Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Windows Server 02.06.2026 · 9 min Lesezeit

Windows-Updates zentral steuern: WSUS und Update for Business

Steuere Windows-Updates im Unternehmen zentral: WSUS on-prem als lokaler Update-Cache oder Windows Update for Business per GPO und Intune-Update-Ringe. Mit Klickpfaden, PowerShell und Troubleshooting.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Infografik zur zentralen Steuerung von Windows-Updates mit WSUS und Windows Update for Business, mit Updatefreigaben, Computergruppen, Richtlinien, Wartungsringen und kontrollierter Bereitstellung von Qualitäts- und Funktionsupdates.

Ungesteuerte Windows-Updates kosten Nerven: Server starten zur falschen Zeit neu, Clients ziehen Gigabyte ueber die Leitung, und niemand weiss, welcher Patch wo gelandet ist. Mit einer zentralen Steuerung loest Du das. In dieser Anleitung lernst Du die zwei Wege kennen, mit denen Du Windows-Updates zentral steuern kannst: die klassische WSUS-Rolle on-prem und Windows Update for Business per Gruppenrichtlinie oder Intune. Beide werden mit GUI-Klickpfaden und passenden PowerShell-Cmdlets gezeigt, dazu Entscheidungshilfe, Reporting und Troubleshooting.

Kurzfassung: WSUS lokal als Update-Cache (Install-WindowsFeature -Name UpdateServices, Konsole, Computergruppen, Genehmigung, Clients per GPO auf http://WSUS:8530 lenken) oder Windows Update for Business ohne eigene Server-Infrastruktur (Aufschub per GPO oder Intune-Update-Ringe mit Active Hours und Deadlines). KMU mit Cloud-Anbindung fahren meist mit Intune-Ringen einfacher; rein on-prem oder in isolierten Netzen bleibt WSUS relevant. WSUS ist seit Server 2025 deprecated, aber voll unterstuetzt.

Voraussetzungen

  1. Windows Server 2022 oder 2025 als WSUS-Host (Weg A) bzw. eine Active-Directory-Domaene mit Gruppenrichtlinien-Verwaltung (gpmc.msc).
  2. Adminrechte auf Server und Domaene; fuer GPO-Aenderungen Berechtigung auf die betroffenen OUs.
  3. Fuer Weg A: ein Content-Laufwerk mit ausreichend Platz (mehrere zig GB), z. B. K:\WSUS_database. Standard-DB ist die WID, fuer groessere Umgebungen besser SQL Server (auch Express).
  4. Fuer Weg B mit Intune: Microsoft Intune Plan 1 (enthalten in M365 Business Premium, E3, E5). Unterstuetzte Editionen: Windows Pro, Enterprise, Education, IoT Enterprise. Der Dienst Microsoft Account Sign-In Assistant (wlidsvc) muss laufen.
  5. Aktuelle ADMX-Templates im Central Store, passend zur Windows-Version, sonst fehlen neue Update-for-Business-Settings.
  6. Grundkenntnisse in PowerShell fuer Windows-Admins und Gruppenrichtlinien (GPO) sind hilfreich.

Schritt 1: Den richtigen Weg waehlen (WSUS vs. Update for Business)

Bevor Du etwas installierst, entscheide Dich fuer eine Strategie pro Geraetegruppe. Beide Wege unkontrolliert zu mischen fuehrt zu unerwartetem Scan- und Installationsverhalten, weil konkurrierende Quellen aufeinandertreffen.

KriteriumWSUS (Weg A)Update for Business (Weg B)

Server-Infrastruktur

eigener Server noetig

keine (GPO) bzw. Cloud (Intune)

Lokaler Update-Cache

ja (spart Bandbreite)

nein, Inhalte direkt von Microsoft

Isolierte/getrennte Netze

geeignet

braucht Internet

Wartungsaufwand

hoeher (Patches, DB, Cleanup)

gering

Reporting

WSUS-Konsole

Intune / Update Compliance

Microsoft-Empfehlung Neuprojekt

deprecated

empfohlen (Intune, Autopatch)

Faustregel: KMU mit Cloud-Anbindung fahren mit Intune-Update-Ringen und optional Windows Autopatch am einfachsten. Rein on-prem, in isolierten Netzen oder bei knapper Bandbreite ist WSUS wegen des lokalen Caches weiter sinnvoll. Update for Business per GPO ist der Mittelweg ohne Intune und ohne lokalen Cache.

