我很喜欢升级,而且认为最新的就是最好的,我的机器上安装了Windows Server 2008 R2、Windows 7、Exchange 2010、SharePoint 2010,还有其他许多。我经常建议别人能升级就升级。
至少曾经是这样的,但现在我却不敢肯定了。这是因为这个星期明尼苏达州路德社区服务部门的网络管理员Jim Basa给我带来了一个奇怪又现实的问题。他在社区内的各个地方有大约50台服务器,正在考虑全部升级到Windows Server 2008 R2来应用种种新增的功能。他想知道是否应该首先升级Active Directory,但有点担心域控制器,或者是否应该先在Windows Server 2008 R2的成员服务器上利用R2的新功能,这是个合情合理的问题。当然除了考虑新功能的合理性,其兼容性也是我们必须要考虑的因素。
我感到有些措手不及。路德社区服务部是明尼苏达州最大的社区服务机构,有超过2200名员工。考虑到它的非盈利性和目前艰难的经济状况,我不禁想到升级每台服务器是否有那个必要,到底值不值得。所以我问Jim有哪些功能是他特别感兴趣的,以下是他所喜欢的功能,附带了一些我个人认为有价值的:
* AppLocker:这是Windows 7和Windows Server 2008 R2的新功能,用来替换原先的Software Restriction Policies。这项功能提供了对用户访问exe文件、脚本、msi文件和DLL文件的控制能力,你可以基于应用的数字签名包括出版商、产品名称、文件名以及文件版本等来定义可以分配给用户或安全组的规则。好消息是AppLocker的组策略并不需要升级域控制器,现有的Windows Server 2003和2008的服务器就可以加载AppLocker策略。
* BranchCache:这项功能可以以分布式缓存或托管缓存的形式运行,通过提供复制访问的本地数据来帮助分支办公室减少过度的WAN带宽使用量。当分支办公室的用户第一次访问内部网或文件服务器时,数据就被寄存在用户计算机的缓存(分布式缓存解决方案)或服务器上(托管缓存,必须运行Windows Server 2008 R2)。再一次,好消息是BranchCache可以在R2的Member Windows Server中运行,所以没有必要为此功能升级域控制器。
* DirectAccess:这是Windows 7和Windows Server 2008 R2中的新功能,只要有Internet连接,用户可以在任何时候任何地点连接到他们的企业网络而不再需要VPN。再一次,这里又不需要R2 Active Directory Domain Services,但你至少需要一个域控制器运行Windows Server 2008或更高版本。
还有许多其他功能你可能会考虑实施,包括Hyper-V R2、IIS 7.5、可扩展性和管理功能。而绝大多数这些功能均不要求你升级域控制器。
你可能会想,"新的Active Directory功能怎么样!?我想要这些功能!" 那么好吧,是的,这些功能需要Windows Server 2008 R2版的域控制器,一个或所有都是。
* Active Directory Administrative Center:搭建在PowerShell之上,这是一个全新的管理控制台,它不能安装在Windows Server 2003或2008 R1的计算机上,必须要求安装Windows 7或Windows Server 2008 R2。但注意在你的域中必须至少有一台Windows Server 2008 R2域控制器。
* Active Directory Module for PowerShell:这项功能以命令行脚本的形式提供了管理、配置和诊断等任务。原先要求必须安装一个R2的域控制器,但现在你可以安装微软免费提供的Active Directory Management Gateway Service(ADMGS)。ADMGS还提供了针对Windows Server 2003和Windows Server 2008的版本,不过你还是需要Windows Server 2008 R2或Windows 7来访问这项服务。
* Active Directory Best Practices Analyzer:这项新的管理工具可以收集你现有的域的相关信息并提供改善Active Directory环境的最佳做法。需要说明的是这里再次要求至少有一个R2的域控制器才能有效工作。
* Active Directory Recycle Bin:这里提供了恢复意外删除对象的能力。这个工具必须开启才有效,图形界面并不友好,并且要求所有的域控制器必须运行Windows Server 2008同时Forest level必须提升到R2。你要为这个小工具的所有功能额外花钱,但你完全可以使用免费的工具比如Overall Solutions提供的Active DirectoryRecycleBin等来完成相同的恢复功能,并且对R2和之前的域控制器都有效。
R2的Active Directory中还有一些其他功能你可能会考虑,它们可能会也可能不会要求R2域控制器。根据微软关于Windows Server 2008 R2中的domain level和forest level的一些描述,我们可以给它们分别做一下总结:
* Domain level:包括所有前期版本的功能(2000/2003/2008的功能),以及认证机制保证与自动SPN管理服务。
* Forest level:包括所有前期版本的功能(2000/2003/2008的功能),以及Active Directory Recycle Bin功能。
那么Jim是怎么做的决定呢?他仍然会全面升级所有的服务器包括域控制器和Member Windows Servers吗?还是选择只升级那些需要新增功能的服务器?答案很明显,Jim做出了艰难时期的正确选择。