Definition

Windows Server Update Services (WSUS)

Was ist Windows Server Update Services (WSUS)?

Windows Server Update Services (WSUS) ist eine Windows-Serverrolle, mit der Updates, Service Packs, Patches und Hotfixes für Windows-Server, Client-Betriebssysteme (OS) und andere Microsoft-Software geplant, verwaltet und bereitgestellt werden können. Systemadministratoren können damit steuern, wann und wie Systeme Updates installieren, und Clients erhalten eine zentrale Anlaufstelle für Updates. Die Lösung wurde für den Einsatz in kleinen und mittelständischen Unternehmen konzipiert. In der Regel fallen keine zusätzlichen Kosten an, wenn WSUS einem Windows-Netzwerk hinzugefügt wird.

WSUS wird auf Microsoft Windows Server installiert und ist ein einfaches Tool, mit dem Systemadministratoren Microsoft-Windows-Updates verwalten können. Es ist für verschiedene Windows Server und Client-Betriebssysteme verfügbar, zum Beispiel Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, 2016, 2019, 2022 und 2025. Alle unterstützten Microsoft-Client-Betriebssysteme können WSUS verwenden, einschließlich Windows 8.1, 10 und 11. Allerdings wird es keine neuen Fähigkeiten für WSUS mehr geben, es wird nur die aktuelle Funktionalität aufrechterhalten. Mehr dazu erfahren Sie hier.

Praktische Anwendungen und Vorteile von WSUS

Mit WSUS kann eine Organisation steuern, wann und wie ihre Windows-Geräte Betriebssystem-Updates und -Patches erhalten. Zu den praktischen Anwendungen und Vorteilen von WSUS gehören:

  • automatisierte Updates: WSUS ermöglicht automatische Updates innerhalb bestimmter Parameter. Ohne WSUS installieren Clients Updates, sobald sie von Microsoft verfügbar sind. Das kann dazu führen, dass Clients unterschiedliche Patch-Level aufweisen oder Patches installieren, die die Software beschädigen oder während der Arbeitszeit installiert werden, was zu Ausfallzeiten der Mitarbeiter führt.
  • Tests und Genehmigungen: Durch die Verwendung von WSUS haben Systemadministratoren Zeit zu testen, ob die Updates mit ihrem Netzwerk funktionieren und keine Kompatibilitätsprobleme verursachen. Außerdem können sie die Updates während eines Wartungszeitraums installieren, sodass die Produktionsarbeit nicht beeinträchtigt wird. Beispielsweise möchte eine Organisation vermeiden, dass während der Steuererklärung Updates in der Buchhaltungsabteilung installiert werden.
  • Berichterstellung und Überwachung: WSUS bietet Berichte über Windows Updates in einer Organisation. Systemadministratoren können anhand dieser Informationen überprüfen, ob alle Clients Sicherheits-Updates korrekt installieren und dieselben Updates anwenden. Dadurch wird sichergestellt, dass die Systeme über die richtigen Sicherheits-Patches verfügen, wodurch die allgemeine Anfälligkeit des Netzwerks verringert wird.
  • zentralisierte Update-Verwaltung: Ohne WSUS rufen alle Clients Updates direkt von Microsoft-Servern ab. In Netzwerken mit vielen Clients oder mit geringer Bandbreite kann das zu einer übermäßigen Internetnutzung führen und die Produktivität beeinträchtigen. Mit WSUS als zentraler Stelle lädt der Server nur eine Kopie des Updates von Microsoft herunter und alle Clients können das Update von dort beziehen. Durch diesen Ansatz werden Hochgeschwindigkeits-LAN-Verbindungen besser genutzt und die Internetnutzung insgesamt reduziert. WSUS unterstützt mehrere Sprachen und kann die Informationen für diese Sprachen selektiv zur Verfügung stellen.
  • benutzerdefinierte Updates: WSUS ermöglicht es Administratoren, Updates in benutzerdefinierten Kategorien zu organisieren, die auf Kriterien wie Wichtigkeit, Typ oder Produkt basieren.
  • Bandbreiteneinsparung: Durch das einmalige Herunterladen von Updates auf den WSUS-Server und die anschließende interne Verteilung, beispielsweise über einen nachgeschalteten Server, können Organisationen Internetbandbreite einsparen. Das ist besonders große Organisationen mit vielen Computern nützlich, bei denen das individuelle Herunterladen von Updates die Netzwerkressourcen belasten könnte.
  • Compliance und Sicherheit: WSUS unterstützt Organisationen bei der Einhaltung von Sicherheitsstandards und -vorschriften, indem sichergestellt wird, dass alle Systeme mit den neuesten Sicherheits-Patches und -korrekturen auf dem neuesten Stand sind. Das ist für den Schutz sensibler Daten und die Minderung von Sicherheitsrisiken von entscheidender Bedeutung.
Patch-Managementsoftware: eine-Kosten-Nutzen-Analyse
Abbildung 1: WSUS ermöglicht Systemadministratoren die Kontrolle und Verwaltung aller Aspekte von Updates, Patches und Hotfixes für Microsoft-Betriebssysteme und Softwareprodukte.

