zagandesign - Fotolia
Welches Update Tool ist ideal für wen? WUfB oder WSUS?
Für die Windows-Updates bietet Microsoft zwei Services an: Windows Server Update Services (WSUS) und Windows Update for Business (WUfB). Dieser Beitrag erklärt die Unterschiede.
Windows Server Update Services (WSUS) sind ein bewährtes Tool, auf das viele Administratoren bei der Verwaltung von Windows-Updates vertrauen. Mit dem Release 1511 wurde das Angebot Windows Update for Business (WUfB) veröffentlicht. Es erfüllt die gleiche Aufgabe, verfolgt jedoch einen anderen Ansatz. Die Eignung der beiden Werkzeuge ist abhängig von der individuellen IT-Infrastruktur.
Im Jahr 2005 veröffentlichte Microsoft die Windows Server Update Services (WSUS), um Software Update Services (SUS) abzulösen. WSUS wird nach wie vor unterstützt und ist in zahlreichen Unternehmen im Einsatz. Es unterstützt Administratoren bei der strukturierten Herangehensweise an Aktualisierungen. WSUS ermöglicht es, dass sich nicht alle Windows-Clients jeweils mit dem Internet verbinden, um Updates herunterzuladen. Stattdessen übernimmt der WSUS-Server diese Aufgabe zentral und verteilt die Updates an diejenigen Clients, für die der Administrator sie freigegeben hat.
Der im Microsoft Endpoint Configuration Manager aufgegangene System Center Configuration Manager (SCCM) verfügt über einige zusätzliche Funktionen und ermöglicht eine umfassendere Kontrolle über Windows-Updates. SCCM übernimmt die über WSUS heruntergeladenen Updates und stellt sie anhand zuvor festgelegter Workflows und Regeln bereit, wobei sein eigener Client zum Einsatz kommt.
Wie Sie Windows Patches mit WSUS automatisieren
Bei WSUS gibt es zwei mögliche Vorgehensweisen. Administratoren können entweder alle Updates sofort freigeben oder nur die als kritisch und sicherheitsrelevant eingestuften Updates sofort freigeben und alle anderen Updates zunächst zurückhalten, um sie zu einem späteren Zeitpunkt zu testen. Einige Administratoren prüfen jedes einzelne Update, verteilen es zunächst auf eine Testgruppe und rollen es dann auf die Hauptgruppe aus. Im letzten Schritt werden die Patches auf ältere und empfindlichere Geräte aufgespielt. Dieser Prozess ist manuell und zeitintensiv, insbesondere angesichts der gestiegenen Frequenz von Aktualisierungen in den letzten Jahren.
IT-Administratoren sehen sich gelegentlich mit fehlerhaften Updates für Windows-Updates konfrontiert. Die Bandbreite der Probleme ist groß und reicht von geringfügigen Fehlern bis hin zu dem gefürchteten Blue Screen of Death. Obgleich sich die Stabilität mit den monatlichen Aktualisierungen verbessert hat, haben Administratoren jedoch weniger Kontrolle über den Patch-Prozess.
Ab 2024 mit dem Release von Windows 11 24H2 wechselt Microsoft von dem bisherigen kumulativen Update-Modell auf Pakete, die als kumulative Checkpoint-Updates bezeichnet werden. Die Pakete sollen regelmäßig veröffentlicht werden und alle Änderungen seit dem letzten Checkpoint-Update enthalten. In der Handhabung für Administratoren soll sich mit dieser Umstellung aber nichts verändern. Diese Änderung betrifft nicht nur Windows 11 und Windows 10, sondern auch Windows Server 2025.
Wie Windows Updates für Unternehmen funktioniert
Windows Update for Business (WUfB, Windows Update für Unternehmen) ist eine Reihe von Richtlinien, mit denen Administratoren zusätzliche Regeln für die Verbindung des Clients mit dem öffentlichen Windows-Update-Dienst festlegen können.
Administratoren greifen auf diese Einstellungen über ein Verwaltungs-Tool wie Intune oder Gruppenrichtlinien zu oder verwenden Skripte. Die Kontrollmöglichkeiten von WUfB sind zwar begrenzt, aber ausreichend, um die Grundlagen zu schaffen, damit sich Administratoren nicht ständig um Windows Updates kümmern müssen.
WUfB ist für die Verwaltung der folgenden Versionen von Windows 10 und 11 kostenlos verfügbar: Pro, Pro Workstations, Education, Enterprise, Enterprise LTSC, IoT Enterprise und IoT Enterprise LTSC.
WSUS und WUfB im Vergleich
Bei der Entscheidung, ob Sie beim Patchen von Windows-Computern weiterhin auf WSUS und Endpoint Configuration Manager setzen oder zu WUfB wechseln sollten, gibt es einiges zu beachten.
