需要在防火墙中打开哪些主机名和端口才能允许 Windows 更新正常工作？

配置 WSUS 服务器和 Internet 之间的防火墙

如果 WSUS 和 Internet 之间存在企业防火墙，则可能需要配置防火墙以确保 WSUS 可以获得更新。

配置防火墙

如果 WSUS 和 Internet 之间有企业防火墙，您可能需要配置该防火墙以确保 WSUS 可以获取更新。要从 Microsoft Update 获取更新，WSUS 服务器使用端口 80 作为 HTTP 协议，使用端口 443 作为 HTTPS 协议。这是不可配置的。

如果您的组织不允许向所有地址开放这些端口和协议，您可以限制仅访问以下域，以便 WSUS 和自动更新可以与 Microsoft Update 通信：

http://windowsupdate.microsoft.com

http://*.windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

http://*.update.microsoft.com

https://*.update.microsoft.com

http://*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http://*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

上述配置防火墙的步骤适用于位于 WSUS 和 Internet 之间的企业防火墙。由于 WSUS 发起其所有网络流量，因此无需在 WSUS 服务器上配置 Windows 防火墙。尽管 Microsoft Update 和 WSUS 之间的连接需要端口 80 和 443 处于打开状态，但您可以配置多个 WSUS 服务器以与自定义端口同步。

Answer

从http://technet.microsoft.com/en-us/library/cc708605(WS.10).aspx这是让 WSUS 穿过防火墙工作所需的条件（我认为如果您有超过 10 个客户端，您绝对应该考虑这一点）。这对于访问 MS 服务器的常规客户端来说应该是一样的。

配置 WSUS 服务器和 Internet 之间的防火墙

如果 WSUS 和 Internet 之间存在企业防火墙，则可能需要配置防火墙以确保 WSUS 可以获得更新。

配置防火墙

如果 WSUS 和 Internet 之间有企业防火墙，您可能需要配置该防火墙以确保 WSUS 可以获取更新。要从 Microsoft Update 获取更新，WSUS 服务器使用端口 80 作为 HTTP 协议，使用端口 443 作为 HTTPS 协议。这是不可配置的。

如果您的组织不允许向所有地址开放这些端口和协议，您可以限制仅访问以下域，以便 WSUS 和自动更新可以与 Microsoft Update 通信：

http://windowsupdate.microsoft.com

http://*.windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

http://*.update.microsoft.com

https://*.update.microsoft.com

http://*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http://*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

上述配置防火墙的步骤适用于位于 WSUS 和 Internet 之间的企业防火墙。由于 WSUS 发起其所有网络流量，因此无需在 WSUS 服务器上配置 Windows 防火墙。尽管 Microsoft Update 和 WSUS 之间的连接需要端口 80 和 443 处于打开状态，但您可以配置多个 WSUS 服务器以与自定义端口同步。