Abkündigung des WSUS: Wie Microsoft Kunden in die Cloud zwingt
Am 20. September hat Microsoft in einem Blogbeitrag im Windows IT Pro Blog den Windows Server Update Service, kurz WSUS, zum Alteisen erklärt. Der Artikel erklärt in wenigen Worten, dass der Windows Server Update Service in Zukunft zwar weiterhin mit Bugfixes versehen, aber nicht mehr aktiv weiterentwickelt werde - das Unternehmen spricht von "deprecated" . Stattdessen empfiehlt es Kunden, auf die Clouddienste Windows Autopatch, Microsoft Intune oder für Server auf Azure Update Manager zu wechseln.
Der Länge des Artikels und dem Erscheinungsort nach zu schließen, sollte man meinen, dass das kein großes Ding ist. Tatsächlich hat Microsoft seit dem Update auf WSUS 3.0 ganz offensichtlich keine großen Entwicklungsressourcen mehr in das Produkt gesteckt. Auch die Anpassungen damals waren vor allem dem neuen Service-Konzept des Windows Clients mit Service-Releases und Kumulativen Updates geschuldet. Den WSUS abzukündigen, ist jedoch der nächste Schritt in Microsofts Strategie, alle Kunden endgültig an die Cloud zu binden.
Um das zu verstehen, muss man sich vergegenwärtigen, dass es neben WSUS keinen offiziellen Weg gibt, um Windows-Updates offline im lokalen Netzwerk auszurollen. Man kann zwar noch den Microsoft Configuration Manager zur Update-Bereitstellung nutzen, der setzt im Hintergrund aber ebenfalls die WSUS oder die Clouddienste von Microsoft ein, ist also genauso von der Abkündigung betroffen.
Der von Microsoft ins Spiel gebrachte Alternative Windows Autopatch ist ein reines Cloud-Feature, das Windows, Microsoft 365 Apps for Enterprise - früher Office 365 - und Microsoft Teams vollautomatisch aktualisieren soll. Auch Windows Update for Business läuft seit September unter diesem Namen(öffnet im neuen Fenster) .
Zur Rekapitulation: Windows Update for Business existiert seit Windows 10 und erlaubt es, Windows automatisch per Gruppenrichtlinien über Microsoft Update zu aktualisieren. Eine zusätzliche Microsoft-Lizenz war hierzu bisher nicht notwendig.
Es ist aber offenbar kein Zufall, dass Microsoft die Abkündigung von WSUS und das Verschmelzen von Windows Autopatch und Update for Business gleichzeitig veröffentlicht. Man darf gespannt sein, ob in Zukunft das Konfigurieren von Client-Updates nur noch aus der Microsoft Cloud heraus funktioniert.
Intune ist ein rein cloudbasierter Dienst, der ursprünglich als Mobile Device Management System zur Verwaltung von Smartphones und Tablets gedacht war, seit Windows 10 aber auch Windows verwalten kann. Neben Konfigurationen kann Intune auch das Windows Update steuern, und zwar, indem Windows-Update-Einstellungen über das Internet auf den Client gepusht werden.
Neben der Tatsache, dass Intune nicht die Updates, sondern nur die Einstellungen verteilt, muss der Update-Client für die Aktualisierung online sein. Für Clients ist das zwar möglich, wenn auch nicht immer wünschenswert, aber für die meisten Server-Systeme will das wohl niemand so implementieren.
Isoliertes Betreiben von Servern nur noch eingeschränkt möglich
Damit bleibt nur die dritte Variante, der Azure Update Manager, ehemals Azure Automation Update Management. Azure Update Manager ist, wie der Name schon erahnen lässt, ein Clouddienst, der die Update-Verwaltung von Servern (inklusive Linux) erlaubt. Virtuelle Maschinen in Azure sowie Maschinen, die im Azure Stack HCI (einer Weiterentwicklung des kostenlosen Hyper-V-Server) betrieben werden, können mit dem Azure Update Manager kostenlos verwaltet werden.
Möchte man seine im eigenen Rechenzentrum verwalteten Server verwalten, ist auch das möglich, allerdings benötigt man hierzu Azure Arc. Azure Arc ist ein Client, der es erlaubt, lokale Server von Azure aus zu administrieren.
Damit das funktioniert, muss man natürlich zuerst einmal Azure-Kunde sein. Azure Arc selbst ist derzeit sogar kostenlos nutzbar, allerdings nicht der Azure Update Manager, denn hier ruft Microsoft 5 Euro pro Monat pro verwaltetem Server auf, was sich bei einer größeren Anzahl von Servern im Laufe des Jahres zu einer nicht vernachlässigbaren Summe addiert - speziell, wenn man betrachtet, dass der Azure Update Manager die Updates nicht selbst bereitstellt, sondern wie Intune nur die Konfiguration und den Update-Vorgang orchestriert.
Microsoft schreibt dazu(öffnet im neuen Fenster) : "Azure Update Manager honors the update source settings on the machine and will fetch updates accordingly. AUM doesn't publish or provide updates." In anderen Worten: Der Server bezieht seine Updates von Microsoft Update oder von einem WSUS.
Fakt ist also, dass Microsoft Stand heute mit der Abkündigung von WSUS den Kunden auf kurz oder lang die Möglichkeit nimmt, Updates lokal bereitzustellen, da alle Alternativen auf Microsoft Update zurückgreifen, was zumindest eine Internetverbindung voraussetzt.
