Comment identifier qui / quoi utilise un serveur Windows 2003?

44

Comment puis-je déterminer si un serveur Windows 2003 est toujours utilisé par quelqu'un / quelque chose, et si c'est le cas, à quoi il sert?

Je fais un blanc sur ce qu'il faut vérifier en dehors de l'observateur d'événements pour voir quels comptes se connectent au serveur.

windows-server-2003 SumDumGuy
la source
13
Une fois que vous avez compris ... documentez-le ... puisque apparemment personne d'autre ne l'a fait. Dans ce cas, vous pourrez au moins revenir dans le futur et dire "ouais, ce serveur servait de # serveur avec x specs / ip / name et faisait y et nous l’avions retiré le z date". Assurez-vous et incluez toute licence qui y était associée et qui pourrait être réaffectée le cas échéant. Assurez-vous également qu'il est supprimé de DNS, WSUS / SCCM ou de tout autre lieu qui l'a référencé.
TheCleaner

Réponses:

70

Ce n’est pas une question idiote, c’est une excellente question et je suis heureux que vous posiez la question.

Processus humains

Assurez-vous que vous avez examiné toute la documentation, que vous avez parlé aux Greybeards et que vous avez obtenu l'autorisation de quelqu'un de l'entreprise.

Processus technique

Obtenez une sauvegarde complète; marquer les médias pour archivage à long terme. Exécutez un moniteur de connexion ou un renifleur de paquets pendant un certain temps pour voir quelles connexions sont encore établies. Inspectez les services pour voir si quelque chose semble important / familier.

Couper le cordon

Meilleure idée que de l'éteindre - débranchez le câble réseau pendant quelques jours. S'il s'agit d'une vieille machine physique, vous ne voulez pas risquer de la remettre sous tension, mais les piles de disques sont gelées. Laissez-les tourner.

Source d'autorité - J'ai passé plus d'un an à mettre hors service de vieux serveurs pour une société pharmaceutique Fortune 25. C'était le processus, et cela a fonctionné.

Mfinni
la source
6
Je n'ai même pas pensé à utiliser un renifleur de paquets, excellente idée. J'apprécie vraiment l'aide :)
SumDumGuy
18
Juste un additif qu'un renifleur de paquets va trouver le trafic. Il y a toujours des informations de fond à destination et en provenance de n'importe quel hôte d'un réseau, et certaines de ces informations peuvent sembler à première vue être un trafic important (comme, par exemple, la transmission de données relatives à la santé du système à un service de surveillance quelque part). Le fardeau est de débusquer toute cette paille pour voir s’il reste du blé.
Joel Coel
1
Joel - ouais, tout à fait correct. Vous aurez certainement besoin de faire une analyse des résultats de capture de paquets.
Mfinni
2
Au risque de gâcher une blague: à qui faites-vous référence? Utilisateurs? Des gestionnaires? Le personnel de soutien?
Lilienthal
6
+1 couper le cordon - astuce fantastique
Neil Townsend
20

Éteignez-le et voyez qui crie et à propos de quoi.

Sérieusement, c'est le meilleur moyen. Même la vérification des journaux ne vous mènera que jusque-là, car vous ne verrez que les activités consignées.

EDIT : Pour éviter tout autre commentaire, ce conseil suppose que vous avez déjà fait ce que vous auriez dû faire, avant même de poser la question ici - interrogé sur le serveur, recherché de la documentation et connecté pour voir si vous pouvez détecter tout signe évident d'activité.

Cela suppose également que vous ne vous trouvez pas dans l'un de ces environnements qui existent apparemment et où des systèmes critiques dont personne ne sait rien fonctionnent sur du matériel si fragile qu'il risque de s'enflammer ou d'exploser au démarrage.

