Waar moet je op letten bij een Windows 10 update?

Posted on Posted in Modern Datacenter & Cloud, Professionals

Jaarlijks zijn er meerdere updates van het nieuwste besturingssysteem van Microsoft. Hoe houd je dat goed bij? Hoe bereid je dat voor en waar moet je op letten?

Dat ging vroeger toch anders…
Vanaf de jaren ‘90 werd er ruwweg om de drie jaar een nieuwe versie van het Windows besturingsysteem uitgebracht. Het uitbrengen van Windows 10 heeft hier verandering in gebracht. Windows 10 is nu overgestapt naar een ‘Windows-as-a-Service’ principe. Windows 10 krijgt hierbij 2x per jaar, zo rond maart en september een nieuwe release (via het zogenaamde Semi-Annual Channel). In de naamgeving kun je het jaartal en de maand van de release herkennen. De eerste versie was 1507 en inmiddels zijn we bij versie 1909. We kunnen dus binnenkort weer een update verwachten…

Waarom telkens updaten?
Met deze release cyclus is het belangrijk om goed na te denken over het up-to-date blijven, zodat men gebruik kan maken van de laatste features, maar zeker ook om ondersteuning te kunnen krijgen vanuit Microsoft. Naast de nieuwe releasecyclus, is het Windows 10 besturingssysteem verder ontwikkeld, zodat het werk voor IT-beheer versimpeld is en IT-beheer heeft de mogelijkheden gekregen om een consistente ervaring te leveren aan de eindgebruikers.

Microsoft wil ervoor zorgen dat de gebruikers van het besturingssysteem indirect betrokken zijn bij de ontwikkeling ervan, door middel van het zogenaamde Insider Program. In dit programma krijgen gebruikers de toegang tot de, nog in ontwikkeling zijnde laatste versie van Windows 10, om de nieuwste features te kunnen testen. De gebruikers krijgen vervolgens de mogelijkheid om hierop feedback te geven, zodat die feedback direct kan worden gebruikt tijdens het ontwikkelen van de volgende officiële release.

Het is dan ook wel duidelijk dat met de komst van Windows 10, Windows niet meer het traditionele OS is van vroeger.

Hoe blijf je up-to-date?
Natuurlijk brengt deze nieuwe releasecyclus en het sneller uitbrengen van nieuwe features de vraag met zich mee hoe je daar als beheerafdeling mee omgaat? Eigenlijk kun je gewoon prima gebruik maken van traditionele tooling zoals WDS, MDT, WSUS en/of SCCM. Vaak draait dit al in de IT-omgeving. Ik heb dit in de praktijk al vaker succesvol toegepast.

Let op de veranderingen van policy definities
De policies staan gedefinieerd in zogenaamde ADMX-bestanden. Met de bestaande of nieuwe policy instellingen zijn de vernieuwingen in Windows 10 te beheren. Bij iedere release is het ten zeerste aan te raden om de vernieuwde policy instellingen te bekijken die daarin verwerkt zijn en al dan niet toe te passen wanneer het van toegevoegde waarde is voor de organisatie en het IT-beleid.

Alvorens de oude ADMX-bestanden te vervangen is het aan te raden om een backup te maken van de oude bestanden. Het kan namelijk zo zijn dat er ook policy instellingen verdwijnen in de vernieuwde ADMX-bestanden die wel geconfigureerd zijn in het verleden. De verdwenen policy instelling wordt op de endpoints niet aangepast en blijft bijvoorbeeld als register entry wel gezet. Dat kan gevolgen hebben in de toekomst door bijvoorbeeld conflicterende policy instellingen, en dan werkt een oplossing niet zoals je in eerste instantie wel bedacht had. Door de backup hebben we in ieder geval de mogelijkheid gecreëerd waarin er teruggegaan kan worden naar de situatie zoals die was met de oude instellingen en is een conflicterende instelling sneller te vinden en op te lossen.

Voor Windows 10 werken de ADMX-bestanden ook voor het toepassen van updates. Bij een klant van BCONN ben ik bezig geweest met het bekijken van de voor- of nadelen van Dual Scan, WUfB (Windows Update for Business), WSUS, en andere Windows updatetechnieken. Met de vraag om de Windows 10 Builds naar een baseline op te trekken heb ik de policy instellingen en de WSUS-servers anders ingericht zodat er meer controle over de (feature) updates uitgevoerd kon worden.

Sinds Windows 10 Build 1607 gaat het scannen naar updates via Dual Scan: Windows Update (online) en WSUS. Deze 2 mechanismen worden geactiveerd door specifieke policies. De klant had het probleem dat updates voor Windows in plaats van gedownload te worden van de WSUS-server op (remote) locatie, gedownload werden via internet (Windows Update) en daarmee de internetverbinding dicht trokken, ondanks dat de policies juist geconfigureerd stonden.

Dit probleem werd inzichtelijk bij een remote site, welke ik had voorbereid met de nieuwe policies voor Windows update gekoppeld maar zonder enige goedkeuring van updates binnen WSUS. In de monitoring van de internetverbinding werd een hogere belasting gemeten dan normaal. Met die aanwijzingen ben ik gaan onderzoeken naar de manier waar Windows naar updates scant.

In de afbeelding is te zien welke manier van scannen Windows hanteert. Aan de hand daarvan heb ik via de policies ingesteld dat de endpoints zich bij de WSUS-server melden voor updates.

Tenslotte
Als consultant van BCONN ICT ben ik van mening dat wanneer de technieken al jaar en dag deel uit maken van een IT-omgeving er altijd onderzocht moet worden welke impact het heeft.

Afhankelijk van de strategie om een ondersteunde versie van Windows 10 te houden zal er een plan moeten liggen om de vernieuwingen de baas te zijn. Dit kan met de eerste beschreven traditionele tooling of een alternatieve oplossing van een andere leverancier.

Als je over dit onderwerp meer wilt weten en/of vragen hebt, stuur mij dan gerust een berichtje.

Rob Peeters
Technisch Consultant
rob.peeters@bconn.nl