Maar dat standpunt heb ik wat genuanceerd. Want ik ben er niet meer helemaal zeker van sinds ik een vraag uit de echte wereld kreeg, van een systeembeheerder van een non-profit organisatie. Die heeft ongeveer 50 servers op meerdere locaties en overweegt om alles naar Windows Server 2008 R2 te migreren. Hij wilde van me weten of hij eerst Active Directory moest upgraden, en zich daarna pas hoefde te bekommeren om de domain controllers, of dat hij eerst de Windows Server 2008 R2 member servers moest implementeren voordat hij kon profiteren van de nieuwe R2 features. Een heel redelijke vraag, leek me.

Interessante features

Mijn eigen antwoord verraste mezelf. Ik vroeg me af of het nodig was, in deze economische tijden, om echt alle servers te upgraden. Dus vroeg ik de systeembeheerder in welke features hij speciaal was geïnteresseerd. Hier volgen de features die hij noemde, samen met een paar aanvullingen van mezelf.

Applocker: Dat is nieuw in Windows 7 en Windows Server 2008 R2. Het vervangt Software Restriction Policies en je kunt er de manier mee beheren hoe (en of) gebruikers toegang hebben tot .exe bestanden, scripts, .msi bestanden en DLL’s. In essentie definieer je regels die kunnen worden toegewezen aan gebruikers of security groups. En de grap is dat hier geen upgrade nodig is van de domain controllers. Bestaande Windows Server 2003 en 2008 servers kunnen overweg met de policies van Applocker.

BranchCache: Deze feature kan worden geïmplementeerd in een gedistribueerd cache formaat of in een hosted cache formaat, en het gebruik hiervan scheelt voor de bijkantoren een heleboel bandbreedte, gewoon met behulp van een lokale kopie van de data. De eerste keer dat een gebruiker op een co-lokatie data benadert op het intranet of op de file servers, wordt die data gecached op de machine van de gebruiker of op een server. Die server moet dan wel Windows Server 2008 R2 draaien, al kun je volstaan met de Windows Server Core versie. Maar weer is het goede nieuws dat BrancheCache kan draaien op een R2 Member Windows Server, dus is het ook voor deze feature niet nodig om je domain controllers te upgraden.

DirectAccess: Met deze nieuwe Windows 7/Windows Server 2008 R2 feature kunnen gebruikers van overal en altijd verbinden met het bedrijfsnetwerk (zolang ze tenminste een verbinding hebben, dat spreekt voor zich) zonder verbinding met een VPN. En weer hebben we hier te maken met een feature die geen R2 Active Directory Domain Services nodig heeft. Het enige dat je ervoor nodig hebt is minstens één domain controller die op Windows Server 2008 of nieuwer draait.

En zo zijn er nog een paar features die je misschien wilt implementeren, inclusief Hyper-V R2, IIS 7.5 en een paar schaalbaarheids en management features. Maar voor de meerderheid heb je geen upgrade nodig van je domain controllers.

Active Directory

En nu denk je misschien:[/strong] “Hoe zit het dan met de nieuwe mogelijkheden van Active Directory?! Die wil ik ook!” Nou ja, daarvoor moet je waarschijnlijk wel tenminste één, of zelfs al je domain controllers overzetten naar Windows Server 2008 R2.

Active Directory Administrative Center: Dit is de nieuwe beheerconsole die gebouwd is op PowerShell en die je kunt gebruiken in plaats van de gebruikelijke Active Directory Users, Computers enzovoort. Het kan niet worden geïnstalleerd op computers met Windows Server 2003 of 2008 R1, maar wel op Windows 7 en/of Windows Server 2008 R2. En je moet er minstens één Windows Server 2008 R2 domain controller voor in je domein hebben.

Active Directory Module voor PowerShell: Dit is de commandline scripting voor een groot aantal beheertaken. In eerste instantie werkte dit alleen als je een R2 domain controller had, maar nu kun je de gratis Active Dirrectory Management Gateway Service (ADMGS) van Microsoft installeren. Er zijn versies voor Windows Server 2003 en Windows Server 2008, ofschoon je nog steeds Windows Server 2008 R2 (of Windows 7) nodig hebt om toegang te krijgen tot de service.

Active Directory Best Practices Analyzer: Deze nieuwe managment tool verzamelt informatie over je domein en geeft gebieden aan waar best practices kunnen worden ingezet om je Active Directory omgeving te verbeteren. Ook hiervoor heb je weer minstens één R2 domain controller nodig.

Active Directory Recycle Bin: Dit geeft je de mogelijkheid om objecten terug te halen die per ongeluk zijn verwijderd. Deze tool moet wel aangezet worden voor hij werkt en is niet echt GUI-vriendelijk. Bovendien moeten alle domain controllers op Windows Server 2008 R2 draaien. Dat lijkt me een boel extra werk voor zo’n klein tooltje. Dan kun je er beter het gratis tooltje voor gebruiken dat wordt geleverd door Overall Solutions, Active DirectoryRecycleBin geheten. Dat werkt niet alleen op R2 domeinen, maar ook op eerdere versies. Dus hiervoor hoef je je domain controllers niet echt te upgraden.

Andere features

Maar er zijn nog andere features in Active Directory van R2 die je misschien overweegt en die geen R2 domain controllers nodig hebben. Uit wat Microsoft zegt over de features in domain of forest level in Windows Server 2008 R2, kunnen we afleiden dat we de volgende eisen moeten stellen:

Domain level: Hier zijn alle features van de oudere levels (2000/2003/2008) bij inbegrepen met authentication mechanism Assurance en automatic SPN management voor services.

Forest level: Hier zitten alle features in van legacy levels (2000/2003/2008) met de Active Directory Recycle Bin feature.

Financieel managment

Dus wat denk je dat de systeembeheerder gaat doen? Gaat hij een complete upgrade uitvoeren van alle servers, zowel de domain controllers als de Member Windows Servers? Of gaat hij alleen die servers vervangen die hij nodig heeft voor de nieuwe features? Het lijkt me duidelijk dat het in deze tijden, zeker voor een non-profit organisatie, belangrijk is om goed naar de financiële gevolgen van upgrades te kijken. En dan is het verstandig om voorrang te geven aan goed financieel management boven het implementeren van het nieuwste van het nieuwste. Dat weet een goede systeembeheerder maar al te goed.

Bron: Techworld