需要在防火墙中打开哪些主机名和端口才能允许 Windows 更新正常工作?

需要在防火墙中打开哪些主机名和端口才能允许 Windows 更新正常工作?

我们有一组位于防火墙后面的公共 Web 服务器,我们希望能够对其执行 Windows 更新,但又不授予它们超出其所需的访问权限。

除了 www.update.microsoft.com:443 之外,还需要解除对哪些主机名和端口的阻止才能使 Windows 更新正常运行?

答案1

由于自接受答案以来 URL 发生了一些变化,我将在下面发布截至此时的最新信息。

http://windowsupdate.microsoft.com

http://*.windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

http://*.update.microsoft.com

https://*.update.microsoft.com

http://*.windowsupdate.com

http://download.windowsupdate.com

https://download.microsoft.com

http://*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

http://go.microsoft.com

http://dl.delivery.mp.microsoft.com

https://dl.delivery.mp.microsoft.com

来源: https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#211-connection-from-the-wsus-server-to-the-internet

答案2

http://technet.microsoft.com/en-us/library/cc708605(WS.10).aspx这是让 WSUS 穿过防火墙工作所需的条件(我认为如果您有超过 10 个客户端,您绝对应该考虑这一点)。这对于访问 MS 服务器的常规客户端来说应该是一样的。

配置 WSUS 服务器和 Internet 之间的防火墙

如果 WSUS 和 Internet 之间存在企业防火墙,则可能需要配置防火墙以确保 WSUS 可以获得更新。

配置防火墙

  • 如果 WSUS 和 Internet 之间有企业防火墙,您可能需要配置该防火墙以确保 WSUS 可以获取更新。要从 Microsoft Update 获取更新,WSUS 服务器使用端口 80 作为 HTTP 协议,使用端口 443 作为 HTTPS 协议。这是不可配置的。

  • 如果您的组织不允许向所有地址开放这些端口和协议,您可以限制仅访问以下域,以便 WSUS 和自动更新可以与 Microsoft Update 通信:

上述配置防火墙的步骤适用于位于 WSUS 和 Internet 之间的企业防火墙。由于 WSUS 发起其所有网络流量,因此无需在 WSUS 服务器上配置 Windows 防火墙。尽管 Microsoft Update 和 WSUS 之间的连接需要端口 80 和 443 处于打开状态,但您可以配置多个 WSUS 服务器以与自定义端口同步。

答案3

配置防火墙以进行软件更新

  1. 配置防火墙以允许通过 HTTP 和 HTTPS 端口(80 和 443)进行通信。

  2. 确保允许所有 Windows 更新 URL。以下是您需要确保允许的 URL 列表:

网址:

http://windowsupdate.microsoft.com

http://*.windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

http://*.update.microsoft.com

https://*.update.microsoft.com

http://*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http://*.download.windowsupdate.com

http://test.stats.update.microsoft.com

http://ntservicepack.microsoft.com

答案4

今天完成了。需要添加更多 URL:

fe2.update.microsoft.com*

(无法将其添加到我的防火墙,因此我选择了:fe2.update.microsoft.com.nsatc.net)而且似乎不再需要端口 80

在此处找到: https://docs.microsoft.com/en-us/windows/privacy/windows-endpoints-1903-non-enterprise-editions

相关内容