Jak rozpoznać, kto / co korzysta z serwera Windows 2003?

44

Jak mogę ustalić, czy serwer Windows 2003 jest nadal używany przez kogoś / coś, a jeśli tak, to do czego jest używany?

Zwracam uwagę na to, co jeszcze mogę sprawdzić poza przeglądarką zdarzeń, aby zobaczyć, które konta łączą się z serwerem.

SumDumGuy
źródło
13
Po tym, jak to wymyślisz ... udokumentuj ... ponieważ najwyraźniej nikt inny tego nie zrobił. Wtedy przynajmniej będziesz mógł wrócić w przyszłości i powiedzieć: „tak, to był # serwer z x specs / ip / name i zrobiłeś to, a my zdekomunikowaliśmy to w dniu z”. Upewnij się i dołącz wszelkie licencje, które były z nim związane i które mogą zostać ponownie przypisane, jeśli takie istnieją. Upewnij się również, że został usunięty z DNS, WSUS / SCCM lub dowolnego innego miejsca, do którego się do niego odwoływał.
TheCleaner

Odpowiedzi:

70

To nie jest głupie pytanie, to świetne pytanie i cieszę się, że je zadajesz.

Ludzkie procesy

Upewnij się, że przejrzałeś całą dokumentację, rozmawiałeś z siwobrodymi i podpisałeś się z kimś z firmy.

Procesy techniczne

Uzyskaj pełną kopię zapasową; zaznacz media do długoterminowej archiwizacji. Uruchom przez pewien czas monitor połączeń lub sniffer pakietów, aby sprawdzić, jakie połączenia są nadal nawiązywane. Sprawdź usługi, aby zobaczyć, czy coś wydaje się ważne / znane.

Cięcie sznurka

Lepszy pomysł niż wyłączenie - odłącz kabel sieciowy na kilka dni. Jeśli jest to stara fizyczna maszyna, nie chcesz ryzykować sytuacji, w której musisz ją ponownie włączyć, ale wrzeciona dyskowe są zamrożone. Pozwól im się kręcić.


Źródło autorytetu - spędziłem ponad rok na wycofywaniu starych serwerów dla firmy farmaceutycznej z listy Fortune 25. To był proces i zadziałał.

mfinni
źródło
6
Nawet nie pomyślałem o użyciu sniffera pakietów, świetny pomysł. Naprawdę doceniam pomoc :)
SumDumGuy,
18
Tylko dodatek, który sniffer pakietów będzie znaleźć ruchu. Zawsze są jakieś informacje w tle przychodzące i wychodzące z dowolnego hosta w sieci, a niektóre z tych informacji w tle mogą na pierwszy rzut oka wyglądać na znaczny ruch (np. Zgłaszanie gdzieś danych o kondycji systemu do usługi monitorowania). Ciężar polega na spłukaniu całej plewy, aby sprawdzić, czy zostało jeszcze trochę pszenicy.
Joel Coel
1
Joel - tak, całkowicie poprawne. Na pewno będziesz musiał przeprowadzić analizę wyników przechwytywania pakietów.
mfinni
2
Ryzykując zrujnować żart: kogo nazywacie szarobrodymi? Użytkownicy? Menedżerowie? Personel pomocniczy?
Lilienthal
6
+1 odcinanie sznurka - fantastyczna wskazówka
Neil Townsend
20

Wyłącz go i zobacz, kto krzyczy i o czym.

Poważnie, to najlepszy sposób. Nawet sprawdzanie dzienników doprowadzi cię tylko do tej pory, ponieważ zobaczysz tylko zarejestrowane aktywności.


EDYCJA : Aby uniknąć dalszych komentarzy, ta rada zakłada, że ​​zrobiłeś już to, co powinieneś był zrobić, nawet przed zadaniem pytania tutaj - zapytałem o serwer, szukałem dokumentacji i zalogowałem się, aby sprawdzić, czy możesz złapać wszelkie oczywiste oznaki aktywności.

Zakłada to również, że nie należysz do jednego z tych środowisk, które najwyraźniej istnieją, w których krytyczne dla biznesu systemy, o których nikt nie wie, działają na sprzęcie tak delikatnym, że istnieje ryzyko wybuchu płomienia lub wybuchu podczas uruchamiania.

