Vraag Hoe te identificeren wie / wat een Windows 2003-server gebruikt?


Hoe kan ik bepalen of een Windows 2003-server nog door iemand wordt gebruikt, en zo ja, waarvoor deze wordt gebruikt?

Ik teken een lege pagina over wat ik anders dan eventviewer moet controleren om te zien welke accounts verbinding maken met de server.


43
2018-01-20 19:21


oorsprong


Nadat je het hebt bedacht ... documenteer het ... omdat blijkbaar niemand anders het deed. Dan kun je in de toekomst in ieder geval teruggaan en zeggen "ja, dit was # -server met x specs / ip / name en deed het en we hebben het op z-datum gedecoreerd". Zorg ervoor dat u alle bijbehorende licenties invoegt en dat deze eventueel opnieuw kunnen worden toegewezen. Zorg er ook voor dat het wordt verwijderd uit DNS, WSUS / SCCM of ergens anders waar naar wordt verwezen. - TheCleaner


antwoorden:


Dit is geen domme vraag, het is een geweldige vraag en ik ben blij dat je het vraagt.

Menselijke processen

Zorg ervoor dat je alle documentatie hebt gelezen, met de grijsaards hebt gesproken en je hebt ondertekend door iemand van het bedrijf.

Technische processen

Krijg een complete back-up; markeer de media voor archivering op lange termijn. Voer een verbindingsmonitor of pakketsniffer uit voor een periode van tijd om te zien welke verbindingen nog steeds worden gemaakt. Inspecteer de services om te zien of iets belangrijk / vertrouwd klinkt.

Snijden van het snoer

Beter idee dan uitschakelen - koppel de netwerkkabel een paar dagen los. Als het een oude fysieke machine is, wil je niet de situatie riskeren waarin je hem opnieuw moet opstarten, maar de schijfspillen zijn bevroren. Laat ze draaien.


Bron van autoriteit - ik heb meer dan een jaar lang oude servers uit bedrijf genomen voor een Fortune 25-farmabedrijf. Dit was het proces en het werkte.


69
2018-01-20 19:30



Ik had niet eens gedacht aan het gebruik van een packet sniffer, uitstekend idee. Ik waardeer de hulp echt :) - SumDumGuy
Gewoon een addendum dat een pakket sniffer zullen verkeer vinden. Er zijn altijd achtergronddingen die van en naar elke host in een netwerk gaan en sommige achtergronddingen kunnen op het eerste gezicht op veel verkeer lijken (zoals bijvoorbeeld het rapporteren van gezondheidsgegevens van het systeem aan een monitoringdienst ergens). Het is om al dat kaf uit te spoelen om te zien of er nog tarwe over is. - Joel Coel
Joel - jazeker, helemaal correct. U zult beslist een analyse moeten uitvoeren van de resultaten van packet capture. - mfinni
Met het risico een grap te verpesten: naar wie verwijzen jullie grijsaards? Gebruikers? Managers? Ondersteunend personeel? - Lilienthal
+1 het snoer doorsnijden - fantastische tip - Neil Townsend


Schakel het uit en kijk wie er gilt en wat.

Serieus, het is de beste manier. Zelfs het controleren van logboeken zal je tot nu toe alleen bereiken, omdat je alleen activiteiten ziet die zijn ingelogd.


BEWERK: Om verder commentaar te plaatsen, gaat dit advies ervan uit dat je al hebt gedaan wat je in de eerste plaats had moeten doen, zelfs voordat je de vraag hier stelde - rondvragen over de server, documentatie zocht en ingelogd om te zien of je kan duidelijke tekenen van activiteit opvangen.

Dit gaat er ook van uit dat je niet in een van die omgevingen zit die blijkbaar bestaat waar bedrijfskritische systemen waarvan niemand weet dat ze op hardware draaien zo kwetsbaar is dat deze tijdens het opstarten in vlammen kunnen exploderen of exploderen.