Anforderungen an die WSUS-Datenbank

Bei der Planung der Bereitstellung von WSUS sollen Organisationen ihre Hardware- und Datenbankanforderungen berücksichtigen, die von der Anzahl der zu aktualisierenden Client-Computer innerhalb der Organisation abhängen.

Zu den verschiedenen Datenbankanforderungen für eine WSUS-Bereitstellung gehören die folgenden:

  • Anforderungen an die Datenbanksoftware: Microsoft SQL Server Express 2008 R2 hat eine Beschränkung der Datenbankgröße von zehn GByte, was in der Regel den Anforderungen von WSUS entspricht. Die Entscheidung für diese Datenbank anstelle der Windows Internal Database (WID) bietet jedoch keine wesentlichen Vorteile. Eine WID-Datenbank hat eine Mindestanforderung an RAM von zwei GByte zusätzlich zu den Standard-Windows-Server-Systemanforderungen.
  • Datenbankgröße und -inhalt: Updates bestehen aus Metadaten, die die Beschreibung des Updates erforderlichen Dateien enthalten. Die Update-Metadaten sind in der Regel viel kleiner als das eigentliche Update und werden in der WSUS-Datenbank gespeichert. Die Update-Dateien werden jedoch auf einem lokalen WSUS-Server oder einem Microsoft-Update-Webserver gespeichert.
  • Mindestanforderungen an die Hardware: Microsoft empfiehlt mindestens zwei GByte RAM und 40 GByte Speicherplatz für den WSUS-Server. Im Unternehmen werden jedoch in der Regel mindestens 64 GByte RAM und mehr als ein TByte WSUS-Inhalte verwendet.
  • zusätzliche Hardwareanforderungen: Für WSUS sind zusätzlich zu den Standardanforderungen des Servers und denen aller anderen Dienste oder Software zwei GByte RAM erforderlich. Es wird empfohlen, einen separaten Server oder eine virtuelle Maschine, die ausschließlich für WSUS verwendet wird, zusammen mit einer SQL- oder SQL-Express-Instanz für die Datenbank zu verwenden.

WSUS-Lizenz- und Betriebssystemanforderungen

Für WSUS ist keine zusätzliche Lizenz für den Server erforderlich. Clients, die eine Verbindung zu WSUS herstellen, benötigen lediglich eine Windows Server Client Access License (CAL). Da die meisten Organisationen bereits Windows Server und CALs erwerben, fallen für WSUS in der Regel keine zusätzlichen Kosten an.

WSUS unterstützt nur Microsoft-Produkte, wie zum Beispiel Windows- und Microsoft-Office-Updates. Es ermöglicht Administratoren nicht, neue Software zu installieren oder andere Produkte, wie zum Beispiel Google Chrome, zu aktualisieren. Es unterstützt auch keine anderen Betriebssysteme, wie zum Beispiel macOS oder Linux.

Verwendung von WSUS

Im Folgenden wird Schritt für Schritt beschrieben, wie WSUS verwendet und konfiguriert wird:

Schritt 1: Installation von WSUS

WSUS wird mithilfe des Microsoft-Windows-Server-Managers auf einem Upstream-Server als Serverrolle installiert. Dieser Server bietet Funktionen zur Verwaltung und Verteilung von Updates über eine Verwaltungskonsole.

Sobald die Rolle aktiviert ist, steht sie zur Verwendung bereit. Es gibt einige Voraussetzungen, darunter .NET, Microsoft Report Viewer, Internet Information Services und eine Datenbank wie Windows Internal Database oder SQL. All diese Voraussetzungen sind auf Windows Server frei verfügbar.

Je nach Größe des Netzwerks kann WSUS auf einem einzelnen Server oder auf mehreren Servern, die zusammenarbeiten, installiert werden. WSUS-Server können aktualisierte Inhalte und Konfigurationen untereinander austauschen. Dadurch können extrem große Netzwerke und verschiedene Bürostandorte jeweils über einen eigenen Server verfügen. Organisationen können WSUS auch ohne Internetverbindungen verwenden. Auf diese Weise können Hochsicherheitsnetzwerke regelmäßige Patches erhalten, ohne das Netzwerk dem Internet auszusetzen.

