客户端计算机的WSUS端口

客户端始终启动连接。 因此，他们不需要接受任何传入的连接。 他们只需要打开与WSUS的连接。 想想就像使用networking浏览器从互联网下载文件。 你不需要在自己的电脑上打开任何端口就可以做到这一点。 你只需要能够浏览网页。 WSUS以同样的方式工作。

正如我自己想知道的，我只是在两个不同的客户端（Windows 7和Server 2012 R2）

WSUS客户端使用的端口被随机映射到众所周知的端口之上。 （在我的情况下，他们是64535和50890）：

传输控制协议，Src端口：50890（50890），Dst端口：8530（8530），Seq：293532，Ack：20672，Len：0

所以这是通过防火墙允许客户端更新服务的唯一方法。

您不必在客户端上打开端口，因为WSUS是一项Web服务！ 客户端连接到WSUS并下载目录，报告需要更新的内容并下载修补程序…

您可以使用域环境中的GPO或registry键configuration客户端。

如果您在工作站上有对出站stream量的额外应用限制，则需要确保允许他们通过TCP从任何端口访问WSUS IP和端口（在您的案例8530中）。 除此之外，没有别的东西是需要的。

某些防火墙，尤其是“企业级”产品不会自动执行状态检查，因此服务器回复将永远不会返回到客户端，并且您在日志中看到超时错误（例如c:\windows\windowsupdate.log ） 。

大多数家庭路由器是有状态检查types，所以pipe理员很容易忘记这个问题。 正常情况下，在客户端连接到服务器的TCP / IP通信中，它还在IP头中包含客户端侦听服务器连接回的端口。 这是自Windows Server 2008和Vista以来采用的IANA / RFC规范的一部分。

pipe理员可能会创build一个允许客户端连接到TCP 80,443,8530,8531上的WSUS服务器的规则，但服务器无法连接回客户端，因为防火墙产品没有自动从初始客户端读取信息到服务器联系。 WSUS通常使用这些临时端口中的3个连接到客户端计算机。

IANA / RFC指定了适用于WSUS的临时端口TCP 49152到65535，以便能够从Win 2008和Vista开始连接到Windows客户端，因此您需要创build一个额外的防火墙规则，以打开从WSUS服务器到客户端的端口范围子网对象。

除非有人阻止出站/目的地端口（特别是8530），否则客户端应该没有任何问题检查WSUS服务器的更新。 您可能无意中阻止了WSUS服务器本身上的客户端连接。 即使默认情况下，端口8530是打开的，我将通过testing端口8530的WSUS服务器进行validation。您可以使用Putty或其他telnet模拟器通过telnet进行连接，只需将telnet端口更改为8530.如果连接成功，则客户端无法连接并从WSUS获取更新，那么你有其他问题。 给这个链接尝试WSUS疑难解答 。