Windows update servers list

Список серверов Обновлений Windows Update

Всем привет сегодня заметка больше для себя, а именно список серверов Обновлений Windows Update. Для чего это может пригодиться, ну например если вы получили ошибку Обновление не найдено при установке WSUS роли, или наоборот по какой то причине хотите их забанить, для экономии трафика, если у вас нет WSUS, так как не все обновления Windows хорошие и особенно в современных ее версиях, думаю нет смысла напоминать про ошибку 80244019, хотя этот список можно продолжать очень долго. Причина не важна, главное чтобы знать, что такое есть и с этим можно как то работать. Ниже я вам покажу методы запрета адресов сервера обновлений microsoft, как универсальный, подходящий для отдельного компьютера, так и для централизованного управления в рамках предприятия.

Почему не устанавливаются обновления Windows

Вот скриншот ошибки если у вас недоступен адрес сервера обновлений microsoft. Как видите ошибка мало информативна. Ее я получаю на сервере несущим роль WSUS, кто не помнит, что это такое, то это локальный центр обновлений для предприятий, для экономии трафика, и вот тут как раз не устанавливаются обновления Windows по причине, не доступности серверов Microsoft.

Список серверов Обновлений Windows Update-01

Что делать если не ставятся обновления Windows

• Первым делом вы должны проверить есть ли у вас интернет, так как его наличие обязательно для большинства людей, если конечно у вас не домен Active Directory и вы их скачиваете с вашего WSUS
• Далее если интернет есть, смотрим код ошибки, так как именно по нему нужно уже искать информацию о решении проблемы (из последних проблем могу привести пример, как решается Ошибка 0x80070422 или Ошибка c1900101), но список можно так же вести очень долго.
• Проверяем у себя на прокси сервере, нет ли запрета до вот таких адресов сервера обновлений microsoft.

Сам список серверов обновлений microsoft

1. http://windowsupdate.microsoft.com
2. http://*.windowsupdate.microsoft.com
3. https://*.windowsupdate.microsoft.com
4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
5. http://*.update.microsoft.com
6. https://*.update.microsoft.com
7. http://*.windowsupdate.com
8. https://activation.sls.microsoft.com/
9. http://download.windowsupdate.com
10. http://download.microsoft.com
11. http://*.download.windowsupdate.com
12. http://wustat.windows.com
13. http://ntservicepack.microsoft.com
14. https://go.microsoft.com/
15. http://go.microsoft.com/
16. https://login.live.com
17. https://validation.sls.microsoft.com/
18. https://activation-v2.sls.microsoft.com/
19. https://validation-v2.sls.microsoft.com/
20. https://displaycatalog.mp.microsoft.com/
21. https://licensing.mp.microsoft.com/
22. https://purchase.mp.microsoft.com/
23. https://displaycatalog.md.mp.microsoft.com/
24. https://licensing.md.mp.microsoft.com/
25. https://purchase.md.mp.microsoft.com/

Так что не забываем открывать их на свой прокси или закрывать :). Советую почитать в до гонку Как установить WSUS на Windows Server 2012R2

Windows update servers list

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

As per our organization policy, we have to only the access from our WSUS server to Microsoft Update servers. I need a list of IP address/segment pool of Microsoft Update servers over Internet. Our firewall only supports IP addresses/ports as the criterion. Our firewall DO NOT support any FQDN/URL/wildcard. Could you help me please?

Answers

You will have a base system with known FQDN. If WSUS ask other servers,then you should catch the network traffic with network monitor. Wireshark will do the job. You may catch relevant data during initial sysnchronization.

You can contact directly via mail a WSUS specialist that may have current IP addresses — jchornbe (a)microsoft dot com or at chip.hornbeck (a) outlook dot com . or at least he will redirect you to another WSUS specialist.

Ports are standard ones 80 for http and 443 for https.

Your task is not very uncommon. People use standard firewall that can work with FQDN. You have one more task, namely to resolve IP on local network.

(PS: There may be more risky business, namely open entire blocks of IP addresses in your firewall using database ARIN, RIPE. In majority there is current list of update servers that is cnamed providers. This is why the list will be too broad and you do not know what harm may do unknown servers that are not in update family. It is possible, but I would not use this procdure.)

It is very hard task, as behind FQDN there may be a variety of servers that may change in time. Every server may have different IP address, or a group of addresses for round robin DNS configurations.

Look at the list of update servers.

There are wildcards in names. For known FQDN use function nslookup. For windowupdate.microsoft.com you will obtain:

Name: www.update.microsoft.com.nsatc.net
Addresses: 191.232.80.55
134.170.58.222
Aliases: windowsupdate.microsoft.com
windowsupdate.microsoft.nsatc.net

You have mentioned aliases that make the situation «harder» (for us, not for computer). Also from this follows that there are at least two servers and you obtain two relevant IP addresses.

