Як визначити, хто / для чого використовується сервер Windows 2003?


44

Як я можу визначити, чи сервер Windows 2003 все ще використовує хтось / щось, і якщо він є, для чого він використовується?

Я малюю порожнє про те, що ще потрібно перевірити, окрім переглядача подій, щоб побачити, які облікові записи підключаються до сервера.


13
Після того як ви це зрозумієте ... документуйте це ... оскільки, мабуть, ніхто інший цього не зробив. Тоді ви, принаймні, зможете повернутися в майбутнє і сказати "так, це раніше було # -сервер з x specs / ip / name, а так, і ми його декомували на дату". Будьте впевнені та включіть будь-яке ліцензування, яке було пов’язане з ним, і яке може бути перепризначене, якщо воно є. Також переконайтесь, що він видалений з DNS, WSUS / SCCM або будь-якого іншого місця, на яке він посилається.
TheCleaner

Відповіді:


70

Це не тупе питання, це чудове запитання, і я радий, що ви ставите.

Людські процеси

Переконайтесь, що ви переглянули всю документацію, поспілкувались із сірими бородами та відмовилися від когось із бізнесу.

Технічні процеси

Отримайте повну резервну копію; позначити засоби масової інформації для довгострокового архіву. Запустіть монітор підключення або sniffer пакетів протягом певного часу, щоб побачити, які з'єднання все ще здійснюються. Перегляньте служби, щоб побачити, чи щось звучить важливо / знайомо.

Обрізання шнура

Краща ідея, ніж вимкнення живлення - відключіть мережевий кабель на кілька днів. Якщо це старий фізичний апарат, ви не хочете ризикувати ситуацією, коли вам потрібно підключити його, але шпинделі диска заморожені. Залиште їх крутитися.


Джерело повноважень - Я витратив понад рік на виведення з експлуатації старих серверів для фармацевтів Fortune 25. Це був процес, і він спрацював.


6
Я навіть не думав використовувати sniffer пакетів, відмінна ідея. Я дуже ціную допомогу :)
SumDumGuy

18
Просто додавання , що аналізатор пакетів буде знайти трафік. Завжди є фонові матеріали, які переходять на будь-який хост у мережі, і деякі з цих фонових матеріалів можуть на перший погляд виглядати як значний трафік (як, скажімо, десь звіт про дані системи про стан служби моніторингу). Тонус полягає в тому, щоб вимити всю цю пліву, щоб побачити, чи ще залишилося пшениці.
Джоел Коел

1
Джоель - так, абсолютно правильно. Вам неодмінно потрібно буде зробити якийсь аналіз результатів захоплення пакетів.
mfinni

2
Ризикуючи зіпсувати жарт: кого ви називаєте сірими бородами? Користувачі? Менеджери? Допоміжний персонал?
Ліліенталь

6
+1 обрізання шнура - фантастична порада
Ніл Таунсенд

20

Вимкніть його і подивіться, хто кричить, і про що.

Серйозно, це найкращий спосіб. Навіть перевірка журналів отримає вас лише поки що, оскільки ви побачите лише ті дії, які зареєстровані.


РЕДАКТУВАННЯ : Для отримання будь-яких подальших коментарів ця порада передбачає, що ви вже зробили те, що ви мали б зробити в першу чергу, навіть перш ніж задавати тут питання - запитували про сервер, шукали документацію та входили, щоб перевірити, чи ви можете зловити будь-які явні ознаки активності.

Це також передбачає, що ви не знаходитесь в одному з тих середовищ, які, очевидно, існують там, де критично важливі бізнес-системи, про які ніхто не знає, що працюють на апаратному забезпеченні, настільки крихкі, що під час завантаження ризикує вибухнути полум'ям або вибухнути.


