帐户。
SID:S-1-5-32-549
名称:Server Operators
描述:一种只存在于域控制器上的内置组。默认情况下,该组没有成员。Server Operators 可以以交互方式登录到服务器,创建和删除网络共享目录,启动和停止服务,备份和还原文件,格式化计算机的硬盘以及关闭计算机。computer.
SID:S-1-5-32-550
名称:Print Operators
描述:一种只存在于域控制器上的内置组。默认情况下,该组的唯一成员是 Domain Users 组。Print Operators 可以管理打印机和文档队列。
SID:S-1-5-32-551
名称:Backup Operators
描述:内置组。默认情况下,该组没有成员。Backup Operators 可以备份和还原计算机上的所有文件,无论那些文件受哪些权限保护均如此。Backup Operators 也可以登录和关闭计算机。
SID:S-1-5-32-552
名称:Replicators
描述:一个由域控制器上的文件复制服务使用的内置组。默认情况下,该组没有成员。不要向该组中添加用户。
下列各组在某台 Windows Server 2003 域控制器被指定担任主域控制器 (PDC) 操作主机角色之前,将一直显示为 SID。(“操作主机”也称作灵活的单主机操作或 FSMO。)在将 Windows Server 2003 域控制器添加到域中时,新建的其他内置组有:
SID:S-1-5-32-554
名称:BUILTIN\Pre-Windows 2000 Compatible Access
描述:Windows 2000 添加的别名。一个允许对域中的所有用户和组进行读访问的向后兼容组。
SID:S-1-5-32-555
名称:BUILTIN\Remote Desktop Users
描述:一个别名。该组的成员被授予远程登录权限。
SID:S-1-5-32-556
名称:BUILTIN\Network Configuration Operators
描述:一个别名。该组的成员拥有管理网络功能配置的部分权限。
SID:S-1-5-32-557
名称:BUILTIN\Incoming Forest Trust Builders
描述:一个别名。该组的成员可以创建到该目录林的传入的单向信任。
SID:S-1-5-32-557
名称:BUILTIN\Incoming Forest Trust Builders
描述:一个别名。该组的成员可以创建到该目录林的传入的单向信任。
SID:S-1-5-32-558
名称:BUILTIN\Performance Monitor Users
描述:一个别名。该组的成员可以进行远程访问以监视此计算机。
SID:S-1-5-32-559
名称:BUILTIN\Performance Log Users
描述:一个别名。该组的成员可以进行远程访问,以便计划此计算机上性能计数器的日志。
SID:S-1-5-32-560
名称:BUILTIN\Windows Authorization Access Group
描述:一个别名。该组的成员可以访问 User 对象上的计算的 tokenGroupsGlobalAndUniversal 属性。
SID:S-1-5-32-561
名称:BUILTIN\Terminal Server License Servers
描述:一个别名。终端服务器许可证服务器组。
相关的值项在
HKLMSYSTEMCurrentControlSetServiceTcpipParameters下。
1) DWORD:SynAttackProtect:定义了是否允许SYN淹没攻击保护,值1表示允许起用WIN2000的SYN淹没攻击保护。
2) DWORD:TcpMaxConnectResponseRetransmissions:定义了对于连接请求回应包的重发次数。值为1,则SYN淹没攻击不会有效果,但是这样会造成连接请求失败几率的增高。SYN淹没攻击保护只有在该值>=2时才会被启用,默认值为3。
(上边两个值定义是否允许SYN淹没攻击保护,下面三个则定义了激活SYN淹没攻击保护的条件,满足其中之一,则系统自动激活SYN淹没攻击保护。)
3) DWORD:TcpMaxHalfOpen:定义能够处于SYN_RECEIVED状态的TCP连接的数目。默认值100。
4) TcpMaxHalfOpenRetried:定义在重新发送连接请求后,仍然处于SYN_RECEIVED状态的TCP连接的数目。默认值80。
5) TcpMaxPortsExhausted:定义系统拒绝连接请求的次数。默认值5。
减小syn-ack包的响应时间。
HKLMSYSTEMCurrentControlSetServicesTcpipParametersTcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的次数。
增大NETBT的连接块增加幅度和最大数器。NETBT使用139端口。
HKLMSYSTEMCurrentControlSetServicesNetBtParametersBacklogIncrement默认值为3,最大20,最小1。
HKLMSYSTEMCurrentControlSetServicesNetBtParametersMaxConnBackLog默认值为1000,最大可取40000。
动态配置Backlog。
相关的值项在HKLMSYSTEMCurrentControlSetServiceAFDParameters下
1) DWORD:EnableDynamicBacklog:定义是否允许动态Backlog,默认为0,1为允许。
2) DWORD:MinimumDynamicBacklog:定义动态Backlog分配的未使用的自由连接的最小数目。默认值为0,建议设为20。
3) DWORD:MaximumDynamicBacklog:定义最大“准”连接数目。大小取决于内存的大小,一般每32M最大可以增加5000个。
4) DWORD:DynamicBacklogGrowthDelta:定义每次增加的自由连接数目,建议设置为10。
10)、预防DoS:
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
11)、防止ICMP重定向报文的攻击
HKLMSYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事。Win2000中默认值为1,表示响应ICMP重定向报文。
12)、禁止响应ICMP路由通告报文
HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterfacePerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积,长时间的网络异常。建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用。
13)、设置生存时间
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersDefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
指定传出IP数据包中设置的默认生存时间(TTL)值。TTL决定了IP数据包在到达目标前在网络中生存的最大时间。它实际上限定了IP数据包在丢弃前允许通过的路由器数量.有时利用此数值来探测远程主机*作系统。
14)、不支持IGMP协议
HKLMSYSTEMCurrentControlSetServicesTcpipParametersIGMPLevel REG_DWORD 0x0(默认值为0x2)
记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个bug。Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉。改成0后用route print将看不到那个讨厌的224.0.0.0项了。
15)、设置arp缓存老化时间设置
HKLMSYSTEMCurrentControlSetServices:TcpipParameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓存项在ArpCacheLife秒后到期。如果ArpCacheLife小于ArpCacheMinReferencedLife,未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期。每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。

