WSUS — aktualizacje Windows w firmie [Konfiguracja 2026]

Masz w firmie trzydzieści, sto albo trzysta komputerów. Microsoft co miesiąc wypycha kolejną porcję łatek — krytyczne poprawki zabezpieczeń, aktualizacje zbiorcze, definicje Defendera. Bez żadnego nadzoru każda stacja robi to samodzielnie przez internet: generujesz ruch na łączu, nie masz pojęcia, co i kiedy zostało zainstalowane, i pewnego dnia audytor RODO lub ISO 27001 pyta Cię o politykę zarządzania poprawkami. Wtedy orientujesz się, że odpowiedź „Windows sam sobie ogarnia" nie wystarczy. Rozwiązanie, które od ponad dwudziestu lat rozwiązuje ten problem bez abonamentu i bez chmury, to Windows Server Update Services — WSUS. Ten poradnik przeprowadzi Cię przez pełną konfigurację krok po kroku na Windows Server 2022, od instalacji roli, przez GPO dla klientów, po utrzymanie bazy danych i pracę w środowisku z ograniczonym dostępem do internetu.

Dlaczego WSUS — rzeczywiste korzyści, nie tylko marketingowe

Zanim przejdziemy do instalacji, warto rozumieć, co dokładnie kupujesz (a kupujesz czas i kontrolę, bo sama rola jest bezpłatna).

Kontrola nad tym, co trafia na stacje robocze

Domyślnie Windows Update instaluje wszystko automatycznie. W środowisku firmowym to prosta droga do kłopotów: aktualizacja sterownika karty sieciowej wytrąca VPN, nowe build Windows 11 zmienia interfejs i generuje zgłoszenia do helpdesku, kumulatywna łatka .NET psuje aplikację LOB napisaną w 2015 roku. WSUS daje Ci jawne zatwierdzanie (approval) każdej aktualizacji dla każdej grupy komputerów. Produkcyjne serwery dostają łatki tydzień po tym, jak pilot w grupie testowej potwierdzi brak regresji.

Oszczędność pasma internetowego

Aktualizacja zbiorcza Windows Server 2022 waży często 400–900 MB. Przy stu komputerach bez WSUS oznacza to 40–90 GB ruchu z internetu miesięcznie — tylko na jedną łatkę. WSUS pobiera plik raz i dystrybuuje go w sieci lokalnej (LAN/VLAN). W biurach z łączem 100 Mbit/s korporacyjnym to może nie jest dramat, ale w oddziałach podłączonych przez małe łącze WAN różnica jest gigantyczna.

Stacje robocze bez dostępu do internetu

W wielu branżach — produkcja, energetyka, infrastruktura krytyczna, część jednostek publicznych — stacje operatorskie i serwery technologiczne są celowo odizolowane od internetu. WSUS jest w takich przypadkach jedynym sensownym rozwiązaniem: serwer WSUS ma połączenie z Microsoft Update (lub można go zasilać plikami offline), klienci w sieci izolowanej nigdy nie wychodzą na zewnątrz.

Zgodność i audytowalność

WSUS prowadzi raporty o stanie aktualizacji każdego komputera w organizacji. Czy wszystkie stacje mają zainstalowaną łatkę MS-CVE-2024-XXXXX? Odpowiedź zajmuje trzydzieści sekund, nie trzy dni ręcznego sprawdzania. To jest dokładnie to, czego wymaga audytor podczas przeglądu zgodności z NIS2, ISO 27001 lub Krajowymi Ramami Cyberbezpieczeństwa.

WSUS kontra SCCM / MECM kontra Intune — kiedy co wybrać

Administratorzy często pytają, czy WSUS to właściwe narzędzie, czy może powinni sięgnąć po Intune lub SCCM. Poniższa tabela porządkuje decyzję:

Wniosek praktyczny: dla firm do kilkuset komputerów z Active Directory on-premises, bez łączności Azure lub z sieciami izolowanymi — WSUS jest wciąż optymalnym wyborem w 2026 roku. SCCM opłaca się dopiero przy dużych i heterogenicznych środowiskach (Linux, Mac, MDM). Intune wymaga licencji abonamentowych i stałego dostępu do internetu dla każdego urządzenia — w środowisku produkcyjnym OT to wykluczone.

Wymagania sprzętowe i programowe przed instalacją

WSUS nie potrzebuje potężnego sprzętu, ale ma specyficzne wymagania, których niedoszacowanie kończy się powolną konsolą i przepełnionym dyskiem.

