Bagaimana cara mengidentifikasi siapa / apa yang menggunakan server Windows 2003?

44

Bagaimana saya bisa menentukan apakah server Windows 2003 masih digunakan oleh siapa saja / sesuatu, dan jika ya, untuk apa server itu digunakan?

Saya mengosongkan apa yang harus diperiksa selain penampil acara untuk melihat akun apa yang terhubung ke server.

windows-server-2003 SumDumGuy
sumber
13
Setelah Anda mengetahuinya ... dokumentasikan ... karena ternyata tidak ada orang lain yang melakukannya. Maka Anda setidaknya akan dapat kembali di masa depan dan berkata "yeah, ini dulu # -server dengan x specs / ip / name dan lakukan y dan kami mendekodasikannya pada tanggal z". Pastikan dan sertakan lisensi apa pun yang dikaitkan dengannya dan yang dapat ditugaskan kembali jika ada. Juga pastikan itu dihapus dari DNS, WSUS / SCCM, atau di tempat lain yang mereferensikan itu.
TheCleaner

Jawaban:

70

Ini bukan pertanyaan bodoh, ini pertanyaan yang bagus dan saya senang Anda bertanya.

Proses manusia

Pastikan bahwa Anda telah meninjau semua dokumentasi, berbicara dengan greybeards, dan telah sign-off dari seseorang dari bisnis.

Proses teknis

Dapatkan cadangan lengkap; tandai media untuk arsip jangka panjang. Jalankan monitor koneksi atau paket sniffer untuk jangka waktu tertentu untuk melihat koneksi apa yang masih dibuat. Periksa layanan untuk melihat apakah ada yang terdengar penting / akrab.

Memotong kabelnya

Ide yang lebih baik daripada mematikan - cabut kabel jaringan selama beberapa hari. Jika ini adalah mesin fisik lama, Anda tidak ingin mengambil risiko situasi di mana Anda perlu menyalakannya kembali tetapi spindle disk membeku. Biarkan mereka berputar.

Sumber otoritas - Saya menghabiskan lebih dari setahun menonaktifkan server lama untuk perusahaan farmasi Fortune 25. Ini adalah prosesnya, dan itu berhasil.

mfinni
sumber
6
Saya bahkan tidak berpikir untuk menggunakan packet sniffer, ide bagus. Saya sangat menghargai bantuannya :)
SumDumGuy
18
Hanya tambahan bahwa paket sniffer akan menemukan lalu lintas. Selalu ada hal-hal latar belakang pergi ke dan dari host di jaringan, dan beberapa hal latar belakang itu mungkin terlihat seperti lalu lintas yang signifikan pada pandangan pertama (seperti, katakanlah, melaporkan data kesehatan sistem ke layanan pemantauan di suatu tempat). Tanggung jawabnya adalah menyiram semua sekam itu untuk melihat apakah masih ada gandum yang tersisa.
Joel Coel
1
Joel - yup, sepenuhnya benar. Anda pasti perlu melakukan beberapa analisis pada hasil penangkapan paket.
mfinni
2
Dengan risiko merusak lelucon: siapa yang Anda sebut sebagai greybeards? Pengguna? Manajer? Staf pendukung?
Lilienthal
6
+1 memotong tali pusat - tip fantastis
Neil Townsend
20

Matikan dan lihat siapa yang menjerit, dan tentang apa.

Serius, ini adalah cara terbaik. Bahkan memeriksa log hanya akan membuat Anda sejauh ini, karena Anda hanya akan melihat aktivitas yang dicatat.

EDIT : Untuk menghindari komentar lebih lanjut, saran ini mengasumsikan Anda sudah melakukan apa yang seharusnya Anda lakukan, bahkan sebelum mengajukan pertanyaan di sini - bertanya-tanya tentang server, mencari dokumentasi, dan masuk untuk melihat apakah Anda dapat menangkap tanda-tanda aktivitas yang jelas.

Ini juga mengasumsikan Anda tidak berada di salah satu lingkungan yang tampaknya ada di mana sistem bisnis penting yang tidak ada yang tahu tentang berjalan pada perangkat keras yang sangat rapuh sehingga berisiko terbakar atau meledak saat boot.

