Supergids: Migratie van Windows 7 naar Windows 10

De klok tikt en het is de hoogste tijd om serieus werk te maken van het verlaten van Windows 7 in een zakelijke IT-omgeving. In dit artikel kijken we naar het migratietraject en de veranderingen die je doorloopt als je overstapt op Windows as a Service, zodat je goed beslagen ten ijs komt.

1 2 Page 2
Page 2 of 2

Voor grotere omgevingen is het wellicht verstandig om het uitrolritme in fases te doen zodat bijvoorbeeld de helft van je machines in productie 1709 draaien en in het voorjaar van 2019 zou je de helft kunnen overzetten naar 1809. In het voorjaar daarop zou je de 1709-machines kunnen overzetten naar 1909 en in het voorjaar van 2021 zou je de 1809-machines bijwerken naar Windows 10 2009, enzovoorts. Met dit ritme ben je elk jaar iets aan het upgraden, maar eventuele problemen hebben een minder grote impact op de organisatie en je leert van builds terwijl je ze uitrolt. Dan zou je planning er als volgt uitzien:

Groep één

  • Build 1709 is nu klaar voor uitrol en zou in het voorjaar van 2020 moeten worden bijgewerkt naar build 1909.
  • Build 1909 zou klaar moeten zijn voor uitrol in het voorjaar van 2020 en zou in het voorjaar van 2022 moeten worden bijgewerkt naar build 2109.
  • Build 2109 zou klaar moeten zijn voor uitrol in het voorjaar van 2022 en zou in het voorjaar van 2024 moeten worden bijgewerkt naar build 2309.
<br>

Groep twee

  • Build 1809 zou klaar moeten zijn voor uitrol in het voorjaar van 2019 en zou in het voorjaar van 2021 moeten worden bijgewerkt naar build 2009.
  • Build 2009 zou klaar moeten zijn voor uitrol in het voorjaar van 2021 en zou in het voorjaar van 2023 moeten worden bijgewerkt naar build 2209.
  • Build 2209 zou klaar moeten zijn voor uitrol in het voorjaar van 2023 en zou in het voorjaar van 2025 moeten worden bijgewerkt naar build 2409.
<br>

Het beheren van de Windows 10-uitrol

Als je eenmaal een kanaal hebt gekozen is het tijd om te kijken naar de tooling: hoe krijg je de nieuwe bitjes naar de machines? De meesten van ons hebben al een imagesysteem opgezet en dat werkt in de regel prima met Windows 10, dus de initiële migratie - het overzetten van Windows 7 of 8.1 naar Windows 10 - kan prima met de tool die je hiervoor gebruikt.

Maar kijk naar wat wijsheid is als je eenmaal naar Windows 10 bent gemigreerd en het nieuwe migratieritme pakt van Windows as a service. Volgens Microsofts originele richtlijn om releases te evalueren en uit te rollen zijn er drie fases aan dit nieuwe traject:

Voorbereiding: Dit bestaat grotendeels uit het inzetten van de testbuilds uit Windows Insider op een beperkte groep test- en ontwikkelsystemen zodat je een oogje in het zeil kunt houden van welke veranderingen er aan zitten te komen en om enkele compatibiliteitstests te doen.

Uitrol (targeted): Hierbij kies je een groep van tech-handige gebruikers, of gevarieerde machines met uiteenlopende configuraties, zodat je een beter beeld krijgt van hoe de nieuwe versie functioneert in je omgeving om te documenteren.

Uitrol (breed): Als je Insider-tests en 'bèta-gebruikers' de nieuwe versie hebben gehad en je zeker bent dat een versie geen issues of fouten die te voorzien waren oplevert in je organisaties, kun je bedrijfsbreed uitrollen.

Microsoft heeft geen schema's voor deze fases, maar ik zou adviseren om de Insider-builds zo vaak te bekijken als je wilt. Vermoedelijk is de Slow-ring hier het beste omdat Fast vaker bugs bevat voordat de build naar Slow gaat. Daarna kun je een maand tot zes weken (vermijd de feestdagen) testen met een groep praktijktesters die werken met de officiële release om grote issues op te merken wanneer deze optreden. Hoe stel je deze groep samen? Dat doe je met uitrolgroepen of -ringen.

Aanmaken en beheren van uitrolgroepen

Er zijn in feite twee manieren om uitrolgroepen te beheren voor de WaaS-aanpak: door de System Center Configuration Manager (SCCM) te gebruiken die je in een grote organisatie waarschijnlijk al hebt, of Microsoft Intune, het cloudgebaseerde apparaatbeheersysteem dat zich richt op kleinere organisaties die niet willen investeren in System Center-licenties. Er is ook een 'hacky' manier om updates te beheren, en daar ga ik ook zo op in.