Minimalne wymagania (Microsoft dokumentacja)

• CPU: 2 rdzenie 1,4 GHz lub szybsze — w praktyce nowoczesny serwer wirtualny 2 vCPU bez problemu daje radę do 500 klientów
• RAM: 4 GB minimum — 8 GB zalecane, zwłaszcza przy bazie WID (Windows Internal Database)
• Dysk systemowy: 40 GB minimum dla woluminu zawierającego system i rolę WSUS
• Dysk zawartości: osobny wolumin, minimum 40 GB, realistycznie 100–200 GB przy standardowej konfiguracji dla Windows 10/11 + Server 2019/2022
• System: Windows Server 2016, 2019 lub 2022 (Standard lub Datacenter)
• Sieć: łączność z windowsupdate.microsoft.com i update.microsoft.com po HTTP/HTTPS

Baza danych: WID czy SQL Server?

Dla środowisk do 500 klientów wystarczy Windows Internal Database (WID) — nie wymaga osobnej licencji SQL. Przy powyżej 500 klientów lub gdy chcesz korzystać z pełnych raportów WSUS (rola SQL Server Reporting Services), potrzebujesz zewnętrznego SQL Server 2014 lub nowszego. WID w Windows Server 2022 to SQL Server Express pod spodem — ma limit 10 GB przez pierwsze lata, ale po compresji susdb jest zwykle znacznie mniejsza.

Porty sieciowe

• HTTP: 8530 (domyślny, niezaszyfrowany)
• HTTPS: 8531 (zalecany w środowiskach produkcyjnych)
• Firewall wewnętrzny: klienci muszą dotrzeć do serwera WSUS na tych portach
• Firewall zewnętrzny: serwer WSUS wychodzi na port 443 do windowsupdate.microsoft.com i powiązanych adresów

Instalacja WSUS na Windows Server 2022 — krok po kroku

Krok 1 — Dodanie roli przez Server Manager

1. Otwórz Server Manager, kliknij Add Roles and Features.
2. Wybierz Role-based or feature-based installation, następnie docelowy serwer.
3. Na liście ról zaznacz Windows Server Update Services. Kreator automatycznie doda wymagane role zależne (Web Server IIS, Windows Internal Database, jeśli nie wybierzesz SQL).
4. Na stronie Select role services wybierz:
   • WID Connectivity (lub SQL Server Connectivity, jeśli masz SQL)
   • WSUS Services
5. Wskaż ścieżkę Content directory na osobnym woluminie (np. D:\WSUS). Tej ścieżki nie zmienisz łatwo po instalacji.
6. Zakończ kreator, poczekaj na instalację, następnie kliknij Launch Post-Installation tasks — to niezbędny krok, który inicjalizuje bazę WID i konfiguruje IIS.

Post-installation task trwa kilka minut. Nie pomijaj go — bez tego serwer WSUS nie uruchomi się poprawnie.

Krok 2 — Uruchomienie WSUS Configuration Wizard

Po zakończeniu post-installation w Server Manager przejdź do Tools > Windows Server Update Services. Przy pierwszym uruchomieniu automatycznie odpali się kreator konfiguracji.

1. Before You Begin: zapoznaj się z wymaganiami, kliknij Next.
2. Join the Microsoft Update Improvement Program: decyzja organizacyjna — zaznacz lub odznacz.
3. Choose Upstream Server:
   • Wybierz Synchronize from Microsoft Update dla pierwszego serwera.
   • Wybierz Synchronize from another Windows Server Update Services server, jeśli wdrażasz hierarchię (upstream/downstream).
4. Specify Proxy Server: jeśli serwer wychodzi do internetu przez proxy, podaj tu adres i poświadczenia.
5. Connect to Upstream Server: kliknij Start Connecting — WSUS pobierze metadane o dostępnych produktach i klasyfikacjach. To zajmuje 2–10 minut.
6. Choose Languages: wybierz tylko języki, których rzeczywiście używasz — najczęściej Polski i Angielski. Każdy dodatkowy język multiplikuje rozmiar pobieranych aktualizacji.
7. Choose Products: zaznacz tylko produkty obecne w Twojej infrastrukturze. Typowy zestaw dla polskiej firmy MŚP:
   • Windows 11, Windows 10
   • Windows Server 2019, Windows Server 2022
   • Microsoft 365 Apps / Office (opcjonalnie)
   • Microsoft Defender Antivirus
8. Choose Classifications: zacznij od minimum:
   • Critical Updates
   • Security Updates
   • Update Rollups
   • Definition Updates (dla Defendera)
   Drivers i Feature Packs dodaj tylko, jeśli masz konkretną potrzebę.
9. Set Sync Schedule: ustaw automatyczną synchronizację raz dziennie, najlepiej w godzinach nocnych. W środowiskach wymagających szybkiego reagowania — dwa razy dziennie.
10. Na ostatnim ekranie zaznacz Begin initial synchronization i kliknij Finish.