20
2018-01-20 19:24



Ja ... daar heb ik aan gedacht, maar dit is een nieuwe baan en ik probeer niemand nog pijn te doen. - SumDumGuy
Dit is het enige echte antwoord. Je hoeft niet per se te erkennen dat je het afsluit als iemand schreeuwt. - Hyppy
@SumDumGuy Zoals Hyppy zegt, je hoeft niet toe te geven dat je het moet afsluiten als iemand gilt. "Raar, laat me dat eens kijken" is over het algemeen een goede manier om te reageren op iemand die schreeuwt over iets waarvan je weet dat je het gedaan hebt. Of het was goed naar mij, op z'n minst. :) - HopelessN00b
... en 16 verschillende reacties van 9 verschillende gebruikers verwijderd. Ik kan het allemaal samenvatten: "Sommige mensen denken dat het uitschakelen van de server te riskant is en sommige mensen niet." Als u een van die meningen over mijn antwoord wilt uiten, doet u dat door op een van de pijlen aan de zijkant te klikken. Als je me kwaad wilt maken, herhaal dan een van diezelfde meningen in een opmerking, zodat ik een melding krijg dat een 10e persoon me iets vertelt dat ik al 16 keer in zoveel uren heb gelezen. - HopelessN00b
@SumDumGuy Als dit een nieuwe baan is, moet u dit bespreken met uw manager voordat u daadwerkelijk iets doet. Misschien vindt u dat u procedures hebt die u moet volgen, of dat hij nuttige dingen weet. - Thorbjørn Ravn Andersen


Voor gebruikers die LDAP-verificatie uitvoeren (bestandsshares, gedeelde mappen, enzovoort), kunt u de module "Shares & Sessions" in mmc gebruiken om gebruikers te identificeren die verbonden zijn met open sessies. Dit zijn gebruikers die actief of passief (mapped drives) verbonden zijn.

ik vond een artikel dat is meer gedetailleerd.

U kunt ook controleren of het geïnstalleerde services zoals SQL of programma's heeft en kijken of er niet-standaard open poorten zijn met software zoals sysinternals TCPView om software te identificeren die draait. Deze open poorten kunnen helpen bij het identificeren van de protocollen die worden gebruikt en die kunnen helpen bij het identificeren van het doel van de server.

Ten slotte kunt u de geïnstalleerde / actieve services controleren en vaststellen wat er wordt uitgevoerd.


7
2018-01-21 00:56



Welkom bij Server Fault! Het lijkt erop dat u de informatie hebt die nodig is om het probleem in de vraag op te lossen, maar uw huidige antwoord communiceert niet over een duidelijke oplossing. Gelieve te lezen Hoe schrijf ik een goed antwoord? en overweeg om je huidige antwoord te herzien. - Paul
Paul, heb je specifieke klachten met mijn antwoord? (Ik heb het sindsdien bewerkt) - Nathan Goings
Op de pagina waaraan ik een koppeling heb gemaakt, noteer ik de sectie 'Geef context voor links op'. Links gaan slecht of de inhoud ervan verandert, waardoor het voor mensen die in de toekomst uw antwoord vinden moeilijk is om te begrijpen hoe u uw oplossing kunt toepassen. - Paul


Past niet echt in jouw situatie omdat je hebt gezegd dat je meerdere servers hebt om te controleren, dus dit is voor anderen die dit lezen voor hun eigen antwoorden:

Als het om een ​​klein bedrijf gaat en er is geen echte procedurele documentatie of een on-site technologie om mee te praten, dan zijn hier twee dingen die u kunt doen:

Controleer de services en geïnstalleerde programma's, kijk of u kunt achterhalen wie de software gebruikt die verbinding maakt met die services en zorg ervoor dat ze worden verplaatst naar nieuwe servers.

Ik weet zeker dat u weet dat u alle bestanden kunt bekijken die vanuit het netwerk zijn geopend in de MMC-module Gedeelde map (computerbeheer> gedeelde mappen), Sessies en geopende bestanden zullen u hier helpen. Zoek de computers / gebruikers die hier worden vermeld en verplaats hun bestanden naar de nieuwe locatie.

Zodra dat is gebeurd, kun je het loskoppelen van het netwerk of afsluiten, zoals gezegd, dit is echt de enige manier om te weten voor zeker het wordt niet gebruikt, wacht een paar dagen voor het geval het iets is dat niet constant wordt gebruikt.


2
2018-01-20 20:21