Inhaltsverzeichnis

WSUS

Das Windows-Betriebssystem und verschiedene andere Microsoft-Produkte müssen regelmäßig aktualisiert werden, um auf dem neuesten Stand zu bleiben und neu entdeckte Sicherheitslücken zu schließen. Die GWDG unterhält einen eigenen Windows Server Update Service (WSUS), um die Verteilung dieser Updates im universitären Bereich zu kontrollieren und auch Geräte ohne Internetzugang zu versorgen. Die Auswahl der unterstützten Produkte richtet sich nach den Anforderungen der Institute; auf privaten Computern sollte daher der vorinstallierte „Windows Update“-Dienst genutzt werden.

Konfiguration

Um einzelne Windows Server oder Workstations (keine Home-Versionen!) auf den WSUS-Server auszurichten, müssen Sie die lokalen Richtlinien bearbeiten; im Active Directory können Sie Gruppenrichtlinien nutzen. Die Konfiguration erfolgt in beiden Fällen über die selben Richtlinien: Öffnen Sie den Editor mit „gpedit.msc“ und navigieren Sie anschließend zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update.

Aktivieren Sie nun die Richtlinie Internen Pfad für den Microsoft Updatedienst angeben und tragen Sie bei „Interner Updatedienst zum Ermitteln von Updates“ und „Intranetserver für die Statistiken“ die folgende Adresse ein:

https://wsus.gwdg.de:8531

Anschließend muss über die Richtlinie „Clientseitige Zielzuordnung aktivieren“ eine Zielgruppe gewählt werden. Reguläre Updates für Windows und andere Microsoft Produkte wie Edge und Defender werden in allen Zielgruppen automatisch direkt nach Release durch Microsoft freigegeben. Die monatlichen Sicherheitsupdates geben wir hingegen gestaffelt in mehreren Ring-Zielgruppen - Ring-0 bis Ring-5 - frei. Diese Updates werden bei Release am Patch-Tuesday (2. Dienstag im Monat, 19 Uhr) ohne Verzögerung in Ring-0, und danach mit jeweils 24 Stunden Verzögerung in den weiteren Ringen freigegeben. So haben wir mehr Zeit, auf Probleme mit Updates zu reagieren, bevor sie kritische Systeme erreichen.

Wir schlagen folgende Nutzung vor:

  • Ring-0: Freigabe am 2. Dienstag des Monats direkt nach Release durch Microsoft. Empfohlen für Testsysteme.
  • Ring-2: Freigabe Donnerstagabend. Empfohlen für Workstations.
  • Ring-5: Freigabe Sonntagabend. Empfohlen für Server mit Reboot in der Nacht auf Montag.

WSUS-Clients kontaktieren den Server, sofern nicht anders konfiguriert, alle vier Stunden, um nach neuen Updates zu suchen. Zusätzlich gibt es eine zufällige Verzögerung von bis zu 30 Minuten, um zu verhindern, dass zu viele Clients gleichzeitig den Server anfragen. Daher kann es einige Stunden dauern, bis Updates nach der Freigabe im Ring tatsächlich von einem Client heruntergeladen und installiert werden. Zudem verschiebt sich der Zeitpunkt des Update-Releases durch Microsoft je nach Winter- oder Sommerzeit um eine Stunde. Wir empfehlen daher, insbesondere bei automatischen Server-Neustarts zum Abschluss der Installation, einen großzügigen Zeitpuffer von 6 Stunden einzuplanen.

Support-Ende von Windows 10

Microsoft hat angekündigt, den Mainstream-Support für Windows 10 am 14.10.2025 zu beenden. Nach diesem Stichtag werden die monatlichen Sicherheitsupdates nur noch für Windows 11 und einzelne Windows 10 Systeme mit speziellen Enterprise LTSC (Long Term Servicing Channel) oder ESU (Extended Security Updates) Lizenzen angeboten.

:!: Um sicherzustellen, dass keine ungepatchten Systeme im Netzwerk und Active Directory verbleiben, werden wir ab dem 14.10.2025 das In-Place-Upgrade auf Windows 11 über die WSUS-Server der GWDG verteilen. Alle kompatiblen Windows 10 Computer, die den WSUS-Service nutzen, werden dann automatisch auf Windows 11 upgraden. Für Computer im Active Directory wird der Neustart zur Installation erzwungen.

Wir haben zu dem Thema eine eigene Info-Seite eingerichtet.

Windows 11

Da Microsoft die Funktionsupdates für Windows 11 mit den In-Place-Upgrades von Windows 10 auf 11 kombiniert hat, können wir diese Funktionsupdates bis zum Support-Ende von Windows 10 nicht in den regulären Ring-Zielgruppen verteilen. Wir haben deshalb eine separate WSUS-Zielgruppe Win11 eingerichtet, die vorübergehend genutzt werden kann. Windows 10 und Windows 11 Clients in dieser Zielgruppe werden auf Windows 11 24h4 aktualisiert.

Im Active Directory haben wir zwei separate Gruppenrichtlinien eingerichtet:

  • GWD WSUS Client In-Place-Upgrade to Win11: Aktualisiert Windows 10 und Windows 11 Clients auf Windows 11 24h2
  • GWD WSUS Client Ring-2 [Win11 FU]: Aktualisiert nur Windows 11 Clients auf Version 24h2

Weitere Informationen

Alte Zielgruppen: Alle Computer, die zuvor mit den Zielgruppen „gwdg“, „ServerAll“ und „ServerAll-FU“ konfiguriert waren, wurden in „Ring-2“ eingeordnet. Bitte verwenden Sie diese Zielgruppen nicht mehr.

Neue Server-Adresse: Im Zuge der Umstellung auf die neue WSUS-Umgebung hat sich die IP-Adresse des Servers auf 134.76.16.243 geändert. Bitte prüfen Sie bei Update-Problemen die Erreichbarkeit dieser Adresse über Port 8531 und 8530.

Ports: WSUS nutzt Port 8531 (HTTPS) um die Meta-Daten der Updates verschlüsselt zu übertragen. Der Update-Content wird signiert über Port 8530 (HTTP) heruntergeladen. Bitte achten Sie darauf, dass Ihre Clients den WSUS-Server über beide Ports erreichen können. Die früher genutzten Ports 443 und 80 werden nicht länger unterstützt.

Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information