Anleitung: WSUS auf Windows Server 2016/2019 installieren

Das gesamte Setup und das anschließende Management lässt sich remote über die GUI erledigen. Setzt man einen dedizierten (virtuellen) Server für WSUS ein, dann reicht daher ein Server Core, für den vollen Desktop besteht kein Bedarf.

Grundsätzlich kann man WSUS auch über PowerShell einrichten. Allerdings dürften die meisten Admins nicht so oft in die Verlegen­heit kommen, einen neuen WSUS-Server aufsetzen zu müssen, so dass eine Automa­tisierung des Vorgangs nicht viel bringt.

Während das Hinzufügen der Rolle noch relativ einfach fällt, ist das anschließende Hantieren mit Kommando­zeilen-Tool wsusutil.exe recht um­ständ­lich. Eine ent­sprechende Anleitung findet sich auf diesem TechNet-Blog.

Rolle remote hinzufügen

Entscheidet man sich für die GUI-Option und den Einsatz von Server Core, dann besteht der erste Schritt darin, auf einer Workstation unter Windows 10 den Server Manager zu starten (er ist Bestandteil der RSAT). Nach dem Hinzu­fügen des Servers über das Menu Verwalten startet man ebendort den Wizard für das Hinzufügen von Rollen und Features.

Dort entscheidet man sich zuerst für den Installationstyp Rollenbasierte oder featurebasierte Installation und wählt im nächsten Dialog den Server aus, auf dem die WSUS eingerichtet werden sollen. Im Anschluss daran hakt man die Checkbox neben Windows Server Updates Services (WSUS) an.

Dadurch öffnet sich ein weiteres Fenster, das die automatische Installation von Rollen und Features anbietet, die für WSUS erforderlich sind. Dies wirkt sich auch auf den nächsten Dialog für das Hinzufügen von Features aus. Hier ist etwa die interne Windows-Datenbank (WID) bereits ausgewählt. Am besten belässt man hier alle Einstellungen wie vorgegeben.

Anschließend geht es zur Konfiguration der Rollendienste von WSUS. Neben dem eigentlichen Service stehen hier zwei Datenbank­optionen zur Auswahl. In der Regel wird man sich für die WID entscheiden. Bevorzugt man SQL Server, dann wählt man hier WID ab und sorgt für die Anbindung einer externen Datenbank.

Unter dem Punkt Inhalt legt man fest, ob die Updates auf den WSUS-Server herunter­geladen werden sollen, so dass sie die Clients von dort beziehen können. Für diesen Fall gibt man hier einen Pfad zum Speichern der Updates an, welcher nicht auf dem Systemlauf­werk liegen sollte.

Deaktiviert man diese Option, dann laden die Clients ihre Updates direkt von Microsoft herunter, nachdem sie der Admini­strator über WSUS freigegeben hat. Diese Einstellung kann man aber später über die MMC noch ändern.

Im letzten Schritt vor dem Abschluss des Wizards konfiguriert man noch die Rollendienste für die IIS. Wenn man den Web-Server für keine anderen Aufgaben vorsieht und ihn nur als Frontend für WSUS verwenden will, dann belässt man hier die vorgegebene Auswahl.

Nachinstallationsaufgaben starten

Nach dem Abschluss der Installation enthält der Wizards einen Link namens Nach­installations­aufgaben starten.

Hat man den Assistenten schon geschlossen, dann findet sich der Verweis unter den Benachrichtigungen.

Diesen klickt man nun an und wartet, bis der Prozess nach ein paar Minuten abgeschlossen ist. Er läuft komplett im Hintergrund und produziert keine Ausgaben.

Erstkonfiguration von WSUS

In der dritten Phase geht es nun um die Erst­konfiguration von WSUS. Dazu führt man im Server Manager aus dem Kontext­menü des Servers den Befehl Windows Server Update Services (WSUS) aus. Nach der Bestätigung des Verbindungs­dialogs öffnet sich einen Wizard, den man später aus dem MMC-Snapin (teilweise) erneut ausführen kann.

Nach den Vorbemerkungen und den Telemetrie-Einstellungen ("Programm zur Verbesserung von Microsoft Update") geht es zur Festlegung der Quelle, aus welcher der Server die Updates beziehen soll. Handelt es sich um einen einzelnen WSUS-Server oder um einen Hub innerhalb des Unter­nehmens, dann belässt man es hier bei Microsoft Update. Andernfalls gibt man hier die Daten für einen internen Upstream-Server ein.

Es folgt die Konfiguration eines Proxy-Servers, falls sich die WSUS über einen solchen mit dem Internet verbinden müssen.

Nun kann WSUS die Metadaten für Updates herunterladen, die für die danach folgende Auswahl von Sprachen, Produkten und Klassifizierungen benötigt werden.

Im nächsten Schritt legt man fest, in welcher Landes­sprache die Updates bezogen werden sollen. Auch wenn man alle Produkte nur in einer lokalisierten deutschen Version verwendet, muss man hier trotzdem Englisch als zusätzliche Sprache auswählen.

Im nächsten Dialog entscheidet man, für welche Produkte die WSUS Updates herunterladen sollen. Windows ist bereits voraus­gewählt (inklusive alter Kamellen wie XP oder Server 2003), alle anderen muss man selbst anhaken.

Neben den gewählten Produkten und Sprachen entscheidet zusätzlich die Kategorie, welche Updates man erhält. Microsoft klassifiziert diese zum Beispiel nach wichtigen oder Sicherheit-Updatesn, Service Packs oder Tools. Diese Auswahl trifft man nun im nächsten Dialog.

Hier sollte man überlegen, ob man Treiber unbedingt auf diesem Weg beziehen möchte. Ein Abonnement von Treibern wird den Ressourcen-Verbrauch von WSUS (speziell beim Plattenplatz) deutlich erhöhen.

Schließlich geht es noch darum, ob man Updates manuell herunterladen oder diese Aufgabe automatisch und zeitgesteuert ausführen möchte. Voreingestellt ist Manuell synchronisieren, in der Regel wird man hier aber einen Zeitplan definieren.

Zum Abschluss hat man die Möglichkeit, durch Aktivieren der entsprechenden Option gleich die Erst­synchronisation zu starten.

Anschließend kann man auf Fertig stellen klicken, weil die letzte Seite mit dem Titel Nächste Schritte nur noch Links auf veraltete Online-Dokumente enthält.

Die Konfiguration des Servers ist damit abgeschlossen.