Die Entscheidung von Microsoft, den Updatehelfer WSUS zum Supportende von Windows 2025 abzukündigen und somit als veraltet zu markieren, kam für viele Administratoren überraschend. Der Artikel gibt deshalb einen kurzen Überblick, ob für Unternehmen schon jetzt Handlungsbedarf besteht und welche Werkzeuge als Alternativen für Windows-Aktualisierung und Patchverteilung infrage kommen.
Microsofts Serverrolle WSUS hat sich als wirksames Werkzeug zur Verwaltung von Windows-Update etabliert. Doch bei einer genaueren Betrachtung des Ökosystems aus Redmond war die Entscheidung zur Abkündigung von WSUS erwartbar – der Trend in Richtung Cloud ist klar ersichtlich. Hinzu kommt, dass Microsoft die in WSUS implementierten Funktionen seit einiger Zeit nicht aktiv weiterentwickelt hat.
Kein sofortiges Aus
Abkündigungen lösen in der Microsoft-Welt oft Panikreaktionen aus. Die praktische Erfahrung im Umgang mit Technologien aus Redmond lehrt jedoch, dass dort nicht selten heißer gekocht als am Ende gegessen wird. Das beste Beispiel hierfür ist die Aufregung um die Abkündigung von Visual Basic 6 – trotz aller Weltuntergangsszenarien funktionieren VB6-basierte Applikationen unter Windows 11 immer noch problemlos. Im Allgemeinen lässt sich also feststellen, dass Microsoft von der Kundschaft aktiv verlangte Dienste nur ungern außer Betrieb nimmt.
Und so ist die für WSUS wichtigste Information deshalb, dass der IT-Konzern im Rahmen der WSUS-Roadmap darauf hinweist, dass das Produkt von Windows Server 2025 unterstützt wird. Denn daraus folgt ein langer Updatezyklus: Das Enddatum des Mainstreamsupports – wie immer beträgt dieser fünf Jahre – hat Redmond auf den 9. Oktober 2029 festgelegt. Erweiterten, wenn auch kostenpflichtigen Support mit Sicherheitsupdates gibt es weitere fünf Jahre, also bis 2034. Die Preise für diese Verlängerung sind von Fall zu Fall unterschiedlich und nicht zuletzt vom Verhandlungsgeschick abhängig. Unter [1] findet sich eine Abschätzung dazu, die von einem Jahrespreis von bis zu 75 Prozent der ursprünglichen Lizenz ausgeht.
Microsofts Serverrolle WSUS hat sich als wirksames Werkzeug zur Verwaltung von Windows-Update etabliert. Doch bei einer genaueren Betrachtung des Ökosystems aus Redmond war die Entscheidung zur Abkündigung von WSUS erwartbar – der Trend in Richtung Cloud ist klar ersichtlich. Hinzu kommt, dass Microsoft die in WSUS implementierten Funktionen seit einiger Zeit nicht aktiv weiterentwickelt hat.
Kein sofortiges Aus
Abkündigungen lösen in der Microsoft-Welt oft Panikreaktionen aus. Die praktische Erfahrung im Umgang mit Technologien aus Redmond lehrt jedoch, dass dort nicht selten heißer gekocht als am Ende gegessen wird. Das beste Beispiel hierfür ist die Aufregung um die Abkündigung von Visual Basic 6 – trotz aller Weltuntergangsszenarien funktionieren VB6-basierte Applikationen unter Windows 11 immer noch problemlos. Im Allgemeinen lässt sich also feststellen, dass Microsoft von der Kundschaft aktiv verlangte Dienste nur ungern außer Betrieb nimmt.
Und so ist die für WSUS wichtigste Information deshalb, dass der IT-Konzern im Rahmen der WSUS-Roadmap darauf hinweist, dass das Produkt von Windows Server 2025 unterstützt wird. Denn daraus folgt ein langer Updatezyklus: Das Enddatum des Mainstreamsupports – wie immer beträgt dieser fünf Jahre – hat Redmond auf den 9. Oktober 2029 festgelegt. Erweiterten, wenn auch kostenpflichtigen Support mit Sicherheitsupdates gibt es weitere fünf Jahre, also bis 2034. Die Preise für diese Verlängerung sind von Fall zu Fall unterschiedlich und nicht zuletzt vom Verhandlungsgeschick abhängig. Unter [1] findet sich eine Abschätzung dazu, die von einem Jahrespreis von bis zu 75 Prozent der ursprünglichen Lizenz ausgeht.
