企业内网往往担心客户端直接连接到外网更新补丁会有风险,我们可以建立proxy和FireWall白名单地址来允许内网客户端连接到外网更新系统补丁。
1,用proxy联网更新:
Windows 更新使用 WinHttp 与部分范围请求 (RFC 7233) 从 Windows 更新服务器或本地 WSUS 服务器下载更新和应用程序。 因此,网络上的代理服务器必须支持 HTTP RANGE 请求。 如果代理在 Internet Explorer(用户级别)中进行配置,而不是在 WinHTTP(系统级别)中进行,与 Windows 更新的连接就会失败。
若要解决此问题,请通过以下 netsh 命令在 WinHTTP 中配置代理:
netsh winhttp set proxy ProxyServerName:PortNumber
还可以使用以下命令从 Internet Explorer 导入代理设置:
netsh winhttp import proxy source=ie
如果通过代理服务器进行下载失败,并出现 0x80d05001 DO_E_HTTP_BLOCKSIZE_MISMATCH 错误,或者在下载更新的过程中发现 CPU 使用率很高,请检查代理配置以允许 HTTP RANGE 请求运行。
可以选择应用规则来允许对以下 URL 的 HTTP RANGE 请求:
*.download.windowsupdate
*.dl.delivery.mp.microsoft
*.delivery.mp.microsoft
2,如果是通过防火墙直接放行联网更新,则要允许可以访问如下URL:
TLS 1.2 *.prod.do.dsp.mp.microsoft
HTTP emdl.ws.microsoft
HTTP *.dl.delivery.mp.microsoft
HTTP *.windowsupdate
HTTPS *.delivery.mp.microsoft
TLS 1.2 *.update.microsoft
TLS 1.2 tsfe.trafficshaping.dsp.mp.microsoft
请务必不要对指定 HTTP 的终结点使用 HTTPS,反之亦然。 连接将失败。所以以上网址建立同时允许http和https访问。
Windows 客户端设备可以接收来自各种源的更新,包括联机 Windows 更新、Windows Server Update Services 服务器和其他源。 若要确定设备上当前使用的 Windows 更新源,请按照以下步骤操作:
以管理员身份启动 Windows PowerShell
运行
$MUSM = New-Object -ComObject "Microsoft.Update.ServiceManager"
运行
$MUSM.Services
检查 Name 和 OffersWindowsUPdates 参数的输出,你可以根据下表进行解读:
企业内网往往担心客户端直接连接到外网更新补丁会有风险,我们可以建立proxy和FireWall白名单地址来允许内网客户端连接到外网更新系统补丁。
1,用proxy联网更新:
Windows 更新使用 WinHttp 与部分范围请求 (RFC 7233) 从 Windows 更新服务器或本地 WSUS 服务器下载更新和应用程序。 因此,网络上的代理服务器必须支持 HTTP RANGE 请求。 如果代理在 Internet Explorer(用户级别)中进行配置,而不是在 WinHTTP(系统级别)中进行,与 Windows 更新的连接就会失败。
若要解决此问题,请通过以下 netsh 命令在 WinHTTP 中配置代理:
netsh winhttp set proxy ProxyServerName:PortNumber
还可以使用以下命令从 Internet Explorer 导入代理设置:
netsh winhttp import proxy source=ie
如果通过代理服务器进行下载失败,并出现 0x80d05001 DO_E_HTTP_BLOCKSIZE_MISMATCH 错误,或者在下载更新的过程中发现 CPU 使用率很高,请检查代理配置以允许 HTTP RANGE 请求运行。
可以选择应用规则来允许对以下 URL 的 HTTP RANGE 请求:
*.download.windowsupdate
*.dl.delivery.mp.microsoft
*.delivery.mp.microsoft
2,如果是通过防火墙直接放行联网更新,则要允许可以访问如下URL:
TLS 1.2 *.prod.do.dsp.mp.microsoft
HTTP emdl.ws.microsoft
HTTP *.dl.delivery.mp.microsoft
HTTP *.windowsupdate
HTTPS *.delivery.mp.microsoft
TLS 1.2 *.update.microsoft
TLS 1.2 tsfe.trafficshaping.dsp.mp.microsoft
请务必不要对指定 HTTP 的终结点使用 HTTPS,反之亦然。 连接将失败。所以以上网址建立同时允许http和https访问。
Windows 客户端设备可以接收来自各种源的更新,包括联机 Windows 更新、Windows Server Update Services 服务器和其他源。 若要确定设备上当前使用的 Windows 更新源,请按照以下步骤操作:
以管理员身份启动 Windows PowerShell
运行
$MUSM = New-Object -ComObject "Microsoft.Update.ServiceManager"
运行
$MUSM.Services
检查 Name 和 OffersWindowsUPdates 参数的输出,你可以根据下表进行解读: