Как определить, кто / что использует сервер Windows 2003?

44

Как я могу определить, используется ли сервер Windows 2003 кем-либо / чем, и если это так, то для чего он используется?

Я рисую пустое поле для проверки чего-либо еще, кроме средства просмотра событий, чтобы увидеть, какие учетные записи подключаются к серверу.

windows-server-2003 SumDumGuy
источник
13
После того, как вы выясните это ... задокументируйте это ... так как, очевидно, никто другой не сделал. Тогда вы, по крайней мере, сможете вернуться в будущем и сказать: «Да, раньше это был # -сервер с x specs / ip / name и сделал y, и мы разложили его на z date». Будьте уверены, и включите любое лицензирование, которое было связано с ним, и которое может быть переназначено, если таковое имеется. Также убедитесь, что он удален из DNS, WSUS / SCCM или из любого другого места, на которое он ссылается.
TheCleaner

Ответы:

70

Это не глупый вопрос, это отличный вопрос, и я рад, что вы спрашиваете.

Человеческие процессы

Убедитесь, что вы просмотрели всю документацию, поговорили с серыми бородами и получили подтверждение от кого-то из бизнеса.

Технические процессы

Получить полную резервную копию; пометить СМИ для долгосрочного архивирования. Запустите монитор подключений или анализатор пакетов на некоторое время, чтобы увидеть, какие соединения все еще выполняются. Осмотрите службы, чтобы увидеть, звучит ли что-нибудь важное / знакомое.

Перерезать шнур

Лучшая идея, чем выключение - отключите сетевой кабель на несколько дней. Если это старая физическая машина, вы не хотите рисковать ситуацией, когда вам нужно включить ее обратно, но дисковые шпиндели зависли. Оставь их крутиться.

Источник полномочий - я потратил более года на вывод из эксплуатации старых серверов для фармацевтической компании Fortune 25. Это был процесс, и он работал.

mfinni
источник
6
Я даже не думал об использовании анализатора пакетов, отличная идея. Я действительно ценю помощь :)
SumDumGuy
18
Просто добавление , что анализатор пакетов будет найти трафик. Всегда есть фоновые данные, поступающие на любой хост в сети и с любого хоста, и некоторые из этих фоновых компонентов на первый взгляд могут выглядеть как значительный трафик (например, например, сообщать данные о работоспособности системы в службу мониторинга где-нибудь). Задача состоит в том, чтобы вымыть всю эту мякину, чтобы увидеть, не осталось ли еще пшеницы.
Джоэл Коэль
1
Джоэл - да, совершенно верно. Вам определенно нужно будет провести анализ результатов захвата пакетов.
Мфинни
2
На риск испортить шутку: кого вы называете серыми бородами? Пользователи? Менеджеры? Вспомогательный персонал?
Лилиенталь
6
+1 перерезание шнура - фантастический совет
Нил Таунсенд
20

Выключи его и посмотри, кто кричит и о чем.

Серьезно, это лучший способ. Даже проверка журналов только поможет вам, потому что вы увидите только те действия, которые зарегистрированы.

РЕДАКТИРОВАТЬ : Чтобы избежать дальнейших комментариев, этот совет предполагает, что вы уже сделали то, что должны были сделать в первую очередь, даже прежде чем задавать вопрос здесь - расспросили о сервере, посмотрели документацию и вошли в систему, чтобы увидеть, если Вы можете заметить любые явные признаки активности.

Это также предполагает, что вы находитесь не в одной из тех сред, которые, по-видимому, существуют, где критически важные для бизнеса системы, о которых никто не знает, работают на оборудовании, настолько хрупком, что это может привести к взрыву или взрыву во время загрузки.