Pierwsza synchronizacja pobiera tylko metadane — nie całą zawartość. Pliki aktualizacji są pobierane dopiero po zatwierdzeniu (chyba że wyłączyłeś deferred download, co generalnie odradzamy).

Krok 3 — Tworzenie grup komputerów

Zanim skonfigurujesz GPO, utwórz grupy w WSUS. Przejdź do Computers > All Computers, kliknij prawym przyciskiem Add Computer Group. Zalecana struktura minimalna:

• Pilot-Workstations — kilka maszyn testowych, dostają łatki jako pierwsze
• Production-Workstations — wszystkie stacje robocze produkcyjne
• Pilot-Servers — serwery nieprodukcyjne lub testowe
• Production-Servers — serwery produkcyjne, dostają łatki z opóźnieniem po walidacji na pilocie

Konfiguracja GPO dla klientów — szczegółowy przewodnik

Bez GPO klienci nie wiedzą o istnieniu serwera WSUS i nadal łączą się z Microsoft Update. GPO to jedyny obsługiwany mechanizm wskazania klientom adresu WSUS.

Tworzenie obiektu zasad

1. Otwórz Group Policy Management Console (gpmc.msc).
2. Utwórz nowy GPO na poziomie odpowiedniej OU (np. całej domeny lub osobno dla serwerów i stacji). Nazwa sugestywna: WSUS - Workstations lub WSUS - Servers.
3. Edytuj GPO, przejdź do: Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update.

Kluczowe zasady do skonfigurowania

1. Specify intranet Microsoft update service location — Enabled

W polu Set the intranet update service for detecting updates oraz Set the intranet statistics server wpisz adres serwera WSUS z portem:

• HTTP: http://WSUS-SERWER:8530
• HTTPS: https://WSUS-SERWER:8531

Oba pola (update i statistics) muszą zawierać ten sam adres. Bez tej zasady żadna inna zasada WSUS nie ma sensu.

2. Configure Automatic Updates — Enabled

Opcja 4 (Auto download and schedule the install) sprawdza się w większości środowisk. Ustaw okno instalacyjne poza godzinami pracy (np. 3:00 w nocy). Dla serwerów produkcyjnych często lepsza jest opcja 3 (Auto download and notify for install) — administrator decyduje o momencie restartu.

3. Enable client-side targeting — Enabled

W polu Target group name for this computer wpisz dokładną nazwę grupy WSUS, np. Production-Workstations. Klient sam się doda do właściwej grupy po pierwszej synchronizacji. To eliminuje ręczne przypisywanie maszyn w konsoli WSUS.

4. Automatic Updates detection frequency — Enabled

Ustaw 12–22 godzin. Domyślnie klienci sprawdzają aktualizacje co 22 godziny. Krótszy interwał przyspiesza wdrożenie łatek w środowiskach wymagających szybkiego reagowania na krytyczne CVE.

5. No auto-restart with logged on users for scheduled automatic updates installations

Dla serwerów: Enabled — serwer z zalogowanym użytkownikiem nie zrestartuje się automatycznie. Dla stacji roboczych: zależy od polityki firmy.

6. Allow non-administrators to receive update notifications

Opcjonalnie, jeśli chcesz, żeby zwykli użytkownicy widzieli informacje o zaplanowanych aktualizacjach.

