WSUS – Windows Update zentral verwalten

Installation, GPO-Anbindung, Wartung und Troubleshooting.

← Zurück zum Wiki
Einrichtung GPO-Anbindung Wartung Troubleshooting

WSUS einrichten

Windows Server Update Services installieren und konfigurieren. WSUS benötigt einen SQL Server (oder die integrierte WID) und ausreichend Speicherplatz für Updates.

WSUS-Rolle installieren

Install-WindowsFeature UpdateServices -IncludeManagementTools

WSUS Post-Installation konfigurieren

Legt den Speicherpfad für Updates fest. Muss vor dem ersten Start ausgeführt werden.

# Content-Verzeichnis festlegen (WID-Datenbank) & "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall CONTENT_DIR=D:\WSUS

Empfohlene Ersteinrichtung

Nach der Installation den WSUS-Konfigurationsassistenten in der Konsole durchlaufen. Dabei auswählen: Sprachen (nur Deutsch + Englisch spart viel Speicher), Produkte (nur die, die Sie tatsächlich einsetzen) und Klassifizierungen (Kritische Updates, Sicherheitsupdates, Updates).

Die erste Synchronisation dauert je nach Auswahl 30 Minuten bis mehrere Stunden. Danach die automatische Synchronisation auf einen festen Zeitpunkt legen – idealerweise nachts.

Clients per GPO anbinden

Damit Clients Updates vom WSUS statt direkt von Microsoft beziehen.

Internen Updatedienst angeben

Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Windows Update → Internen Pfad für den Microsoft Updatedienst angeben
Beide Felder auf den WSUS-Server setzen: http://wsus-server:8530 (oder Port 443 bei SSL).

Automatische Updates konfigurieren

→ Automatische Updates konfigurieren → Option 4: Autom. herunterladen und laut Zeitplan installieren
Legt fest, wann Updates installiert werden. Empfehlung: Wöchentlich, z.B. Mittwoch 03:00 Uhr.

Computergruppen-Zuweisung (Client-seitig)

→ Clientseitige Zielzuordnung aktivieren
Weist Clients automatisch einer WSUS-Computergruppe zu (z.B. "Server", "Clients", "Test"). Die Gruppe muss vorher in der WSUS-Konsole angelegt werden.

Neustarts nach Updates steuern

→ Keinen automatischen Neustart für geplante Installationen erzwingen
Verhindert unerwartete Neustarts während der Arbeitszeit. Alternativ: Neustart-Zeiten über "Aktive Stunden" steuern.

WSUS-Wartung

WSUS braucht regelmäßige Pflege – sonst wird die Datenbank immer größer und die Konsole immer langsamer.

WSUS-Bereinigungsassistent per PowerShell

Entfernt abgelaufene, ersetzte und nicht benötigte Updates.

Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

WID-Datenbank neu indizieren

Die WSUS-Datenbank (WID) fragmentiert mit der Zeit. Reindexierung beschleunigt die Konsole spürbar.

# SQL-Script für WID-Reindexierung # Als .sql speichern und mit sqlcmd ausführen: sqlcmd -S \\.\pipe\Microsoft##WID\tsql\query -i C:\Temp\wsus-reindex.sql

Speicherplatz prüfen

# WSUS Content-Ordner Größe Get-ChildItem D:\WSUS -Recurse | Measure-Object -Property Length -Sum | Select-Object @{N='SizeGB';E={[math]::Round($_.Sum/1GB,2)}}
⚠️
Empfehlung: Den Bereinigungsassistenten monatlich ausführen. Ohne regelmäßige Wartung kann die WSUS-Datenbank auf 20+ GB anwachsen und die Konsole reagiert extrem langsam.

WSUS Troubleshooting

Wenn Clients keine Updates bekommen oder nicht in der Konsole auftauchen.

Client meldet sich nicht am WSUS

Häufigste Ursache: GPO greift nicht oder Windows Update-Dienst ist gestoppt.

# Auf dem Client: GPO-Ergebnis prüfen gpresult /r | findstr "Update" # Windows Update-Dienst prüfen Get-Service wuauserv # Registrierung beim WSUS erzwingen wuauclt /detectnow /reportnow # Ab Windows 10/Server 2016: usoclient StartScan

Windows Update-Komponenten zurücksetzen

Hilft bei hartnäckigen Update-Problemen – setzt den WU-Cache komplett zurück.

net stop wuauserv net stop cryptSvc net stop bits net stop msiserver ren C:\Windows\SoftwareDistribution SoftwareDistribution.old ren C:\Windows\System32\catroot2 catroot2.old net start wuauserv net start cryptSvc net start bits net start msiserver

WSUS-Konsole hängt beim Laden

Häufig ein Datenbankproblem. Erste Hilfe: IIS-Neustart und Speicherlimit erhöhen.

# IIS und WSUS-Dienste neustarten iisreset Restart-Service WsusService # Application Pool Memory Limit erhöhen (IIS Manager) # WsusPool → Advanced Settings → Private Memory Limit # Von 1843200 auf 0 setzen (unbegrenzt) oder 4000000