Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WSUS-Clientupdate durch firewall (http,netbios)?

Frage Microsoft Windows Server

Mitglied: techniqu

techniqu (Level 1) - Jetzt verbinden

15.07.2010 um 12:05 Uhr, 6202 Aufrufe, 7 Kommentare

Hallo,

brauche mal schnelle Hilfe!

Ich habe einen WSUS (Win2008 R2) in meiner DMZ. Und mehrere Clients, die sich vom dem WSUS updaten sollen. Jetzt ist zwischen dem WSUS und den Clients eine Firewall auf dem ich den Port 80 für ausgehenden Verkehr freigegeben habe. Der Client erkennt auch, wenn ein neues Update bereitsteht, aber er kann es nicht downloaden. (Fehler.Result code)

Ich habe dann mal mit Wireshark die Pakete untersucht, dabei ist mir aufgefallen, dass der Client netbios-anfragen per broadcast sendet. Daraufhin habe ich einfach mal den Port 137 (Netbios) auf der Firewall freigeben und schon funktioniert das Update. Ich will aber nicht das der Port 137 auf ist, sondern möglichst nur Port 80.

Ach, ja, den Pfad des WSUS habe ich über die IP angegeben. d.h. http://128.xxx.xxx.xxx/

Warum also nach namen suchen.

Hat jemand eine Idee und kann mir helfen?

Vielen Dank.
gruß
Mitglied: techniqu
15.07.2010 um 13:05 Uhr
Mir ist gerade eingefallen, ich benutze den WindowsUpdateAgent um Clientseitig den Download anzustoßen. Ich verdächtige ihn, dass er versucht den Name aufzulösen.

Ansonsten bin ich nicht wirklich weiter
Bitte warten ..
Mitglied: DerWoWusste
15.07.2010 um 13:10 Uhr
Moin.
Wir haben zu einem Subnetz mal die Ports maximal beschränkt. 137 uird für Windowsupdates nicht benötigt, auch nicht, wenn Du sie anstößt, das macht keinen Unterschied. Insofern weiß ich nicht, ob Du nicht versehentlich weitere Ports geöffnet hast . 137 alleine kann keinen Unterschied machen.

Windows Update benötigt die Zugänglichket der Highports (1024-65535 TCP) zusätzlich zu Port 80, das ist alles.
Bitte warten ..
Mitglied: techniqu
15.07.2010 um 14:16 Uhr
Danke für die Antwort.

Habe es gerade nochmal überprüft. Also die Highports habe ich als Source-ports zugelassen. Ich lasse jedes Paket, das zielport 80 hat in beide richtungen zu. Der Rest wird geblockt.

Damit findet mein Client zwar das update, kann es aber nicht downloaden/installieren. Wenn ich jetzt noch in beide richtungen Pakette mit zielport 137 aufmache funktioniert auch das update und die installation.

Im Prinzip sind es nur drei regeln: für port 80, für port 137 und den rest blocken.

Ich kann mir aber auch nicht erklären wieso port 137? Vorallem scheint er diesen wirklich nur für den Download des Updates zu brauchen, ich weiß aber nicht wieso?
Bitte warten ..
Mitglied: DerWoWusste
15.07.2010 um 15:54 Uhr
Ich hab nun extra mal die Firewallkonfig rausgekramt - Port 80 und in beide Richtungen die Highports. Kein 137 nötig, ich habe keine Ahnung, was bei Dir anders sein könnte. Unser Client ist ein 2003er Server, der Server ebenfalls mit WSUS 3 SP2, falls es interessiert, aber ich glaube nicht, dass sich Windows Update da unterscheidet.
Bitte warten ..
Mitglied: techniqu
15.07.2010 um 17:15 Uhr
Ich habe jetzt den Servername und seine IP in der Host-datei angelegt. Und siehe da es funktioniert ohne port 137. Also er versucht wirklich aus irgendeinem Grund den Namen aufzulösen.

Womit stößt du denn an der Clientseite das Update an? Ich habe es mit wuauctl.exe und wuinstall probiert. wuinstall hat den vorteil ,dass es den status des updates ausgibt und ich so besser nachvollziehen kann, woran es hängt. Aber ohne Namen hat es bei beiden nicht funktioniert?

Danke nochmal
Bitte warten ..
Mitglied: DerWoWusste
15.07.2010 um 17:28 Uhr
Bei uns macht das der Dienst (Zeitplaninstallationen). Ich bin mir jedoch ziemlich sicher, dass ich es auch schon mit wuauclt /detectnow gemacht habe. Montag könnte ich es Dir sagen, da werden die neuen Updates freigegeben.
Bitte warten ..
Mitglied: DerWoWusste
19.07.2010 um 13:48 Uhr
wuauclt /detectnow geht auch ohne 137, habe ich so eben getestet.
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (3)

Frage von Aubanan zum Thema Windows Server ...

Windows Server
Windows Server 2016 WSUS, Updates auf Windows 10 werden nicht entfernt

Frage von Maeffjus zum Thema Windows Server ...

Router & Routing
gelöst Fritzbox am FTTx-Anschluss ganz ohne Firewall ? (3)

Frage von Dilbert-MD zum Thema Router & Routing ...

Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...