我需要为客户端计算机设置 WSUS 更新。我知道 WSUS 服务器默认使用端口 8530,并且应该在 WSUS 服务器端打开此端口,但在客户端应该打开哪个端口?
此致
答案1
客户端始终会发起连接。因此,它们不需要接受任何传入连接。他们只需要打开与 WSUS 的连接。可以将其想象为使用 Web 浏览器从 Internet 下载文件。您无需在自己的计算机上打开任何端口即可执行此操作。您只需要能够浏览 Web 即可。WSUS 的工作方式相同。
答案2
因为我想亲自了解这一点,所以我在两个不同的客户端(Windows 7 和 Server 2012 R2)上尝试了它
WSUS 客户端使用的端口随机映射到众所周知的端口之上。(在我的情况下,它们是 64535 和 50890):
传输控制协议,源端口:50890(50890),目标端口:8530(8530),序列号:293532,确认:20672,长度:0
因此这是允许客户端的更新服务通过防火墙的唯一方法。
答案3
答案4
一些防火墙,特别是“企业级”产品不会自动执行状态检查,因此服务器答复永远不会返回到客户端,并且您会在日志中看到超时错误(例如c:\windows\windowsupdate.log
)。
大多数家用路由器都是状态检测型的,因此管理员很容易忘记这个问题。通常在 TCP/IP 流量中,当客户端连接到服务器时,它还会在 IP 标头中包含客户端侦听服务器以重新连接的回复端口。这是自 Windows Server 2008 和 Vista 以来采用的 IANA/RFC 规范的一部分。
管理员可能会创建一条规则,允许客户端通过 TCP 80、443、8530、8531 连接到 WSUS 服务器,但服务器无法重新连接到客户端,因为防火墙产品不会自动从初始客户端到服务器的联系中读取该信息。WSUS 通常使用其中 3 个临时端口重新连接到客户端计算机。
IANA/RFC 指定为 WSUS 打开临时端口 TCP 49152 至 65535,以便能够从 Win 2008 和 Vista 开始连接回 Windows 客户端,因此您需要创建一个额外的防火墙规则,打开从 WSUS 服务器到客户端子网对象的端口范围。