Was ist WSUS und warum brauchen Sie es?
Windows Server Update Services (WSUS) ist eine kostenlose Microsoft-Lösung zur zentralen Verwaltung von Windows-Updates in Unternehmensumgebungen. Ohne WSUS lädt jeder PC seine Updates direkt von Microsoft-Servern – das verursacht hohen Internetbandbreitenverbrauch und unkontrollierte Änderungen an Produktionssystemen.
Mit WSUS:
- Laden Updates nur einmal herunter (auf den WSUS-Server)
- Alle Clients beziehen Updates intern (spart Bandbreite)
- Admins genehmigen Updates vor dem Deployment
- Updates werden zu definierten Zeiten eingespielt
- Compliance-Reporting über Patch-Status aller Geräte
Für Unternehmen in Heidelberg und der Rhein-Neckar-Region mit 20+ Windows-Geräten ist WSUS die empfohlene Lösung.
Systemvoraussetzungen
- Windows Server 2016/2019/2022
- 4 GB RAM (mehr empfohlen für große Umgebungen)
- Festplattenspeicher: 10 GB für WSUS, plus Speicher für Updates (typisch 30–100 GB)
- SQL Server oder Windows Internal Database (WID) für die WSUS-Datenbank
- IIS (wird automatisch konfiguriert)
WSUS installieren
Über Server-Manager
- Server-Manager → Verwalten → Rollen und Features hinzufügen
- Nächste klicken bis zu Serverrollen
- Windows Server Update Services aktivieren
- Im Dialog: WID Connectivity und WSUS Services auswählen
- Installieren und Server neu starten
WSUS-Konfigurationsassistent
Nach der Installation startet automatisch der WSUS Server Configuration Wizard:
Schritt 1: Speicherort für Updates
Empfehlung: D:\WSUS (separates Laufwerk mit mindestens 60 GB freiem Speicher)
Schritt 2: Verbindung zu Microsoft Update
Klicken Sie Start Connecting – WSUS lädt die verfügbaren Update-Informationen. Dieser Vorgang dauert 5–15 Minuten.
Schritt 3: Sprachen auswählen
Nur Deutsch und Englisch auswählen – spart erheblich Speicherplatz.
Schritt 4: Produkte auswählen
Wählen Sie nur die Produkte aus, die Sie tatsächlich nutzen:
- Windows 10 (verschiedene Versionen)
- Windows 11
- Windows Server 2019/2022
- Microsoft 365 Apps
- Microsoft SQL Server
Schritt 5: Klassifizierungen auswählen
Empfohlen:
- Kritische Updates (immer)
- Sicherheitsupdates (immer)
- Updates (für Stabilität)
- Definitionsupdates (für Windows Defender – hohe Frequenz!)
Optional:
- Feature Packs, Service Packs (vorsichtig, sorgfältig testen)
- Treiber (nur wenn Sie Treiber zentral verwalten möchten)
Schritt 6: Synchronisationszeitplan
Automatisch – täglich um 03:00 Uhr (nach Mitternacht, wenn wenig Betrieb)
Schritt 7: Erste Synchronisation starten
Klicken Sie Start Initial Synchronization. Die erste Synchronisation dauert mehrere Stunden – je nach Produktauswahl und Internetgeschwindigkeit.
