Какие имена хостов и порты необходимо открыть в брандмауэре, чтобы обновления Windows могли работать?

У нас есть набор общедоступных веб-серверов за брандмауэром, на которых мы хотели бы иметь возможность выполнять обновления Windows, не предоставляя им больше доступа, чем им нужно.

Помимо www.update.microsoft.com:443, какие другие имена хостов и порты необходимо разблокировать, чтобы обновления Windows работали?

Поскольку URL-адреса немного изменились с момента принятия ответа, я опубликую последнюю информацию на этот раз ниже.

http://windowsupdate.microsoft.com

Http: //*.windowsupdate.microsoft.com

https: //*.windowsupdate.microsoft.com

Http: //*.update.microsoft.com

https: //*.update.microsoft.com

Http: //*.windowsupdate.com

http://download.windowsupdate.com

https://download.microsoft.com

Http: //*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

http://go.microsoft.com

http://dl.delivery.mp.microsoft.com

https://dl.delivery.mp.microsoft.com

Источник: https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#211-connection-from-the-wsus-server- к-интернету

С http://technet.microsoft.com/en-us/library/cc708605(WS.10).aspx Это то, что нужно для работы WSUS через ваш брандмауэр (об этом ИМХО вам определенно стоит подумать, если у вас более 10 клиенты). Это должно быть то же самое для обычного клиентского ящика для доступа к серверам MS.

Настройте брандмауэр между сервером WSUS и Интернетом

Если между WSUS и Интернетом есть корпоративный брандмауэр, вам может потребоваться настроить брандмауэр, чтобы WSUS мог получать обновления.

Чтобы настроить брандмауэр

• Если между WSUS и Интернетом есть корпоративный брандмауэр, вам может потребоваться настроить этот брандмауэр, чтобы WSUS мог получать обновления. Для получения обновлений из Центра обновления Майкрософт сервер WSUS использует порт 80 для протокола HTTP и порт 443 для протокола HTTPS. Это не настраивается.

• Если ваша организация не разрешает открывать эти порты и протоколы для всех адресов, вы можете ограничить доступ только следующими доменами, чтобы WSUS и автоматические обновления могли взаимодействовать с Центром обновления Microsoft:

  • http://windowsupdate.microsoft.com
  • Http: //*.windowsupdate.microsoft.com
  • https: //*.windowsupdate.microsoft.com
  • Http: //*.update.microsoft.com
  • https: //*.update.microsoft.com
  • Http: //*.windowsupdate.com
  • http://download.windowsupdate.com
  • http://download.microsoft.com
  • Http: //*.download.windowsupdate.com
  • http://wustat.windows.com
  • http://ntservicepack.microsoft.com

Шаги по настройке брандмауэра, описанные выше, предназначены для корпоративного брандмауэра, расположенного между WSUS и Интернетом. Поскольку WSUS инициирует весь сетевой трафик, нет необходимости настраивать брандмауэр Windows на сервере WSUS. Хотя соединение между Центром обновления Microsoft и WSUS требует открытия портов 80 и 443, вы можете настроить несколько серверов WSUS для синхронизации с пользовательским портом.

Чтобы настроить брандмауэр для обновления программного обеспечения

1. Настройте брандмауэр, чтобы разрешить связь через порты HTTP и HTTPS (80 и 443).

2. Убедитесь, что вы разрешаете все URL-адреса Центра обновления Windows. Вот список URL, которые вы также хотите убедиться, что они разрешены:

URL-адрес:

http://windowsupdate.microsoft.com

Http: //*.windowsupdate.microsoft.com

https: //*.windowsupdate.microsoft.com

Http: //*.update.microsoft.com

https: //*.update.microsoft.com

Http: //*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

Http: //*.download.windowsupdate.com

http://test.stats.update.microsoft.com

http://ntservicepack.microsoft.com

У нас были проблемы с нашим прокси и обновлением Windows, и они рекомендовали:

download.windowsupdate.com
windowsupdate.com
c.microsoft.com
update.microsoft.com
windowsupdate.microsoft.com

Порты должны быть только 80 и 443, я думаю. Возможно, вам придется открыть биты, если он использует другой порт.

Я бы предложил добавить * .microsoft.com в качестве имени хоста, если программное обеспечение его поддерживает, а что касается портов, вам нужны только порты 80 и 443.