System Center Configuration Manager

System Center Configuration Manager is een beest en het behandelen van het opzetten van SCCM is ver voorbij de scope van dit toch al uitgebreide artikel, maar gelukkig genoeg heeft Microsoft enkele goede resources beschikbaar waarin in detail wordt uitgelegd hoe je update- en uitrolinstellingen van Windows 10 configureert. Hier zijn een paar waar ik je specifiek naar wil verwijzen als je SSCM gaat gebruiken voor Windows 10-uitrol:

Deploy Windows 10 in a test lab using SCCMDeploy Windows 10 updates using SCCM

Windows Intune

Aan de andere kant heb je met een creditcard en een paar uur stoeien met Group Policy aan Microsoft Intune een goede kandidaat om het beheer van de uitrolgroepen te testen. Intune besteedt de Windows as a Service-componenten uit aan Windows Update for Business (WUB), wat een beetje lijkt op de nieuwe versie van Windows Server Update Services (WSUS).

Met WUB zet je een uitrolstrategie op en kun je updatekanalen en uitstel-timeouts instellen voor verschillende groepen apparaten, hier 'ringen' genoemd, om de uitrol van een nieuwe versie van Windows 10 op te zetten en te beheren. Daarnaast kan WUB de uitrol stopzetten als je testgroep tegen compatibiliteitsissues aanloopt in je omgeving en je kunt ook op maat aanpassen hoe de update wordt uitgevoerd, inclusief welke uren van de dag de update wordt uitgerold, of ze stilletjes of onbeheerd wordt uitgerold en of ze een automatische herstart uitvoeren of niet.

Om hiermee te starten, ga je naar de Azure Intune-portal. Kies hier voor Alle services en scrol naar Microsoft Intune of filter op 'Intune'. Vanuit het veld Intune kies je Software-updates en daarin Windows 10 update-ringen. Klik op Maken om hiermee te beginnen en doorloop de volgende stappen:

1. Kies een naam en een omschrijving van de groep/ring testsystemen.

2. Kies Configureren.

3. Kijk naar de volgende componenten en kies welke optie van toepassing is:

  • Servicing-kanaal: Kies hier welke van de updatekanalen je wilt gebruiken.
  • Microsoft-productupdates: Hier bepaal je of deze ring Microsoft-updates en/of nieuwe onderdelen-updates (upgrades naar nieuwe versies) krijgt.
  • Controles voor opnieuw opstarten: Selecteer hier of Windows bij het opstarten kijkt naar actieve applicaties, gebruikers op het systeem en meer. Deze stap kun je overslaan.
  • Windows-stuurprogramma's: Kies of je nieuwe apparaatdrivers wilt meenemen voor de componenten in de systemen van deze groep.
  • Gedrag voor automatische updates:/b] Stel hier in hoe de systemen in deze groep zoeken naar updates, ze downloaden en installeren.Uitstelperiode voor kwaliteitsupdates (dagen): Hier bepaal je het aantal dagen - tot op dertig - hoe lang kwaliteitsupdates (de maandelijkse patchbundel) worden uitgesteld na hun release.
  • Uitstelperiode voor upgrades van onderdelen (dagen): Hier bepaal je het aantal dagen - topt op 180 - dat onderdelen-updates (de halfjaarlijke upgrades) worden uitgesteld na hun release.
  • Delivery Optimization: Hier kies je hoe de updates worden afgeleverd (bijvoorbeeld door ze te delen over werkstations in het hetzelfde LAN, zodat niet elk apparaat afzonderlijk via het internet de hele update hoeft binnen te halen). Ik raad HTTP Only aan of 0 voor de beste security. De andere opties gaan over gedeelde netwerkcaching, wat mij een potentieel beveiligingsissue lijkt.
<br>

4. Als de eerste configuratie is voltooid, kun je instellen hoelang onderdelen-updates precies worden uitgesteld. Dat komt hierop neer: als je Semi-annual-kanaal (Targeted) kiest, een uitstelperiode van 60 dagen en de update komt uit op 15 oktober, betekent dat apparaten pas meedoen aan de update half december. Dat is vrij vanzelfsprekend. Maar als je Semi-annual-kanaal kiest en 60 dagen uitstelt, is een onderdelen-update die op 15 oktober uitkomt voor ongeveer de eerste drie maanden beschikbaar in het Targeted-kanaal vóórdat het naar het reguliere kanaal schuift schuift. Dat betekent dat die onderdelen-update 60 dagen later wordt toegepast ná die drie maanden en dan moet je denken aan halverwege maart.

5. Klik op OK en als het scherm Update-ring maken weer in beeld komt, klik op de knop Maken.

De low-budget optie: WSUS

Onderdelen-updates in een doorsnee zakelijke configuratie worden afgeleverd via WSUS en niet via Microsoft Update in het OS. Machines in je netwerk communiceren met WSUS en krijgen alleen de updates die WSUS in zijn repository heeft staan. Omdat deze machines afhankelijk zijn van wat WSUS heeft gesynchroniseerd met Microsoft Update kun je de onderdelen-update via de WSUS-console weigeren, waarna machines de update pas toepassen op het moment dat je de onderdelen-update hebt gesynchroniseerd. Dat heeft als grote nadeel dat je niet de fijnmazigheid hebt van testupdates en ringen om naar uit te rollen, maar aan de andere kant is het de simpelste manier om absolute controle in handen te houden over het tijdspad van update-uitrol.

