Quais nomes e portas de host precisariam ser abertos em um firewall para permitir que as Atualizações do Windows funcionassem?

8

Temos um conjunto de servidores Web públicos atrás de um firewall no qual gostaríamos de poder executar as atualizações do Windows, sem dar a eles mais acesso do que o necessário.

Além de www.update.microsoft.com:443, que outros nomes de host e portas precisariam ser desbloqueados para que as atualizações do Windows funcionassem?

windows windows-server-2003 firewall windows-update Nathan Hartley
fonte

Respostas:

1

Como os URLs mudaram um pouco desde a resposta aceita, postarei as informações mais recentes a partir deste momento abaixo.

http://windowsupdate.microsoft.com

http: //*.windowsupdate.microsoft.com

https: //*.windowsupdate.microsoft.com

http: //*.update.microsoft.com

https: //*.update.microsoft.com

http: //*.windowsupdate.com

http://download.windowsupdate.com

https://download.microsoft.com

http: //*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

http://go.microsoft.com

http://dl.delivery.mp.microsoft.com

https://dl.delivery.mp.microsoft.com

Fonte: https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#211-connection-from-the-wsus-server- para a internet

Dillon Brown
fonte
12

De http://technet.microsoft.com/en-us/library/cc708605(WS.10).aspx Isso é o necessário para que o WSUS funcione através do firewall (em que IMHO você definitivamente deveria pensar se tiver mais de 10 clientes). Deve ser o mesmo para uma caixa de cliente comum para acessar os servidores MS.

Configurar o firewall entre o servidor WSUS e a Internet

Se houver um firewall corporativo entre o WSUS e a Internet, pode ser necessário configurar o firewall para garantir que o WSUS possa obter atualizações.

Para configurar seu firewall

  • Se houver um firewall corporativo entre o WSUS e a Internet, pode ser necessário configurar esse firewall para garantir que o WSUS possa obter atualizações. Para obter atualizações do Microsoft Update, o servidor WSUS usa a porta 80 para o protocolo HTTP e a porta 443 para o protocolo HTTPS. Isto não é configurável.

  • Se sua organização não permitir que essas portas e protocolos sejam abertos a todos os endereços, você poderá restringir o acesso apenas aos seguintes domínios, para que o WSUS e as Atualizações Automáticas possam se comunicar com o Microsoft Update:

As etapas para configurar o firewall acima são destinadas a um firewall corporativo posicionado entre o WSUS e a Internet. Como o WSUS inicia todo o tráfego de rede, não é necessário configurar o Firewall do Windows no servidor WSUS. Embora a conexão entre o Microsoft Update e o WSUS exija que as portas 80 e 443 estejam abertas, você pode configurar vários servidores WSUS para sincronizar com uma porta personalizada.

l0c0b0x
fonte
11
A maioria até link de data deve ser aqui: docs.microsoft.com/en-us/windows-server/administration/...
Dillon Brown
2

Para configurar o firewall para atualizações de software

  1. Configure o firewall para permitir a comunicação pelas portas HTTP e HTTPS (80 e 443).

  2. Verifique se você está permitindo todos os URLs do Windows Update. Aqui está uma lista de URLs que você também deseja garantir:

URLs:

http://windowsupdate.microsoft.com

http: //*.windowsupdate.microsoft.com

https: //*.windowsupdate.microsoft.com

http: //*.update.microsoft.com

https: //*.update.microsoft.com

http: //*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http: //*.download.windowsupdate.com

http://test.stats.update.microsoft.com

http://ntservicepack.microsoft.com

KPWINC
fonte
1

Tivemos problemas com o proxy e a atualização do Windows e eles recomendaram:

download.windowsupdate.com
windowsupdate.com
c.microsoft.com
update.microsoft.com
windowsupdate.microsoft.com

As portas devem ter apenas 80 e 443, eu acho. Pode ser necessário abrir o BITS se ele usar uma porta diferente.

Kevin Kuphal
fonte
Eu me perguntava sobre o BITS também.
5139 Nathan Hartley
0

Eu sugeriria adicionar * .microsoft.com como um nome de host se o software o suportar e com relação às portas, você só precisará das portas 80 e 443.

user14930
fonte