WSUS (Windows Server Update Services) to wbudowana rola systemu Windows Server umożliwiająca scentralizowane pobieranie, zatwierdzanie i dystrybucję aktualizacji Microsoft — przede wszystkim dla Windows, Office'a i Windows Server — do wszystkich komputerów w sieci firmowej. Serwer WSUS pobiera poprawki bezpośrednio z Microsoft Update, administrator zatwierdza je dla wybranych grup, a stacje robocze i serwery pobierają je lokalnie zamiast z internetu — oszczędzając łącze i dając pełną kontrolę nad harmonogramem wdrożeń.
W skrócie
- Rola dostępna w Windows Server 2016, 2019, 2022 i 2025 — instalowana przez Server Manager lub PowerShell (
Install-WindowsFeature UpdateServices)- Komunikacja: serwer WSUS pobiera aktualizacje z Microsoft Update (port 80/443), klienci pobierają z WSUS-a (domyślnie port 8530 HTTP / 8531 HTTPS)
- Centralne zatwierdzanie aktualizacji z możliwością podziału na grupy komputerów (serwerowe, testowe, produkcyjne, działy)
- Stan na 2026 r.: WSUS jest zdeprecjonowany — Microsoft nie rozwija już nowych funkcji, ale rola nadal otrzymuje poprawki bezpieczeństwa i jakości zgodnie z cyklem życia Windows Server
- Alternatywy zalecane przez Microsoft: Windows Update for Business (WUfB) + Microsoft Intune dla klientów Windows 10/11, Microsoft Configuration Manager dla zaawansowanych scenariuszy
Pełna definicja — czym jest WSUS i jak działa
WSUS to rola serwerowa, która działa jako pośrednik aktualizacyjny między infrastrukturą Microsoftu a wewnętrzną siecią organizacji. W praktyce składają się na nią cztery komponenty:
- Baza danych — Windows Internal Database (WID, domyślnie) lub Microsoft SQL Server — przechowuje metadane aktualizacji, konfigurację serwera i informacje o klientach.
- Usługa synchronizacji (Server Synchronization Service) — regularnie łączy się z Microsoft Update (lub nadrzędnym serwerem WSUS), pobiera listę dostępnych aktualizacji i — jeśli skonfigurowano przechowywanie lokalne — same pliki.
- Konsola administracyjna (WSUS Administration Console) — przystawka MMC, przez którą administrator zatwierdza aktualizacje, zarządza grupami komputerów i przegląda raporty.
- Usługi webowe IIS — serwują zatwierdzone aktualizacje klientom przez protokół HTTP/HTTPS; korzystają z BITS (Background Intelligent Transfer Service).
Od marca 2023 roku WSUS obsługuje Unified Update Platform (UUP) dla klientów Windows 11 — oznacza to dodatkowe ~10 GB przestrzeni dyskowej na każdą architekturę procesora (x64, ARM64) i konieczność ręcznego dodania typów MIME .wim i .msu w IIS, jeśli serwer nie ma zainstalowanego odpowiedniego CU.
Kluczowe pojęcia: upstream, downstream, tryb autonomiczny i replika
W sieci może działać wiele serwerów WSUS w hierarchii. Serwer synchronizujący się bezpośrednio z Microsoft Update to upstream; pozostałe (downstream) pobierają aktualizacje od niego:
- Tryb autonomiczny (domyślny) — każdy downstream ma własną politykę zatwierdzania aktualizacji i własne grupy komputerów.
- Tryb repliki — downstream dziedziczy wszystkie zatwierdzenia i grupy z upstream; przydatny w scenariuszu centralnego IT zarządzającego oddziałami.
Microsoft zaleca hierarchię maksymalnie 3-poziomową (choć testowano do 5), ponieważ każdy poziom dodaje opóźnienie propagacji aktualizacji.