Schritt 2: WSUS-Rolle installieren (Weg A)

Die WSUS-Rolle heisst intern UpdateServices. Du installierst sie entweder ueber den Server Manager oder direkt per PowerShell. Wichtig: Beim Setup muss genau ein Datenbanktyp ausgewaehlt sein, sonst schlagen die Post-Installation-Tasks fehl.

GUI: Server Manager → ManageAdd Roles and FeaturesRole-based or feature-based installation → Rolle Windows Server Update Services markieren → Add Features → bei den Rollendiensten Datenbanktyp WID Database markieren → Content-Pfad angeben → Install. Nach Abschluss erscheint der Link Launch Post-Installation tasks – diesen unbedingt ausfuehren.

PowerShell: schneller und reproduzierbar. Die Rolle inklusive Verwaltungskonsole installieren:

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools -Restart

Anschliessend den Post-Install-Schritt ausfuehren und dabei Content-Verzeichnis und Datenbank festlegen. Mit der WID (Standard):

& "$env:ProgramFiles\Update Services\Tools\wsusutil.exe" postinstall CONTENT_DIR=K:\WSUS_database

Fuer groessere Umgebungen empfiehlt Microsoft SQL Server statt der WID, da die WID in Server 2025 ebenfalls deprecated ist und kuenftig entfernt werden soll:

& "$env:ProgramFiles\Update Services\Tools\wsusutil.exe" postinstall SQL_INSTANCE_NAME="SERVER\INSTANZ" CONTENT_DIR=K:\WSUS_database

Schritt 3: WSUS-Konsole konfigurieren – Produkte, Gruppen, Genehmigung (Weg A)

Oeffne die WSUS-Konsole ueber wsus.msc bzw. den Server Manager. Drei Bereiche sind wichtig:

  1. Products and Classifications: Unter OptionsProducts and Classifications waehlst Du gezielt die Produkte (z. B. nur Windows 11, Windows Server 2022/2025, Microsoft Server-Produkte) und Klassifizierungen (Security Updates, Critical Updates, Update Rollups). Weniger ist mehr – jedes zusaetzliche Produkt zieht mehr Inhalte und Speicher.
  2. Computergruppen: Unter ComputersAll Computers legst Du per Rechtsklick eigene Gruppen an, etwa Pilot, Server, Clients. Diese Gruppen entsprechen Deinen Update-Ringen.
  3. Genehmigung: Updates installiert WSUS erst nach Freigabe. Entweder manuell (Rechtsklick auf Update → Approve → Gruppe waehlen) oder automatisch ueber OptionsAutomatic Approvals (z. B. Sicherheitsupdates fuer die Gruppe Pilot sofort, Rest nach Test).

Eine bewaehrte Praxis: Sicherheitsupdates automatisch fuer eine kleine Pilotgruppe genehmigen, nach erfolgreicher Pruefung manuell auf die Produktivgruppen ausrollen.

Schritt 4: Clients per GPO auf den WSUS lenken (Weg A)

Damit die Clients den WSUS statt Microsoft kontaktieren, brauchst Du zwei Gruppenrichtlinien-Einstellungen. Oeffne gpmc.msc und bearbeite eine GPO, die auf die Computer-OUs verknuepft ist. Pfad:

Computer Configuration > Policies > Administrative Templates >
Windows Components > Windows Update

1. Intranet-Updatedienst angeben: Einstellung Specify intranet Microsoft update service location auf Enabled setzen. Trage bei Detection-URL UND Statistics-URL jeweils Deinen Server ein:

http://WSUS-Server:8530

Beide Felder muessen gesetzt sein. Standardports sind 8530 fuer HTTP und 8531 fuer HTTPS – ein falscher Port ist eine haeufige Fehlerquelle.