1
Так ... я думав про це, але це нова робота, і я намагаюся ще нікого не дратувати.
SumDumGuy

3
Це єдина правдива відповідь. Вам не обов’язково визнавати, що ви закрили його, якщо хтось кричить.
Хіпі

12
@SumDumGuy Як каже Хіпі, вам не потрібно визнавати, що ви закрили його, якщо хтось кричить. "Дивно, дозвольте мені розібратися в цьому" - це взагалі хороший спосіб відповісти на когось, хто кричить про те, що ви знаєте, що ви зробили. Або мені це було добре , принаймні. :)
HopelessN00b

4
... та 16 різних коментарів від 9 різних користувачів видалено. Все, про що я можу підсумувати: "деякі люди вважають, що вимкнути сервер занадто ризиковано, а деякі - ні". Якщо ви хочете висловити одну з цих думок у моїй відповіді, зробіть це, натиснувши одну зі стрілок убік. Якщо ви хочете розчарувати мене, повторіть одну з тих самих думок у коментарі, щоб я отримав повідомлення про те, що десята людина розповідає мені те, що я прочитав уже 16 разів за стільки годин.
HopelessN00b

4
@SumDumGuy Якщо це нова робота, то обов'язково обговоріть це з вашим менеджером, перш ніж насправді щось робити. Ви можете виявити, що у вас є процедури, яких потрібно дотримуватися, або що він знає корисні речі.
Thorbjørn Ravn Andersen

7

Для користувачів, які аутентифікуються на сервері за допомогою LDAP (файли спільного доступу, друковані спільні публікації тощо), ви можете використовувати оснащення "Shares & Sessions" в mmc для виявлення користувачів, які пов'язані з відкритими сеансами. Це користувачі, які активно або пасивно (відображені на карті) підключені.

Я знайшов більш детальну статтю .

Ви також можете перевірити, чи немає в ньому встановлених служб, таких як SQL або програми, і побачити, чи немає відкритих портів за замовчуванням, використовуючи програмне забезпечення, таке як sysinternals TCPView, щоб ідентифікувати будь-яке програмне забезпечення, що працює. Ці відкриті порти можуть допомогти визначити використовувані протоколи, що може допомогти визначити призначення сервера.

Нарешті, ви можете перевірити встановлені / запущені служби та визначити, що працює.


Ласкаво просимо до помилки сервера! Схоже, у вас може бути інформація, необхідна для вирішення проблеми у питанні, але ваша поточна відповідь не дає чіткого рішення. Прочитайте, будь ласка, як я можу написати гарну відповідь? і розглянути можливість перегляду вашої поточної відповіді.
Павло

Пол, чи маєш ти якісь скарги на мою відповідь? (Я з тих пір редагував це)
Натан іде

На сторінці, до якої я пов’язаний, зверніть увагу на розділ "Надати контекст для посилань". Посилання виходять поганими або вміст у них змінюється, що ускладнює людям, які в майбутньому знайдуть вашу відповідь, зрозуміти, як застосувати ваше рішення.
Павло

2

Насправді не відповідає вашій ситуації, оскільки ви сказали, що у вас є кілька серверів, щоб перевірити, тож це для інших, хто читає це за власні відповіді:

Якщо це малий бізнес, і немає справжньої процедурної документації чи будь-яких технічних засобів на місці, з якими можна поговорити, ось що ви можете зробити:

Перевірте служби та встановлені програми, дізнайтеся, чи можна з’ясувати, хто використовує програмне забезпечення, яке підключається до цих служб, і переконайтеся, що вони переміщені до будь-яких нових серверів.

Діляться, я впевнений, що ви знаєте, що ви можете переглянути всі файли, відкриті з мережі, в оснастку MMC для загальної папки (управління комп'ютером> спільні папки), тут вам допоможуть сеанси та відкриті файли. Знайдіть перелічені тут комп’ютери / користувачів та перемістіть їх файли на нове місце.

Як тільки це зроблено, сміливо відключайте його від мережі або вимикайте його, як зазначено, це справді єдиний спосіб знати напевно, що його не використовують, не забудьте почекати кілька днів, якщо його щось не звикне постійно.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.