Frage Wie identifiziere ich wer / was benutzt einen Windows 2003 Server?


Wie kann ich feststellen, ob ein Windows 2003-Server immer noch von irgendjemandem verwendet wird und wenn ja, wofür wird er verwendet?

Ich zeichne ein leeres Feld aus, in dem überprüft werden soll, ob andere Konten als der Ereignis-Viewer angezeigt werden, welche Konten mit dem Server verbunden sind.


43
2018-01-20 19:21


Ursprung


Nachdem du es herausgefunden hast ... dokumentiere es ... seit anscheinend niemand sonst. Dann wirst du zumindest in der Zukunft zurückgehen können und sagen "Ja, das war früher #server mit x specs / ip / name und du hast es getan und wir haben es am z date dekommandiert". Seien Sie sicher und fügen Sie alle Lizenzen hinzu, die damit verbunden waren und die ggf. neu zugewiesen werden könnten. Stellen Sie außerdem sicher, dass es aus DNS, WSUS / SCCM oder anderen Bereichen entfernt wird, auf die verwiesen wurde. - TheCleaner


Antworten:


Das ist keine dumme Frage, es ist eine großartige Frage und ich bin froh, dass du fragst.

Menschliche Prozesse

Stelle sicher, dass du die gesamte Dokumentation gelesen hast, mit den Graubärten gesprochen hast und dich von jemandem aus dem Geschäft abgemeldet hast.

Technische Prozesse

Holen Sie sich ein komplettes Backup; markieren Sie die Medien für die Langzeitarchivierung. Führen Sie einen Verbindungsmonitor oder Paket-Sniffer für einen bestimmten Zeitraum aus, um zu sehen, welche Verbindungen noch hergestellt werden. Überprüfen Sie die Dienste, um festzustellen, ob etwas wichtig / vertraut klingt.

Die Schnur abschneiden

Bessere Idee als das Ausschalten - Ziehen Sie das Netzwerkkabel für ein paar Tage ab. Wenn es sich um eine alte physische Maschine handelt, möchten Sie nicht die Situation riskieren, in der Sie sie wieder einschalten müssen, aber die Festplatten sind eingefroren. Lass sie drehen.


Autoritätsquelle - Ich habe über ein Jahr lang alte Server für ein Pharmaunternehmen der Fortune 25 stillgelegt. Das war der Prozess und es hat funktioniert.


69
2018-01-20 19:30



Ich habe nicht einmal daran gedacht, einen Paket-Sniffer zu benutzen, ausgezeichnete Idee. Ich schätze die Hilfe wirklich :) - SumDumGuy
Nur ein Nachtrag, dass ein Paket Sniffer werden Verkehr finden. Es gibt immer Hintergrundinformationen von und zu jedem Host in einem Netzwerk, und einige dieser Hintergrundinformationen können auf den ersten Blick wie aussagekräftiger Verkehr aussehen (wie etwa das Berichten von Systemzustandsdaten an einen Überwachungsdienst). Die Aufgabe ist, all diese Spreu auszuspülen, um zu sehen, ob noch Weizen übrig ist. - Joel Coel
Joel - yup, völlig richtig. Sie müssen definitiv eine Analyse der Paketerfassung durchführen. - mfinni
Auf die Gefahr hin, einen Witz zu ruinieren: Wen bezeichnen Sie als Greybeards? Benutzer? Manager? Support-Mitarbeiter? - Lilienthal
+1 schneiden die Schnur - fantastischer Tipp - Neil Townsend


Mach es ab und schau, wer schreit und worüber.

Ernsthaft, es ist der beste Weg. Selbst das Überprüfen von Protokollen wird Sie nur so weit bringen, weil Sie nur Aktivitäten sehen, die protokolliert werden.


BEARBEITEN: Um weitere Kommentare zu vermeiden, geht dieser Rat davon aus, dass Sie bereits getan haben, was Sie eigentlich hätten tun sollen, bevor Sie die Frage hier gestellt haben - nach dem Server gefragt, nach Dokumentation gesucht und sich angemeldet haben, um zu sehen, ob Sie kann irgendwelche offensichtlichen Anzeichen von Aktivität auffangen.

Dies setzt auch voraus, dass Sie sich nicht in einer der Umgebungen befinden, in denen geschäftskritische Systeme, die niemand kennt, auf Hardware laufen, die so anfällig ist, dass sie beim Booten in Flammen aufgeht oder explodiert.


