7
WSUS-Clientupdate durch firewall (http,netbios)?
Hallo,
brauche mal schnelle Hilfe!
Ich habe einen WSUS (Win2008 R2) in meiner DMZ. Und mehrere Clients, die sich vom dem WSUS updaten sollen. Jetzt ist zwischen dem WSUS und den Clients eine Firewall auf dem ich den Port 80 für ausgehenden Verkehr freigegeben habe. Der Client erkennt auch, wenn ein neues Update bereitsteht, aber er kann es nicht downloaden. (Fehler.Result code)
Ich habe dann mal mit Wireshark die Pakete untersucht, dabei ist mir aufgefallen, dass der Client netbios-anfragen per broadcast sendet. Daraufhin habe ich einfach mal den Port 137 (Netbios) auf der Firewall freigeben und schon funktioniert das Update. Ich will aber nicht das der Port 137 auf ist, sondern möglichst nur Port 80.
Ach, ja, den Pfad des WSUS habe ich über die IP angegeben. d.h. http://128.xxx.xxx.xxx/
Warum also nach namen suchen.
Hat jemand eine Idee und kann mir helfen?
Vielen Dank.
gruß
brauche mal schnelle Hilfe!
Ich habe einen WSUS (Win2008 R2) in meiner DMZ. Und mehrere Clients, die sich vom dem WSUS updaten sollen. Jetzt ist zwischen dem WSUS und den Clients eine Firewall auf dem ich den Port 80 für ausgehenden Verkehr freigegeben habe. Der Client erkennt auch, wenn ein neues Update bereitsteht, aber er kann es nicht downloaden. (Fehler.Result code)
Ich habe dann mal mit Wireshark die Pakete untersucht, dabei ist mir aufgefallen, dass der Client netbios-anfragen per broadcast sendet. Daraufhin habe ich einfach mal den Port 137 (Netbios) auf der Firewall freigeben und schon funktioniert das Update. Ich will aber nicht das der Port 137 auf ist, sondern möglichst nur Port 80.
Ach, ja, den Pfad des WSUS habe ich über die IP angegeben. d.h. http://128.xxx.xxx.xxx/
Warum also nach namen suchen.
Hat jemand eine Idee und kann mir helfen?
Vielen Dank.
gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 146958
Url: https://administrator.de/contentid/146958
Printed on: April 25, 2024 at 09:04 o'clock
7 Comments
Latest comment
Mir ist gerade eingefallen, ich benutze den WindowsUpdateAgent um Clientseitig den Download anzustoßen. Ich verdächtige ihn, dass er versucht den Name aufzulösen.
Ansonsten bin ich nicht wirklich weiter
Ansonsten bin ich nicht wirklich weiter
Moin.
Wir haben zu einem Subnetz mal die Ports maximal beschränkt. 137 uird für Windowsupdates nicht benötigt, auch nicht, wenn Du sie anstößt, das macht keinen Unterschied. Insofern weiß ich nicht, ob Du nicht versehentlich weitere Ports geöffnet hast . 137 alleine kann keinen Unterschied machen.
Windows Update benötigt die Zugänglichket der Highports (1024-65535 TCP) zusätzlich zu Port 80, das ist alles.
Wir haben zu einem Subnetz mal die Ports maximal beschränkt. 137 uird für Windowsupdates nicht benötigt, auch nicht, wenn Du sie anstößt, das macht keinen Unterschied. Insofern weiß ich nicht, ob Du nicht versehentlich weitere Ports geöffnet hast . 137 alleine kann keinen Unterschied machen.
Windows Update benötigt die Zugänglichket der Highports (1024-65535 TCP) zusätzlich zu Port 80, das ist alles.
Danke für die Antwort.
Habe es gerade nochmal überprüft. Also die Highports habe ich als Source-ports zugelassen. Ich lasse jedes Paket, das zielport 80 hat in beide richtungen zu. Der Rest wird geblockt.
Damit findet mein Client zwar das update, kann es aber nicht downloaden/installieren. Wenn ich jetzt noch in beide richtungen Pakette mit zielport 137 aufmache funktioniert auch das update und die installation.
Im Prinzip sind es nur drei regeln: für port 80, für port 137 und den rest blocken.
Ich kann mir aber auch nicht erklären wieso port 137? Vorallem scheint er diesen wirklich nur für den Download des Updates zu brauchen, ich weiß aber nicht wieso?
Habe es gerade nochmal überprüft. Also die Highports habe ich als Source-ports zugelassen. Ich lasse jedes Paket, das zielport 80 hat in beide richtungen zu. Der Rest wird geblockt.
Damit findet mein Client zwar das update, kann es aber nicht downloaden/installieren. Wenn ich jetzt noch in beide richtungen Pakette mit zielport 137 aufmache funktioniert auch das update und die installation.
Im Prinzip sind es nur drei regeln: für port 80, für port 137 und den rest blocken.
Ich kann mir aber auch nicht erklären wieso port 137? Vorallem scheint er diesen wirklich nur für den Download des Updates zu brauchen, ich weiß aber nicht wieso?
Ich hab nun extra mal die Firewallkonfig rausgekramt - Port 80 und in beide Richtungen die Highports. Kein 137 nötig, ich habe keine Ahnung, was bei Dir anders sein könnte. Unser Client ist ein 2003er Server, der Server ebenfalls mit WSUS 3 SP2, falls es interessiert, aber ich glaube nicht, dass sich Windows Update da unterscheidet.
Ich habe jetzt den Servername und seine IP in der Host-datei angelegt. Und siehe da es funktioniert ohne port 137. Also er versucht wirklich aus irgendeinem Grund den Namen aufzulösen.
Womit stößt du denn an der Clientseite das Update an? Ich habe es mit wuauctl.exe und wuinstall probiert. wuinstall hat den vorteil ,dass es den status des updates ausgibt und ich so besser nachvollziehen kann, woran es hängt. Aber ohne Namen hat es bei beiden nicht funktioniert?
Danke nochmal
Womit stößt du denn an der Clientseite das Update an? Ich habe es mit wuauctl.exe und wuinstall probiert. wuinstall hat den vorteil ,dass es den status des updates ausgibt und ich so besser nachvollziehen kann, woran es hängt. Aber ohne Namen hat es bei beiden nicht funktioniert?
Danke nochmal
Bei uns macht das der Dienst (Zeitplaninstallationen). Ich bin mir jedoch ziemlich sicher, dass ich es auch schon mit wuauclt /detectnow gemacht habe. Montag könnte ich es Dir sagen, da werden die neuen Updates freigegeben.
wuauclt /detectnow geht auch ohne 137, habe ich so eben getestet.