2. Automatische Updates konfigurieren: Einstellung Configure Automatic Updates auf Enabled. Waehle Option 4 - Auto download and schedule the install und setze Tag und Uhrzeit. Option 3 bedeutet nur Download plus Benachrichtigung, ohne automatische Installation.

Nach dem GPO-Update melden sich die Clients beim WSUS und tauchen in der Konsole auf. Erzwingen kannst Du das mit:

gpupdate /force
$au = New-Object -ComObject "Microsoft.Update.AutoUpdate"; $au.DetectNow()

Schritt 5: Update for Business per GPO einrichten (Weg B)

Windows Update for Business heisst in der aktuellen Doku Windows Update client policies und braucht keinen eigenen Server. Die Clients laden Inhalte direkt von Microsoft, Du steuerst nur den Zeitpunkt. GPO-Pfad:

Computer Configuration > Administrative Templates > Windows Components >
Windows Update > Windows Update for Business
  1. Feature-Updates aufschieben: Select when Preview Builds and feature updates are received – Aufschub bis zu 365 Tage.
  2. Quality-Updates aufschieben: Select when Quality Updates are received – Aufschub bis zu 30 Tage, Pause bis zu 35 Tage ab gewaehltem Startdatum.

Neustart und Wartungsfenster steuerst Du eine Ebene hoeher unter Windows Components > Windows Update:

  1. Active Hours: Turn off auto-restart for updates during active hours bzw. Specify active hours range for auto restart. Empfehlung: nicht hart setzen und die intelligenten Active Hours nutzen lassen. Nach einer Installation startet das System fruehestens 15 Minuten spaeter neu, sofern der Nutzer es nicht unterbricht.
  2. Deadlines: Specify deadline for automatic updates and restarts. Ab Windows 11 22H2 getrennt fuer Quality- und Feature-Updates – so erzwingst Du einen Neustart nach Ablauf der Frist.

Achtung: Wer zusaetzlich Select the target feature update version setzt, deaktiviert die Feature-Update-Deferrals. Eine ungueltige oder veraltete Zielversion fuehrt dazu, dass gar keine Feature-Updates mehr angeboten werden.

Schritt 6: Intune-Update-Ringe anlegen (Weg B, Cloud)

Wenn Deine Geraete in Intune verwaltet werden, sind Update-Ringe der komfortabelste Weg. Sie buendeln Aufschub, Active Hours und Deadlines in einem Profil pro Geraetegruppe. Klickpfad im Portal:

Microsoft Intune admin center (intune.microsoft.com) > Devices >
By platform > Windows > Manage updates > Windows updates >
Tab "Update rings" > Create profile

Im Assistenten durchlaeufst Du:

  1. Basics: Name und Beschreibung, z. B. Ring 1 - Pilot.
  2. Update ring settings: Aufschub Quality-Updates (0–30 Tage) und Feature-Updates (0–365 Tage), Verhalten bei Deadline, Active Hours.
  3. Scope tags: optional fuer delegierte Verwaltung.
  4. Assignments: Geraete- oder Nutzergruppen zuweisen.
  5. Review + create: pruefen und anlegen.

Aus der Ring-Uebersicht steuerst Du den Betrieb mit den Aktionen Pause (bis 35 Tage), Resume, Extend (setzt die Pause wieder auf 35 Tage) und Uninstall (Rollback des letzten Feature- oder Quality-Updates). Das Feature-Uninstall-Fenster liegt zwischen 2 und 60 Tagen und wird ueber die Einstellung Set feature update uninstall period gesetzt. Mehr zur Geraeteverwaltung mit Intune findest Du in unserer Anleitung zu Intune und Windows Autopilot.