Planowanie i wymagania sprzętowe przed instalacją
Przed przystąpieniem do konfiguracji należy zweryfikować, czy serwer spełnia wymagania — ich skalowanie zależy od liczby obsługiwanych klientów:
| Komponent | Wymaganie minimalne | Zalecane |
|---|---|---|
| Procesor | 1,4 GHz x64 | ≥2 GHz |
| RAM (ponad wymagania OS) | +2 GB (WID) | +4 GB (przy SQL Server i dużej liczbie klientów) |
| Przestrzeń dyskowa | 40 GB | ≥100 GB (przy lokalnym przechowywaniu + UUP) |
| Karta sieciowa | 100 Mbps | 1 Gbps |
| Baza danych | WID (Windows Internal Database) | SQL Server 2019/2022 Standard (dla >10 000 klientów lub NLB) |
| .NET Framework | 4.0+ | — |
| IIS | Wymagany (instalowany automatycznie z rolą) | — |
| Dodatkowe (UUP) | +10 GB na wersję Windows i architekturę | Ręczne MIME .wim / .msu jeśli brak CU |
Uwaga: WID (Windows Internal Database) również jest zdeprecjonowany w Windows Server 2025. Microsoft rekomenduje migrację na darmową lub pełną wersję SQL Server.
Domyślnie WSUS instaluje bazę SUSDB na WID. Przy ponad kilku tysiącach klientów lub przy konfiguracji NLB (Network Load Balancing) — konieczny jest pełny SQL Server, ponieważ WID nie obsługuje klastrowania.
Konfiguracja WSUS krok po kroku
1. Instalacja roli
Przez Server Manager: Dodaj role i funkcje → Windows Server Update Services → zaznacz "WSUS Services" i opcjonalnie "SQL Server Connectivity" jeśli używasz pełnego SQL-a. Instalator automatycznie doda IIS i WID.
Przez PowerShell (szybciej, zwłaszcza na Server Core):
Install-WindowsFeature -Name UpdateServices, UpdateServices-DB -IncludeManagementTools
Po instalacji uruchom kreatora konfiguracji poleceniem wsusutil.exe postinstall lub przez konsolę MMC.
2. Wybór źródła aktualizacji i strategii przechowywania
W kreatorze:
- Synchronizuj z Microsoft Update — standardowy wybór dla upstream.
- Przechowuj aktualizacje lokalnie — domyślnie włączone; klienci pobierają z WSUS-a, oszczędzasz łącze internetowe. Wybierz ścieżkę z minimum 40 GB wolnego miejsca (zalecane 100+ GB z UUP).
- Alternatywnie: nie przechowuj lokalnie — klienci pobierają zatwierdzone aktualizacje bezpośrednio z Microsoft Update; przydatne przy wolnym WAN-ie a szybkim internecie w oddziale.
3. Wybór produktów i klasyfikacji
To krytyczny moment — zawyżenie listy produktów powoduje ściąganie setek gigabajtów niepotrzebnych danych. Rekomendowane minimum:
| Pole | Zalecany wybór |
|---|---|
| Produkty | Windows 11, Windows 10, Windows Server 2022/2025, Office 2019/2021/Microsoft 365 Apps |
| Klasyfikacje | Critical Updates, Security Updates, Definition Updates (dla Windows Defender) |
| Języki | Zawsze angielski + języki używane w organizacji (np. polski) |
4. Harmonogram synchronizacji
Pierwsza synchronizacja może trwać ponad godzinę. Ustaw automatyczną synchronizację na 1-2 razy dziennie (domyślnie: codziennie o 3:00). Nie ustawiaj zbyt częstej — obciąża serwer bez wyraźnej korzyści.