Weryfikacja po stronie klienta

Po zastosowaniu GPO (lub po wymuszeniu gpupdate /force) klient powinien zarejestrować się w WSUS w ciągu kilku minut. Sprawdź skuteczność:

• gpresult /r — weryfikuje, że GPO zostało zastosowane
• Rejestr: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate — powinien zawierać klucz WUServer z adresem serwera WSUS
• W konsoli WSUS komputer powinien pojawić się w Computers > Unassigned Computers (lub w grupie docelowej, jeśli skonfigurowałeś client-side targeting)
• wuauclt /detectnow lub UsoClient ScanNow (Windows 10/11) — wymusza natychmiastowe wykrycie aktualizacji

Workflow zatwierdzania aktualizacji — bezpieczny model wdrożeń

Najcenniejszą cechą WSUS jest kontrola nad tym, kiedy co trafia do środowiska produkcyjnego. Ad hoc zatwierdzanie wszystkiego naraz niszczy tę korzyść. Profesjonalny model wygląda tak:

Automatyczne zatwierdzenia (Automatic Approvals)

W konsoli WSUS przejdź do Options > Automatic Approvals. Utwórz reguły:

• Definition Updates → auto-zatwierdź dla wszystkich grup natychmiast. Definicje Defendera zmieniają się kilka razy dziennie — ręczne zatwierdzanie nie ma sensu.
• Opcjonalnie: Critical + Security Updates → auto-zatwierdź dla grupy Pilot w ciągu 24 godzin od synchronizacji.

Ręczne zatwierdzanie — produckcja

Zalecany rytm dla serwerów produkcyjnych (zgodny z podejściem patchowania warstwowego):

1. Tydzień 1 (Patch Tuesday + kilka dni): zatwierdź krytyczne poprawki dla grupy Pilot-Servers i Pilot-Workstations. Obserwuj 7 dni.
2. Tydzień 2: jeśli pilot bez problemów, zatwierdź dla Production-Workstations.
3. Tydzień 3: zatwierdź dla Production-Servers. Serwery dostają łatki z największym opóźnieniem — chronisz tym ciągłość produkcyjną.
4. Odrzucanie (Decline): aktualizacje oznaczone jako zastąpione przez nowszą wersję — odrzucaj przed każdym cyklem czyszczenia.

Zarządzanie aktualizacjami przez PowerShell

Dla większych środowisk lub automatyzacji cyklu patch managementu warto korzystać z PowerShell. Przykłady:

# Załadowanie modułu WSUS (WUA API)
[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | Out-Null
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("localhost", $false, 8530)

# Lista aktualizacji oczekujących na zatwierdzenie dla grupy
$scope = New-Object Microsoft.UpdateServices.Administration.UpdateScope
$scope.ApprovedStates = "NotApproved"
$updates = $wsus.GetUpdates($scope)
$updates | Select-Object Title, CreationDate | Format-Table -AutoSize

# Odrzucanie zastąpionych aktualizacji
$superseded = $wsus.GetUpdates($scope) | Where-Object { $_.IsSuperseded -eq $true -and $_.IsDeclined -eq $false }
$superseded | ForEach-Object { $_.Decline() }
Write-Host "Odrzucono $($superseded.Count) zastąpionych aktualizacji"

Raportowanie — jak sprawdzić stan compliance w całej firmie

Raportowanie to jeden z argumentów za wdrożeniem WSUS, który najłatwiej pokazać zarządowi. W konsoli WSUS sekcja Reports oferuje kilka gotowych raportów:

• Update Status Summary — przegląd dla wybranej aktualizacji: ile komputerów ją zainstalowało, ile potrzebuje instalacji, ile ma błędy. Kluczowy widok przy odpowiedzi na incydent bezpieczeństwa (np. „ile maszyn nie ma jeszcze łatki na krytyczne CVE?").
• Computer Status Summary — przegląd dla wybranego komputera lub grupy: jakie aktualizacje są zainstalowane, jakie oczekują, jakie zakończyły się błędem.
• Synchronization Results — historia synchronizacji z Microsoft Update, informacje o błędach pobierania.

Raporty wymagają zainstalowania lokalnie Microsoft Report Viewer 2012. Bez tego sekcja Reports otworzy się, ale nie wyrenderuje tabel danych. Pobierz pakiet redystrybucyjny Report Viewer bezpośrednio ze strony Microsoft Download Center.

Eksport stanu do CSV przez PowerShell

Dla audytorów lub integracji z systemami SIEM wygodny jest eksport przez API:

$computerScope = New-Object Microsoft.UpdateServices.Administration.ComputerTargetScope
$computers = $wsus.GetComputerTargets($computerScope)
$report = $computers | ForEach-Object {
    $updateSummary = $_.GetUpdateInstallationSummary()
    [PSCustomObject]@{
        ComputerName   = $_.FullDomainName
        Installed      = $updateSummary.InstalledCount
        Needed         = $updateSummary.NotInstalledCount
        Failed         = $updateSummary.FailedCount
        LastSyncTime   = $_.LastSyncTime
    }
}
$report | Export-Csv -Path "C:\WSUS-Compliance-$(Get-Date -Format yyyyMMdd).csv" -NoTypeInformation -Encoding UTF8

Konserwacja WSUS — czyszczenie, reindeksacja i zapobieganie rozrostowi bazy

Zaniedbanie konserwacji WSUS kończy się jednym z dwóch scenariuszy: albo wolna konsola (ładowanie widoku Updates trwa 3 minuty), albo pełny dysk i zatrzymana synchronizacja. Oba scenariusze można łatwo uniknąć.