Pitfall: Uninstall wird sofort und ohne Wartungsfenster ausgefuehrt und kann ohne Verzoegerung neu starten. Ein Feature-Rollback funktioniert nur innerhalb des Uninstall-Fensters und nicht bei Enablement-Package-Installationen.

Schritt 7: Reporting und Status pruefen

Bei WSUS liefert die Konsole unter Reports bzw. Computers den Genehmigungs- und Installationsstatus pro Gruppe. Den Serverzustand pruefst Du auf der Startseite der Konsole. Bei Intune findest Du den Berichtsstatus unter Devices > Monitor bzw. in den Update-Berichten.

Auf dem Client erzwingst Du Scan, Download und Installation. Hinweis: wuauclt.exe /detectnow ist entfernt und wird nicht mehr unterstuetzt. Ersatz ist UsoClient:

UsoClient StartScan
UsoClient StartDownload
UsoClient StartInstall
UsoClient RefreshSettings

Diese Befehle sind undokumentiert und funktionieren nur in einer aktiven Benutzersitzung, nicht am Sperr- oder Anmeldebildschirm. Microsoft raet vom direkten Aufruf ab – bevorzuge nach einer Policy-Aenderung UsoClient RefreshSettings. Robuster ist der Scan per PowerShell-COM:

$au = New-Object -ComObject "Microsoft.Update.AutoUpdate"
$au.DetectNow()

Troubleshooting

Client meldet sich nicht beim WSUS: Pruefe in der GPO, ob Detection- und Statistics-URL identisch und mit korrektem Port (8530/8531) gesetzt sind. Danach gpupdate /force und UsoClient RefreshSettings ausfuehren. Erscheint der Client trotzdem nicht, hilft ein Reset der Update-ID per wsusutil oder das Loeschen des SoftwareDistribution-Ordners.

Keine Feature-Updates ueber Intune: Pruefe, ob der Dienst Microsoft Account Sign-In Assistant (wlidsvc) laeuft. Ist er deaktiviert, bietet der Client keine Feature-Updates an. Pruefe ausserdem, ob versehentlich eine Ziel-Feature-Version gesetzt ist.

Logs lesen: Die Rohdaten liegen als ETW-Trace (.etl) unter folgenden Pfaden:

C:\Windows\Logs\WindowsUpdate          (*.etl)
C:\ProgramData\USOShared\Logs          (USO / *.etl)
%systemroot%\Logs\CBS\CBS.log          (Installationsfehler)

Ein lesbares Log erzeugst Du mit:

Get-WindowsUpdateLog

Das Cmdlet erstellt eine einmalige statische WindowsUpdate.log auf dem Desktop. Sie aktualisiert sich nicht von selbst – fuer aktuelle Daten musst Du den Befehl erneut ausfuehren. Fuer die korrekte Aufloesung der Symbole ist ggf. Internetzugang zum Microsoft Symbol Server noetig. Bei Installationsfehlern ist die CBS.log die wichtigste Quelle.

Häufige Fragen

Ist WSUS noch sinnvoll, wenn es deprecated ist?

Ja. Deprecated bedeutet, dass Microsoft die Rolle nicht mehr weiterentwickelt – nicht, dass sie wegfaellt. Alle Funktionen und Inhalte bleiben verfuegbar und werden bis zum Lifecycle-Ende von Server 2025 (LTSC, rund zehn Jahre) unterstuetzt. Fuer rein on-prem oder isolierte Netze ist WSUS weiter eine valide Wahl. Fuer Neuprojekte mit Cloud-Anbindung lohnt der Blick auf Intune und Windows Autopatch.

WID oder SQL Server fuer die WSUS-Datenbank?

Die WID ist der schnelle Standard fuer kleine Umgebungen, aber selbst deprecated. Fuer groessere oder neue Deployments empfiehlt Microsoft SQL Server – auch die kostenlose Express-Edition reicht oft aus und bietet mehr Verwaltungs- und Wartungsmoeglichkeiten.

Kann ich WSUS und Update for Business gleichzeitig nutzen?