HopelessN00b
la source
1
Ouais ... J'y ai pensé mais c'est un nouveau travail et j'essaye de ne pas énerver quelqu'un pour le moment.
SumDumGuy
3
Ceci, c'est la seule vraie réponse. Vous ne devez pas nécessairement admettre que vous l'arrêtez si quelqu'un crie.
Hyppy
12
@SumDumGuy Comme le dit Hyppy, vous n'êtes pas obligé d'admettre que vous le fermez si quelqu'un hurle. "Bizarre, laissez-moi examiner cette question" est généralement un bon moyen de répondre à quelqu'un qui crie à propos de quelque chose que vous savez que vous avez fait. Ou ça a été bon pour moi , à tout le moins. :)
HopelessN00b
4
... et 16 commentaires différents de 9 utilisateurs différents supprimés. Tout cela, je peux le résumer: "Certaines personnes pensent que mettre le serveur hors tension est trop risqué, d’autres non." Si vous souhaitez exprimer une de ces opinions sur ma réponse, faites-le en cliquant sur l'une des flèches sur le côté. Si vous voulez me faire chier, répétez une de ces opinions dans un commentaire pour que je reçoive une notification désagréable selon laquelle une 10ème personne me dit quelque chose que j'ai lu 16 fois déjà en autant d'heures.
HopelessN00b
4
@SumDumGuy S'il s'agit d'un nouvel emploi, assurez-vous d'en discuter avec votre responsable avant de faire quoi que ce soit. Vous constaterez peut-être que vous avez des procédures à suivre ou qu'il sait des choses utiles.
Thorbjørn Ravn Andersen
7

Pour les utilisateurs qui s'authentifient auprès du serveur avec LDAP (partages de fichiers, partages d'impression, etc.), vous pouvez utiliser le composant logiciel enfichable "Partages et sessions" de mmc pour identifier les utilisateurs connectés à des sessions ouvertes. Ce sont des utilisateurs connectés activement ou passivement (lecteurs mappés).

J'ai trouvé un article plus détaillé.

Vous pouvez également vérifier si des services tels que SQL ou des programmes sont installés et voir s'il existe des ports ouverts autres que les ports par défaut utilisant un logiciel tel que sysinternals TCPView pour identifier les logiciels en cours d'exécution. Ces ports ouverts peuvent aider à identifier les protocoles utilisés et à identifier l'objectif du serveur.

Enfin, vous pouvez vérifier les services installés / en cours d’exécution et identifier ce qui est en cours d’exécution.

Nathan Goings
la source
Bienvenue sur Server Fault! Il semble que vous ayez les informations nécessaires pour résoudre le problème de la question, mais votre réponse actuelle ne communique pas de solution claire. S'il vous plaît lire Comment puis-je écrire une bonne réponse? et envisagez de réviser votre réponse actuelle.
Paul
Paul, avez-vous des plaintes spécifiques avec ma réponse? (Je l'ai depuis édité)
Nathan Goings le
Dans la page à laquelle je suis lié, notez la section "Fournir le contexte pour les liens". Les liens se détériorent ou le contenu y est modifié, ce qui complique la tâche des personnes qui trouveront votre réponse à l'avenir pour comprendre comment appliquer votre solution.
Paul
2

Cela ne correspond pas vraiment à votre situation car vous avez dit que vous aviez plusieurs serveurs à vérifier. C’est donc ce que les autres lecteurs liront pour obtenir leurs propres réponses:

S'il s'agit d'une petite entreprise et qu'il n'y a pas de véritable documentation de procédure ou de techniciens sur site à qui parler, voici deux choses que vous pouvez faire:

Vérifiez les services et les programmes installés, voyez si vous pouvez savoir qui utilise le logiciel qui se connecte à ces services et assurez-vous qu'ils sont déplacés vers de nouveaux serveurs.

Partages, je suis sûr que vous savez que vous pouvez consulter tous les fichiers ouverts à partir du réseau dans le composant logiciel enfichable Dossier partagé MMC (gestion de l'ordinateur> dossiers partagés), Sessions et fichiers ouverts vous y aideront. Recherchez les ordinateurs / utilisateurs répertoriés ici et déplacez leurs fichiers vers le nouvel emplacement.

Une fois que cela est fait, sentez-vous libre de le débrancher du réseau ou de le fermer, comme indiqué, c’est le seul moyen de savoir avec certitude qu’il n’est pas utilisé, mais attendez quelques jours au cas où c’est quelque chose qui ne s’utilise pas. constamment.

RyanTimmons91
la source