Làm cách nào để xác định ai / cái gì sử dụng máy chủ Windows 2003?

44

Làm cách nào tôi có thể xác định xem máy chủ Windows 2003 có còn được sử dụng bởi bất kỳ ai / điều hay không và nếu có, nó đang được sử dụng để làm gì?

Tôi đang vẽ trống về những gì khác để kiểm tra ngoài người xem sự kiện để xem tài khoản nào đang kết nối với máy chủ.

windows-server-2003 
SumDumGuy
nguồn
13
Sau khi bạn tìm ra nó ... tài liệu nó ... vì rõ ràng không có ai làm. Sau đó, ít nhất bạn sẽ có thể quay lại trong tương lai và nói "ừ, cái này từng là # -server với x specs / ip / name và chúng tôi đã làm điều đó vào ngày z". Hãy chắc chắn và bao gồm bất kỳ giấy phép nào được liên kết với nó và có thể được chỉ định lại nếu có. Đồng thời đảm bảo rằng nó đã bị xóa khỏi DNS, WSUS / SCCM hoặc bất kỳ nơi nào khác đã tham chiếu nó.
TheCleaner

Câu trả lời:

70

Đây không phải là một câu hỏi ngớ ngẩn, nó là một câu hỏi tuyệt vời và tôi rất vui khi bạn hỏi.

Quá trình của con người

Hãy chắc chắn rằng bạn đã xem xét tất cả các tài liệu, nói chuyện với những người yêu thích màu xám và đăng xuất từ ​​một người nào đó từ doanh nghiệp.

Quy trình kỹ thuật

Nhận một bản sao lưu hoàn chỉnh; đánh dấu các phương tiện truyền thông để lưu trữ lâu dài. Chạy trình giám sát kết nối hoặc trình thám thính gói trong một khoảng thời gian để xem những kết nối nào vẫn đang được thực hiện. Kiểm tra các dịch vụ để xem nếu bất cứ điều gì nghe có vẻ quan trọng / quen thuộc.

Cắt dây

Ý tưởng tốt hơn là tắt nguồn - rút cáp mạng trong vài ngày. Nếu đó là một máy vật lý cũ, bạn không muốn mạo hiểm trong trường hợp bạn cần cấp nguồn lại cho nó nhưng các trục đĩa bị đóng băng. Để chúng quay tròn.

Nguồn thẩm quyền - Tôi đã dành hơn một năm để ngừng hoạt động các máy chủ cũ cho một công ty dược phẩm Fortune 25. Đây là quá trình, và nó đã làm việc.

mfinni
nguồn
6
Tôi thậm chí không nghĩ đến việc sử dụng một gói sniffer, ý tưởng tuyệt vời. Tôi thực sự đánh giá cao sự giúp đỡ :)
SumDumGuy
18
Chỉ cần một phụ lục là một sniffer gói sẽ tìm thấy lưu lượng. Luôn có các công cụ nền đi đến và từ bất kỳ máy chủ nào trên mạng và một số nội dung nền đó có thể trông giống như lưu lượng truy cập đáng kể từ cái nhìn đầu tiên (như, báo cáo dữ liệu sức khỏe hệ thống đến dịch vụ giám sát ở đâu đó). Trách nhiệm là tuôn ra tất cả những thứ đó để xem liệu còn lúa mì nào không.
Joel Coel
1
Joel - yup, hoàn toàn chính xác. Bạn chắc chắn sẽ cần phải làm một số phân tích về kết quả chụp gói.
mfinni
2
Có nguy cơ phá hỏng một trò đùa: bạn gọi ai là greybeards? Người dùng? Quản lý? Nhân viên hỗ trợ?
Lilienthal
6
+1 cắt dây - mẹo tuyệt vời
Neil Townsend
20

Tắt nguồn và xem ai la hét, và về những gì.

Nghiêm túc mà nói, đó là cách tốt nhất. Ngay cả việc kiểm tra nhật ký cũng sẽ chỉ đưa bạn đến nay, bởi vì bạn sẽ chỉ thấy các hoạt động được ghi lại.

EDIT : Để đưa ra bất kỳ bình luận nào khác, lời khuyên này cho rằng bạn đã thực hiện những gì bạn nên làm ngay từ đầu, ngay cả trước khi đặt câu hỏi ở đây - hỏi xung quanh máy chủ, tìm tài liệu và đăng nhập để xem bạn có thể bắt gặp bất kỳ dấu hiệu rõ ràng của hoạt động.

Điều này cũng cho rằng bạn không ở trong một trong những môi trường dường như tồn tại ở những hệ thống quan trọng trong kinh doanh mà không ai biết về việc chạy trên phần cứng nên nó có nguy cơ bùng cháy hoặc phát nổ khi khởi động.

