Quels noms d'hôtes et ports devraient être ouverts dans un pare-feu pour permettre aux mises à jour Windows de fonctionner?

Nous avons un ensemble de serveurs Web publics derrière un pare-feu sur lequel nous aimerions pouvoir effectuer des mises à jour Windows, sans leur donner plus d'accès que nécessaire.

Outre www.update.microsoft.com:443, quels autres noms d'hôte et ports devraient être débloqués pour que les mises à jour Windows fonctionnent?

Comme les URL ont un peu changé depuis la réponse acceptée, je posterai les dernières informations à partir de ce moment ci-dessous.

http://windowsupdate.microsoft.com

http: //*.windowsupdate.microsoft.com

https: //*.windowsupdate.microsoft.com

http: //*.update.microsoft.com

https: //*.update.microsoft.com

http: //*.windowsupdate.com

http://download.windowsupdate.com

https://download.microsoft.com

http: //*.download.windowsupdate.com

http://wustat.windows.com

http://ntservicepack.microsoft.com

http://go.microsoft.com

http://dl.delivery.mp.microsoft.com

https://dl.delivery.mp.microsoft.com

Source: https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#211-connection-from-the-wsus-server- a l'Internet

De http://technet.microsoft.com/en-us/library/cc708605(WS.10).aspx C'est ce qui est nécessaire pour que WSUS fonctionne via votre pare-feu (à quelle IMHO vous devriez certainement penser si vous en avez plus de 10 clients). Cela devrait être la même chose pour une boîte client standard pour accéder aux serveurs MS.

Configurer le pare-feu entre le serveur WSUS et Internet

S'il existe un pare-feu d'entreprise entre WSUS et Internet, vous devrez peut-être configurer le pare-feu pour vous assurer que WSUS peut obtenir des mises à jour.

Pour configurer votre pare-feu

• S'il existe un pare-feu d'entreprise entre WSUS et Internet, vous devrez peut-être configurer ce pare-feu pour vous assurer que WSUS peut obtenir des mises à jour. Pour obtenir des mises à jour de Microsoft Update, le serveur WSUS utilise le port 80 pour le protocole HTTP et le port 443 pour le protocole HTTPS. Ce n'est pas configurable.

• Si votre organisation n'autorise pas ces ports et protocoles ouverts à toutes les adresses, vous pouvez restreindre l'accès aux seuls domaines suivants afin que WSUS et les mises à jour automatiques puissent communiquer avec Microsoft Update:

  • http://windowsupdate.microsoft.com
  • http: //*.windowsupdate.microsoft.com
  • https: //*.windowsupdate.microsoft.com
  • http: //*.update.microsoft.com
  • https: //*.update.microsoft.com
  • http: //*.windowsupdate.com
  • http://download.windowsupdate.com
  • http://download.microsoft.com
  • http: //*.download.windowsupdate.com
  • http://wustat.windows.com
  • http://ntservicepack.microsoft.com

Les étapes de configuration du pare-feu ci-dessus sont destinées à un pare-feu d'entreprise positionné entre WSUS et Internet. Parce que WSUS initie tout son trafic réseau, il n'est pas nécessaire de configurer le pare-feu Windows sur le serveur WSUS. Bien que la connexion entre Microsoft Update et WSUS nécessite que les ports 80 et 443 soient ouverts, vous pouvez configurer plusieurs serveurs WSUS pour qu'ils se synchronisent avec un port personnalisé.

Pour configurer le pare-feu pour les mises à jour logicielles

1. Configurez le pare-feu pour autoriser la communication sur les ports HTTP et HTTPS (80 et 443).

2. Assurez-vous que vous autorisez toutes les URL Windows Update. Voici une liste d'URL dont vous voudrez également vous assurer qu'elles sont autorisées:

URL:

http://windowsupdate.microsoft.com

http: //*.windowsupdate.microsoft.com

https: //*.windowsupdate.microsoft.com

http: //*.update.microsoft.com

https: //*.update.microsoft.com

http: //*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http: //*.download.windowsupdate.com

http://test.stats.update.microsoft.com

http://ntservicepack.microsoft.com

Nous avons eu des problèmes avec notre proxy et notre mise à jour Windows et ils ont recommandé:

download.windowsupdate.com
windowsupdate.com
c.microsoft.com
update.microsoft.com
windowsupdate.microsoft.com

Les ports devraient être juste 80 et 443 je pense. Vous devrez peut-être ouvrir BITS si celui-ci utilise un port différent.

Je suggérerais d'ajouter * .microsoft.com comme nom d'hôte si le logiciel le prend en charge et en ce qui concerne les ports, vous ne devriez avoir besoin que des ports 80 et 443.