Beznadziejny
źródło
1
Tak ... Myślałem o tym, ale to nowa praca i staram się nikogo jeszcze nie wkurzać.
SumDumGuy,
3
To jest jedyna prawdziwa odpowiedź. Niekoniecznie musisz przyznać, że wyłączasz go, jeśli ktoś krzyczy.
Hyppy,
12
@SumDumGuy Jak mówi Hyppy, nie musisz przyznać, że go wyłączasz, jeśli ktoś krzyczy. „Dziwne, pozwól mi się tym przyjrzeć” to ogólnie dobry sposób, aby odpowiedzieć komuś, kto krzyczy na temat czegoś, co wiesz, że zrobiłeś. A przynajmniej było dla mnie dobre . :)
HopelessN00b
4
... i 16 różnych komentarzy od 9 różnych użytkowników zostało usuniętych. Wszystko, co mogę podsumować: „niektórzy uważają, że wyłączenie serwera jest zbyt ryzykowne, a niektórzy nie”. Jeśli chcesz wyrazić jedną z tych opinii na temat mojej odpowiedzi, zrób to, klikając jedną ze strzałek z boku. Jeśli chcesz mnie wkurzyć, powtórz jedną z tych samych opinii w komentarzu, aby otrzymać powiadomienie, że 10. osoba mówi mi coś, co przeczytałem już 16 razy w ciągu tylu godzin.
HopelessN00b
4
@SumDumGuy Jeśli jest to nowa praca, przed podjęciem jakichkolwiek działań przedyskutuj to ze swoim przełożonym. Może się okazać, że masz procedury, których musisz przestrzegać, lub że on zna przydatne rzeczy.
Thorbjørn Ravn Andersen
7

W przypadku użytkowników uwierzytelniających się na serwerze za pomocą LDAP (udziały plików, udziały w drukowaniu itp.) Można użyć przystawki „Udostępnienia i sesje” w mmc, aby zidentyfikować użytkowników powiązanych z otwartymi sesjami. Są to użytkownicy, którzy są aktywnie lub pasywnie połączeni (mapowane dyski).

Znalazłem bardziej szczegółowy artykuł .

Możesz także sprawdzić, czy ma jakieś zainstalowane usługi, takie jak SQL lub programy, i sprawdzić, czy istnieją jakieś inne niż domyślne otwarte porty, używając oprogramowania takiego jak sysinternals TCPView w celu identyfikacji uruchomionego oprogramowania. Te otwarte porty mogą pomóc w identyfikacji używanych protokołów i mogą pomóc w określeniu celu serwera.

Na koniec możesz sprawdzić zainstalowane / uruchomione usługi i określić, co jest uruchomione.

Nathan Goings
źródło
Witaj w Server Fault! Wygląda na to, że masz informacje wymagane do rozwiązania problemu w pytaniu, ale twoja aktualna odpowiedź nie zawiera jasnego rozwiązania. Proszę przeczytać Jak napisać dobrą odpowiedź? i zastanów się nad poprawieniem bieżącej odpowiedzi.
Paul
Paul, czy masz jakieś konkretne skargi dotyczące mojej odpowiedzi? (Od tamtej pory go edytowałem)
Nathan Goings,
Na stronie, do której prowadzę link, zwróć uwagę na sekcję „Podaj kontekst dla linków”. Linki się psują lub ich treść ulega zmianie, co utrudnia osobom, które znajdą odpowiedź w przyszłości, na zrozumienie, w jaki sposób zastosować rozwiązanie.
Paul
2

Nie pasuje to do twojej sytuacji, ponieważ powiedziałeś, że masz wiele serwerów do sprawdzenia, więc inni mogą to przeczytać, szukając własnych odpowiedzi:

Jeśli jest to mała firma i nie ma prawdziwej dokumentacji proceduralnej ani techników na miejscu, z którymi można porozmawiać, oto dwie rzeczy, które możesz zrobić:

Sprawdź usługi i zainstalowane programy, sprawdź, czy możesz dowiedzieć się, kto korzysta z oprogramowania łączącego się z tymi usługami i upewnij się, że zostały przeniesione na nowe serwery.

Udostępnia, jestem pewien, że wiesz, że możesz przeglądać wszystkie pliki otwarte z sieci w przystawce MMC Folder współdzielony (zarządzanie komputerem> foldery współdzielone), Sesje i otwarte pliki pomogą ci tutaj. Znajdź komputery / użytkowników wymienionych tutaj i przenieś ich pliki do nowej lokalizacji.

Gdy to zrobisz, możesz odłączyć go od sieci lub wyłączyć, jak już wspomniano, to naprawdę jedyny sposób, aby się upewnić, że nie jest używany, poczekaj kilka dni na wypadek, gdyby coś się nie wykorzystało stale.

RyanTimmons91
źródło