Somit gilt demnach, dass spätestens im Oktober 2029 Handlungsbedarf besteht. Da dieser Zeitpunkt allerdings noch recht weit entfernt ist, besteht derzeit kein Grund für aktionistisches Handeln. Außerdem wäre es durchaus möglich, dass Microsoft Anpassungen an der Deprecation-Entscheidung vornimmt und den Service in eine Nachfolgeversion integriert.
Auch Drittanbieter reagieren
Unter dem Stichwort Patchmanagement gibt es verschiedenste große und kleine Anbieter, die diese Aufgabe zu erledigen suchen. Neben Werkzeugen wie dem in der Oktober-Ausgabe 2024 von uns getestete Deeploi [6] gibt es Plattformen, die einen an WSUS erinnernden Funktionsumfang zur Verfügung stellen. Schon aus Platzgründen verbietet sich in diesem Artikel eine Komplettdarstellung der am Markt erhältlichen Tools. Auffällig ist allerdings, dass einige Anbieter auf die Abkündigung von WSUS bereits reagiert haben. Ein Beispiel dafür wäre das US-amerikanische Start-up Action1 [7], das mittlerweile für Nutzer mit bis zu 100 Usern beziehungsweise Endpunkten eine komplett kostenlose Verwaltung von Softwarepatches verspricht. Mit dem Annähern an die End-of-Life-Deadlines von WSUS ist damit zu rechnen, dass noch mehr Anbieter in diese Bresche springen werden.
Microsoft lockt in die Cloud
Am liebsten wäre es Microsoft, wenn Administratoren ihre gesamte IT-Infrastruktur in Richtung der Azure-Cloud übersiedeln. Mit dem Azure Update Manager steht dort ein Service zur Verfügung, der sich um die automatische Pflege von in der Cloud gehosteten Ressourcen kümmert. Dank der Integration in den hybriden Clouddienst Azure Arc ist es zudem möglich, Azure Update Manager zur Verwaltung von lokalen Servern zu verwenden. Einzige Voraussetzung ist deren Integration in Arc und das Bezahlen der dabei entstehenden Kosten. Microsoft unterstützt im Azure Update Manager neben Windows übrigens auch im Enterprise-Bereich verbreitete Linux-Versionen [2].
Sehr praktisch ist am Azure Update Manager, dass seine Integration in das lokale Netzwerk keine spezifische Einrichtung erfordert: Wer eine Azure-gehostete Windows-Instanz verwendet oder seinen Windows-Server in Azure Arc einbindet, bekommt die Updatefunktionen automatisch frei Haus. Im Fall einer in Azure gehosteten virtuellen Maschine ist der Dienst sogar kostenlos, während die Nutzung im On-Premises-Betrieb je nach Uptime der Maschine bis zu 5 US-Dollar im Monat an Kosten verursacht. Dabei ist zu beachten, dass eine einmalige Verbindung ausreicht, um die Verrechnung für den gesamten Tag auszulösen.
Einmal eingebunden, lassen sich Updates auf den einzelnen Hosts direkt aus dem Azure-Backend heraus installieren. Die manuelle Auslieferung von Updates ist allerdings nur ein Teil der Gesamtfunktionen. Über verschiedenste Group-Policy-Richtlinien erlaubt der Azure Update Manager die Konfiguration von Triggern, um Aktualisierungen automatisiert in der gesamten Flotte auszuliefern.
Vielfältiger Azure Update Manager
Insgesamt zeigt sich der Azure Update Manager flexibel und facettenreich. Durch die Periodic-Assessment-Funktion etwa lässt er sich zur automatisierten Überwachung des Zustands diverser VMs animieren. In diesem Fall führt das System eine periodische Überprüfung durch, um fehlende Updates zu melden oder direkt zu installieren.
