Wie identifiziere ich, wer / was einen Windows 2003-Server verwendet?

44

Wie kann ich feststellen, ob ein Windows 2003-Server noch von jemandem / etwas verwendet wird, und wenn ja, wofür?

Ich zeichne eine Leerstelle für etwas anderes als die Ereignisanzeige, um festzustellen, welche Konten eine Verbindung zum Server herstellen.

SumDumGuy
quelle
13
Nachdem Sie es herausgefunden haben ... dokumentieren Sie es ... da es anscheinend niemand anderes getan hat. Dann werden Sie zumindest in der Lage sein, in die Zukunft zurückzugehen und zu sagen: "Ja, dies war früher ein # -Server mit x-Angaben / ip / name und hat y und wir haben es am z-Datum freigegeben." Stellen Sie sicher, dass alle damit verbundenen Lizenzen enthalten sind, die gegebenenfalls neu zugewiesen werden können. Stellen Sie außerdem sicher, dass es aus DNS, WSUS / SCCM oder von einem anderen Ort entfernt wurde, auf den verwiesen wird.
TheCleaner

Antworten:

70

Dies ist keine blöde Frage, es ist eine großartige Frage und ich bin froh, dass Sie fragen.

Menschliche Prozesse

Stellen Sie sicher, dass Sie alle Dokumente überprüft, mit den Graubärten gesprochen und sich von jemandem aus dem Unternehmen abgemeldet haben.

Technische Prozesse

Holen Sie sich eine vollständige Sicherung; Markieren Sie die Medien für die Langzeitarchivierung. Führen Sie einen Verbindungsmonitor oder einen Paket-Sniffer für einen bestimmten Zeitraum aus, um festzustellen, welche Verbindungen noch hergestellt werden. Untersuchen Sie die Dienste, um festzustellen, ob etwas wichtig / vertraut klingt.

Das Kabel abschneiden

Bessere Idee als das Ausschalten - ziehen Sie das Netzwerkkabel für ein paar Tage ab. Wenn es sich um eine alte physische Maschine handelt, möchten Sie nicht riskieren, dass Sie sie erneut einschalten müssen, aber die Plattenspindeln sind eingefroren. Lass sie drehen.


Quelle der Autorität - Ich habe über ein Jahr damit verbracht, alte Server für ein Fortune-25-Pharmaunternehmen außer Betrieb zu setzen. Dies war der Prozess, und es hat funktioniert.

mfinni
quelle
6
Ich habe nicht einmal daran gedacht, einen Packet Sniffer zu verwenden, eine großartige Idee. Ich weiß die Hilfe wirklich zu schätzen :)
SumDumGuy
18
Nur ein Zusatz , dass ein Paket - Sniffer wird Verkehr. Es werden immer Hintergrunddaten zu und von jedem Host in einem Netzwerk gesendet, und einige dieser Hintergrunddaten sehen auf den ersten Blick wie erheblicher Datenverkehr aus (z. B. die Meldung von Systemzustandsdaten an einen Überwachungsdienst). Die Aufgabe besteht darin, die gesamte Spreu herauszuspülen, um festzustellen, ob noch Weizen übrig ist.
Joel Coel
1
Joel - ja, ganz richtig. Sie müssen auf jeden Fall einige Analysen zu den Paketerfassungsergebnissen durchführen.
Dienstag,
2
Auf die Gefahr, einen Witz zu ruinieren: Wen bezeichnen Sie als Graubärte? Benutzer? Manager? Support-Mitarbeiter?
Lilienthal
6
+1 Durchschneiden der Schnur - fantastischer Tipp
Neil Townsend
20

Schalten Sie es aus und sehen Sie, wer schreit und worüber.

Im Ernst, es ist der beste Weg. Selbst das Überprüfen von Protokollen bringt Sie nur bis hierher, da nur protokollierte Aktivitäten angezeigt werden.


BEARBEITEN : Um weiteren Kommentaren vorzubeugen, wird davon ausgegangen, dass Sie bereits das getan haben, was Sie eigentlich hätten tun sollen, noch bevor Sie die Frage hier gestellt haben - Sie haben nach dem Server gefragt, nach Dokumentation gesucht und sich angemeldet, um zu sehen, ob Sie können alle offensichtlichen Anzeichen von Aktivität feststellen.

Dies setzt auch voraus, dass Sie sich nicht in einer der Umgebungen befinden, in denen anscheinend geschäftskritische Systeme, von denen niemand etwas weiß, auf einer Hardware ausgeführt werden, die so zerbrechlich ist, dass sie während des Startvorgangs in Flammen aufgehen oder explodieren kann.

