# Windows Update Management: Strategien für Enterprise-Umgebungen

TL;DR / Management Summary Unkontrollierte Updates sind ein Risiko für die Business-Kontinuität. Wir nutzen WSUS (Windows Server Update Services) oder WUfB (Windows Update for Business), um Patches erst in Pilotgruppen zu testen, bevor sie die gesamte Flotte erreichen. Ziel ist es, den “Patch-Dienstag” zu einem berechenbaren Event zu machen und gleichzeitig die Internetleitung durch lokales Caching zu entlasten.

# 1. Einführung & Architektur

Update-Kontrolle vs. Wildwuchs.

# Warum nicht einfach ‘Automatische Updates’?

# Architektur-Optionen (Mermaid)

graph TD
    subgraph "On-Premise (Legacy/Stable)"
    MS_UPD[Microsoft Update] -->|Sync| WSUS[WSUS Server]
    WSUS -->|Local LAN| CLIENTS[Internal Clients]
    end

    subgraph "Modern Management (Cloud)"
    MS_UPD -->|Internet| WUFB[WUfB / Intune Policies]
    WUFB -->|Optimized| REMOTE[Home Office / VPN]
    end

# 2. WSUS: Der lokale Gatekeeper

Hoheit über die Patches.

# Konfiguration der Synchronisation

Wählen Sie nur die Produkte (z.B. Windows 11, Office 2021) und Klassifizierungen (Security Updates, Critical Updates) aus, die Sie wirklich brauchen.

# Die Genehmigungs-Hierarchie

  1. Test-Gruppe: IT-Abteilung (Sofortige Genehmigung).
  2. Pilot-Gruppe: 5% der User aus verschiedenen Abteilungen (nach 3 Tagen).
  3. Produktion: Restliche Flotte (nach 7-14 Tagen).

# 3. Deep Dive: Delivery Optimization (DO)

P2P für Updates.

Delivery Optimization erlaubt es Windows-Clients, bereits geladene Update-Fragmente untereinander im LAN zu teilen.

# 4. Day-2 Operations: Datenbank-Pflege

Wenn WSUS träge wird.

Die interne WSUS-Datenbank (WID oder SQL) braucht regelmäßige Wartung.

# WSUS Cleanup Script (PowerShell)

Regelmäßiges Löschen von abgelaufenen und ersetzten Updates ist Pflicht:

Get-WsusServer | Get-WsusCleanupManager -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

# 5. Troubleshooting & “War Stories”

Wenn der Update-Prozess hängt.

# Top 3 Fehlerbilder

  1. Symptom: Clients melden sich nicht mehr am WSUS (Last Contact vor 30 Tagen).

    • Ursache: IIS AppPool WsusPool ist abgestürzt (Private Memory Limit erreicht).
    • Lösung: Limit im IIS von 1.8 GB auf 4-8 GB erhöhen und Queue Length auf 25000 setzen.

  2. Symptom: Update bricht mit Fehler 0x80244017 ab.

    • Ursache: Proxy-Problem oder falsche MIME-Types im IIS.
    • Lösung: .esd und .msu Files im Proxy whitelisten.

  3. Symptom: Festplatte des WSUS-Servers ist voll (WSUSContent).

    • Lösung: WsusUtil.exe movecontent auf eine größere Partition ausführen.

# “War Story”: Der “Infinite Loop” Reboot

Nach einem kumulativen Update starteten 50 Rechner in einer Außenstelle immer wieder neu (Boot-Loop). Analyse: Ein BIOS-Update war im Paket enthalten, das mit den BitLocker-Einstellungen kollidierte. Lehre: Testen Sie Updates IMMER erst in einer Test-Gruppe, die BitLocker aktiv hat. Seitdem genehmigen wir BIOS-Updates in WSUS nur noch manuell nach Einzelfallprüfung.

# 6. Monitoring & Reporting

Compliance auf einen Blick.

# SQL Reporting

Nutzen Sie SQL Server Reporting Services (SSRS) oder PowerShell, um Berichte zu erstellen:

# 7. Fazit & Empfehlung

Update-Management ist Risikomanagement.

# Anhang: Cheatsheet für den Client

Befehl Zweck
usoclient StartScan Update-Suche manuell triggern
Get-WindowsUpdateLog Erstellt das Update-Log auf dem Desktop
wuauclt /reportnow Sofortiger Statusbericht an WSUS
Get-Service wuauserv Update-Dienst Status prüfen

# Referenzen