Im Rahmen der Automatisierungsfunktion verdient zudem die Integration in das Event-System von Azure Erwähnung. Während der Ausführung eines Updates besteht die Möglichkeit, wie in Bild 2 gezeigt verschiedene Ereignisse zu verarbeiten oder auszulösen. Ein klassisches Beispiel wäre das Hochfahren zusätzlicher Maschinen während einer Updatephase, um entweder Engpässe abzufangen oder eine simultane Aktualisierung aller Maschinen zu gewährleisten. Zu beachten ist dabei, dass der Ausführungsdauer der verschiedenen Payloads recht enge Grenzen gesetzt sind. Komplexe Berechnungen oder die Interaktion mit externen Servern sollten also asynchron erfolgen.
Zusammenfassend lässt sich sagen, dass der Azure Update Manager seine Stärken immer dann ausspielt, wenn die IT-Infrastruktur eines Unternehmens ohnehin auf Azure ausgerichtet ist. Ein Loadbalancer könnte dann beispielsweise automatisiert auf die durch den Installationsvorgang eingetretene Reduktion der Rechenleistung reagieren. Außerdem gilt, dass in Azure gehostete VMs in Bezug auf die Übertragungskosten für Updates naturgemäß keine großen Probleme verursachen. Bei einer lokal geprägten Infrastruktur kann es hingegen empfehlenswert sein, die Übertragungsmenge durch Nutzung eines lokalen Cache zu reduzieren. Ein Beispiel hierfür ist der in der Betaphase befindliche Microsoft Connected Cache [3].
Azure Update Manager informiert über den Aktualisierungs- und Patchstatus.
Windows Autopatch verwaltet Clientupdates
Azure Update Manager kümmert sich ausschließlich um das Aktuellhalten von serverartigen Systemen. Für das Aktualisieren von Clients – diese sind meist nicht ganz so eng in die Azure-Infrastruktur eingebunden – steht mit Windows Autopatch ein ähnlicher Service zur Verfügung.
Zu beachten ist dabei zweierlei: Erstens gilt, dass der volle Funktionsumfang von Autopatch nur dann zur Verfügung steht, wenn eine Windows-Lizenz vom Typ Windows 10/11 Enterprise E3 oder E5 vorliegt. Bei Verwendung von Microsoft 365 entspricht dies den Lizenzklassen F3, E3, oder E5. Wer hingegen seine Windows-Clients nur über eine Business-Lizenz betreibt, muss mit einem vergleichsweise kleinen Teil der Funktionen leben. Unter [4] bietet Microsoft hierfür eine Art Speisezettel.
Zweitens gilt, dass es sich bei Windows Autopatch prinzipiell um einen cloudbasierten Service handelt. Aus diesem Aufbau folgt ein recht hoher Bandbreitenbedarf. Wenn die als "Delivery Optimization" bekannte und unter [5] im Detail beschriebene Funktion nicht korrekt eingerichtet ist, lädt jeder Client sein Update separat herunter. Neben den dadurch entstehenden Phasen mit langsamer Internetverbindung kann dies bei volumenbasierter Abrechnung des Internetzugangs erhebliche Mehrkosten verursachen.
Konzeptuell handelt es sich bei Windows Autopatch um eine Ergänzung des bekannten Windows Intune, das als Endpunkteverwaltung zahlreiche Werkzeuge auch zur Kontrolle von Rollout-Prozessen zur Verfügung stellt.
Fazit
Die Abkündigung von WSUS hat im IT-Umfeld für einige Aufmerksamkeit gesorgt. In der Praxis gilt allerdings, dass Schnellschüsse derzeit nicht erforderlich sind. Was in der schnelllebigen Microsoft-Welt bis zum Ende des Supportzyklus von Windows Server 2025 passiert, ist ohnehin nicht abzuschätzen. Nie schaden kann jedoch, schon einmal einen Blick auf Nachfolgedienste wie Azure Update Manager, Windows Autopatch oder die Produkte von Drittanbietern zu werfen.