我有几台计算机连接到企业域网络,SCCM(+WSUS?)在公共 TCP 端口(我猜是 8531、443、80)上运行。这些计算机位于硬件防火墙后面,到这些端口的新出站连接被禁用,只有少数几个新出站 TCP 连接的目标 TCP 端口被允许,例如 123、53 和 5938,并且还允许 ping。
但最近有些计算机开始下载 Windows 更新,这是不可取的。我想知道这是怎么可能的,WSUS 或 SCCM 服务器是否可能主动启动与客户端的新 TCP 连接,以便考虑防火墙规则集 WAN_IN 而不是 WAN_OUT?
答案1
不,SCCM 和 WSUS 都不会推送到最终客户端。最终客户端始终从 SCCM 或 WSUS 拉取。