5. Konfiguracja klientów przez Group Policy
Klienci Windows nie wiedzą o WSUS-ie automatycznie — trzeba ich na niego skierować przez zasady grupy (GPO):
Konfiguracja komputera → Szablony administracyjne → Składniki systemu Windows → Windows Update
- Określ lokalizację usługi aktualizacji Microsoft w intranecie:
http://nazwa-serwera-wsus:8530
- Określ lokalizację usługi statystyk Microsoft w intranecie:
http://nazwa-serwera-wsus:8530
- Częstotliwość wykrywania aktualizacji automatycznych: 8 godzin
- Zezwalaj na natychmiastową instalację aktualizacji automatycznych: Włączone
- Automatyczne aktualizacje — konfiguracja: 4 (Pobierz i zaplanuj instalację)
6. Grupy komputerów i zatwierdzanie
Utwórz grupy w konsoli WSUS (Computers → All Computers → Add Computer Group). Typowy podział:
- Grupa testowa (kilka reprezentatywnych stacji + IT) — dostaje aktualizacje jako pierwsza, z deadlinem +2 dni
- Grupa produkcyjna — dostaje aktualizacje po pomyślnym teście, z deadlinem +7 dni
- Serwery — osobna grupa z bardziej konserwatywnym oknem (np. +14 dni)
Zawsze zatwierdzaj najpierw do grupy testowej — WSUS nie ma wbudowanego cofania aktualizacji poza ręcznym uninstall wusa /uninstall.
WSUS a deprecjacja — co to oznacza w praktyce (2026)
Microsoft oficjalnie oznaczył WSUS jako "features no longer in active development" w Windows Server 2025. W praktyce:
- ✅ WSUS nadal jest w pełni wspierany — otrzymuje poprawki bezpieczeństwa do końca cyklu życia Windows Server 2025 (mainstream support do ~2030, extended do ~2035).
- ❌ Nie pojawią się żadne nowe funkcje.
- ⚠️ WID (domyślna baza WSUS) również jest deprecjonowany — zostanie usunięty w przyszłej wersji Windows Server.
Co to oznacza dla administratora: jeśli dziś wdrażasz lub utrzymujesz WSUS — możesz to robić bezpiecznie przez najbliższe lata, ale powinieneś mieć plan migracji. Microsoft rekomenduje trzy ścieżki:
| Alternatywa | Dla kogo | Kluczowa cecha |
|---|---|---|
| Windows Update for Business (WUfB) | Organizacje z Windows 10/11 + Microsoft Intune lub GPO | Bez infrastruktury on-prem; polityki deferralu, pierścienie wdrożeń, Delivery Optimization (P2P) |
| Microsoft Configuration Manager (dawniej SCCM) | Duże środowiska z zaawansowanymi wymaganiami (obrazy OS, inwentaryzacja) | Pełna kontrola, punkty dystrybucji, raportowanie |
| Azure Arc + Update Manager | Środowiska hybrydowe (on-prem + Azure) | Zarządzanie aktualizacjami Windows i Linux z jednego panelu |
Porównanie WSUS, WUfB i Configuration Manager
| Cecha | WSUS | Windows Update for Business | ConfigMgr |
|---|---|---|---|
| Infrastruktura | On-premises (Windows Server) | Brak (chmura + GPO/Intune) | On-prem (serwer ConfigMgr) |
| Zatwierdzanie aktualizacji | Ręczne, przez konsolę MMC lub PowerShell | Automatyczne (polityki deferralu) | Ręczne + automatyczne reguły (ADR) |
| Grupy komputerów | Tak (statyczne, server-side lub client-side targeting) | Pierścienie wdrożeń (rings) | Kolekcje urządzeń |
| Raportowanie | Podstawowe raporty MMC + baza SUSDB | Microsoft Intune / Update Compliance | Zaawansowane dashboardy, Power BI |
| Obsługa Windows Server | ✅ Tak | ⚠️ Ograniczona (Azure Arc) | ✅ Tak |
| Obsługa Office | ✅ Tak | ✅ Tak (przez Microsoft 365 Apps) | ✅ Tak |
| Koszt licencji | Wliczony w Windows Server | Intune (Plan 1 w M365 E3/E5) lub darmowe GPO | Wymaga licencji ConfigMgr (część EMS/Intune) |
| Dostawa P2P w LAN | BranchCache | Delivery Optimization | BranchCache, Peer Cache, Delivery Optimization |
| Deadline / wymuszenie instalacji | Tak (deadline) | Tak (deadline przez Intune) | Tak (maintenance windows) |
| Deprecjacja | ⚠️ Zdeprecjonowany | Nie | Nie |
Najlepsze praktyki — czego unikać
- Nie synchronizuj WSUS z "All Products" — pobierzesz sterowniki do wszystkich wersji Windows, aktualizacje do Exchange, SQL i dziesiątek innych produktów, które zajmą setki GB przestrzeni. Zaznacz tylko to, czego faktycznie używasz.
