¿Cómo identificar quién / qué usa un servidor Windows 2003?

44

¿Cómo puedo determinar si un servidor Windows 2003 todavía está siendo utilizado por alguien / cosa, y si es así, para qué se está utilizando?

Estoy dibujando un espacio en blanco sobre qué más verificar además del visor de eventos para ver qué cuentas se conectan al servidor.

SumDumGuy
fuente
13
Después de resolverlo ... documentarlo ... ya que aparentemente nadie más lo hizo. Entonces, al menos, podrá regresar en el futuro y decir "sí, esto solía ser # -server con x specs / ip / name e hizo y y lo descomprimimos en la fecha z". Asegúrese de incluir cualquier licencia asociada con ella y que pueda reasignarse, si corresponde. También asegúrese de eliminarlo de DNS, WSUS / SCCM o de cualquier otro lugar al que se haga referencia.
TheCleaner

Respuestas:

70

Esta no es una pregunta tonta, es una gran pregunta y me alegra que me pregunten.

Procesos humanos

Asegúrese de haber revisado toda la documentación, haber hablado con las barbas grises y tener la aprobación de alguien de la empresa.

Procesos técnicos

Obtenga una copia de seguridad completa; marque los medios para el archivo a largo plazo. Ejecute un monitor de conexión o sniffer de paquetes por un período de tiempo para ver qué conexiones aún se están realizando. Inspeccione los servicios para ver si algo suena importante / familiar.

Cortar el cordón

Mejor idea que apagarlo: desconecte el cable de red durante unos días. Si se trata de una máquina física antigua, no debe arriesgarse a la situación en la que necesita volver a encenderla, pero los ejes del disco están congelados. Déjalos girando.


Fuente de autoridad: pasé más de un año retirando servidores antiguos para una compañía farmacéutica Fortune 25. Este fue el proceso, y funcionó.

mfinni
fuente
66
Ni siquiera pensé en usar un sniffer de paquetes, excelente idea. Realmente aprecio la ayuda :)
SumDumGuy
18
Sólo una adición que un analizador de paquetes se encuentra el tráfico. Siempre hay cosas de fondo que van y vienen de cualquier host en una red, y algunas de esas cosas de fondo pueden parecer tráfico significativo a primera vista (como, por ejemplo, reportar datos de salud del sistema a un servicio de monitoreo en algún lugar). La responsabilidad es eliminar toda esa paja para ver si todavía queda trigo.
Joel Coel
1
Joel - sí, completamente correcto. Definitivamente tendrá que hacer un análisis de los resultados de captura de paquetes.
mfinni
2
A riesgo de arruinar una broma: ¿a quién te refieres como barbas grises? Los usuarios? Gerentes? ¿Personal de apoyo?
Lilienthal
66
+1 cortando el cordón - consejo fantástico
Neil Townsend
20

Apague y vea quién grita y sobre qué.

En serio, es la mejor manera. Incluso verificar los registros solo lo llevará hasta ahora, porque solo verá actividades que están registradas.


EDITAR : para evitar más comentarios, este consejo asume que ya has hecho lo que deberías haber hecho en primer lugar, incluso antes de hacer la pregunta aquí: preguntas sobre el servidor, busqué documentación e iniciaste sesión para ver si Puede detectar cualquier signo obvio de actividad.

Esto también supone que no se encuentra en uno de esos entornos que aparentemente existen donde los sistemas críticos para la empresa que nadie conoce funcionan con hardware tan frágil que corre el riesgo de estallar en llamas o explotar durante el arranque.

HopelessN00b
fuente
1
Sí ... pensé en eso, pero este es un trabajo nuevo y estoy tratando de no molestar a nadie todavía.
SumDumGuy
3
Esta, esta es la única respuesta verdadera. No necesariamente tiene que admitir que lo cierra si alguien grita.
Hyppy
12
@SumDumGuy Como dice Hyppy, no tienes que admitir que lo cierras si alguien grita. "Extraño, déjame ver eso" es generalmente una buena manera de responder a alguien que está gritando sobre algo que sabes que hiciste. O ha sido bueno para mí , por lo menos. :)
HopelessN00b
44
... y 16 comentarios diferentes de 9 usuarios diferentes eliminados. Todo lo cual puedo resumir con: "algunas personas piensan que apagar el servidor es demasiado arriesgado y otras no". Si desea expresar una de esas opiniones sobre mi respuesta, hágalo haciendo clic en una de las flechas a un lado. Si quiere molestarme, repita una de esas mismas opiniones en un comentario para que reciba una notificación de que una décima persona me dice algo que ya leí 16 veces en tantas horas.
HopelessN00b
44
@SumDumGuy Si este es un trabajo nuevo, asegúrese de discutirlo con su gerente antes de hacer algo. Puede descubrir que tiene procedimientos que debe seguir, o que él sabe cosas útiles.
Thorbjørn Ravn Andersen
7

Para los usuarios que se autentican en el servidor con LDAP (recursos compartidos de archivos, recursos compartidos de impresión, etc.) puede usar el complemento "Recursos compartidos y sesiones" en mmc para identificar a los usuarios que están conectados con sesiones abiertas. Estos son usuarios que están conectados de forma activa o pasiva (unidades mapeadas).

Encontré un artículo que es más detallado.

También puede verificar si tiene servicios instalados como SQL o programas y ver si hay puertos abiertos no predeterminados que utilizan software como TCPView sysinternals para identificar cualquier software que se esté ejecutando. Estos puertos abiertos pueden ayudar a identificar los protocolos que se utilizan y eso puede ayudar a identificar el propósito del servidor.

Finalmente, puede verificar los servicios instalados / en ejecución e identificar lo que se está ejecutando.

Nathan Goings
fuente
¡Bienvenido a Server Fault! Parece que puede tener la información requerida para resolver el problema en la pregunta, pero su respuesta actual no comunica una solución clara. Por favor lea ¿Cómo escribo una buena respuesta? y considere revisar su respuesta actual.
Paul
Paul, ¿tienes alguna queja específica con mi respuesta? (Desde entonces lo he editado)
Nathan Goings
En la página a la que enlacé, tenga en cuenta la sección "Proporcionar contexto para enlaces". Los enlaces se vuelven malos o el contenido en ellos cambia, lo que dificulta que las personas que encuentren su respuesta en el futuro comprendan cómo aplicar su solución.
Paul
2

Realmente no se ajusta a su situación porque ha dicho que tiene varios servidores para verificar, por lo que esto es para que otros lean esto para obtener sus propias respuestas:

Si se trata de una pequeña empresa y no hay documentación de procedimiento real ni ningún técnico en el lugar con quien hablar, aquí hay dos cosas que puede hacer:

Verifique los servicios y los programas instalados, vea si puede averiguar quién usa el software que se conecta a esos servicios y asegúrese de que se trasladen a los nuevos servidores.

Comparte, estoy seguro de que sabes que puedes ver todos los archivos abiertos desde la red en el complemento MMC Shared Folder (administración de computadoras> carpetas compartidas), las sesiones y los archivos abiertos te ayudarán aquí. Encuentre las computadoras / usuarios enumerados aquí y mueva sus archivos a la nueva ubicación.

Una vez hecho esto, no dude en desenchufarlo de la red o apagarlo, como se dijo, esta es realmente la única forma de saber con certeza si no se está utilizando, asegúrese de esperar unos días en caso de que sea algo que no se use constantemente.

RyanTimmons91
fuente