非AD环境下帐号的备份和恢复

[ 2004/11/05 09:05 | by gOxiA ]
(1).帐号的备份:Windows2000的Resource Kit中提供了一个方便的工具——Addusers,导出帐号和群组信息的命令格式为
Addusers/d filename.txt
同时他也支持网络导出
Addusers \\servername /d filename.txt


(2).密码的备份:去http://www.systemtools.com网站的“Free Tools”栏目下,寻找CopyPwd这个工具,这个工具能够帮助你备份密码。

(3).帐号的恢复:
Addusers/c filename.txt


(4).Cusrmgr的一点调整:Windows2000 Resource Kit的小工具Cusrmgr来解决这个使Administrator下次登录时不需要更改密码的问题
Cusrmgr -u Administrator -s Mustchangenord

PDC时间服务器的设定事项

[ 2004/08/18 15:30 | by gOxiA ]
在安装PDC后,需要在防火墙上设置允许UDP:123端口可以访问internet时间服务器。
如果在WinSrv2003上正确配置时间服务器后,仍然出现问题,可参考微软KB文档:830092
当服务器使用域模式时,在登录后,日志事件中可能会出现Netlogon 5781错误。
域控制器上的 Netlogon 服务无法注册或取消注册多个资源记录时,系统事件日志中将记录 Netlogon 5781 错误信息。该事件描述不包含这些资源记录的名称。此外,该事件描述也可能是会让人误解的“no DNS servers are available”这一内容,

注意:这些错误的常见原因是域控制器在其 TCP/IP 属性中将其自身引用为主 DNS 服务器。当域控制器使用这种配置启动时,Netlogon 服务可能会在 DNS 服务启动之前启动。由于 Netlogon 服务必须在 DNS 中注册记录,而 DNS 服务尚不可用,因此可能会发生错误。在这种情况下,您可以安全地忽略这些错误,因为 Netlogon 服务将会在大约 5 分钟后会再次尝试注册这些记录,此时将能成功注册。不过,在这种情况下,有两种方法可以避免这些错误:
确保域控制器在其 TCP/IP 属性中不将其自身引用为主 DNS 服务器。
配置 Netlogon 服务使之依赖于 DNS 服务。这会使 Netlogon 服务在 DNS 服务启动后启动。为此,请运行 REGEDT32,并转至:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon
在右窗格中,双击 DependOnService 值,然后将 DNS 添加到下一个可用空白行中。单击确定退出注册表编辑器。

微软官方关于5781错误的KBhttp://support.microsoft.com/default.aspx?scid=kb;en-us;259277
分页: 15/15 第一页 上页 10 11 12 13 14 15 最后页 [ 显示模式: 摘要 | 列表 ]