Como identificar quem / o que usa um servidor Windows 2003?

44

Como posso determinar se um servidor Windows 2003 ainda está sendo usado por alguém / coisa e, se for, para que está sendo usado?

Estou desenhando um espaço em branco no que mais verificar, além do visualizador de eventos, para ver quais contas estão se conectando ao servidor.

SumDumGuy
fonte
13
Depois que você descobrir ... documentar ... já que aparentemente ninguém mais o fez. Então, pelo menos, você poderá voltar no futuro e dizer "sim, isso costumava ser #-server com x specs / ip / name e você fez y e nós o desativamos na data z". Certifique-se de incluir qualquer licenciamento associado a ele e que possa ser reatribuído, se houver. Verifique também se ele foi removido do DNS, WSUS / SCCM ou de qualquer outro lugar que o referenciou.
TheCleaner

Respostas:

70

Esta não é uma pergunta idiota, é uma ótima pergunta e fico feliz que você esteja perguntando.

Processos humanos

Verifique se você revisou toda a documentação, conversou com os barbudos e recebeu aprovação de alguém da empresa.

Processos técnicos

Obtenha um backup completo; marcar a mídia para arquivamento a longo prazo. Execute um monitor de conexão ou sniffer de pacotes por um período de tempo para ver quais conexões ainda estão sendo feitas. Inspecione os serviços para ver se algo soa importante / familiar.

Cortando o cordão

Melhor ideia do que desligar - desconecte o cabo de rede por alguns dias. Se for uma máquina física antiga, você não quer arriscar a situação em que precisa ligá-la novamente, mas os eixos do disco estão congelados. Deixe-os girando.


Fonte de autoridade - Passei mais de um ano desativando servidores antigos para uma empresa farmacêutica da Fortune 25. Este foi o processo, e funcionou.

mfinni
fonte
6
Eu nem pensei em usar um farejador de pacotes, uma excelente ideia. Eu realmente aprecio a ajuda :)
SumDumGuy
18
Apenas um adendo que um packet sniffer vai encontrar tráfego. Sempre há informações de segundo plano indo e vindo de qualquer host em uma rede, e algumas dessas informações de segundo plano podem parecer tráfego significativo à primeira vista (como, por exemplo, relatar dados de integridade do sistema para um serviço de monitoramento em algum lugar). O ônus é liberar toda essa palha para ver se ainda resta trigo.
Joel Coel
1
Joel - sim, totalmente correto. Você definitivamente precisará fazer algumas análises sobre os resultados da captura de pacotes.
mfinni
2
Correndo o risco de estragar uma piada: a quem você se refere como barbas cinzentas? Comercial? Gerentes? Equipe de suporte?
Lilienthal 21/01
6
+1 cortar o cordão umbilical - dica fantástica
Neil Townsend
20

Desligue e veja quem grita e sobre o quê.

Sério, é o melhor caminho. Até mesmo a verificação de logs o levará apenas até agora, porque você verá apenas as atividades registradas.


EDIT : Para evitar comentários adicionais, este conselho pressupõe que você já fez o que deveria ter feito em primeiro lugar, mesmo antes de fazer a pergunta aqui - perguntada sobre o servidor, procurou por documentação e efetuou logon para ver se você pode perceber qualquer sinal óbvio de atividade.

Isso também pressupõe que você não esteja em um desses ambientes que aparentemente existem onde sistemas críticos para os negócios que ninguém sabe sobre rodam em hardware tão frágeis que correm o risco de explodir em chamas ou explodir durante a inicialização.

HopelessN00b
fonte
1
Sim ... pensei nisso, mas este é um novo emprego e estou tentando não irritar ninguém ainda.
usar o seguinte comando
3
Esta é a única resposta verdadeira. Você não precisa necessariamente admitir que a interrompe se alguém gritar.
Hyppy
12
@SumDumGuy Como o Hyppy diz, você não precisa admitir que o interrompeu se alguém gritar. "Estranho, deixe-me ver isso" geralmente é uma boa maneira de responder a alguém que está gritando por algo que você sabe que fez. Ou tem sido bom para mim , pelo menos. :)
HopelessN00b
4
... e 16 comentários diferentes de 9 usuários diferentes excluídos. Tudo o que posso resumir com: "algumas pessoas pensam que desligar o servidor é muito arriscado e outras não". Se você deseja expressar uma dessas opiniões na minha resposta, clique em uma das setas ao lado. Se você quiser me irritar, repita uma dessas mesmas opiniões em um comentário, para que eu receba uma notificação de que uma décima pessoa está me dizendo algo que eu já li 16 vezes em poucas horas.
HopelessN00b
4
@SumDumGuy Se este for um novo trabalho, não deixe de discutir isso com seu gerente antes de fazer qualquer coisa. Você pode achar que possui procedimentos que precisa seguir ou que ele sabe coisas úteis.
Thorbjørn Ravn Andersen
7

Para usuários que estão se autenticando no servidor com LDAP (compartilhamentos de arquivos, compartilhamentos de impressão etc.), você pode usar o snap-in "Compartilhamentos e sessões" no mmc para identificar os usuários conectados às sessões abertas. São usuários conectados ativa ou passivamente (unidades mapeadas).

Encontrei um artigo mais detalhado.

Você também pode verificar se ele possui algum serviço instalado, como SQL ou programas, e verificar se há portas abertas não padrão usando software como o TCPView sysinternals para identificar qualquer software em execução. Essas portas abertas podem ajudar a identificar os protocolos que estão sendo usados ​​e podem ajudar a identificar a finalidade do servidor.

Por fim, você pode verificar os serviços instalados / em execução e identificar o que está sendo executado.

Nathan Goings
fonte
Bem-vindo à falha do servidor! Parece que você pode ter as informações necessárias para resolver o problema na pergunta, mas sua resposta atual não comunica uma solução clara. Por favor, leia Como escrevo uma boa resposta? e considere revisar sua resposta atual.
Paul
Paul, você tem alguma reclamação específica com a minha resposta? (Desde então, eu editei) #
Nathan Goings
Na página à qual vinculei, observe a seção "Fornecer contexto para links". Os links ficam mal ou o conteúdo neles é alterado, dificultando que as pessoas que encontrarem sua resposta no futuro entendam como aplicar sua solução.
Paul
2

Realmente não se encaixa na sua situação, porque você disse que tem vários servidores para verificar; portanto, é para outras pessoas que leem isso em busca de respostas próprias:

Se for uma empresa pequena e não houver documentação processual real ou técnicos no local com os quais conversar, aqui estão duas coisas que você pode fazer:

Verifique serviços e programas instalados, veja se você consegue descobrir quem usa o software que se conecta a esses serviços e verifique se eles foram movidos para novos servidores.

Compartilhamentos, tenho certeza que você sabe que pode ver todos os arquivos abertos da rede no snap-in MMC de pasta compartilhada (gerenciamento do computador> pastas compartilhadas), sessões e arquivos abertos ajudarão você aqui. Encontre os computadores / usuários listados aqui e mova seus arquivos para o novo local.

Uma vez feito isso, sinta-se à vontade para desconectá-lo da rede ou desligá-lo, conforme declarado. Essa é realmente a única maneira de saber com certeza que não está sendo usado. Aguarde alguns dias, caso algo que não seja usado constantemente.

RyanTimmons91
fonte