Так как я сам хотел это узнать, я просто попробовал его на двух разных клиентах (Windows 7 и Server 2012 R2)
Порт, используемый WSUS-клиентами, случайным образом отображен над известными портами. (В моем случае это были 64535 и 50890):
Протокол управления передачей, Src-порт: 50890 (50890), Dst-порт: 8530. (8530), Seq: 293532, Ack: 20672, Len: 0
Так что это единственный способ разрешить обновление клиента через ваш брандмауэр.
.Вам не нужно открывать порт на клиенте, потому что WSUS - это веб-служба! Клиент подключается к WSUS и скачивает каталог, сообщает, какие обновления ему нужны, и скачивает патчи....
Вы можете настроить клиентов с помощью GPO в доменной среде или с помощью ключей реестра .
.Если у вас есть какие-либо дополнительные ограничения на исходящий трафик на ваших рабочих станциях, вам необходимо убедиться, что вы разрешаете им доступ к WSUS ip и порту - в вашем случае 8530 - с любого порта по TCP. Кроме этого, больше ничего не требуется.
. Некоторые брандмауэры, особенно продукты корпоративного класса, не выполняют автоматическую проверку состояния, поэтому ответы сервера никогда не возвращаются клиенту, и вы видите ошибки тайм-аута в журналах (для пример c: \ windows \ windowsupdate.log
).
Большинство домашних маршрутизаторов относятся к типу проверки с отслеживанием состояния, поэтому администраторам легко забыть об этой проблеме. Обычно в трафике TCP / IP, когда клиент подключается к серверу, он также включает в IP-заголовок порт ответа, который клиент ожидает от сервера для обратного подключения. Это часть спецификации IANA / RFC, которая была принята с Windows Server 2008 и Vista.
Администраторы могут создать правило, которое позволяет клиентам подключаться к серверу WSUS по TCP 80, 443, 8530, 8531, но сервер не может подключиться обратно к клиенту, потому что продукт брандмауэра не считал эту информацию автоматически начальный контакт клиента с сервером. WSUS обычно использует 3 из этих временных портов для обратного подключения к клиентскому компьютеру.
IANA / RFC указывает временные порты TCP с 49152 по 65535, открытые для WSUS, чтобы иметь возможность подключаться обратно к клиентам Windows начиная с Win 2008 и Vista, поэтому вам нужно создать дополнительное правило брандмауэра, открывающее этот диапазон портов с сервера WSUS. объекту подсети клиента.
Клиенты всегда инициируют соединение. Следовательно, им не нужно принимать какие-либо входящие соединения. Им просто нужно открыть соединение с WSUS. Думайте об этом как о загрузке файлов из Интернета с помощью веб-браузера. Для этого вам не нужно открывать какие-либо порты на вашем компьютере. Вам просто нужно иметь возможность просматривать веб-страницы. WSUS работает так же.
Если кто-то не заблокировал исходящие порты / порты назначения (в частности, 8530), ваши клиенты не должны иметь любые проблемы с проверкой обновлений с вашего сервера WSUS. Вы можете случайно заблокировать клиентские подключения на самом сервере WSUS. Даже если по умолчанию порт 8530 открыт, я бы проверил, протестировав сервер WSUS для порта 8530. Вы можете использовать Putty или другой эмулятор telnet для подключения через telnet, просто измените порт telnet на 8530. Если соединение успешно, тогда и клиенты не можете подключиться и получить обновления от WSUS, тогда у вас возникнут другие проблемы. Попробуйте эту ссылку Устранение неполадок WSUS .