Вопрос: Как определить, кто / что использует сервер Windows 2003?


Как я могу определить, используется ли сервер Windows 2003 кем-то / вещью, и если это так, для чего он используется?

Я рисую пробел о том, что еще нужно проверить, кроме средства просмотра событий, чтобы узнать, какие учетные записи подключаются к серверу.


43
2018-01-20 19:21


Источник


После того, как вы это выясните ... документируйте это ... поскольку, видимо, никто другой не сделал. Тогда вы, по крайней мере, сможете вернуться в будущее и сказать: «Да, это был # -сервер с x specs / ip / name и сделал y, и мы разделили его на дату z». Будьте уверены и включите любое лицензирование, которое было связано с ним, и которое может быть переназначено, если оно есть. Также убедитесь, что он удален из DNS, WSUS / SCCM или где-либо еще, что ссылается на него. - TheCleaner


Ответы:


Это не глупый вопрос, это отличный вопрос, и я рад, что вы спрашиваете.

Человеческие процессы

Убедитесь, что вы просмотрели всю документацию, поговорили с greybeards и получили подписку у кого-то из бизнеса.

Технические процессы

Получите полную резервную копию; отметьте носитель для долгосрочного архивирования. Запустите монитор подключения или сниффер пакетов в течение определенного периода времени, чтобы узнать, какие соединения все еще выполняются. Осмотрите службы, чтобы увидеть, что-нибудь звучит важно / знакомо.

Вырезание шнура

Лучшая идея, чем отключение питания - отключите сетевой кабель в течение нескольких дней. Если это старая физическая машина, вы не хотите рисковать ситуацией, когда вам нужно включить ее, но дисковые шпиндели заморожены. Оставьте их вращаться.


Источник власти - я потратил на год вывод из эксплуатации старых серверов для фармацевтической компании Fortune 25. Это был процесс, и это сработало.


69
2018-01-20 19:30



Я даже не думал об использовании пакета сниффера, отличная идея. Я очень ценю помощь :) - SumDumGuy
Просто добавление, что сниффер пакетов будем найти трафик. Всегда есть фоновые вещи, идущие с любого хоста в сети, и некоторые из этих фоновых материалов могут выглядеть как значительный трафик с первого взгляда (например, сообщать данные о состоянии системы в службу мониторинга где-нибудь). Бремя должно вытолкнуть всю эту мякина, чтобы увидеть, осталось ли еще пшеницу. - Joel Coel
Джоэл, да, совершенно верно. Вам определенно необходимо провести анализ результатов захвата пакетов. - mfinni
Рискуя разрушить шутку: кого вы называете седой? Пользователи? Менеджеры? Вспомогательный персонал? - Lilienthal
+1 разрезание шнура - фантастический наконечник - Neil Townsend


Выключите его и посмотрите, кто кричит, и о чем.

Серьезно, это лучший способ. Даже проверка журналов приведет вас только к тому, что вы увидите только действия, которые регистрируются.


РЕДАКТИРОВАТЬ: Чтобы отвлечься от дальнейших комментариев, этот совет предполагает, что вы уже сделали то, что должны были сделать в первую очередь, даже перед тем, как задать вопрос здесь - спросили вокруг сервера, искали документацию и вошли в систему, чтобы узнать, могут поймать любые очевидные признаки активности.

Это также предполагает, что вы не находитесь в одной из тех сред, которые, по-видимому, существуют там, где критически важные для бизнеса системы, которые никто не знает о запуске на таком хрустом аппаратном обеспечении, рискуют попасть в пламя или взломать во время загрузки.


20
2018-01-20 19:24



Да ... Я подумал об этом, но это новая работа, и я пытаюсь никого не сломать. - SumDumGuy
Это единственный ответ. Вы не обязательно должны признать, что вы закрываете его, если кто-то кричит. - Hyppy
@SumDumGuy Как говорит Hyppy, вам не нужно признавать, что вы закрываете его, если кто-то кричит. «Странно, позвольте мне заглянуть в это», как правило, это хороший способ ответить тому, кто кричит о вас, что вы знаете. Или это было хорошо мне, по крайней мере. :) - HopelessN00b
... и 16 разных комментариев от 9 разных пользователей удалены. Все, что я могу суммировать: «некоторые люди думают, что питание сервера слишком рискованно, а некоторые нет». Если вы хотите выразить одно из этих мнений по моему ответу, сделайте это, нажав одну из стрелок в сторону. Если вы хотите рассердить меня, повторите одно из тех же мнений в комментарии, чтобы я получил уведомление о том, что 10-й человек говорит мне то, что я читал 16 раз уже за столько часов. - HopelessN00b
@SumDumGuy Если это новое задание, тогда обязательно обсудите это с вашим менеджером, прежде чем делать что-либо. Возможно, вы обнаружите, что у вас есть процедуры, которые вам нужны, или что он знает полезные вещи. - Thorbjørn Ravn Andersen


Для пользователей, которые проходят проверку подлинности на сервере с помощью LDAP (общий доступ к файлам, общий доступ к файлам и т. Д.), Вы можете использовать оснастку «Акции и сеансы» в mmc для идентификации пользователей, подключенных к открытым сеансам. Это пользователи, которые активно или пассивно (подключенные диски) подключены.

я нашел статья это более подробно.

Вы также можете проверить, есть ли у него какие-либо установленные сервисы, такие как SQL или программы, и посмотреть, есть ли какие-либо открытые порты, не используемые по умолчанию, с использованием программного обеспечения, такого как sysinternals TCPView для идентификации любого запущенного программного обеспечения. Эти открытые порты могут помочь определить используемые протоколы и могут помочь определить цель сервера.

Наконец, вы можете проверить установленные / запущенные службы и определить, что работает.


7
2018-01-21 00:56



Добро пожаловать в Server Fault! Похоже, у вас может быть информация, необходимая для решения проблемы в вопросе, но ваш текущий ответ не дает четкого решения. Пожалуйста прочти Как написать хороший ответ? и подумайте над пересмотром вашего текущего ответа. - Paul
Пол, у тебя есть какие-то конкретные жалобы с моим ответом? (Я с тех пор отредактировал его) - Nathan Goings
На странице, с которой я связан, обратите внимание на раздел «Предоставить контекст для ссылок». Ссылки идут плохо или контент в них меняется, что затрудняет людям, которые в будущем найдут ваш ответ, чтобы понять, как применить свое решение. - Paul


Не соответствует вашей ситуации, потому что вы сказали, что у вас есть несколько серверов для проверки, так что это для других, читающих это для собственных ответов:

Если это небольшой бизнес, и нет реальной процедурной документации или каких-либо технических специалистов на месте, чтобы поговорить, тогда вы можете сделать две вещи:

Проверьте службы и установленные программы, посмотрите, можете ли вы определить, кто использует программное обеспечение, которое подключается к этим службам, и убедитесь, что они перемещены на любые новые серверы.

Акции, я уверен, вы знаете, что можете просмотреть все файлы, открытые из сети, в оснастке MMC Shared Folder (управление компьютером), общие папки), сеансы и открытые файлы помогут вам здесь. Найдите компьютеры / пользователи, перечисленные здесь, и переместите их файлы в новое место.

Как только это будет сделано, вы можете отключить его от сети или отключить, как указано, это действительно единственный способ узнать конечно он не используется, не забудьте подождать несколько дней, если его что-то не используется постоянно.


2
2018-01-20 20:21