Welche Hostnamen und Ports müssten in einer Firewall geöffnet werden, damit Windows-Updates funktionieren?

8

Wir haben eine Reihe von öffentlichen Webservern hinter einer Firewall, auf denen wir Windows-Updates ausführen möchten, ohne ihnen mehr Zugriff zu gewähren, als sie benötigen.

Welche anderen Hostnamen und Ports müssten neben www.update.microsoft.com:443 entsperrt werden, damit Windows-Updates funktionieren?

Nathan Hartley
quelle

Antworten:

1

Da sich die URLs seit der akzeptierten Antwort etwas geändert haben, werde ich die neuesten Informationen ab diesem Zeitpunkt unten veröffentlichen.

http://windowsupdate.microsoft.com

http: //*.windowsupdate.microsoft.com

https: //*.windowsupdate.microsoft.com

http: //*.update.microsoft.com

https: //*.update.microsoft.com

http: //*.windowsupdate.com

http://download.windowsupdate.com

https://download.microsoft.com

http: //*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

http://go.microsoft.com

http://dl.delivery.mp.microsoft.com

https://dl.delivery.mp.microsoft.com

Quelle: https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#211-connection-from-the-wsus-server- in das Internet

Dillon Brown
quelle
12

Von http://technet.microsoft.com/en-us/library/cc708605(WS.10).aspx Dies ist erforderlich, damit WSUS über Ihre Firewall funktioniert (an welche IMHO Sie auf jeden Fall denken sollten, wenn Sie mehr als 10 haben Kunden). Dies sollte für eine normale Client-Box für den Zugriff auf die MS-Server gleich sein.

Konfigurieren Sie die Firewall zwischen dem WSUS-Server und dem Internet

Wenn zwischen WSUS und dem Internet eine Unternehmensfirewall besteht, müssen Sie möglicherweise die Firewall konfigurieren, um sicherzustellen, dass WSUS Updates erhalten kann.

So konfigurieren Sie Ihre Firewall

  • Wenn zwischen WSUS und dem Internet eine Unternehmensfirewall besteht, müssen Sie diese Firewall möglicherweise konfigurieren, um sicherzustellen, dass WSUS Updates erhalten kann. Um Updates von Microsoft Update zu erhalten, verwendet der WSUS-Server Port 80 für das HTTP-Protokoll und Port 443 für das HTTPS-Protokoll. Dies ist nicht konfigurierbar.

  • Wenn Ihre Organisation nicht zulässt, dass diese Ports und Protokolle für alle Adressen geöffnet sind, können Sie den Zugriff nur auf die folgenden Domänen beschränken, damit WSUS und automatische Updates mit Microsoft Update kommunizieren können:

Die oben beschriebenen Schritte zum Konfigurieren der Firewall gelten für eine Unternehmensfirewall zwischen WSUS und dem Internet. Da WSUS den gesamten Netzwerkverkehr initiiert, muss die Windows-Firewall nicht auf dem WSUS-Server konfiguriert werden. Obwohl für die Verbindung zwischen Microsoft Update und WSUS die Ports 80 und 443 geöffnet sein müssen, können Sie mehrere WSUS-Server für die Synchronisierung mit einem benutzerdefinierten Port konfigurieren.

l0c0b0x
quelle
1
Der aktuellste Link sollte hier sein: docs.microsoft.com/en-us/windows-server/administration/…
Dillon Brown
2

So konfigurieren Sie die Firewall für Softwareupdates

  1. Konfigurieren Sie die Firewall so, dass die Kommunikation über HTTP- und HTTPS-Ports (80 und 443) möglich ist.

  2. Stellen Sie sicher, dass Sie alle Windows Update-URLs zulassen. Hier ist eine Liste von URLs, die Sie auch sicherstellen möchten:

URLs:

http://windowsupdate.microsoft.com

http: //*.windowsupdate.microsoft.com

https: //*.windowsupdate.microsoft.com

http: //*.update.microsoft.com

https: //*.update.microsoft.com

http: //*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http: //*.download.windowsupdate.com

http://test.stats.update.microsoft.com

http://ntservicepack.microsoft.com

KPWINC
quelle
1

Wir hatten Probleme mit unserem Proxy und Windows-Update und sie empfahlen:

download.windowsupdate.com
windowsupdate.com
c.microsoft.com
update.microsoft.com
windowsupdate.microsoft.com

Ports sollten nur 80 und 443 sein, denke ich. Möglicherweise müssen Sie BITS öffnen, wenn dieser einen anderen Port verwendet.

Kevin Kuphal
quelle
Ich habe mich auch über BITS gewundert.
Nathan Hartley
0

Ich würde vorschlagen, * .microsoft.com als Hostnamen hinzuzufügen, wenn die Software dies unterstützt, und in Bezug auf Ports sollten Sie nur Port 80 und 443 benötigen.

user14930
quelle