Migration von WSUS zu Azure Update Manager zur Modernisierung des Patch-Managements und zur Automatisierung der Update-Prozesse in der gesamten Azure-Infrastruktur.

Challenge / Problem

Die bestehende Windows Server Update Services (WSUS) Umgebung verursachte einen hohen operativen Aufwand und bot nur begrenzte Integrationsmöglichkeiten mit modernen Cloud-Services. Gleichzeitig wurde der Support für WSUS eingestellt, wodurch eine neue Update-Strategie erforderlich wurde.

  • Microsoft stellt den WSUS-Server-Support ein
  • Hoher Betriebsaufwand durch Wartung, Speicherverwaltung und regelmäßige Cleanup-Aufgaben
  • Fehlende Integration in modernes Azure-Monitoring, Automatisierung und Security/Compliance
  • Veralteter Patch-Zeitplan – Systeme bleiben lange ungepatcht
  • Patchen von Offline-Systemen nicht möglich

Unser Vorgehen

CloudAstro entwickelte eine moderne Update-Management-Strategie auf Basis von Azure Update Manager und Automatisierung.

  • Implementierung von Azure Update Manager inkl. kundenspezifischer Automatisierung
  • Design eines neuen Patch-Zeitplans, der die Umgebungsreihenfolge berücksichtigt und schnellere Patchzyklen ermöglicht
  • Migration nicht unterstützter Client-OS-VMs zu Windows Update for Business (WUfB)
  • Rollout von Infrastructure as Code (IaC) für bestehende und neue Azure-Subscriptions
  • Tagging der Ressourcen zur besseren Transparenz und Übersicht für Operations-Teams

Implementierung

Die Migration wurde strukturiert und automatisiert durchgeführt, um eine stabile und nachvollziehbare Update-Infrastruktur aufzubauen.

  • Migration von 1.500 Virtual Machines von WSUS zu Azure Update Manager
  • Automatisierte Pre- und Post-Maintenance-Prozesse für Offline-Maschinen über Azure Function Apps
  • Status-Tracking und Monitoring der Update-Prozesse
  • Zentrale Patch-Übersicht für die gesamte Umgebung

Ergebnisse

Die neue Update-Management-Plattform verbessert Effizienz, Transparenz und Sicherheit der Infrastruktur.

  • Reduzierung der IT-Betriebskosten durch Wegfall der WSUS-Infrastruktur
  • Vereinfachte Update-Prozesse mit besserer Übersicht für Operations-Teams
  • Schnellere Patch-Zyklen: insgesamt 9 Tage schneller, 95 % der Umgebung innerhalb der ersten Woche gepatcht
  • Systeme werden nach der vorgesehenen Umgebungsreihenfolge (Dev → Prod) gepatcht