Miesięczna procedura czyszczenia

1. Odrzuć zastąpione aktualizacje przed czyszczeniem — to skraca czas operacji i usuwa więcej plików. Zrób to przez PowerShell (przykład wyżej) lub ręcznie w konsoli.
2. W konsoli WSUS przejdź do Options > Server Cleanup Wizard.
3. Zaznacz opcje:
   • Unused updates and update revisions
   • Computers not contacting the server (starsze niż 30 dni)
   • Unneeded update files
   • Expired updates
   • Superseded updates
4. Uruchom kreator. W dużych środowiskach może działać kilka godzin — uruchamiaj poza godzinami szczytu.

Uwaga: jeśli Cleanup Wizard zawiesza się lub kończy błędem po kilku minutach, przyczyną jest zwykle nieindeksowana baza WID. Przed czyszczeniem wykonaj reindeksację (poniżej).

Reindeksacja bazy susdb

Baza WSUS (susdb w WID) z czasem akumuluje fragmentację indeksów, co spowalnia działanie konsoli i kreatorów. Reindeksację wykonuj kwartalnie lub częściej, jeśli obserwujesz spowolnienia:

# Połącz się z WID przez sqlcmd
# Ścieżka do WID: \\.\pipe\MICROSOFT##WID\tsql\query
sqlcmd -S "\\.\pipe\MICROSOFT##WID\tsql\query" -i "C:\ReindexWSUS.sql"

Skrypt ReindexWSUS.sql dostępny jest w dokumentacji Microsoft (KB920815). Wykonuje DBCC DBREINDEX lub ALTER INDEX ... REBUILD na kluczowych tabelach susdb. Czas wykonania: od kilku minut do kilku godzin przy dużej bazie.

Przenoszenie katalogu zawartości

Jeśli dysk zawartości WSUS się zapełnia, możesz przenieść katalog na nowy wolumin przez narzędzie WSUSUtil.exe movecontent:

cd "C:\Program Files\Update Services\Tools"
.\WSUSUtil.exe movecontent D:\WSUS-Content E:\WSUS-Content-Migration.log

Narzędzie przenosi pliki i aktualizuje konfigurację WSUS atomowo. Nie wymaga ręcznej edycji bazy danych.

Typowe problemy i rozwiązania

Klienci nie pojawiają się w konsoli WSUS

Przyczyna: GPO nie zostało zastosowane lub klient nie dotarł jeszcze do WSUS po odświeżeniu zasad.

Rozwiązanie:

1. Na kliencie wykonaj gpupdate /force.
2. Sprawdź rejestr: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServer — powinna być wartość z adresem WSUS.
3. Wymuś wykrywanie: UsoClient ScanNow (Windows 10/11) lub wuauclt /detectnow (starsze systemy).
4. Sprawdź logi WindowsUpdate: C:\Windows\WindowsUpdate.log (Windows 7/8) lub przez Get-WindowsUpdateLog w PowerShell (Windows 10/11).
5. Sprawdź, czy firewall pozwala na ruch TCP:8530 między klientem a serwerem WSUS.

Synchronizacja kończy się błędem

Typowe przyczyny: proxy blokuje ruch do windowsupdate.microsoft.com, nieprawidłowe certyfikaty SSL, brak miejsca na dysku, błąd WID.

Rozwiązanie: sprawdź Reports > Synchronization Results po ostatniej synchronizacji. Szczegółowe logi WSUS: %ProgramFiles%\Update Services\LogFiles\SoftwareDistribution.log. Sprawdź też, czy serwer WSUS ma dostęp do update.microsoft.com, windowsupdate.microsoft.com, download.windowsupdate.com i ntservicepack.microsoft.com po HTTPS (port 443).

Konsola WSUS bardzo wolno się ładuje

Przyczyna: nieindeksowana baza susdb, zbyt wiele niezatwierdzonych lub niesprzątniętych aktualizacji.

