Windows Serverguide

WSUS – Windows Updates zentral verwalten 2025

Firmenweit Updates planen und kontrolliert ausrollen

S
SeeColors IT11. Juni 20264 Min. Lesezeit32 Aufrufe

WSUS Rolle installieren

# WSUS mit SQL Server Express (fuer < 500 Clients)
Install-WindowsFeature -Name UpdateServices `
    -IncludeManagementTools

# WSUS Datenbank und Content-Store konfigurieren
& "C:\Program Files\Update Services\Tools\wsusutil.exe" `
    postinstall SQL_INSTANCE_NAME="WSUS_SERVER\SQLEXPRESS" `
    CONTENT_DIR="D:\WSUS"

Initiale Konfiguration

WSUS-Konsole oeffnen:
Server Manager → Tools → Windows Server Update Services

Konfigurationsassistent:
1. Upstream-Server: Microsoft Update
2. Proxy: falls vorhanden
3. Sprachen: Deutsch, Englisch
4. Produkte auswaehlen:
   - Windows 10 / 11
   - Windows Server 2019 / 2022 / 2025
   - Microsoft 365 Apps
   - Microsoft Edge
5. Klassifizierungen:
   - Critical Updates
   - Security Updates
   - Service Packs
   (Update Rollups optional)
6. Ersten Sync starten (kann Stunden dauern!)

WSUS-Gruppen via GPO

Gruppenrichtlinienverwaltung:
Computer Configuration → Administrative Templates →
Windows Components → Windows Update:

"Specify Intranet Microsoft Update Service Location":
  Intranet Update Service: http://wsus-server:8530
  Intranet Statistics Server: http://wsus-server:8530

"Enable Client-Side Targeting":
  Zielgruppe: Buero-PCs
  (Gruppe muss in WSUS existieren!)

"Configure Automatic Updates":
  Option 4: Download and schedule
  Schedule: Every Wednesday at 02:00
  Keine automatische Neustart waehrend Arbeitszeit!

WSUS-Gruppen erstellen

# PowerShell WSUS-Verwaltung
Import-Module UpdateServices

$wsus = Get-WsusServer -Name wsus-server -PortNumber 8530

# Gruppen erstellen
$wsus.CreateComputerTargetGroup("Pilot-Gruppe")
$wsus.CreateComputerTargetGroup("Buero-PCs")
$wsus.CreateComputerTargetGroup("Server")

# Update-Freigabe per PowerShell
$updates = Get-WsusUpdate -Classification Security -Status Any
$updates | Where-Object {$_.Update.IsBetaRelease -eq $false} |
    Approve-WsusUpdate -Action Install -TargetGroupName "Pilot-Gruppe"

Rollout-Strategie

Woche 1: Updates erscheinen
  → Bewertung und Freigabe fuer Pilot-Gruppe

Woche 2: Pilot-Gruppe (IT-Team) installiert
  → Probleme ueberwachen (Windows-Ereignisprotokoll)

Woche 3: Freigabe fuer Buero-PCs
  → Nachts (02:00) automatisch installieren

Woche 4: Server-Gruppe
  → Wartungsfenster, Backup vorher

WSUS-Bereinigung

# WSUS regelmaessig bereinigen (monatlich)
$cleanup = (Get-WsusServer).GetCleanupManager()
$cleanupScope = New-Object Microsoft.UpdateServices.Administration.CleanupScope
$cleanupScope.CleanupObsoleteUpdates = $true
$cleanupScope.CleanupUnneededContentFiles = $true
$cleanupScope.CompressUpdates = $true
$cleanupScope.DeclineExpiredUpdates = $true
$cleanupScope.DeclineSupersededUpdates = $true
$cleanup.PerformCleanup($cleanupScope)

FAQ

Brauche ich WSUS wenn ich Intune nutze?
Bei vollstaendigem Intune-Einsatz (M365 Business Premium) kann Intune Windows Updates verwalten. WSUS ist on-premises, Intune ist Cloud.

Fazit

WSUS ist unverzichtbar fuer KMU die Windows-Updates kontrolliert und planbar ausrollen möchten – kein unkontrollierter Neustart waehrend Arbeitszeit mehr.

Windows-Update-Management fuer KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Windows Server#WSUS#Updates#Patchmanagement

Verwandte Artikel

Active Directory – Fine-Grained Password Policies 2025

4 Min.

IIS – Windows Webserver mit ASP.NET konfigurieren 2025

4 Min.

Windows Server RDS – Remote Desktop Services 2025

4 Min.