Wenn Sie Ihre Infrastruktur schrittweise in die Cloud verlegen und auf Cloud-basierte Verwaltungs-Tools wie Intune setzen möchten, empfehlen wir Ihnen WUfB. Alternativ kann WSUS auch in Azure genutzt werden, wobei hierfür eine eigene virtuelle Maschine erforderlich ist.
Der entscheidende Vorteil von WUfB liegt in der Möglichkeit für Administratoren, Benutzer- und Gerätegruppen mit hoher Granularität zu erstellen und Fristen für das Ausrollen von Updates für diese zu definieren. Der Vorteil besteht darin, dass das einfacher funktioniert als bei WSUS und Teile des Testprozesses automatisiert werden. In der Praxis werden dazu einzelne Pilotnutzer aus verschiedenen Benutzergruppen mit unterschiedlichen Anwendungen und Nutzungsgewohnheiten ausgewählt, um potenzielle Probleme möglichst frühzeitig erkennen und beheben zu können.
Möglichkeiten mit WUfB
WUfB verfügt über vier Haupteinstellungen in den Gruppenrichtlinien. Im Folgenden erläutern wir die verfügbaren Funktionen und deren Einfluss auf die Verteilung von Aktualisierungen. Für weiterführende Informationen zur Arbeit mit WUfB und Gruppenrichtlinien steht Ihnen die Dokumentation von Microsoft zur Verfügung.
Empfangseinstellungen von Preview-Builds und Funktions-Updates
Zum einen können Sie eines von vier Windows-Bereitschaftsniveaus für die Windows 10 Clients auswählen:
- Vorabversion-Fast: Die Einstellung liefert Builds mit den neuesten Funktionen, die noch nicht für die Öffentlichkeit verfügbar sind und meldet eventuelle Fehler an Microsoft.
- Vorabversion-Slow: Diese Einstellung liefert Builds mit den neuesten Funktionen in einer langsameren Geschwindigkeit als das Bereitschaftsniveau Vorabversion-Fast und enthält Korrekturen für Probleme in früheren Builds.
- Versionsvorschau: Mit dieser Einstellung werden offizielle Windows-Builds bereitgestellt, kurz bevor sie öffentlich verfügbar sind.
- Halbjährlicher Kanal: Diese Einstellung liefert Windows-Builds, wenn sie öffentlich verfügbar sind.
Sie können ein Feature-Update für einen Zeitraum von bis zu einem Jahr aufschieben. Diese Vorgehensweise kann dazu beitragen, potenzielle Probleme mit der neuen Version zu vermeiden, die während dieser Zeit möglicherweise entdeckt und behoben werden (siehe Abbildung 1).
Eine weitere Option ist es, die Bereitstellung von Vorabversionen zu pausieren. Sie geben ein Datum ein, und für 35 Tage ab diesem Datum werden keine Clients Preview Builds oder Feature Updates installiert. Diese Funktion kann hilfreich sein, wenn Sie bereits wissen, dass das kommende Update fehlerhaft ist und Sie den Ausrollprozess vorläufig anhalten möchten. Nach Ablauf der 35 Tage sollten die Probleme seitens Microsoft behoben sein, sodass die Clients erneut versuchen können, die Installation durchzuführen. Sollte das Datum nicht geändert worden sein, steht dieser Schritt zur Verfügung.
Erhalt der Qualitäts-Updates
Außerdem besteht die Möglichkeit, die Installation eines Qualitäts-Updates auf bestimmten Clients für einen Zeitraum von bis zu 30 Tagen zurückzustellen (siehe Abbildung 2). Sie haben die Option, ein Startdatum festzulegen, sodass die Bereitstellung von Qualitäts-Updates für 35 Tage oder bis zum Löschen des Startdatums ausgesetzt ist.
Verwaltung der Preview-Builds
Sie haben zusätzlich die Möglichkeit, Vorabversionen mit zusätzlichen Steuerelementen zu deaktivieren oder zu aktivieren.
Durch die Auswahl der Option Vorabversionen deaktivieren können Sie die Teilnahme von Benutzern am Windows-Insider-Programm einschränken.
Sie haben die Möglichkeiten, festzulegen, dass Preview-Builds deaktiviert werden, sobald Microsoft einen offiziellen Build bereitstellt. Diese Funktion ermöglicht den Wechsel von einer bereits autorisierten Vorabversion zu einer veröffentlichten Version. Einige Benutzer deaktivieren diese Option vollständig oder erlauben sie lediglich bestimmten IT-Mitarbeitern, die für Testzwecke einen frühen Zugriff auf Windows 10/11 Preview Builds benötigen.
Die Auswahl der Option Aktiviert gibt den Benutzern das Recht, Vorabversionen auf ihren Rechnern zu installieren (siehe Abbildung 3).
