WSUS – Windows Server Update Services

Stell dir vor, 300 Windows-PCs und Server in deinem Unternehmen müssen jeden Monat Sicherheitsupdates erhalten. Ohne zentrale Verwaltung würde jedes Gerät die Updates einzeln von Microsoft-Servern herunterladen – das sind bei 300 Geräten und typischen Patch-Tuesday-Updates schnell hunderte Gigabyte an Datenverkehr ins Internet. Und du hast keine Kontrolle: Wann wird installiert? Wurde ein kritischer Server schon gepatcht? Hat Update XY Probleme mit eurer Software?

Genau das löst WSUS (Windows Server Update Services). WSUS ist ein kostenloser Windows-Server-Dienst, der als zentraler Update-Server im internen Netzwerk arbeitet. Er lädt Updates einmal von Microsoft herunter, speichert sie lokal, und verteilt sie dann nach deinem Zeitplan an alle Clients. Du genehmigst Updates bevor sie ausgerollt werden, gruppierst Computer in Testziele und Produktionsziele, und siehst in einer Übersicht welche Geräte schon gepatcht sind und welche nicht.

1) Wie WSUS im Netzwerk arbeitet

Der Datenfluss mit WSUS ist einfach: Microsoft veröffentlicht Updates auf seinen Update-Servern. Dein WSUS-Server synchronisiert diese Updates einmal – den Traffic bezahlt das Unternehmen nur einmal, nicht einmal pro Gerät. Die Clients sind per Gruppenrichtlinie (GPO) so konfiguriert, dass sie Updates nicht von Microsoft, sondern von deinem WSUS-Server beziehen. Du genehmigst welche Updates ausgerollt werden sollen.

WSUS-Datenfluss – von Microsoft zu den Clients

Microsoft Update

update.microsoft.com
Quelle aller Updates

→ einmal täglich
synchronisieren →

WSUS-Server

Intern im LAN
Genehmigung + Verteilung

→ nach Zeitplan
verteilen →

Clients / Server

Beziehen Updates
intern vom LAN

WSUS-Computer-Gruppen: Erstelle Gruppen wie „Testgeräte" (10 PCs), „Workstations-Produktion" und „Server-Kritisch". Updates werden zuerst an Testgeräte genehmigt – wenn alles funktioniert, dann erst an die Produktion. So verhinderst du, dass ein buggy Update 300 Rechner gleichzeitig kaputt macht.

2) WSUS einrichten – die wichtigsten Schritte

Die Einrichtung besteht aus vier Phasen: Rolle installieren, initialen Setup-Wizard durchlaufen, Computer-Gruppen anlegen, und Clients per GPO auf WSUS umleiten. Klicke die Phasen auf:

WSUS-Einrichtung – Phasen aufklappen

1WSUS-Rolle installieren▼

WSUS benötigt eine eigene Datenbank (WID = Windows Internal Database oder SQL Server) und einen Speicherpfad für Update-Dateien. Plane mindestens 50–100 GB Speicher je nach Update-Umfang. Install-WindowsFeature -Name UpdateServices -IncludeManagementTools # Post-Installation Konfiguration (Datenbankpfad + Update-Speicher): & "C:\Program Files\Update Services\Tools\WsusUtil.exe" postinstall CONTENT_DIR=D:\WSUS

2Erstkonfiguration: Produkte und Klassifizierungen wählen▼

Im WSUS-Manager (wsus.msc) den Setup-Wizard starten. Wichtig: Wähle nur die Produkte aus die du wirklich hast (Windows Server 2022, Windows 11, Office...). Klassifizierungen: Mindestens „Sicherheitsupdates" und „Kritische Updates". Weitere nach Bedarf. Erste Synchronisierung kann Stunden dauern.

3Computer-Gruppen anlegen und Updates genehmigen▼

Gruppen in WSUS: Computers → All Computers → rechtsklick → Add Computer Group. Empfehlung: „Test-PCs", „Workstations", „Server-Non-Critical", „Server-Critical". Updates zuerst für Test-PCs genehmigen: Update auswählen → Approve → Computer-Gruppe auswählen → Install. Nach erfolgreichen Tests: auch für Produktion genehmigen.

4Clients per GPO auf WSUS umleiten▼

GPO erstellen und mit der gewünschten OU verknüpfen. Pfad: Computer Configuration → Administrative Templates → Windows Components → Windows Update. Zwei Einstellungen: # Intranet Microsoft Update Service Location: http://WSUS-Server:8530 (HTTP) oder https://WSUS-Server:8531 (HTTPS) # Configure Automatic Updates: Option 4 = herunterladen + zur gewählten Zeit installieren Nach GPO-Update meldet sich der Client beim nächsten Windows-Update-Check am WSUS-Server. Clients in WSUS sichtbar unter Computers → All Computers.

WSUS-Wartung: Einmal im Monat Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates ausführen. Ohne regelmäßige Bereinigung wächst die WSUS-Datenbank auf zig GB an und wird langsam.

Zusammenfassung

WSUS = zentraler Update-Server. Vorteile: Bandbreiteneinsparung, Kontrollierter Rollout, Genehmigungsprozess, Compliance-Reporting. Computer-Gruppen für gestaffelten Rollout (Test → Produktion). Clients per GPO auf WSUS umleiten (Port 8530/8531). Monatliche Bereinigung der WSUS-Datenbank nicht vergessen.

WSUS – Windows Server Update Services

1) Wie WSUS im Netzwerk arbeitet

2) WSUS einrichten – die wichtigsten Schritte

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title