Het is vrij simpel om de updates in- en uit te schakelen. Met de WSUS admintool in de MMC-utility kies je links Opties en klik je op Producten. In deze tree zie je Windows 10 en Windows 10 LTSC die je hier kunt aanvinken om te synchroniseren en de onderdelen-updates beschikbaar te maken (en uitvinken om ze weer te verbergen). Als je eenmaal alle selecties hebt gedaan, kun je in het linkerveld de synchronisatie activeren, waarna WSUS de updates die je nodig hebt binnenhaalt.

Compatibiliteitstests van applicaties

Een van de belangrijkste taken als je een migratie naar Windows 10 plant en uitvoert is het testen of applicaties die veel worden gebruikt compatibel zijn met de nieuwe build. Traditioneel was dit een eenmalig voorstel, omdat je dit bijvoorbeeld deed wanneer je migreerde van iets als XP naar Windows 7. Maar omdat Windows 10 doorlopend wordt uitgegeven, moeten beheerders meer dan ooit compatibiliteit doorlopend blijven controleren.

De eerste stap is om een overzicht te maken van alle programma's die in de organisatie draaien, van de voor de hand liggende kandidaten als Office en SAP naar de kleine utilities die enkel ergens op een buitenlocatie worden gebruikt. Je gebruikt daar het beste een softwareinventarissysteem voor, zoals System Center. Als je nog geen masterlijst hebt van software is dit een uitgelezen moment om die aan te maken. Tot voor kort moest je ook kijken naar webapplicaties, aangezien standaardbrowser Edge enkele compatibiliteitsissues heeft gehad met bepaalde pagina's. We moeten even afwachten hoe dit loopt nu Microsoft overstapt op Chromiums Blink, maar het is niet onverstandig webapps in het achterhoofd te houden bij de inventarisatie.

Als je deze lijst hebt, maak vervolgens een prioritering op basis van hoe belangrijk de applicatie is voor de bedrijfsvoering. Ik zou als vuistregel kijken naar non-mainstream software en het aantal gebruikers daarvan, aangezien je kunt verwachten dat de meeste software die je nu kunt kopen en/of wordt ondersteund inmiddels redelijk compatibel is met Windows 10. Als je zelfgemaakte apps hebt die problemen geven, kun je deze ook sorteren op het aantal geïnstalleerde instances en je eerst richten op de meeste gebruikte applicaties van die categorie.

Microsoft zegt op zijn eigen pagina over een update-strategie voor Windows 10: "Alleen de kritiekste bedrijfsapplicaties moeten worden getest voor de pilotfase; de rest kan naderhand worden getest." Dat lijkt me een agressieve (en onbezonnen) strategie. Tenzij je werknemers onderbrekingen prima vinden, is het verstandig om populaire eigen applicaties nog voor de pilot te testen, vooral als ze ouder zijn of op webpagina's inprikken, waardoor ze sneller op calls en componenten leunen die niet meer worden ondersteund in Windows 10.

Daarna kun je een combinatie van tools gebruiken om de verschillen uit te diepen:

  • Handmatig testen: het zelf of met een pilotgroep van gebruikers testen van applicaties, doorgaans samen met je updateringen en/of pilotgroep. Dit kost tijd, maar is wel erg effectief.
  • Upgrade Analytics: de Application Compatibility Toolkit van Microsoft biedt een verrassend uitgebreide set geautomatiseerde tests als je abonnee bent van de optionele Microsoft Operations Management Suite (OMS). De OMS-portal verdwijnt overigens vanaf januari en gaat dan op in Azure Monitor. Met de ACT wordt de code van een executable bekeken en vergeleken met API-calls en procedures die niet werken binnen het beveiligingsmodel van Windows 10.
<br>

Gebruikers voorlichten

Er zal redelijk wat worden geklaagd door gebruikers over spullen die verplaatst zijn in Windows 10, maar Microsoft is wel goed in het verstrekken van informatie voor IT'ers, inclusief over hoe je migratie- en dienstverleningswijzigingen kunt communiceren naar eindgebruikers. Je vindt een hoop nuttige informatie op de (Engelstalige) IT Pro subsite Windows 10 end user readiness.

Ten slotte

Migreren naar Windows 10 is een onderneming. Het is behoorlijk wat werk om ervoor te zorgen dat software compatibel is, dat je de juiste releases kiest, dat je de levenscyclus van versies goed voor ogen hebt en dat je Windows as a Service onder de knie krijgt. Maar hopelijk levert al dat werk op dat je bedrijf goed uit de voeten kan met het gebruikte besturingssysteem.

Related:

Copyright © 2018 IDG Communications, Inc.

1 2 Page 2
Page 2 of 2
7 inconvenient truths about the hybrid work trend
Shop Tech Products at Amazon