Microsoft-tools 2009

30 oktober 2009

In onderstaand overzicht van 2009 kijken we specifiek naar de ondersteunende programmatuur die Microsoft beschikbaar stelt aan zijn klanten om implementatie, migratie en beheer van omgevingen te vergemakkelijken. Hierbij concentreren wij ons niet op de talloze kleine hulpprogrammaatjes maar meer op de wat grotere applicaties die over het algemeen een flinke taak vervullen en soms zelfs zijn te vergelijken met grote commerciële toepassingen.

De bekendste van de tools die Microsoft ter beschikking stelt, is ongetwijfeld WSUS, Windows Software Update Services. In de loop van de tijd is dit product steeds verder ontwikkeld. Recentelijk is Service Pack 2 uitgebracht waardoor het ook weer helemaal is bijgewerkt voor Windows 7 en Windows Server 2008 R2 inclusief nieuwe features zoals branche-cache. Hoewel je WSUS niet kunt vergelijken met een product als System Center Configuration Manager, is het een goede toevoeging voor een organisatie die niet geheel afhankelijk van Windows Update wil zijn maar vooral controle wil kunnen uitoefenen op wat, wanneer wordt uitgerold.

Dat ‘wanneer’ is overigens relatief want het is alleen mogelijk om een patch vrij te geven. De client is immers verantwoordelijk voor het ophalen. Wanneer de client dit doet, wordt de patch gestuurd door de Group Policies en net als met Windows Update zal de client ergens na het vrijgeven de update ophalen. Wanneer precies is echter nooit helemaal zeker. Doordat updates op basis van groepen kunnen worden toegekend aan clients, is het mogelijk test- en acceptatiegroepen alsmede het onderscheid tussen servers en werkstations mogelijk te maken.

Dit maakt het gebruik van Windows Update een stuk makkelijker in een wat grotere organisatie. In een aantal gevallen worden ook updates van derde partijen zoals drivers verspreid via WSUS. Dit is vooralsnog beperkt en daarmee tevens de grootste tekortkoming van WSUS. Het is vooral bedoeld voor Microsoft-updates en niet voor updates in het algemeen. Hierdoor wordt het nooit een alles-in-één-oplossing en zijn er nog aanvullende technieken zoals GPO-distributie nodig. Voor sterk Microsoft-georiënteerde omgevingen hoeft dit echter geen probleem te zijn.

PowerShell wordt ook wel de nieuwe scripttaal van Windows genoemd. Dit doet niet geheel recht aan de potentie van PowerShell. In tegenstelling tot VBScript is PowerShell helemaal objectgeoriënteerd en heeft daardoor veel krachtige mogelijkheden. Dit is onder meer zichtbaar in de managementconsoles van Microsoft Exchange waarbij alle commando’s door PowerShell worden uitgevoerd.

Tot nu toe had PowerShell nog een paar flinke nadelen, bijvoorbeeld dat het apart moest worden geïnstalleerd en dat het nog een beperkte set van commando’s had. Daardoor was het lastig iets uit te voeren op een andere machine en miste de scripttaal ook een aantal mogelijkheden om de loop van het script te beïnvloeden. Met Power­Shell 2.0 is dit veranderd en is het een nog krachtigere scripttaal geworden. PowerShell 1.0 wordt ondertussen ook op Windows Update en WSUS aangeboden, wat de adoptie van de scripttaal aanzienlijk vergemakkelijkt.

Geen migratie naar een nieuw platform zonder dat we weten of alles wel draait. De Application Compatibility Toolkit kan hierbij een belangrijke hulp zijn. Het is een inventarisatietool die zich concentreert op de aanwezige applicaties en kijkt in welke mate zij geschikt zijn om te draaien op een nieuwe Windows-versie. Een handig bijeffect daarbij is dat je natuurlijk meteen weet wat er precies op de machine draait.

Naast het in kaart brengen van applicaties is natuurlijk ook het in kaart brengen van de bestaande Active Directory van belang. De Active Directory Topology Diagrammer is een tool voor Microsoft Visio waarmee een diagram kan worden gebouwd van de indeling van Active Directory. Domeinen, sites, servers, routing groups en connecters kunnen allemaal worden meegenomen.