Technisch ja, aber nicht unkontrolliert auf denselben Geraeten. Konkurrierende Quellen und Policies (etwa WSUS-Zeitplan plus Update-for-Business-Deferral) fuehren zu unerwartetem Verhalten. Lege pro Geraetegruppe eine klare Strategie fest.

Warum funktioniert wuauclt /detectnow nicht mehr?

Der Schalter /detectnow wurde seit Windows Server 2016 und Windows 10 entfernt. Nutze stattdessen UsoClient StartScan oder die PowerShell-COM-Methode (New-Object -ComObject Microsoft.Update.AutoUpdate).DetectNow().

Wie lange kann ich Updates aufschieben?

Feature-Updates bis 365 Tage, Quality-Updates bis 30 Tage. Pausieren kannst Du beide bis 35 Tage ab dem gewaehlten Startdatum; die Endnutzer-Pause in den Einstellungen betraegt 7 Tage. Beachte: Geraete am End-of-Service-Datum werden 60 Tage spaeter zwangsweise aktualisiert.

Fazit

Du hast zwei tragfaehige Wege, um Windows-Updates zentral zu steuern. WSUS liefert einen lokalen Update-Cache und feingranulare Genehmigung – ideal fuer on-prem und isolierte Netze, auch wenn die Rolle deprecated ist. Windows Update for Business ohne eigene Infrastruktur, per GPO oder bequem als Intune-Update-Ringe, ist fuer cloud-verbundene KMU meist der pragmatischere Weg mit weniger Wartung. Egal welchen Weg Du waehlst: Setze auf gestaffelte Ringe (Pilot zuerst), klare Wartungsfenster mit Active Hours und Deadlines, und behalte die Logs im Blick. So werden Updates planbar statt zur Stoerquelle.

Weiterführende Anleitungen und Quellen

  1. PowerShell-Grundlagen fuer Windows-Admins – fuer die Cmdlets in dieser Anleitung.
  2. Gruppenrichtlinien (GPO): Grundlagen und Praxis – Basis fuer beide WSUS- und Update-for-Business-Wege.
  3. Intune und Windows Autopilot: Geraete ausrollen – Vertiefung zur Cloud-Verwaltung.
  4. Weitere Anleitungen rund um Windows Server.

Quellen (Microsoft Learn): WSUS – Install the WSUS Server Role; Configure Windows Update client policies via Group Policy; Manage Windows Update Ring Policies (Microsoft Intune); Windows Update log files / Get-WindowsUpdateLog.

Verwandt

Weiter lesen

Alle Artikel →
PowerShell-Konsole auf einem Windows Server mit Cmdlets und Pipeline
02.06.2026 ·10 min

PowerShell-Grundlagen für Windows-Admins

PowerShell-Grundlagen für Windows-Admins: Cmdlet-Prinzip, Pipeline mit Objekten, Discovery, Execution Policy, erstes Skript, Module und Fehlerbehandlung auf Windows Server 2022/2025.
Infografik zu Hyper-V mit erster virtueller Maschine, virtuellem Switch, ISO-Installation, zugewiesenem Arbeitsspeicher und der Nutzung von Checkpoints für Test- und Wiederherstellungspunkte.
02.06.2026 ·9 min

Hyper-V: erste virtuelle Maschine erstellen und Checkpoints nutzen

Hyper-V auf Windows Server 2022/2025 einrichten, erste VM anlegen und Checkpoints sicher einsetzen – mit GUI und PowerShell.
Infografik zur sicheren Einrichtung eines Dateiservers mit NTFS- und Freigabeberechtigungen, mit Gruppenrechten, Vererbung, effektiven Berechtigungen und dem Zusammenspiel von Freigabe- und NTFS-Zugriffen.
02.06.2026 ·10 min

Dateiserver mit NTFS- und Freigabeberechtigungen richtig einrichten

Schritt-für-Schritt: SMB-Freigabe erstellen, NTFS-Rechte korrekt setzen, AGDLP-Prinzip anwenden und typische Fallstricke vermeiden – per GUI und PowerShell.