Come identificare chi / cosa utilizza un server Windows 2003?

44

Come posso determinare se un server Windows 2003 è ancora utilizzato da chiunque / cosa, e se lo è, a cosa serve?

Sto disegnando uno spazio vuoto su cos'altro controllare oltre al Visualizzatore eventi per vedere quali account si stanno connettendo al server.

windows-server-2003 
SumDumGuy
fonte
13
Dopo averlo capito ... documentalo ... dal momento che apparentemente nessun altro l'ha fatto. Quindi almeno sarai in grado di tornare indietro in futuro e dire "sì, questo era # -server con x specs / ip / name e lo abbiamo fatto e lo abbiamo ritirato alla data z". Assicurati di includere tutte le licenze ad esso associate e che potrebbero essere assegnate nuovamente. Assicurati inoltre che sia rimosso da DNS, WSUS / SCCM o da qualsiasi altra parte che lo abbia fatto riferimento.
TheCleaner

Risposte:

70

Questa non è una domanda stupida, è un'ottima domanda e sono felice che tu lo stia facendo.

Processi umani

Assicurati di aver esaminato tutta la documentazione, di aver parlato con i greybeards e di esserti disconnesso da qualcuno dell'azienda.

Processi tecnici

Ottieni un backup completo; contrassegnare i media per l'archiviazione a lungo termine. Esegui un monitor di connessione o uno sniffer di pacchetti per un periodo di tempo per vedere quali connessioni sono ancora in corso. Ispeziona i servizi per vedere se qualcosa sembra importante / familiare.

Tagliare il cavo

Un'idea migliore rispetto allo spegnimento: scollegare il cavo di rete per alcuni giorni. Se si tratta di una vecchia macchina fisica, non si desidera rischiare la situazione in cui è necessario riaccenderla, ma i mandrini del disco sono bloccati. Lasciali girare.

Fonte di autorità - Ho trascorso più di un anno a smantellare vecchi server per un'azienda farmaceutica Fortune 25. Questo è stato il processo e ha funzionato.

mfinni
fonte
6
Non ho nemmeno pensato di usare uno sniffer di pacchetti, ottima idea. Apprezzo molto l'aiuto :)
SumDumGuy
18
Basta un addendum che uno sniffer di pacchetti sarà trovare traffico. Ci sono sempre elementi di background che vanno e vengono da qualsiasi host su una rete e alcuni di questi elementi di background possono sembrare un traffico significativo a prima vista (come, diciamo, riportare i dati di integrità del sistema a un servizio di monitoraggio da qualche parte). L'onere è di spazzare via tutta quella paglia per vedere se c'è ancora del grano rimasto.
Joel Coel,
1
Joel - sì, del tutto corretto. Avrai sicuramente bisogno di fare qualche analisi sui risultati di acquisizione dei pacchetti.
mfinni,
2
A rischio di rovinare una barzelletta: a chi ti riferisci come i greybeards? Gli utenti? Manager? Personale di supporto?
Lilienthal,
6
+1 taglio del cavo - suggerimento fantastico
Neil Townsend il
20

Spegnilo e vedi chi urla e su cosa.

Seriamente, è il modo migliore. Anche il controllo dei registri ti porterà solo finora, perché vedrai solo le attività registrate.

MODIFICA : Per evitare ulteriori commenti, questo consiglio presuppone che tu abbia già fatto ciò che avresti dovuto fare in primo luogo, anche prima di porre la domanda qui: fare domande sul server, cercare documentazione e accedere per vedere se puoi cogliere qualsiasi segno evidente di attività.

Questo presuppone anche che non ci si trovi in ​​uno di quegli ambienti che apparentemente esistono in cui i sistemi business-critical che nessuno sa di eseguire su hardware così fragile da rischiare di esplodere o esplodere durante l'avvio.