Rozwiązanie: najpierw reindeksacja (skrypt ReindexWSUS.sql), potem Server Cleanup Wizard. Po czyszczeniu konsola powinna wracać do normalnego tempa. Jeśli baza WID liczy powyżej 3–4 GB, rozważ migrację do pełnego SQL Server Express.

Błąd 0x80244022 na klientach

Przyczyna: klient nie może połączyć się z serwerem WSUS — zwykle firewall, nieprawidłowy adres w GPO lub IIS nie nasłuchuje na porcie 8530/8531.

Rozwiązanie: z klienta przetestuj Test-NetConnection -ComputerName WSUS-SERWER -Port 8530. Sprawdź, czy pula aplikacji WSUS w IIS jest uruchomiona. W IIS Manager upewnij się, że witryna WSUS Administration nasłuchuje na właściwym porcie.

Wolne pobieranie aktualizacji przez klientów

Przyczyna: WSUS lub IIS throttluje transfer, brak BranchCache, zbyt mało pamięci RAM na serwerze WSUS.

Rozwiązanie: sprawdź ustawienia Application Pool dla WSUS w IIS — limit pamięci prywatnej powinien być ustawiony na 0 (nieograniczony) lub odpowiednio wysoki. Dla środowisk z oddziałami rozważ BranchCache (Windows 8.1/10/11 klienci + Windows Server 2016+ jako serwer hostowany).

WSUS w 2026 — deprecacja, przyszłość i co robić już teraz

We wrześniu 2024 roku Microsoft oficjalnie ogłosił deprecację WSUS. To ważna informacja, ale wymaga kontekstu — bo nie oznacza tego samego co wycofanie (removal).

Co dokładnie oznacza deprecacja?

• Microsoft nie będzie dodawał nowych funkcji do WSUS.
• Rola WSUS jest nadal dostępna w Windows Server 2025.
• Microsoft nadal publikuje aktualizacje przez kanał WSUS — klienci je otrzymują.
• Brak ogłoszonej daty usunięcia roli.

Historia z synchronizacją sterowników

W grudniu 2024 Microsoft zapowiedział zakończenie synchronizacji sterowników przez WSUS od 18 kwietnia 2025. Wywołało to duże zamieszanie. 7 kwietnia 2025 Microsoft wycofał tę decyzję — synchronizacja sterowników jest kontynuowana bez ograniczeń. To pokazuje, że Microsoft liczy się z głosem środowiska administratorów i że twarde usunięcie WSUS jest odległe w czasie.

Rekomendowany kierunek migracji (zgodnie z Microsoft)

• Urządzenia klienckie (Windows 10/11): Microsoft Intune + Windows Autopatch. Wymaga licencji M365/EMS i stałego dostępu do internetu.
• Serwery: Azure Update Manager — zarządzanie przez Azure Arc lub natywnie dla maszyn wirtualnych Azure.
• Środowiska izolowane (air-gapped): Microsoft nie oferuje chmurowej alternatywy dla środowisk bez internetu. WSUS pozostaje jedynym wspieranym mechanizmem.

Rekomendacja praktyczna na 2026 rok

Jeśli zarządzasz siecią lokalną z Active Directory i nie masz planu migracji do Azure — wdrażaj WSUS bez obaw. Rola będzie dostępna co najmniej przez cały cykl życia Windows Server 2025 (mainstream support do 2029). Jeśli masz środowisko hybrydowe lub docelowo planujesz Intune — zaplanuj migrację, ale nie ma pośpiechu. Środowiska air-gapped: WSUS jest bez alternatywy i tak pozostanie przez najbliższe lata.

Kup licencję Windows Server w KluczeSoft

Do wdrożenia WSUS potrzebujesz serwera z Windows Server. Oferujemy oryginalne klucze licencyjne w konkurencyjnych cenach, z fakturą VAT i natychmiastową dostawą elektroniczną:

• Windows Server 2022 Standard — 2990 zł
• Windows Server 2022 Essentials — 1790 zł
• Windows Server 2022 — 50 User CAL — 1399 zł

Windows Server 2022 Essentials jest przeznaczony dla firm do 25 użytkowników i 50 urządzeń — ma ograniczenia wirtualizacji. Standard obsługuje do 2 maszyn wirtualnych na licencję 16-core i jest właściwym wyborem dla dedykowanego serwera WSUS w typowej firmie. Licencje CAL są wymagane dla każdego użytkownika lub urządzenia łączącego się z usługami Windows Server (w tym z WSUS jako rolą na serwerze w sieci firmowej).