Schritt 2: Client-Konfiguration

Es reicht nicht aus, nur einen WSUS-Server in einem Netzwerk bereitzustellen. Die Clients müssen so konfiguriert werden, dass sie sich mit diesem Server und nicht mit Microsoft Update verbinden. Systemadministratoren konfigurieren den Client häufig mithilfe der Gruppenrichtlinie, können ihn aber auch über Microsoft System Center Configuration Manager (SCCM), die Verwaltung mobiler Geräte oder manuell mit Registrierungsschlüsseln einrichten. Die Einstellungen können über Gruppenrichtlinienobjekte konfiguriert werden, wenn Active Directory verwendet wird.

Administratoren können festlegen, wie Clients Updates installieren, ob sie nach der Installation neu gestartet werden und ob Benutzer über die Updates benachrichtigt werden sollen.

Schritt 3: Verwaltung von Updates

Der Windows Update Agent führt die Aktionen auf dem Client aus, um Updates zu installieren. Er stellt eine Verbindung zum WSUS-Server her, sucht nach erforderlichen Updates und lädt diese dann herunter und installiert sie. Der Download verwendet den Microsoft Windows Background Intelligent Transfer Service, um die Bandbreitennutzung zu optimieren.

Für den Betrieb von WSUS müssen einige Ports im Netzwerk geöffnet sein. Der Server muss über die Ports 80 und 443 mit den Windows-Update-Servern im Internet kommunizieren können, um die Update-Pakete zu erhalten. Clients stellen standardmäßig über die Ports 8530 und 8531 eine Verbindung zum WSUS-Server her, diese können jedoch geändert werden.

Schritt 4: Test und Genehmigung von Updates

Nach der Synchronisierung sollten Administratoren die verfügbaren Updates in der WSUS-Konsole überprüfen. Sie können Updates für die Bereitstellung auf bestimmten Computergruppen oder allen Computern innerhalb der Organisation genehmigen. Es wird empfohlen, Updates auf einer Teilmenge von Computern zu testen, bevor sie für eine breite Bereitstellung genehmigt werden.

Schritt 5: Automatisierung von Aufgaben

Die WSUS-Verwaltungskonsole hilft bei der Automatisierung von Genehmigungen mithilfe von Regeln und Administratoren können Regeln basierend darauf festlegen, wann ein bestimmtes Update verfügbar wird, für welche Produkte Updates verfügbar sind oder wann ein Update genehmigt werden sollte.

Windows-PowerShell-Skripte können auch zur Automatisierung von Aufgaben wie Genehmigungen, Bereinigungen, Synchronisierungen und der Planung von Update-Installationen verwendet werden.

Schritt 6: Überwachung und Berichterstellung

Administratoren sollten die WSUS-Konsole verwenden, um den Update-Status von Client-Computern zu überwachen, fehlgeschlagene Installationen zu verfolgen und Berichte über die aktualisierte Compliance und den Bereitstellungsfortschritt zu erstellen.

Schritt 7: Regelmäßige Wartung

Administratoren sollten die Updates regelmäßig überprüfen und installieren, sobald sie verfügbar sind. Außerdem sollten sie die Leistung des WSUS-Servers und die Nutzung des Festplattenspeichers überwachen. Um eine optimale Leistung zu gewährleisten, sollten auch regelmäßige Datenbankwartungsaufgaben durchgeführt werden.

Installation der WSUS-Verwaltungskonsole mit PowerShell
Abbildung 2: Systemadministratoren können die WSUS-Verwaltungskonsole mithilfe von PowerShell installieren.

Kann WSUS Software von Drittanbietern aktualisieren?

WSUS kann Software von Drittanbietern aktualisieren. Durch ein Verfahren namens lokale Veröffentlichung (local publishing) können Systemadministratoren die Nutzung von WSUS-Patching-Mechanismen erhöhen, um Korrekturen für Programme von Drittanbietern wie Java und Adobe Reader bereitzustellen. Bei diesem Prozess werden zusätzliche Verwaltungs-Tools verwendet, um Update-Pakete mit den Binärdateien und den entsprechenden Zertifikaten auf dem WSUS-Server zu veröffentlichen. Administratoren können diese Technologien auch nutzen, um lokal erstellte und getestete Software und benutzerdefinierte Upgrades auf Client-Computer zu übertragen.

Außerdem können Software-Updates von Drittanbietern über die Configuration-Manager-Konsole aktiviert und Update-Signaturzertifikate von Drittanbietern automatisch über WSUS verwaltet werden.

Es ist wichtig zu wissen, dass WSUS von Haus aus kein Patch-Management von Drittanbietern unterstützt, da es von Microsoft für die Verteilung von Patches für Microsoft-Produkte entwickelt wurde. Die Verwendung von WSUS anstelle von alternativen WSUS-Techniken für die Patch-Verwaltung bei der Bereitstellung von Software und Updates von Drittanbietern bietet jedoch zahlreiche Vorteile. So kann WSUS beispielsweise Treiber und ausführbare Befehlszeilenprogramme nativ verteilen, ohne dass die Benutzer über Administratorfähigkeiten verfügen müssen.