HopelessN00b
fonte
1
Sì ... ci ho pensato ma questo è un nuovo lavoro e sto cercando di non far incazzare nessuno ancora.
SumDumGuy
3
Questa, questa è l'unica vera risposta. Non devi necessariamente ammettere di averlo spento se qualcuno urla.
Hyppy,
12
@SumDumGuy Come dice Hyppy, non devi ammettere di spegnerlo se qualcuno urla. "Strano, lasciami esaminare" è generalmente un buon modo per rispondere a qualcuno che sta urlando per qualcosa che sai di aver fatto. O almeno è stato buono con me . :)
HopelessN00b
4
... e 16 diversi commenti da 9 diversi utenti eliminati. Tutto ciò con cui posso riassumere: "alcune persone pensano che spegnere il server sia troppo rischioso, altre no." Se vuoi esprimere una di quelle opinioni sulla mia risposta, fallo facendo clic su una delle frecce a lato. Se vuoi farmi incazzare, ripeti una di quelle stesse opinioni in un commento così ricevo una notifica che una decima persona mi sta dicendo qualcosa che ho letto 16 volte già in altrettante ore.
HopelessN00b
4
@SumDumGuy Se si tratta di un nuovo lavoro, assicurati di discuterne con il tuo manager prima di fare qualsiasi cosa. Potresti scoprire di avere delle procedure che devi seguire o che conosce cose utili.
Thorbjørn Ravn Andersen,
7

Per gli utenti che eseguono l'autenticazione sul server con LDAP (condivisioni di file, condivisioni di stampa, ecc.) È possibile utilizzare lo snap-in "Condivisioni e sessioni" in mmc per identificare gli utenti connessi a sessioni aperte. Questi sono utenti che sono connessi attivamente o passivamente (unità mappate).

Ho trovato un articolo più dettagliato.

Puoi anche verificare se ha servizi installati come SQL o programmi e vedere se ci sono porte aperte non predefinite che utilizzano software come TCPView di sistema per identificare qualsiasi software in esecuzione. Queste porte aperte possono aiutare a identificare i protocolli in uso e possono aiutare a identificare lo scopo del server.

Infine, puoi controllare i servizi installati / in esecuzione e identificare ciò che è in esecuzione.

Nathan Goings
fonte
Benvenuti in Server Fault! Sembra che potresti avere le informazioni necessarie per risolvere il problema nella domanda, ma la tua risposta attuale non comunica una soluzione chiara. Si prega di leggere Come posso scrivere una buona risposta? e considera di rivedere la tua risposta attuale.
Paul,
Paul, hai qualche lamentela specifica con la mia risposta? (Da allora l'ho modificato)
Nathan Goings,
Nella pagina a cui mi sono collegato, nota la sezione "Fornisci contesto per i collegamenti". I collegamenti vanno male o il contenuto viene modificato, rendendo difficile per le persone che in futuro trovano la tua risposta capire come applicare la soluzione.
Paul,
2

Non si adatta davvero alla tua situazione perché hai detto che hai più server da controllare, quindi questo è per gli altri che leggono questo per risposte proprie:

Se si tratta di una piccola impresa e non esiste una vera documentazione procedurale o alcuna tecnologia in loco con cui parlare, ecco due cose che puoi fare:

Controlla i servizi e i programmi installati, vedi se riesci a capire chi utilizza il software che si collega a tali servizi e assicurati che vengano spostati su qualsiasi nuovo server.

Condivide, sono sicuro che sai che puoi guardare tutti i file aperti dalla rete nello snap-in MMC Cartella condivisa (gestione computer> cartelle condivise), Sessioni e file aperti ti aiuteranno qui. Trova i computer / utenti elencati qui e sposta i loro file nella nuova posizione.

Una volta fatto, sentiti libero di scollegarlo dalla rete o spegnerlo, come affermato, questo è davvero l'unico modo per sapere con certezza che non viene usato, assicurati di aspettare qualche giorno nel caso in cui sia qualcosa che non viene usato costantemente.

RyanTimmons91
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.