- Nie zatwierdzaj aktualizacji hurtem w piątek o 17:00 — użyj deadline'ów i grup, żeby aktualizacje wchodziły w godzinach pracy z wyprzedzeniem, a nie tuż przed weekendem.
- Czyść bazę regularnie — kreator oczyszczania (Server Cleanup Wizard) usuwa nieaktualne aktualizacje, przeterminowane metadane i nieużywane pliki. Uruchamiaj go co najmniej raz na kwartał. Zaniedbana baza WID może urosnąć do setek GB.
- Indeksuj bazę — przy spadkach wydajności konsoli MMC uruchom reindeksowanie:
wsusutil.exe reindex. Dotyczy zwłaszcza WID. - Nie twórz hierarchii głębszej niż 3 poziomy — każdy poziom downstream zwiększa opóźnienie propagacji. W topologii rozproszonej lepiej rozważyć autonomiczne serwery synchronizujące się bezpośrednio z Microsoft Update w każdym oddziale (jeśli łącze na to pozwala) lub jeden upstream + repliki.
- Konfiguruj client-side targeting, nie server-side — pozwala automatycznie przypisywać klientów do grup przez GPO/registry, bez ręcznego przerzucania w konsoli.
- Monitoruj zgodność — korzystaj z wbudowanych raportów (Update Reports → Compliance) do sprawdzania, czy krytyczne poprawki bezpieczeństwa są faktycznie zainstalowane.
Typowe błędy przy konfiguracji i ich rozwiązania
| Objaw / Kod błędu | Przyczyna | Rozwiązanie |
|---|---|---|
| Klienci nie pojawiają się w konsoli | Brak GPO kierującego na WSUS lub port zablokowany | Sprawdź rsop.msc i telnet serwer-wsus 8530 |
| 0x8024401C na kliencie | Serwer WSUS niedostępny | Zweryfikuj IIS, bindingi portów, firewalla |
| 0x80244022 / klient nie pobiera | UUP — brak typów MIME .wim/.msu w IIS | Dodaj ręcznie w IIS Manager → MIME Types |
| Synchronizacja stoi w miejscu | Konto Network Service nie ma uprawnień do folderu tymczasowego | %windir%\Temp — Full Control dla NT AUTHORITY\Network Service |
| Błąd "Cannot add duplicate collection entry of type 'mimeMap'" | Konflikt MIME przy dodawaniu UUP | Usuń istniejący wpis .msu/.wim i dodaj ponownie z IIS na poziomie serwera (nie witryny) |
| Konsola MMC reaguje z opóźnieniem 30+ sekund | Baza WID sfragmentowana | wsusutil.exe reindex + zaplanuj regularne czyszczenie |
Częste pytania
Czy WSUS jest darmowy?
Tak — rola WSUS jest wliczona w licencję Windows Server (Standard i Datacenter). Nie ponosisz dodatkowych kosztów licencyjnych za samo korzystanie z WSUS-a. Płacisz standardowo za licencję Windows Server i ewentualnie SQL Server, jeśli używasz go zamiast WID.
