Wat kun je met Windows Admin Center (WAC) / Project Honolulu

Project Honolulu is door Microsoft in september 2017 voor het eerst aangekondigd aan het publiek. Sindsdien is Windows Admin Center, zoals het tegenwoordig heet, stevig doorontwikkeld. Sindsdien zijn maar liefst 15 major updates uitgebracht, waarvan de laatste versie op het moment van schrijven 1907 is. Maar wat is Windows Admin Center (WAC) en wat kun je er mee?

 

WAC is bedoeld voor systeembeheerders om een grote hoeveelheid van de Windows administratieve programma’s binnen een enkel venster beschikbaar te stellen. Denk hierbij voornamelijk aan de add-ins van MMC (Microsoft Management Console), maar ook het kunnen wijzigen van VM, Hyper-V en Cluster instellingen. Niet alleen de programma’s, maar ook de werkstations, VM’s, hosts en clusters kunnen beheerd worden binnen een enkel venster. Dit alles is beschikbaar via een webbrowser via een gateway of geïnstalleerd op een lokale Windows 10 computer. Microsoft komt in de genoemde opzichten zeker haar belofte waar, toch heeft GTS-Online besloten te wachten op verdere ontwikkelingen alvorens WAC weer serieus te overwegen.

 

Kort en krachtig wat meer informatie over Windows Admin Center

Q: Voor wie is Windows Admin Center ?
A: Systeembeheerders

Q: Wat is Windows Admin Center ?
A: Browser-based Windows management tools

Q: Waar(op) is Windows Admin Center beschikbaar?
A: Stand-alone (alleen op Windows 10, niet Windows Server) of via gateway

Q: Hoeveel kost Windows Admin Center ?
A: Niets, dus gratis

Q: Wat zijn de installatie vereisten?
A: Windows 10 of Windows Server 2012 of later, .NET Framework 5.2.1 of later, Management Framework 5.0 of later (vereist een herstart), Google Chrome (Windows Server 2012, 2012R2, 2016 & Windows 10) of Microsoft Edge (Windows Server 2019 & Windows 10).

Q: Wat kan beheerd worden en welke programma’s zijn daarvoor beschikbaar?
A: Werkstations, VM’s (incl. Azure)Hyper-V serversFailover clusters & Hyper-Convered clusters

 

Beveiliging

Het onderzoek van GTS-Online naar Windows Admin Center heeft zich alleen gefocust op de gateway variant. Hierin zijn een aantal opties meer beschikbaar die onder andere te maken hebben met beveiliging. Zowel de integratie met Azure Active Directory als Role-Based Access Control zijn mooie features voor WAC. Beide kunnen gebruikt worden om rechten van systeembeheerders te verkleinen en alleen de noodzakelijk toegang te verlenen. De integratie met Azure AD maakt het mogelijk om de instellingen van WAC zelf beter te beveiligen. Na de implementatie is het mogelijk om te bepalen welke beheerders wel en wie niet de instellingen van WAC mag wijzigen.

Met WAC beveiligd is het natuurlijk nog zaak om het beheer van de servers en clusters te kunnen verdelen. Hiervoor wordt Role-Based Access Control voor gebruikt. Dit kan per server/cluster ingesteld worden via WAC of in bulk via Powershell. Na de implementatie is het mogelijk om een administrator te plaatsen in drie lokale groepen. WAC Administrators (alle rechten), WAC Hyper-V Administrators (alleen Hyper-V schrijfrechten) of WAC Readers (alleen leesrechten). Aan dit alles zit wel een kanttekening: als de betreffende administrator in de lokale administrator groep zit, dan wel op de WAC server als op de beheerder server/cluster, heeft deze administrator altijd volledige rechten.

 

Auditing

Naast beveiliging is natuurlijk auditing ook een belangrijk onderwerp. Over auditing is in WAC goed nagedacht en bevat bijna alle informatie die interessant is om te weten. De reden hiervoor is dat alles dat WAC uitvoert gedaan wordt met Powershel en/of WMI. Dit maakt het vrij gemakkelijk om de uitgevoerde acties in Eventviewer te plaatsen. De ervaring leert dat echter bij een aantal acties toch nog wat informatie miste in de auditing. Als voorbeeld, zodra een service werd gestopt of gestart was alles zichtbaar, behalve de naam van de service. Dit is wel vrij kritische informatie en de auditing is hierdoor niet toereikend. Hier is dan ook een melding van gemaakt richting Microsoft. De auditing van WAC kan overigens gevonden worden in Eventviewer onder de naam “Microsoft-ServerManagementExperience”.

Prestaties

Ook niet geheel onbelangrijk is hoe WAC presteert. Onze bevindingen zijn dat WAC ‘ok’ presteert. Alle informatie en acties verlopen via een externe verbinding en daardoor is altijd een vertragende factor aanwezig. Real-time informatie is alweer 5 seconden oud als het weergeven wordt via WAC en het maken van verbinding duurt even lang als het opzetten van een RDP-verbinding of inloggen via een console. Het gebruik van de administratieve programma’s duurt ook wat langer (enkele seconden) in verhouding tot de lokale computer. Het grootste voordeel blijft dus de aanwezigheid van allerlei verschillende programma’s binnen een enkel venster, waardoor sneller gewisseld kan worden.

Het gebruik van WAC ten opzichte van de gebruikelijke wijze is dus misschien iets sneller, maar wat is de impact van WAC t.o.v. de beheerde server? Dit blijkt vrij minimaal te zijn in een standaard situatie, namelijk enkele 100’en MB’s aan memory en enkele procenten aan CPU verbruik (met 4 vCPU’s). Ik schrijf expliciet in een standaard situatie, want het is mogelijk om de hoeveelheid werkgeheugen zeer snel te verhogen tot verontrustende getallen. Zodra namelijk de administratieve programma’s op een nieuw tabblad van de webbrowser worden geopend lijken deze additief werkgeheugen op te eisen. Het duurt ook minimaal 30 minuten tot 2 uur alvorens dit geheugen weer wordt vrijgegeven na het sluiten van het tabblad.

 

Onze conclusies

WAC is een programma met veel potentie. Het is een zeer sterk concept dat Microsoft biedt in slechts één overzichtelijk venster. Daarnaast wordt zeer veel ontwikkeld door Microsoft, maar ook door third party organisaties die zogenoemde extension maken voor WAC. Microsoft biedt ook veel aandacht naar suggesties vanuit de gebruikers.

Toch zal WAC voor veel organisaties onvoldoende ontwikkeld zijn. De implementatie kan een redelijke uitdaging zijn. Veel organisaties maken nog uitgebreid gebruik van Windows Server 2008R2 en lager (of deze nu nog supported zijn door Microsoft of niet), de installatie van Management Framework vereist een herstart en de nodige uitdagingen met Kerberos Delegation. Verder is nog een grote lijst aan ‘known issues’ die eerder langer dan korter wordt. Als laatste zal toch echt een verbetering van de prestaties moeten komen alvorens het een betere optie is.

Voor meer informatie kunt u het beste terecht op de docs-pagina van Microsoft.