Wanneer we daadwerkelijk willen gaan migreren, misschien wel met behulp van de informatie uit de compatibility tool en de Active Directory Topology Diagrammer, dan kan de Active Directory Migration Tool hierbij een belangrijk hulpmiddel zijn. Het grote probleem is vaak om beveiligingsinformatie zoals accounts, rechten, security identifiers en andere noodzakelijke gegevens over te zetten. De ADMT is gemaakt om hierin zowel binnen hetzelfde forest als tussen verschillende forests ondersteuning te bieden. Accounts en andere beveiligingsinformatie kunnen worden uitgewisseld tussen domeinen en forests. Dit is met name van belang wanneer bedrijven fuseren of juist uit elkaar gaan.

Een al wat oudere tool van Microsoft is Baseline Security Analyser. Daarmee nog niet minder nuttig omdat de inhoud steeds wordt ververst. Het grote probleem met een ingerichte omgeving is natuurlijk of de implementatie goed gedaan is en of dit na enige tijd nog steeds zo is? De Baseline Security Analyser controleert op algemene beveiligingszaken zoals admin accounts, wachtwoorden die niet verlopen en dergelijke en ook of de machine regelmatig is bijgewerkt. Er is voor MSBSA ook een Visio-tool beschikbaar waardoor het ook nog eens grafisch inzichtelijk kan worden gemaakt. Aanvullend is er ook nog de MSAT, de Microsoft Security Assessment Tool. Dit is niet zozeer technologie alswel een methode. Met behulp van ongeveer tweehonderd vragen wordt een beeld gevormd van de staat van de organisatie. De MSAT creëert een Business Risk Profile en een ‘defense in depth’-index. Met behulp van deze gegevens wordt gekeken naar waar risico’s zich in de organisatie bevinden op het gebied van infrastructuur, applicaties, mensen en productie.

Het is natuurlijk wel fijn als we weten hoe het met de beveiliging staat maar dan weten we nog niet echt hoe gezond onze Windows-omgeving nu eigenlijk is. De Health Scanner vult deze leemte aan door meer te kijken naar de inrichting van de omgeving. De Active Directory wordt doorgelicht waarbij gekeken wordt naar replicatie, sysvol, site en subnetten; DNS wordt gecontroleerd - een essentieel deel van een Windows-omgeving tenslotte. Daarnaast wordt gekeken naar gedeelde mappen, het netwerk time protocol en de algemene gezondheid van de domain controllers. Totaal worden er meer dan honderd verschillende tests gedaan. Wanneer een probleem wordt geconstateerd, worden ook de eventuele knowledgebase-artikelen gepresenteerd die kunnen helpen met de oplossing.

Een nogal onderbelicht aspect in de tooling die vanuit Microsoft wordt verschaft, zijn de Best Practice Analysers. Weliswaar heeft dit soort tools ook hun beperkingen. Een best practice is nog niet jouw practice. De analysers controleren de geïnstalleerde omgeving van bijvoorbeeld Exchange of ISA en geven op basis daarvan adviezen hoe het wellicht beter kan. Zeker wanneer men minder thuis is in de specifieke applicatie kan het geen kwaad eens te kijken met een Best Practice Analyser hoe de zaken ervoor staan. Wellicht valt er inderdaad iets te verbeteren.

Microsoft is momenteel hard bezig met het uitbrengen van virtualisatieoplossingen en probeert marktaandeel te verwerven. Een prettige bijkomstigheid is dat daardoor hypervisors tegenwoordig gratis zijn waar deze vroeger veel geld kosten. De Microsoft-hypervisor vereist wel een besturingssysteem. Zo is de conclusie snel getrokken dat Hyper-V toch niet zo gratis is. Niets is echter minder waar. Er is een aparte download bij Microsoft beschikbaar waardoor we gratis kunnen beschikken over Hyper-V met Windows 2008. De mogelijkheden zijn iets beperkt. Zo mist bijvoorbeeld een grafische interface en moeten we dus beheren vanaf afstand. Daar staat tegenover dat het allemaal niets kost.

Wanneer we een server installeren, bevindt de tooling voor het beheer van die server zich ook keurig geïnstalleerd op de machine zelf. Echter, dit is niet altijd zo praktisch. De Microsoft Remote Server Administration Tools (RSAT) zijn er om het beheer ook vanaf een werkstation te kunnen doen. Bij een product als Hyper-V Server is het handig te beschikken over tools op een werkstation omdat we niet makkelijk op de console kunnen aanmelden om vanaf daar te werken.

Duidelijk is dat Microsoft naast de tools in resource kits, support tools en sysinternals ook talloze andere hulpmiddelen uitbrengt, van relatief kleine applicaties tot complete virtualisatiesystemen. Het kan zeker geen kwaad eens goed naar deze hulpmiddelen te kijken. Ze kunnen een beheerder enorm helpen bij het vervullen van zijn taak.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!