HopelessN00b
источник
1
Да ... Я думал об этом, но это новая работа, и я стараюсь пока никого не бесить.
SumDumGuy
3
Это, это единственный верный ответ. Вы не обязательно должны признать, что закрыли его, если кто-то кричит.
Hyppy
12
@SumDumGuy Как говорит Хиппи, вам не нужно допускать, чтобы вы закрывали его, если кто-то кричит. «Странно, позвольте мне взглянуть на это» - это, как правило, хороший способ ответить кому-то, кто кричит о том, что вы знаете, что сделали. Или это было хорошо для меня , по крайней мере. :)
HopelessN00b
4
... и 16 разных комментариев от 9 разных пользователей удалены. Все, что я могу подытожить: «некоторые люди думают, что отключение сервера слишком рискованно, а некоторые нет». Если вы хотите высказать одно из этих мнений в моем ответе, сделайте это, нажав одну из стрелок сбоку. Если вы хотите меня разозлить, повторите одно из тех же мнений в комментарии, чтобы я получил уведомление, что десятый человек говорит мне то, что я прочитал 16 раз уже за столько часов.
HopelessN00b
4
@SumDumGuy Если это новая работа, то обязательно обсудите это с вашим менеджером, прежде чем что-то делать. Вы можете обнаружить, что у вас есть процедуры, которым вы должны следовать, или что он знает полезные вещи.
Турбьёрн Равн Андерсен
7

Для пользователей, которые проходят проверку подлинности на сервере с помощью LDAP (общие папки, общие ресурсы печати и т. Д.), Вы можете использовать оснастку «Общие ресурсы и сеансы» в mmc, чтобы идентифицировать пользователей, связанных с открытыми сеансами. Это пользователи, которые подключены активно или пассивно (подключенные диски).

Я нашел статью, которая является более подробной.

Вы также можете проверить, установлены ли на нем какие-либо установленные службы, такие как SQL или программы, и посмотреть, есть ли открытые порты, отличные от заданных по умолчанию, с использованием программного обеспечения, такого как sysinternals TCPView, для идентификации любого работающего программного обеспечения. Эти открытые порты могут помочь идентифицировать используемые протоколы, и это может помочь определить назначение сервера.

Наконец, вы можете проверить установленные / работающие службы и определить, что работает.

Натан Гоингс
источник
Добро пожаловать в сбой сервера! Похоже, у вас может быть информация, необходимая для решения проблемы в вопросе, но ваш текущий ответ не дает четкого решения. Пожалуйста, прочитайте Как я могу написать хороший ответ? и рассмотрите возможность пересмотра вашего текущего ответа.
Пол
Пол, у тебя есть какие-то конкретные жалобы на мой ответ? (Я с тех пор отредактировал это)
Натан Гоингс
На странице, на которую я ссылался, обратите внимание на раздел «Предоставление контекста для ссылок». Ссылки становятся плохими или содержимое в них изменяется, что затрудняет понимание людьми, которые найдут ваш ответ в будущем, как применить ваше решение.
Пол
2

Не очень подходит для вашей ситуации, потому что вы сказали, что у вас есть несколько серверов для проверки, так что это для других, которые читают это для своих собственных ответов:

Если это малый бизнес, и нет реальной процедурной документации или каких-либо технических специалистов, с которыми можно поговорить, то вот две вещи, которые вы можете сделать:

Проверьте службы и установленные программы, посмотрите, сможете ли вы выяснить, кто использует программное обеспечение, которое подключается к этим службам, и убедитесь, что они перенесены на любые новые серверы.

Общие ресурсы, я уверен, что вы знаете, что вы можете просмотреть все файлы, открытые из сети, в оснастке MMC «Общая папка» (управление компьютером> общие папки), сеансы и открытые файлы. Найдите перечисленные здесь компьютеры / пользователей и переместите их файлы в новое место.

Как только это будет сделано, не стесняйтесь отключить его от сети или отключить, как указано, что это действительно единственный способ узнать наверняка, что он не используется, обязательно подождите несколько дней на случай, если что-то не используется постоянно.

RyanTimmons91
источник