客户端计算机的 WSUS 端口

Question 1

客户端始终会发起连接。因此，它们不需要接受任何传入连接。他们只需要打开与 WSUS 的连接。可以将其想象为使用 Web 浏览器从 Internet 下载文件。您无需在自己的计算机上打开任何端口即可执行此操作。您只需要能够浏览 Web 即可。WSUS 的工作方式相同。

Answer

客户端始终会发起连接。因此，它们不需要接受任何传入连接。他们只需要打开与 WSUS 的连接。可以将其想象为使用 Web 浏览器从 Internet 下载文件。您无需在自己的计算机上打开任何端口即可执行此操作。您只需要能够浏览 Web 即可。WSUS 的工作方式相同。

Question 2

因为我想亲自了解这一点，所以我在两个不同的客户端（Windows 7 和 Server 2012 R2）上尝试了它

WSUS 客户端使用的端口随机映射到众所周知的端口之上。（在我的情况下，它们是 64535 和 50890）：

传输控制协议，源端口：50890（50890），目标端口：8530（8530），序列号：293532，确认：20672，长度：0

因此这是允许客户端的更新服务通过防火墙的唯一方法。

Answer

因为我想亲自了解这一点，所以我在两个不同的客户端（Windows 7 和 Server 2012 R2）上尝试了它

WSUS 客户端使用的端口随机映射到众所周知的端口之上。（在我的情况下，它们是 64535 和 50890）：

传输控制协议，源端口：50890（50890），目标端口：8530（8530），序列号：293532，确认：20672，长度：0

因此这是允许客户端的更新服务通过防火墙的唯一方法。

Question 3

您不必在客户端上打开端口，因为 WSUS 是一种 Web 服务！客户端连接到 WSUS 并下载目录，报告所需的更新并下载补丁……

您可以使用以下方式配置客户端政府采购组织在域环境中，或者使用注册表项。

Answer

您不必在客户端上打开端口，因为 WSUS 是一种 Web 服务！客户端连接到 WSUS 并下载目录，报告所需的更新并下载补丁……

您可以使用以下方式配置客户端政府采购组织在域环境中，或者使用注册表项。

Question 4

一些防火墙，特别是“企业级”产品不会自动执行状态检查，因此服务器答复永远不会返回到客户端，并且您会在日志中看到超时错误（例如c:\windows\windowsupdate.log）。

大多数家用路由器都是状态检测型的，因此管理员很容易忘记这个问题。通常在 TCP/IP 流量中，当客户端连接到服务器时，它还会在 IP 标头中包含客户端侦听服务器以重新连接的回复端口。这是自 Windows Server 2008 和 Vista 以来采用的 IANA/RFC 规范的一部分。

管理员可能会创建一条规则，允许客户端通过 TCP 80、443、8530、8531 连接到 WSUS 服务器，但服务器无法重新连接到客户端，因为防火墙产品不会自动从初始客户端到服务器的联系中读取该信息。WSUS 通常使用其中 3 个临时端口重新连接到客户端计算机。

IANA/RFC 指定为 WSUS 打开临时端口 TCP 49152 至 65535，以便能够从 Win 2008 和 Vista 开始连接回 Windows 客户端，因此您需要创建一个额外的防火墙规则，打开从 WSUS 服务器到客户端子网对象的端口范围。

Answer

一些防火墙，特别是“企业级”产品不会自动执行状态检查，因此服务器答复永远不会返回到客户端，并且您会在日志中看到超时错误（例如c:\windows\windowsupdate.log）。

大多数家用路由器都是状态检测型的，因此管理员很容易忘记这个问题。通常在 TCP/IP 流量中，当客户端连接到服务器时，它还会在 IP 标头中包含客户端侦听服务器以重新连接的回复端口。这是自 Windows Server 2008 和 Vista 以来采用的 IANA/RFC 规范的一部分。

管理员可能会创建一条规则，允许客户端通过 TCP 80、443、8530、8531 连接到 WSUS 服务器，但服务器无法重新连接到客户端，因为防火墙产品不会自动从初始客户端到服务器的联系中读取该信息。WSUS 通常使用其中 3 个临时端口重新连接到客户端计算机。

IANA/RFC 指定为 WSUS 打开临时端口 TCP 49152 至 65535，以便能够从 Win 2008 和 Vista 开始连接回 Windows 客户端，因此您需要创建一个额外的防火墙规则，打开从 WSUS 服务器到客户端子网对象的端口范围。

相关内容