20
2018-01-20 19:24



Yeah ... Ich habe darüber nachgedacht, aber das ist ein neuer Job und ich versuche niemanden zu verärgern. - SumDumGuy
Dies ist die einzig wahre Antwort. Sie müssen nicht unbedingt zugeben, dass Sie es ausschalten, wenn jemand schreit. - Hyppy
@SumDumGuy Wie Hyppy sagt, du musst dir nicht eingestehen, dass du es schließt, wenn jemand schreit. "Seltsam, lass mich das untersuchen" ist im Allgemeinen ein guter Weg, jemandem zu antworten, der über etwas schreit, von dem du weißt, dass du es getan hast. Oder es war gut mirzumindest. :) - HopelessN00b
... und 16 verschiedene Kommentare von 9 verschiedenen Benutzern gelöscht. All das kann ich zusammenfassen mit: "Manche Leute denken, dass es zu riskant ist, den Server auszuschalten, und manche Leute nicht." Wenn Sie eine dieser Meinungen zu meiner Antwort ausdrücken möchten, klicken Sie dazu auf einen der Pfeile auf der Seite. Wenn du mich ärgern willst, wiederhole eine der gleichen Meinungen in einem Kommentar, damit ich eine Benachrichtigung bekomme, dass eine 10. Person mir etwas erzählt, das ich schon 16 Mal in so vielen Stunden gelesen habe. - HopelessN00b
@SumDumGuy Wenn dies ein neuer Job ist, dann besprechen Sie dies mit Ihrem Manager, bevor Sie etwas tun. Sie werden feststellen, dass Sie Prozeduren haben, denen Sie folgen müssen, oder dass er hilfreiche Dinge kennt. - Thorbjørn Ravn Andersen


Für Benutzer, die sich mit LDAP gegen den Server authentifizieren (Dateifreigaben, Druckfreigaben usw.), können Sie das Snap-In "Freigaben und Sitzungen" in mmc verwenden, um Benutzer zu identifizieren, die mit offenen Sitzungen verbunden sind. Dies sind Benutzer, die aktiv oder passiv (zugeordnete Laufwerke) verbunden sind.

ich fand ein Artikel das ist detaillierter.

Sie können auch überprüfen, ob irgendwelche installierten Dienste wie SQL oder Programme installiert sind und ob nicht standardmäßige offene Ports mit Software wie sysinternals TCPView um eine laufende Software zu identifizieren. Diese offenen Ports können dabei helfen, die verwendeten Protokolle zu identifizieren und den Zweck des Servers zu ermitteln.

Schließlich können Sie die installierten / laufenden Dienste überprüfen und ermitteln, was ausgeführt wird.


7
2018-01-21 00:56



Willkommen bei Serverfehler! Es sieht so aus, als ob Sie die Informationen haben, die zur Lösung des Problems in der Frage erforderlich sind, aber Ihre aktuelle Antwort kommuniziert keine klare Lösung. Lesen Sie bitte Wie schreibe ich eine gute Antwort? und überlege, deine aktuelle Antwort zu überarbeiten. - Paul
Paul, hast du irgendwelche spezifischen Beschwerden mit meiner Antwort? (Ich habe es seitdem bearbeitet) - Nathan Goings
Beachten Sie auf der Seite, mit der ich verlinkt habe, den Abschnitt "Kontext für Links bereitstellen". Links werden schlecht oder Inhalte in ihnen werden geändert, was es für Leute, die Ihre Antwort in der Zukunft finden, schwierig macht zu verstehen, wie Sie Ihre Lösung anwenden. - Paul


Passt nicht wirklich zu Ihrer Situation, weil Sie gesagt haben, dass Sie mehrere Server zu überprüfen haben, so dass dies für andere ist, die dies für ihre eigenen Antworten lesen:

Wenn es sich um ein kleines Unternehmen handelt und es keine echte Verfahrensdokumentation oder Vor-Ort-Technik gibt, mit denen Sie sprechen können, dann können Sie hier zwei Dinge tun:

Überprüfen Sie die Dienste und installierten Programme, ob Sie herausfinden können, wer die Software verwendet, die mit diesen Diensten verbunden ist, und stellen Sie sicher, dass sie auf neue Server verschoben werden.

Freigaben, ich bin sicher, dass Sie wissen, dass Sie alle geöffneten Dateien aus dem Netzwerk im MMC-Snap-In Shared Folder (Computerverwaltung> freigegebene Ordner) ansehen können, Sessions und offene Dateien werden Ihnen hier helfen. Suchen Sie die hier aufgelisteten Computer / Benutzer und verschieben Sie ihre Dateien an den neuen Speicherort.

Sobald dies getan ist, fühlen Sie sich frei, es vom Netzwerk zu trennen oder es abzuschalten, wie gesagt, das ist wirklich die einzige Weise, dafür zu wissen sicher Es wird nicht benutzt, warten Sie einige Tage, wenn es etwas ist, das nicht ständig benutzt wird.


2
2018-01-20 20:21