Czy WSUS wymaga dostępu do internetu na każdym serwerze downstream?
Nie. Tylko serwer nadrzędny (upstream) musi mieć bezpośrednie połączenie z Microsoft Update na portach 80 i 443. Serwery downstream synchronizują się z upstream przez wewnętrzną sieć — nie potrzebują wychodzącego dostępu do internetu. To kluczowa zaleta w izolowanych sieciach (DMZ, środowiska klasyfikowane).
Jak przenieść bazę WSUS z WID na SQL Server?
Proces składa się z trzech etapów: (1) backup bazy SUSDB z instancji WID (MICROSOFT##WID), (2) przywrócenie jej na instancji SQL Server, (3) przełączenie WSUS na nową bazę przez wsusutil.exe postinstall SQL_INSTANCE_NAME=<nazwa> CONTENT_DIR=<ścieżka>. Pełna procedura jest udokumentowana na Microsoft Learn — koniecznie wykonaj ją przy zatrzymanej usłudze WSUS.
Czy WSUS działa z Windows 11?
Tak, w pełni. Od marca 2023 WSUS obsługuje model UUP dla Windows 11 21H2 i nowszych. Wymaga to jednak zainstalowania odpowiedniego zbiorczego CU na serwerze WSUS (Windows Server 2016/2019/2022: 2023-02 CU lub nowszy; 2012 R2: 2023-03 CU) lub ręcznego dodania typów MIME .wim i .msu w IIS. Bez tego klienci Windows 11 22H2+ nie pobiorą aktualizacji z WSUS-a.
Co z serwerami linuksowymi — czy WSUS je obsługuje?
Nie. WSUS dystrybuuje wyłącznie aktualizacje produktów Microsoft. Do zarządzania aktualizacjami serwerów Linux w środowisku hybrydowym Microsoft zaleca Azure Arc + Azure Update Manager, który obsługuje zarówno Windows Server, jak i dystrybucje Linux (Red Hat, Ubuntu, SUSE, Debian).
Czy mogę dalej używać WSUS-a, skoro jest zdeprecjonowany?
Tak. Deprecjacja oznacza wyłącznie zatrzymanie rozwoju nowych funkcji — nie wycofanie produktu. WSUS jest w pełni wspierany w Windows Server 2025, otrzymuje poprawki bezpieczeństwa i będzie działał przez cały cykl życia tego systemu (co najmniej do ok. 2030 roku w mainstream support). Masz czas na zaplanowanie migracji, ale nie musisz się spieszyć — zwłaszcza jeśli twoja organizacja opiera się na infrastrukturze on-premises i potrzebuje zatwierdzania aktualizacji przed wdrożeniem.
Jaka jest różnica między WSUS a Windows Update for Business?
WSUS to rozwiązanie on-premises — Ty pobierasz, przechowujesz i serwujesz aktualizacje z własnego serwera, ręcznie je zatwierdzając. Windows Update for Business (WUfB) to podejście chmurowe — klienci pobierają aktualizacje bezpośrednio z Microsoft Update, a Ty kontrolujesz je wyłącznie przez polityki deferralu (opóźnienia) i pierścienie wdrożeń. WUfB eliminuje potrzebę utrzymywania serwera WSUS, ale odbiera możliwość precyzyjnego zatwierdzania pojedynczych poprawek — wszystkie aktualizacje jakościowe wchodzą automatycznie po upływie zdefiniowanego opóźnienia (maks. 365 dni).
Artykuł ma charakter niezależny i edukacyjny. Redakcja KluczeSoft nie jest powiązana z Microsoft Corporation. Jeśli zarządzasz infrastrukturą opartą na Windows Server i potrzebujesz legalnych licencji serwerowych w atrakcyjnych cenach, sprawdź ofertę licencji Windows Server w sklepie KluczeSoft.pl — wszystkie klucze pochodzą z legalnego obrotu wtórnego w UE i są objęte fakturą VAT.