Vô vọngN00b
nguồn
1
Vâng ... tôi đã nghĩ về điều đó nhưng đây là một công việc mới và tôi đang cố gắng không làm phiền bất cứ ai.
SumDumGuy
3
Đây, đây là một câu trả lời đúng. Bạn không nhất thiết phải thừa nhận rằng bạn tắt nó nếu ai đó hét lên.
Hyppy
12
@SumDumGuy Giống như Hyppy nói, bạn không cần phải thừa nhận bạn đã tắt nó nếu ai đó hét lên. "Thật kỳ lạ, hãy để tôi xem xét điều đó" nói chung là một cách tốt để đáp lại ai đó đang hét lên về những điều bạn biết bạn đã làm. Hoặc ít nhất nó cũng tốt với tôi . :)
Vô vọngN00b
4
... và 16 bình luận khác nhau từ 9 người dùng khác nhau đã bị xóa. Tất cả những gì tôi có thể tóm tắt với: "một số người cho rằng tắt nguồn máy chủ là quá rủi ro, và một số người thì không." Nếu bạn muốn bày tỏ một trong những ý kiến ​​đó về câu trả lời của tôi, hãy làm như vậy bằng cách nhấp vào một trong các mũi tên sang một bên. Nếu bạn muốn chọc tức tôi, hãy lặp lại một trong những ý kiến ​​tương tự trong một bình luận để tôi nhận được một thông báo cằn nhằn rằng một người thứ 10 đang nói với tôi điều gì đó tôi đã đọc 16 lần trong nhiều giờ.
Vô vọngN00b
4
@SumDumGuy Nếu đây là một công việc mới, thì hãy chắc chắn thảo luận điều này với người quản lý của bạn trước khi thực sự làm bất cứ điều gì. Bạn có thể thấy rằng bạn có các thủ tục bạn cần phải làm theo, hoặc anh ấy biết những điều hữu ích.
Thorbjørn Ravn Andersen
7

Đối với người dùng đang xác thực với máy chủ bằng LDAP (chia sẻ tệp, chia sẻ in, v.v.), bạn có thể sử dụng phần đính kèm "Chia sẻ & Phiên" trong mmc để xác định người dùng được kết nối với phiên mở. Đây là những người dùng được kết nối tích cực hoặc thụ động (ổ đĩa được ánh xạ).

Tôi tìm thấy một bài viết chi tiết hơn.

Bạn cũng có thể kiểm tra xem nó có bất kỳ dịch vụ nào được cài đặt như SQL hoặc chương trình hay không và xem liệu có bất kỳ cổng mở không mặc định nào sử dụng phần mềm như sysiternals TCPView để xác định bất kỳ phần mềm nào đang chạy không. Các cổng mở này có thể giúp xác định các giao thức đang được sử dụng và điều đó có thể giúp xác định mục đích của máy chủ.

Cuối cùng, bạn có thể kiểm tra các dịch vụ đã cài đặt / đang chạy và xác định những gì đang chạy.

Mục tiêu của Nathan
nguồn
Chào mừng bạn đến với Lỗi Máy chủ! Có vẻ như bạn có thể có thông tin cần thiết để giải quyết vấn đề trong câu hỏi, nhưng câu trả lời hiện tại của bạn không truyền đạt một giải pháp rõ ràng. Xin vui lòng đọc Làm thế nào để tôi viết một câu trả lời tốt? và xem xét sửa đổi câu trả lời hiện tại của bạn.
Paul
Paul, bạn có bất kỳ khiếu nại cụ thể với câu trả lời của tôi? (Kể từ khi tôi chỉnh sửa nó)
Nathan Goings
Trong trang tôi đã liên kết đến, hãy lưu ý phần "Cung cấp ngữ cảnh cho các liên kết". Liên kết trở nên tồi tệ hoặc nội dung trong đó bị thay đổi, khiến những người tìm thấy câu trả lời của bạn trong tương lai khó hiểu cách áp dụng giải pháp của bạn.
Paul
2

Không thực sự phù hợp với tình huống của bạn vì bạn đã nói rằng bạn có nhiều máy chủ để kiểm tra, vì vậy đây là để người khác đọc câu trả lời của riêng họ:

Nếu đó là một doanh nghiệp nhỏ và không có tài liệu thủ tục thực sự hoặc bất kỳ công nghệ tại chỗ nào để nói chuyện thì đây là hai điều bạn có thể làm:

Kiểm tra các dịch vụ và chương trình đã cài đặt, xem bạn có thể tìm ra ai sử dụng phần mềm kết nối với các dịch vụ đó không và đảm bảo chúng được chuyển đến bất kỳ máy chủ mới nào.

Chia sẻ, tôi chắc chắn rằng bạn biết rằng bạn có thể xem tất cả các tệp được mở từ mạng trong phần đính kèm Thư mục chia sẻ MMC (quản lý máy tính> thư mục dùng chung), Phiên và mở tệp sẽ giúp bạn ở đây. Tìm máy tính / người dùng được liệt kê ở đây và di chuyển tệp của họ đến vị trí mới.

Một khi đã xong, hãy rút phích cắm ra khỏi mạng hoặc tắt nó đi, như đã nói đây thực sự là cách duy nhất để biết chắc chắn nó không được sử dụng, hãy chắc chắn chờ vài ngày trong trường hợp thứ gì đó không được sử dụng liên tục.

RyanTimmons91
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.