Client-Computer mit WSUS verbinden
Per Gruppenrichtlinie (empfohlen)
- Öffnen Sie die Gruppenrichtlinien-Verwaltung (
gpmc.msc) - Erstellen Sie eine neue GPO: "WSUS-Clients-Konfiguration"
- Bearbeiten → Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Windows Update
Konfigurieren Sie folgende Einstellungen:
Intranet-Updatedienstserver angeben:
- Updateserver:
http://wsus-server:8530 - Statistikserver:
http://wsus-server:8530
Automatische Aktualisierungen konfigurieren:
- Option 4: Automatisch herunterladen und zu geplantem Zeitpunkt installieren
- Installationszeit: Freitag, 18:00 Uhr (nach Büroschluss)
Client-Zielgruppenbestimmung aktivieren:
- Zielgruppe: z. B. "Workstations" oder "Server"
- GPO auf die OU der Client-Computer verknüpfen
Clients manuell zur Synchronisation bringen
Auf dem Client-PC in der Eingabeaufforderung (als Admin):
wuauclt.exe /detectnow /reportnow
Oder moderner:
UsoClient.exe StartScan UsoClient.exe RefreshSettings
Update-Deployment steuern
Computer-Gruppen erstellen
In der WSUS-Konsole: Computer → Computer-Gruppen → Computergruppe hinzufügen
Erstellen Sie Gruppen für gestaffeltes Rollout:
- Test-Computer (2–3 PCs für frühe Tests)
- Pilot-Gruppe (10–15% der Clients)
- Produktion (alle restlichen Clients)
Updates genehmigen
- In der WSUS-Konsole: Updates → Alle Updates
- Status auf Ausstehende Genehmigung filtern
- Rechtsklick auf Update → Genehmigen
- Zuerst für Test-Computer genehmigen
- Nach erfolgreicher Testphase: Genehmigung für Pilot und Produktion erteilen
Automatische Genehmigungen
Für Sicherheitsupdates empfiehlt sich automatische Genehmigung:
- WSUS-Konsole → Optionen → Automatische Genehmigungen
- Neue Regel erstellen
- Bedingung: Klassifizierung = Kritische Updates und Sicherheitsupdates
- Aktion: Genehmigen für → Test-Computer
- Regel aktivieren
WSUS Berichterstattung
Update-Status prüfen
Berichte → Computerzusammenfassung zeigt für jeden PC:
- Anzahl benötigter, genehmigter, installierter Updates
- Letzter Kontakt mit WSUS
Nicht-konforme PCs finden
Updates → Updates nach Computer → Filter: Status = "Wird benötigt"
Zeigt alle PCs, die wichtige Updates noch nicht installiert haben.
Troubleshooting häufiger WSUS-Probleme
Client synchronisiert nicht:
- Prüfen Sie ob Port 8530 (HTTP) oder 8531 (HTTPS) durch Firewall erlaubt ist
- WSUS-Dienst auf dem Server prüfen:
services.msc→ Update Services - WindowsUpdate.log auf dem Client prüfen:
%windir%\WindowsUpdate.log
WSUS-Datenbank wird zu groß:
Bereinigen Sie regelmäßig mit dem WSUS Server Cleanup Wizard:
Optionen → Serverbereinigungs-Assistent → Alle Optionen auswählen → Ausführen
Abgelehnte Updates wieder genehmigen:
Updates → Alle Updates → Genehmigung auf "Abgelehnt" ändern → Sichtbar in der Liste
FAQ
Kann WSUS auch Microsoft 365-Updates verwalten?
Ja, wenn Sie "Microsoft 365 Apps" als Produkt auswählen. Beachten Sie, dass Microsoft 365 Updates sehr häufig und groß sind.
Wie viel Speicher brauche ich für WSUS?
Für Windows 10/11 + Server 2019/2022 + M365 Apps: ca. 60–100 GB. Nutzen Sie die Option "Express-Installationsdateien nicht speichern" um Platz zu sparen.
Kann ich WSUS ohne Active Directory nutzen?
Ja, aber ohne AD und GPO müssen Sie jeden Client manuell per Registry konfigurieren. Mit AD ist es deutlich einfacher.
Fazit
WSUS ist unverzichtbar für jedes Unternehmen, das Windows-Updates kontrolliert und sicher ausrollen möchte. Die Investition in die Einrichtung lohnt sich ab ca. 20 Geräten erheblich.
Als IT-Dienstleister in Heidelberg implementieren wir WSUS für Unternehmen in Mannheim, Ludwigshafen und der gesamten Rhein-Neckar-Region. Jetzt Patch-Management anfragen.