Das mag für Clients ausreichend sein und ist für Rechner, die aus dem Homeoffice heraus betrieben werden, vermutlich sogar die bessere Alternative. Für Server ist diese Situation aber mehr als unbefriedigend.
Eine ausgesprochen unbefriedigende Lösung
Mit diesem Move zwingt Microsoft seine Kunden dazu, ihre Server in Azure zu registrieren (nur so ist der Einsatz von Azure Update Manager möglich), und kassiert gleichzeitig noch dafür, wenn es sich nicht um eine virtuelle Maschine handelt, die in Azure Stack HCI betrieben wird. Zusätzlich muss der Server jetzt Zugriff aufs Internet bekommen - mindestens auf die Windows-Update-Dienste.
Damit ist das isolierte Betreiben von Servern nur noch eingeschränkt möglich. Für viele Unternehmen dürfte das eine ausgesprochen unbefriedigende Lösung sein.
Das sind die Alternativen
Welche Alternativen bleiben? Zuerst einmal muss man noch nicht in Panik verfallen. WSUS ist jetzt im Status deprecated , wird aber bis auf Weiteres von Microsoft supported. Ein Enddatum ist bisher nicht angegeben und WSUS wird auch noch Bestandteil von Windows Server 2025 sein.
Theoretisch ist der Dienst also noch bis 2035 (dem voraussichtlichen Support-Ende von Server 2025) verfügbar. Sollte Microsoft sich allerdings einfallen lassen, das Windows Update ein weiteres Mal wesentlich umzustellen, wie es das mit Windows 10 getan hat, könnte das Ende auch deutlich früher kommen. Denn neue Features werden ja, wie Microsoft sehr deutlich geschrieben hat, nicht mehr entwickelt.
Im Prinzip kann man sich, soweit man sein Update-Management nicht sowieso schon mit einem Drittherstellerprodukt macht, nach einer Fremdherstellersoftware umsehen. Das aber wird vermutlich noch höhere Lizenzkosten generieren und hat noch einen weiteren, bitteren Beigeschmack. Denn die meisten dieser Produkte benötigen einen Client, der normalerweise mit administrativen Berechtigungen ausgestattet ist.
Das ist ein Problem, das beim Einsatz des empfohlenen Tiering-Modells (Trennung der Administration von Clients, Servern und Domänencontrollern) schnell zu einem Stapel neuer Server führt. Alternativ kann man sich mit einem Fremdhersteller-Update-Server begnügen, reißt sich damit aber eine weitere Schwachstelle auf, da ein Angreifer, der das Passwort des Clientkontos knackt oder Zugriff auf die Softwareverteilung bekommt, infolge auch die Kontrolle über alle Server übernehmen kann.
Faktisch gibt es, auch wenn der WSUS weit entfernt von perfekt ist, keine wirkliche Alternative. Microsoft scheint das aber zu ignorieren und darauf zu zählen, dass die Kunden, die sich bisher noch nicht in die Microsoft Cloud begeben haben, gezwungen sind, spätestens mit Ende des WSUS diesen Schritt zu tun.
Wer schiebt dem einen Riegel vor?
Dass das bei vielen Kunden zu massiven organisatorischen Problemen führen wird, scheint Microsoft nicht zu interessieren, da es dem Konzern aus Redmond ausschließlich darum geht, die Kunden noch stärker in ihre Clouddienste einzubinden und zu fesseln. Google hat sich vor kurzem erst darüber beschwert, dass Kunden in der Microsoft Cloud deutlich bessere Lizenzbedingungen für Windows-Systeme bekommen, als es Google bieten kann.
Mit Windows Update macht Microsoft nun den nächsten Schritt, um Kunden komplett in ihre Cloud zu zwingen. Man kann nur hoffen, dass durch staatliche Stellen hier früh genug ein Riegel vorgeschoben wird oder genug Kunden aufstehen und mit den Füßen abstimmen.
Holger Voges ist seit 25 Jahren als Trainer und Berater für Windows-Netzwerke tätig. Er beschäftigt sich mit Active Directory, Hyper-V, SQL-Server, Office 365, Azure und Powershell. Außerdem ist er Autor des Buchs Verwaltung von Windows 10 mit Gruppenrichtlinien und Intune. Seit 2012 betreibt er in Hannover die Firma Netz-Weise(öffnet im neuen Fenster) , die IT-Schulungen und Consulting anbietet.
Nachtrag vom 2. Oktober 2024, 13:45 Uhr:
Im Artikel war zunächst die Rede davon, dass Azure Stack HCI die neue Version des kostenlosen Hyper-V Servers sei. Das war zu stark vereinfacht ausgedrückt: Tatsächlich basiert die letzte Version des Hyper-V-Servers auf Windows Server 2019. Azure Stack HCI beinhaltet zwar die Funktionen des Hyper-V-Servers, ist aber eine hyperkonvergente Clusterlösung, hat also deutlich mehr Funktionen. Wir haben die Stelle im Text entsprechend angepasst.
Und noch eine Ergänzung, um Missverständnisse auszuschließen: Das im Artikel angesprochene Tiering-Modell ist keine neue Lösung, was an der Aussage des Artikels aber nichts ändert.