【51CTO.com独家快译自10月30日外电头条】我很喜欢升级，而且认为最新的就是最好的，我的机器上安装了Windows Server 2008 R2、Windows 7、Exchange 2010、SharePoint 2010，还有其他许多。我经常建议别人能升级就升级。

至少曾经是这样的，但现在我却不敢肯定了。这是因为这个星期明尼苏达州路德社区服务部门的网络管理员Jim Basa给我带来了一个奇怪又现实的问题。他在社区内的各个地方有大约50台服务器，正在考虑全部升级到Windows Server 2008 R2来应用种种新增的功能。他想知道是否应该首先升级Active Directory，但有点担心域控制器，或者是否应该先在Windows Server 2008 R2的成员服务器上利用R2的新功能，这是个合情合理的问题。当然除了考虑新功能的合理性，其兼容性也是我们必须要考虑的因素，有兴趣的51CTO.com读者可以参看《Windows Server 2008新功能影响应用程序兼容?》。

我感到有些措手不及。路德社区服务部是明尼苏达州最大的社区服务机构，有超过2200名员工。考虑到它的非盈利性和目前艰难的经济状况，我不禁想到升级每台服务器是否有那个必要，到底值不值得。所以我问Jim有哪些功能是他特别感兴趣的，以下是他所喜欢的功能，附带了一些我个人认为有价值的：

* AppLocker：这是Windows 7和Windows Server 2008 R2的新功能，用来替换原先的Software Restriction Policies。这项功能提供了对用户访问exe文件、脚本、msi文件和DLL文件的控制能力，你可以基于应用的数字签名包括出版商、产品名称、文件名以及文件版本等来定义可以分配给用户或安全组的规则。好消息是AppLocker的组策略并不需要升级域控制器，现有的Windows Server 2003和2008的服务器就可以加载AppLocker策略。

* BranchCache：这项功能可以以分布式缓存或托管缓存的形式运行，通过提供复制访问的本地数据来帮助分支办公室减少过度的WAN带宽使用量。当分支办公室的用户第一次访问内部网或文件服务器时，数据就被寄存在用户计算机的缓存（分布式缓存解决方案）或服务器上（托管缓存，必须运行Windows Server 2008 R2）。再一次，好消息是BranchCache可以在R2的Member Windows Server中运行，所以没有必要为此功能升级域控制器。

* DirectAccess：这是Windows 7和Windows Server 2008 R2中的新功能，只要有Internet连接，用户可以在任何时候任何地点连接到他们的企业网络而不再需要VPN。再一次，这里又不需要R2 Active Directory Domain Services，但你至少需要一个域控制器运行Windows Server 2008或更高版本。

还有许多其他功能你可能会考虑实施，包括Hyper-V R2、IIS 7.5、可扩展性和管理功能。而绝大多数这些功能均不要求你升级域控制器。

你可能会想，“新的Active Directory功能怎么样！？我想要这些功能！” 那么好吧，是的，这些功能需要Windows Server 2008 R2版的域控制器，一个或所有都是。

* Active Directory Administrative Center：搭建在PowerShell之上，这是一个全新的管理控制台，它不能安装在Windows Server 2003或2008 R1的计算机上，必须要求安装Windows 7或Windows Server 2008 R2。但注意在你的域中必须至少有一台Windows Server 2008 R2域控制器。

* Active Directory Module for PowerShell：这项功能以命令行脚本的形式提供了管理、配置和诊断等任务。原先要求必须安装一个R2的域控制器，但现在你可以安装微软免费提供的Active Directory Management Gateway Service（ADMGS）。ADMGS还提供了针对Windows Server 2003和Windows Server 2008的版本，不过你还是需要Windows Server 2008 R2或Windows 7来访问这项服务。

* Active Directory Best Practices Analyzer：这项新的管理工具可以收集你现有的域的相关信息并提供改善Active Directory环境的最佳做法。需要说明的是这里再次要求至少有一个R2的域控制器才能有效工作。

* Active Directory Recycle Bin：这里提供了恢复意外删除对象的能力。这个工具必须开启才有效，图形界面并不友好，并且要求所有的域控制器必须运行Windows Server 2008同时Forest level必须提升到R2。你要为这个小工具的所有功能额外花钱，但你完全可以使用免费的工具比如Overall Solutions提供的Active DirectoryRecycleBin等来完成相同的恢复功能，并且对R2和之前的域控制器都有效。

R2的Active Directory中还有一些其他功能你可能会考虑，它们可能会也可能不会要求R2域控制器。根据微软关于Windows Server 2008 R2中的domain level和forest level的一些描述，我们可以给它们分别做一下总结：

* Domain level：包括所有前期版本的功能（2000/2003/2008的功能），以及认证机制保证与自动SPN管理服务。

* Forest level：包括所有前期版本的功能（2000/2003/2008的功能），以及Active Directory Recycle Bin功能。

那么Jim是怎么做的决定呢？他仍然会全面升级所有的服务器包括域控制器和Member Windows Servers吗？还是选择只升级那些需要新增功能的服务器？答案很明显，Jim做出了艰难时期的正确选择。当然Windows Server 2008 R2的新功能不仅局限于这些，还有更多的体验，51CTO.com的读者可以参看《揭密Windows Server 2008 R2最新进展》。

问题是，如果是你会怎么做呢？

【编辑推荐】

1. 专题：Windows Server 2008 R2技术透析
2. Windows Server 2008 R2新功能汇总
3. 安全与效率！Windows Server 2008新技术解析

【51CTO.com译稿，非经授权请勿转载。合作站点转载请注明原文译者和出处为51CTO.com，且不得修改原文内容。】

原文：Don't upgrade to Windows Server 2008 R2 until you read this 作者： Peter Bruzzese