HopelessN00b
quelle
1
Ja ... ich habe darüber nachgedacht, aber das ist ein neuer Job und ich versuche noch niemanden wütend zu machen.
SumDumGuy
3
Dies ist die einzig wahre Antwort. Sie müssen nicht unbedingt zugeben, dass Sie es herunterfahren, wenn jemand schreit.
Hyppy
12
@SumDumGuy Wie Hyppy sagt, musst du nicht zugeben, dass du es ausgeschaltet hast, wenn jemand schreit. "Verrückt, lass mich das untersuchen" ist im Allgemeinen eine gute Möglichkeit, auf jemanden zu antworten, der über etwas schreit, von dem du weißt, dass du es getan hast. Oder es war zumindest gut für mich . :)
HopelessN00b
4
... und 16 verschiedene Kommentare von 9 verschiedenen Usern gelöscht. All das kann ich zusammenfassen mit: "Einige Leute denken, dass das Ausschalten des Servers zu riskant ist, andere nicht." Wenn Sie eine dieser Meinungen zu meiner Antwort äußern möchten, klicken Sie dazu auf einen der Pfeile an der Seite. Wenn Sie mich verärgern möchten, wiederholen Sie eine dieser Meinungen in einem Kommentar, damit ich eine Benachrichtigung erhalte, dass eine 10. Person mir etwas erzählt, das ich bereits 16 Mal in so vielen Stunden gelesen habe.
HopelessN00b
4
@SumDumGuy Wenn dies ein neuer Job ist, besprechen Sie dies unbedingt mit Ihrem Vorgesetzten, bevor Sie etwas unternehmen. Möglicherweise müssen Sie bestimmte Verfahren befolgen oder er weiß, was hilfreich ist.
Thorbjørn Ravn Andersen
7

Für Benutzer, die sich mit LDAP gegen den Server authentifizieren (Dateifreigaben, Druckfreigaben usw.), können Sie das Snap-In "Freigaben und Sitzungen" in mmc verwenden, um Benutzer zu identifizieren, die mit offenen Sitzungen verbunden sind. Dies sind Benutzer, die aktiv oder passiv (zugeordnete Laufwerke) verbunden sind.

Ich habe einen Artikel gefunden , der ausführlicher ist.

Sie können auch überprüfen, ob Dienste wie SQL oder Programme installiert sind, und feststellen, ob nicht standardmäßig offene Ports vorhanden sind, indem Sie Software wie sysinternals TCPView verwenden , um zu ermitteln, welche Software ausgeführt wird. Mithilfe dieser offenen Ports können die verwendeten Protokolle und der Zweck des Servers identifiziert werden.

Schließlich können Sie die installierten / ausgeführten Dienste überprüfen und feststellen, was ausgeführt wird.

Nathan Goings
quelle
Willkommen bei Server Fault! Es sieht so aus, als hätten Sie möglicherweise die Informationen, die zur Lösung des Problems in der Frage erforderlich sind, aber Ihre aktuelle Antwort gibt keine eindeutige Lösung wieder. Bitte lesen Sie Wie schreibe ich eine gute Antwort? und überlegen Sie, Ihre aktuelle Antwort zu überarbeiten.
Paul
Paul, hast du irgendwelche speziellen Beschwerden mit meiner Antwort? (Ich habe es seitdem bearbeitet)
Nathan Goings
Beachten Sie auf der Seite, auf die ich verlinkt habe, den Abschnitt "Kontext für Links bereitstellen". Links werden ungültig oder der Inhalt in ihnen wird geändert, wodurch es für Personen, die in Zukunft Ihre Antwort finden, schwierig wird, die Anwendung Ihrer Lösung zu verstehen.
Paul
2

Passt nicht wirklich zu Ihrer Situation, da Sie angegeben haben, dass Sie mehrere Server überprüfen müssen. Dies ist also für andere gedacht, die dies lesen, um Antworten auf ihre eigenen Fragen zu erhalten:

Wenn es sich um ein kleines Unternehmen handelt und es keine wirklichen Verfahrensunterlagen oder Vor-Ort-Techniker gibt, mit denen Sie sich unterhalten können, haben Sie zwei Möglichkeiten:

Überprüfen Sie die Dienste und installierten Programme, um festzustellen, wer die Software verwendet, die eine Verbindung zu diesen Diensten herstellt, und stellen Sie sicher, dass sie auf neue Server verschoben werden.

Freigaben, ich bin sicher, Sie wissen, dass Sie alle im MMC-Snap-In Freigegebener Ordner (Computerverwaltung> Freigegebene Ordner) geöffneten Dateien anzeigen können. Sitzungen und geöffnete Dateien helfen Ihnen dabei. Suchen Sie die hier aufgelisteten Computer / Benutzer und verschieben Sie ihre Dateien an den neuen Speicherort.

Sobald das erledigt das Gefühl frei , um es vom Netz zu trennen oder sie abgeschaltet, wie gesagt , das ist wirklich der einzige Weg , zu wissen , dass es nicht verwendet wird, sollten Sie ein paar Tage im Fall sein etwas warten, der nicht gewöhnen ständig.

RyanTimmons91
quelle