WSUS und System Center Configuration Manager

WSUS und SCCM sind beides Microsoft-Tools, die für die Verwaltung von Updates innerhalb einer Organisation verwendet werden, aber sie dienen unterschiedlichen Zwecken und weisen die folgenden Unterscheidungsmerkmale auf:

WSUS

  • WSUS verwaltet nur Updates und Patches. Es ist speziell auf die Verwaltung und Verteilung von Updates für Microsoft-Produkte ausgerichtet, vor allem für Windows-Betriebssysteme und Microsoft-Software.
  • Er bietet eine zentrale Plattform für das Herunterladen, Genehmigen und Bereitstellen von Updates für Windows-Rechner in einem Unternehmen.
  • WSUS ist im Vergleich zu SCCM einfacher zu implementieren und zu verwalten. Er konzentriert sich in erster Linie auf das Update-Management und wird häufig in Verbindung mit Gruppenrichtlinien für die Client-Konfiguration verwendet.
  • WSUS eignet sich für Unternehmen, die sich hauptsächlich mit der Verwaltung von Windows-Updates befassen, ohne dass erweiterte Systemverwaltungsfunktionen erforderlich sind.
  • WSUS verfügt nicht über die erweiterten Funktionen SCCM. Er bietet grundlegende Berichts- und Überwachungsfunktionen, aber nicht das gleiche Maß an Automatisierung, Anpassung und Integration mit anderen Systemverwaltungsfunktionen.
  • WSUS ist kostenlos erhältlich und in den Windows-Server-Betriebssystemen enthalten. Mit der Verwendung von WSUS sind keine zusätzlichen Lizenzkosten verbunden.

SCCM

  • SCCM kann alle Aufgaben von WSUS übernehmen und noch viel mehr. So ermöglicht es beispielsweise Updates, Patches, Softwareinstallation, Verwaltung, Konfiguration, Endpunktschutz und Bestandsverwaltung für eine Vielzahl von Geräten wie Notebooks, Desktops, Server und mobile Geräte.
  • SCCM bietet den Anwendern eine verbesserte Kontrolle über die Patch-Verteilung, die Erstellung von Berichten und die Verwaltung von Windows-Rechnern in ihrem Netzwerk.
  • SCCM ist im Vergleich zu WSUS ein komplexeres und funktionsreicheres Tool. Es erfordert mehr Planung, Konfiguration und laufende Wartung, um effektiv eingesetzt werden zu können. SCCM bietet jedoch eine größere Flexibilität und Skalierbarkeit für die Verwaltung unterschiedlicher Umgebungen und komplexer Bereitstellungen.
  • SCCM bietet eine breite Palette von Funktionen, die über die Update-Verwaltung hinausgehen, darunter Softwareverteilung, Patch-Verwaltung, Compliance-Überwachung, Endpunktschutz, Fernsteuerung und Berichterstattung.
  • SCCM ist Teil der Microsoft System Center Suite und ist ein kostenpflichtiges Produkt. Es ist über verschiedene Lizenzierungsoptionen erhältlich, einschließlich Einzellizenzierung oder als Teil von Microsoft-365-Abonnements. Die Kosten für SCCM hängen vom Lizenzierungsmodell und der Anzahl der verwalteten Geräte ab.
  • SCCM stützt sich auf WSUS, um nach Patches zu suchen und diese anzuwenden, und kann zur Verwaltung des WSUS-Servers über die SCCM-Konsole verwendet werden.

Windows Server Update Services und Windows Update for Business

Windows Update for Business (WUfB) ist ein kostenloses und modernes Update-System von Microsoft. Bei WUfB legt das Unternehmen fest, wann und wie Clients Updates anwenden, aber die Clients stellen eine Verbindung zu Microsoft-Servern her oder nutzen die Peer-Verteilung, um aktualisierte Inhalte herunterzuladen. Das unterscheidet sich von WSUS, bei dem die Clients eine Verbindung zu Servern herstellen, die von der Organisation verwaltet werden.

WUfB ist einfacher einzurichten und zu verwalten als WSUS und bietet Vorteile für Remote-Mitarbeiter, aber es bietet nicht so viel Kontrolle über die Updates und nicht so viel Bandbreiteneinsparungen wie WSUS.

Nach Angaben von Microsoft ist WUfB für die folgenden Versionen von Windows 10 und Windows 11 verfügbar:

  • Windows Pro, einschließlich Windows Pro für Workstations
  • Windows 10 Education
  • Windows Enterprise, einschließlich Enterprise LTSC (Long-Term Servicing Channel), IoT Enterprise und IoT Enterprise LTSC
Diese Definition wurde zuletzt im Februar 2025 aktualisiert

Erfahren Sie mehr über Serverbetriebssysteme