WSUS wurde abgekündigt, Azure Update Manager und Intune übernehmen das Ruder

Leider gibt es jetzt aber die ersten Schwierigkeiten. Rückblick: Mit der Ankündigung von Windows Server 2025 läutete Microsoft das Ende der Windows Server Update Services (WSUS) letztes Jahr ein.

Der Dienst wurde offiziell als veraltet (deprecated) markiert und wird nicht weiterentwickelt. Die empfohlenen Alternativen für eine moderne, zentralisierte Verwaltung sind der Azure Update Manager (AUM) für Server und Microsoft Intune.

Technischer Cut: Warum WSUS 2025 ältere Clients fallen lässt

Die Abkündigung geht mit einer drastischen technischen Veränderung im WSUS-Dienst von Windows Server 2025 einher, die mit der Härtung des Dienstes begründet wird. Microsoft entfernt Komponenten, die für die Sicherheit als problematisch angesehen werden, obwohl sie für die Kompatibilität älterer Clients essenziell sind.

Dies dürfte dem einen oder anderen jetzt beim Rollout der Oktober Patches aufgefallen sein, denn Systeme wie Server 2012 mit ESU gehen seitdem leer aus.

Das kritische SelfUpdate-Problem in WSUS 2025

Le September-Update für Windows Server 2025 löscht die DLLs und EXEs, welche ältere Betriebssysteme für den SelfUpdate-Service benötigen.

• Betroffener Ordner: Der Ordner %systemdrive%\Program Files\Update Services\SelfUpdate, der diese essenziellen Binärdateien enthält, wird entfernt.
• Folge: WSUS-Server unter Windows Server 2025 können dadurch keine Patches mehr an ältere Betriebssysteme ausliefern.
• Kritikalität: Dies betrifft insbesondere Windows Server 2012 (R2)-Systeme, die auf das kostenpflichtige Extended Security Update (ESUS)-Programm angewiesen sind, dessen Patches noch bis Oktober 2026 erscheinen. Ohne funktionierenden SelfUpdate-Service erhalten diese Systeme keine Updates mehr.

Workaround: Die manuelle Wiederherstellung (Behelfslösung)

Als temporäre Abhilfe empfiehlt Microsoft, den entfernten Ordner manuell wiederherzustellen:

1. Quelldateien beschaffen: Kopieren Sie den Ordner SelfUpdate von einem älteren, noch voll funktionsfähigen WSUS-Server (z. B. unter Windows Server 2022 oder einer WSUS 2025-Version avant dem September-Update).
2. Zielordner einfügen: Kopieren Sie den Ordner in das Verzeichnis %systemdrive%\Program Files\Update Services auf dem betroffenen WSUS 2025-Server.
3. Virtuelles Verzeichnis anlegen: Fügen Sie dieses Verzeichnis anschließend als Virtual Directory (mit dem Namen SelfUpdate) unter der WSUS-Website im IIS hinzu.

Attention : Dies ist eine Behelfslösung, deren Haltbarkeit unklar ist. Es ist nicht garantiert, dass Microsoft den Ordner nicht in künftigen Updates erneut entfernt. Die klare Empfehlung des Herstellers ist die Migration.

Der Weg in die Cloud: Azure Update Manager und Kosten

Angesichts dieser Einschränkungen wird der Umstieg auf den AUM dringend empfohlen. Die Migration zu einem Cloud-Dienst wird von vielen als „Cloud-Zwang“ empfunden, da die Verwaltung von lokalen Servern über AUM mit monatlichen Kosten von ca. 5€ pro Server verbunden ist.

Migration: Die Hauptschritte zur Azure Arc-Anbindung

Der Azure Update Manager verwaltet Ihre On-Premises-Server mithilfe von Azure Arc. Die Anbindung eines lokalen Servers an Azure über Arc erfolgt in wenigen Hauptschritten:

Den Azure Connected Machine-Agenten installieren

• Voraussetzung: Der Server sollte Windows Server 2022/2025 oder eine kompatible ältere Version nutzen.
• Ausführung des Assistenten: Im Azure-Portal navigieren Sie zu „Azure Arc“ und starten dort den Azure Arc-Assistenten.
• Skriptgenerierung: Der Assistent generiert ein Installationsskript (PowerShell), das die notwendigen Parameter (wie Azure-Region, Ressourcengruppe und Service Principal-Anmeldedaten) enthält.
• Installation : Führen Sie das generierte Skript auf dem lokalen Server aus. Das Skript lädt den Azure Connected Machine-Agenten herunter und installiert ihn.

Der Server erscheint im Azure-Portal

• Nach der Installation des Agenten und erfolgreicher Verbindung erscheint der lokale Server als verwaltetes Objekt im Azure-Portal.
• Er wird nun mit der Statusanzeige „Connected“ (Verbunden) unter den Azure Arc-Ressourcen gelistet.

Aktivierung des Azure Update Managers

• Zugriff: Im Azure-Portal rufen Sie das Objekt des angebundenen Servers auf.
• Funktionen: Die verfügbaren Dienste erscheinen als Kacheln, darunter der Bereich „Aktualisierungen“. Dahinter verbirgt sich die Anbindung an den Azure Update Manager.
• Configuration : Über diese Kachel lassen sich die Funktionen des AUM einstellen (z. B. Hotpatching, Regelmäßige Bewertung aktivieren, Updates planen).

Der Azure Update Manager dient somit als zentrale Verwaltungsstelle für Ihre gesamte Infrastruktur, unabhängig davon, ob es sich um lokale Server (via Arc) oder Azure-VMs handelt. Die neuen Funktionen erlauben eine automatisierte Planung von Updates ohne die Notwendigkeit von Gruppenrichtlinien.