Мне нужно настроить обновления WSUS для клиентских компьютеров. Я знаю, что сервер WSUS по умолчанию использует порт 8530, и этот порт должен быть открыт на стороне сервера WSUS, но какой порт должен быть открыт на стороне клиента?
Наилучшие пожелания
Клиенты всегда инициируют соединение. Следовательно, им не нужно принимать никаких входящий соединения. Им просто нужно открыть соединение с WSUS. Думайте об этом как о загрузке файлов из Интернета с помощью веб-браузера. Для этого вам не нужно открывать какие-либо порты на вашем компьютере. Вам просто нужно иметь возможность просматривать веб-страницы. WSUS работает так же.
Поскольку я сам хотел знать это, я просто попробовал это на двух разных клиентах (Windows 7 и Server 2012 R2).
Порт, используемый WSUS-клиентами, случайным образом отображается над известными портами. (В моем случае это были 64535 и 50890):
Протокол управления передачей, порт Src: 50890 (50890), порт Dst: 8530 (8530), Seq: 293532, Ack: 20672, Len: 0
Так что это единственный способ разрешить клиентскую службу обновления через брандмауэр.
Вам не нужно открывать порт на клиенте, потому что WSUS - это веб-служба! Клиент подключается к WSUS и загружает каталог, сообщает, какие обновления ему необходимы, и загружает исправления ...
Вы можете настроить клиентов с помощью GPO в доменной среде или с ключи реестра.
Если у вас есть дополнительные ограничения на исходящий трафик на своих рабочих станциях вам необходимо убедиться, что вы разрешаете им доступ к IP-адресу и порту WSUS - в вашем случае 8530 - с любого порта через TCP. Кроме этого, ничего другого не требуется.
Некоторые брандмауэры, особенно продукты корпоративного класса, не выполняют автоматическую проверку состояния, поэтому ответы сервера никогда не возвращаются клиенту, и вы видите ошибки тайм-аута в журналах (например, c:\windows\windowsupdate.log).
Большинство домашних маршрутизаторов относятся к типу проверки с отслеживанием состояния, поэтому администраторам легко забыть об этой проблеме. Обычно в трафике TCP / IP, когда клиент подключается к серверу, он также включает в IP-заголовок порт ответа, который клиент ожидает от сервера для обратного подключения. Это часть спецификации IANA / RFC, которая была принята с Windows Server 2008 и Vista.
Администраторы могут создать правило, которое позволяет клиентам подключаться к серверу WSUS по TCP 80, 443, 8530, 8531, но сервер не может подключиться обратно к клиенту, потому что продукт брандмауэра не считал эту информацию автоматически от исходного клиента к контакт с сервером. WSUS обычно использует 3 из этих временных портов для обратного подключения к клиентскому компьютеру.
IANA / RFC указывает временные порты TCP с 49152 по 65535, открытые для WSUS, чтобы иметь возможность подключаться обратно к клиентам Windows начиная с Win 2008 и Vista, поэтому вам необходимо создать дополнительное правило брандмауэра, открывающее диапазон портов от сервера WSUS к клиенту. объект подсети.
Если кто-то не заблокировал исходящие порты / порты назначения (в частности, 8530), у ваших клиентов не должно возникнуть проблем с проверкой обновлений с вашего сервера WSUS. Вы можете случайно заблокировать клиентские подключения на самом сервере WSUS. Даже если по умолчанию порт 8530 открыт, я бы проверил, протестировав сервер WSUS для порта 8530. Вы можете использовать Putty или другой эмулятор telnet для подключения через telnet, просто измените порт telnet на 8530. Если соединение успешно, тогда и клиенты не можете подключиться и получать обновления от WSUS, тогда у вас возникнут другие проблемы. Попробуйте эту ссылку Устранение неполадок WSUS.