HopelessN00b
sumber
1
Ya ... saya memikirkan itu tetapi ini adalah pekerjaan baru dan saya sedang berusaha untuk tidak membuat marah siapa pun.
SumDumGuy
3
Ini, inilah jawaban yang benar. Anda tidak perlu harus mengakui bahwa Anda mematikannya jika seseorang berteriak.
Hyppy
12
@SumDumGuy Seperti kata Hyppy, Anda tidak harus mengakui Anda mematikannya jika seseorang berteriak. "Aneh, biarkan aku melihat itu" umumnya cara yang baik untuk menanggapi seseorang yang berteriak tentang sesuatu yang Anda tahu Anda lakukan. Atau setidaknya itu baik bagiku . :)
HopelessN00b
4
... dan 16 komentar berbeda dari 9 pengguna berbeda dihapus. Semua yang saya dapat rangkum dengan: "beberapa orang berpikir mematikan daya server terlalu berisiko, dan beberapa orang tidak." Jika Anda ingin mengungkapkan salah satu pendapat itu pada jawaban saya, lakukan dengan mengeklik salah satu panah ke samping. Jika Anda ingin membuat saya jengkel, ulangi salah satu pendapat yang sama di komentar jadi saya mendapat pemberitahuan bahwa orang ke-10 mengatakan sesuatu yang sudah saya baca sebanyak 16 kali dalam beberapa jam.
HopelessN00b
4
@SumDumGuy Jika ini adalah pekerjaan baru, maka pastikan untuk membicarakan hal ini dengan manajer Anda sebelum benar-benar melakukan sesuatu. Anda mungkin menemukan bahwa Anda memiliki prosedur yang perlu Anda ikuti, atau bahwa dia tahu hal-hal yang bermanfaat.
Thorbjørn Ravn Andersen
7

Untuk pengguna yang mengautentikasi terhadap server dengan LDAP (berbagi file, berbagi cetak, dll.) Anda dapat menggunakan snap-in "Berbagi & Sesi" dalam mmc untuk mengidentifikasi pengguna yang terhubung dengan sesi terbuka. Ini adalah pengguna yang terhubung secara aktif atau pasif (drive dipetakan).

Saya menemukan artikel yang lebih detail.

Anda juga dapat memeriksa apakah memiliki layanan yang diinstal seperti SQL atau program dan melihat apakah ada port terbuka non-standar menggunakan perangkat lunak seperti sysinternals TCPView untuk mengidentifikasi perangkat lunak yang berjalan. Port terbuka ini dapat membantu mengidentifikasi protokol yang digunakan dan yang dapat membantu mengidentifikasi tujuan server.

Terakhir, Anda dapat memeriksa layanan yang diinstal / berjalan dan mengidentifikasi apa yang sedang berjalan.

Nathan Goings
sumber
Selamat Datang di Kesalahan Server! Sepertinya Anda mungkin memiliki informasi yang diperlukan untuk menyelesaikan masalah dalam pertanyaan, tetapi jawaban Anda saat ini tidak mengkomunikasikan solusi yang jelas. Silakan baca Bagaimana saya menulis jawaban yang bagus? dan pertimbangkan untuk merevisi jawaban Anda saat ini.
Paul
Paul, apakah Anda memiliki keluhan khusus dengan jawaban saya? (Saya sudah mengeditnya)
Nathan Goings
Di halaman yang saya tautkan, perhatikan bagian "Berikan konteks untuk tautan". Tautan menjadi buruk atau konten di dalamnya berubah, sehingga sulit bagi orang yang menemukan jawaban Anda di masa depan untuk memahami cara menerapkan solusi Anda.
Paul
2

Tidak cocok dengan situasi Anda karena Anda mengatakan Anda memiliki beberapa server untuk diperiksa, jadi ini untuk orang lain yang membaca ini untuk jawaban mereka sendiri:

Jika ini adalah usaha kecil dan tidak ada dokumentasi prosedural yang nyata atau teknologi di tempat untuk diajak bicara, maka berikut adalah dua hal yang dapat Anda lakukan:

Periksa layanan dan program yang diinstal, lihat apakah Anda dapat mencari tahu siapa yang menggunakan perangkat lunak yang menghubungkan ke layanan tersebut dan pastikan mereka dipindahkan ke server baru.

Bagikan, saya yakin Anda tahu bahwa Anda dapat melihat semua file yang dibuka dari jaringan di snap-in MMC Folder Bersama (manajemen komputer> folder bersama), Sesi dan file yang terbuka akan membantu Anda di sini. Temukan komputer / pengguna yang terdaftar di sini dan pindahkan file mereka ke lokasi baru.

Setelah selesai jangan ragu untuk mencabutnya dari jaringan atau mematikannya, seperti yang dinyatakan ini adalah satu-satunya cara untuk mengetahui dengan pasti tidak digunakan, pastikan untuk menunggu beberapa hari jika sesuatu itu tidak digunakan. selalu.

RyanTimmons91
sumber