¿Qué nombres de host y puertos necesitarían abrirse en un firewall para permitir que funcionen las actualizaciones de Windows?

8

Tenemos un conjunto de servidores web públicos detrás de un firewall en el que nos gustaría poder realizar actualizaciones de Windows, sin darles más acceso del que necesitan.

Además de www.update.microsoft.com:443, ¿qué otros nombres de host y puertos necesitarían ser desbloqueados para que las actualizaciones de Windows funcionen?

Nathan Hartley
fuente

Respuestas:

1

Como las URL han cambiado un poco desde la respuesta aceptada, publicaré la información más reciente a partir de este momento a continuación.

http://windowsupdate.microsoft.com

http: //*.windowsupdate.microsoft.com

https: //*.windowsupdate.microsoft.com

http: //*.update.microsoft.com

https: //*.update.microsoft.com

http: //*.windowsupdate.com

http://download.windowsupdate.com

https://download.microsoft.com

http: //*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

http://go.microsoft.com

http://dl.delivery.mp.microsoft.com

https://dl.delivery.mp.microsoft.com

Fuente: https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#211-connection-from-the-wsus-server- a la Internet

Dillon Brown
fuente
12

De http://technet.microsoft.com/en-us/library/cc708605(WS.10).aspx Esto es lo que se necesita para que WSUS funcione a través de su firewall (en mi humilde opinión, definitivamente debe pensar si tiene más de 10 clientela). Esto debería ser lo mismo para un cuadro de cliente normal para acceder a los servidores de MS.

Configure el cortafuegos entre el servidor WSUS e Internet

Si hay un firewall corporativo entre WSUS e Internet, es posible que deba configurar el firewall para asegurarse de que WSUS pueda obtener actualizaciones.

Para configurar su firewall

  • Si hay un firewall corporativo entre WSUS e Internet, es posible que deba configurar ese firewall para asegurarse de que WSUS pueda obtener actualizaciones. Para obtener actualizaciones de Microsoft Update, el servidor WSUS usa el puerto 80 para el protocolo HTTP y el puerto 443 para el protocolo HTTPS. Esto no es configurable.

  • Si su organización no permite que esos puertos y protocolos estén abiertos a todas las direcciones, puede restringir el acceso solo a los siguientes dominios para que WSUS y las Actualizaciones automáticas puedan comunicarse con Microsoft Update:

Los pasos para configurar el firewall anterior están destinados a un firewall corporativo ubicado entre WSUS e Internet. Debido a que WSUS inicia todo su tráfico de red, no es necesario configurar Windows Firewall en el servidor WSUS. Aunque la conexión entre Microsoft Update y WSUS requiere que los puertos 80 y 443 estén abiertos, puede configurar varios servidores WSUS para que se sincronicen con un puerto personalizado.

l0c0b0x
fuente
1
El enlace más actualizado debe estar aquí: docs.microsoft.com/en-us/windows-server/administration/…
Dillon Brown
2

Para configurar el firewall para actualizaciones de software

  1. Configure el firewall para permitir la comunicación a través de los puertos HTTP y HTTPS (80 y 443).

  2. Asegúrese de permitir todas las URL de Windows Update. Aquí hay una lista de URL que también querrá asegurarse de que estén permitidas:

URLs:

http://windowsupdate.microsoft.com

http: //*.windowsupdate.microsoft.com

https: //*.windowsupdate.microsoft.com

http: //*.update.microsoft.com

https: //*.update.microsoft.com

http: //*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http: //*.download.windowsupdate.com

http://test.stats.update.microsoft.com

http://ntservicepack.microsoft.com

KPWINC
fuente
1

Hemos tenido problemas con nuestro proxy y la actualización de Windows y recomendaron:

download.windowsupdate.com
windowsupdate.com
c.microsoft.com
update.microsoft.com
windowsupdate.microsoft.com

Los puertos deberían ser solo 80 y 443, creo. Es posible que deba abrir BITS si usa un puerto diferente.

Kevin Kuphal
fuente
Me preguntaba sobre BITS también.
Nathan Hartley
0

Sugeriría agregar * .microsoft.com como nombre de host si el software lo admite y con respecto a los puertos, solo debería necesitar los puertos 80 y 443.

usuario14930
fuente