Auswahl der Zielversion des Feature-Updates
Als Letztes wählen Sie ein Ziel für die Feature-Update-Version, um den Client-Computer auf eine neuere, wichtige Windows-10/11-Version zu aktualisieren. Sollte die Auslieferung gesteuert werden müssen, kann eine Zielversion eingegeben werden, die die einzige Version von Windows 10/11 ist, die installiert ist. Beispielsweise werden bei einem Client, der auf Version 1903 ist und einer WUfB-Feature-Update-Einstellung von 1909, keine neueren Versionen installiert, wenn diese über Windows Updates verfügbar sind (siehe Abbildung 4).
Diese Einstellungen ermöglichen Ihnen die Konfiguration verschiedener Richtlinien für verschiedene PCs. Sie können beispielsweise Pilot-PCs einrichten, die zuerst Updates erhalten. Diese dienen dann als Vorkoster und fangen alle Probleme ab, die durch ein Update eingeführt werden könnten. Des Weiteren besteht die Möglichkeit zu steuern, wann PCs auf das nächste Feature-Update aktualisiert werden. Auf diese Weise kann eine weitere Pilotgruppe gebildet werden, bevor mit Aktualisierungen für anderen Clients fortgefahren wird.
Unterschiede beim Update-Prozess von WUfB und WSUS
Zu den wesentlichen Vorteilen von WSUS gehörte bislang die zentrale Download- und lokale Verteilungsfunktion aller Updates. Das führt zu einer deutlichen Einsparung an Internet-Bandbreite im Vergleich zur nicht verwalteten Variante, bei der jeder Client das Update selbst herunterlädt.
Mittlerweile steht außerdem die Funktion Übermittlungsoptimierung zur Verfügung, die es PCs im lokalen Netzwerk ermöglicht, Updates untereinander zu verteilen. Dadurch ist es auch bei ausschließlicher Verwendung von WUfB möglich, die Internetverbindung für jeden einzelnen Computer zu steuern. Der Aktivitätsmonitor stellt Statistiken zur Verteilung und zum Empfang von Updates über das Internet im Vergleich zu PCs im lokalen Netzwerk bereit. Dadurch ist es Administratoren möglich, den Prozess zu überwachen.
Eine weitere Funktion, die Microsoft über Windows Updates zur Verfügung stellt, sind sogenannte SafeGuard Holds. Bei Feststellung eines Problems mit einem neuen Feature-Update durch Microsoft wird die Bereitstellung des Feature-Updates so lange blockiert, bis das Problem behoben ist. WUfB-Nutzern steht diese Funktion nahtlos zur Verfügung. WSUS-Kunden sind angehalten, sich zeitnah über etwaige Update-Probleme zu informieren und eigenverantwortlich zu entscheiden, wie sie vorgehen möchten.
Warum WSUS für einige Unternehmen vielleicht die bessere Wahl ist
WSUS verfügt über Funktionen, die in WUfB nicht verfügbar sind. So kann beispielsweise ein störendes Update mit geringem Aufwand entfernt werden. Bei WUfB ist das nicht möglich. Stattdessen ist es erforderlich, PowerShell zu nutzen, um das störende Update zu entfernen.
WSUS stellt außerdem sicher, dass keine Verbindung von Computern zum Internet aufgebaut wird, um Updates von Microsoft zu erhalten. Für bandbreitenempfindliche Standorte bietet das mehr Zuverlässigkeit, indem ein einziger Download-Pfad für Updates nach einem von Ihnen konfigurierten Zeitplan verwendet wird. Dadurch lassen sich Unterbrechungen vermeiden. Das ist insbesondere für Home-Office-Szenarien eine sinnvolle Umstellung.
Für Administratoren, die jedes Update im Detail prüfen und freigeben möchten, ist WSUS die optimale Lösung. WUfB bietet Ihnen lediglich eine begrenzte Kontrolle. Zwar können Sie Updates zurückhalten, jedoch nicht komplett stoppen, wie es bei WSUS möglich ist.
Dieses Maß an Kontrolle ist mit einem gewissen Aufwand verbunden: Sie benötigen einen Server, auf dem WSUS läuft, was den Verwaltungsaufwand erhöht. WUfB ist hingegen bereits in Windows-10/11-Netzwerke integriert.
WUfB ist eng an die Bereitstellungsoptionen von Microsoft-365-Updates und deren Ringe angelehnt, sodass sich viele Administratoren schnell zurechtfinden werden. Es besteht außerdem die Möglichkeit, WSUS und WUfB gemeinsam zu nutzen. WUfB kann unkompliziert und ohne großen Aufwand in einer Pilotgruppe über einen Zeitraum von einigen Monaten getestet werden.
WUfB bietet eine effiziente Verwaltungsoption, die keine zusätzlichen Ressourcen erfordert und keine zusätzlichen Kosten verursacht. Sie können Updates so schnell oder so langsam ausrollen, wie es Ihren Bedürfnissen entspricht. WSUS bietet Ihnen zwar mehr Kontrolle, allerdings auch einen höheren Arbeitsaufwand.