The major problem is that you should check this regularly to keep data consistent.You can use network monitor and do analysis yourself and find which servers is WSUS asking for updates.

All replies

It is very hard task, as behind FQDN there may be a variety of servers that may change in time. Every server may have different IP address, or a group of addresses for round robin DNS configurations.

Look at the list of update servers.

There are wildcards in names. For known FQDN use function nslookup. For windowupdate.microsoft.com you will obtain:

Name: www.update.microsoft.com.nsatc.net
Addresses: 191.232.80.55
134.170.58.222
Aliases: windowsupdate.microsoft.com
windowsupdate.microsoft.nsatc.net

You have mentioned aliases that make the situation «harder» (for us, not for computer). Also from this follows that there are at least two servers and you obtain two relevant IP addresses.

The major problem is that you should check this regularly to keep data consistent.You can use network monitor and do analysis yourself and find which servers is WSUS asking for updates.

Thanks for your quick reply. We can try my best to check the IP addresses of the FQDNs frequently. However, the prerequisite is I know the FQDNs. But from the information you shared to me, I can see there are wildcards in the URLs. In this case, how can I check the IP addresses of these FQDNs (I don’t think network monitor is a good solution)? Or can I understand that package filtering based firewall (IP address/port based firewall) does not support Microsoft Update server list? And we also have to change our firewall to support URL with wildcards? But how to deal with the HTTPS URLs which are encrypted by SSL? Or we have to violate our policy to enable the full Internet access for our WSUS server?

• http://windowsupdate.microsoft.com
• http://*.windowsupdate.microsoft.com
• https://*.windowsupdate.microsoft.com
• http://*.update.microsoft.com
• https://*.update.microsoft.com
• http://*.windowsupdate.com
• http://download.windowsupdate.com
• http://download.microsoft.com
• http://*.download.windowsupdate.com
• http://test.stats.update.microsoft.com
• http://ntservicepack.microsoft.com

You will have a base system with known FQDN. If WSUS ask other servers,then you should catch the network traffic with network monitor. Wireshark will do the job. You may catch relevant data during initial sysnchronization.

You can contact directly via mail a WSUS specialist that may have current IP addresses — jchornbe (a)microsoft dot com or at chip.hornbeck (a) outlook dot com . or at least he will redirect you to another WSUS specialist.

Ports are standard ones 80 for http and 443 for https.

Your task is not very uncommon. People use standard firewall that can work with FQDN. You have one more task, namely to resolve IP on local network.

(PS: There may be more risky business, namely open entire blocks of IP addresses in your firewall using database ARIN, RIPE. In majority there is current list of update servers that is cnamed providers. This is why the list will be too broad and you do not know what harm may do unknown servers that are not in update family. It is possible, but I would not use this procdure.)

Windows update servers list

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Asked by:

Question

I am looking for a complete list of all Microsoft IPs for windows update servers. I have found Microsoft Public IP list, but It has IPs from another services and I cannot open firewall to all IPs.

All replies

IP addresses may change, so it would be better to use the domain names instead:

• http://windowsupdate.microsoft.com
• http://*.windowsupdate.microsoft.com
• https://*.windowsupdate.microsoft.com
• http://*.update.microsoft.com
• https://*.update.microsoft.com
• http://*.windowsupdate.com
• http://download.windowsupdate.com
• http://download.microsoft.com
• http://*.download.windowsupdate.com
• http://wustat.windows.com
• http://ntservicepack.microsoft.com
• https://*.ws.microsoft.com
• http://*.ws.microsoft.com

Best regards,
Leon

Blog: https://thesystemcenterblog.com LinkedIn:

Was your issue resolved?

If you resolved it using our solution, please «mark it as answer» to help other community members find the helpful reply quickly.

If you resolve it using your own solution, please share your experience and solution here. It will be very beneficial for other community members who have similar questions.

If no, please reply and tell us the current situation in order to provide further help.

Windows update servers list

Вопрос

Ответы

• http://windowsupdate.microsoft.com
• http://*.windowsupdate.microsoft.com
• https://*.windowsupdate.microsoft.com
• http://*.update.microsoft.com
• https://*.update.microsoft.com
• http://*.windowsupdate.com
• http://download.windowsupdate.com
• http://download.microsoft.com
• http://*.download.windowsupdate.com
• http://wustat.windows.com
• http://ntservicepack.microsoft.com

• Предложено в качестве ответа Vector BCO Moderator 16 февраля 2016 г. 8:24
• Помечено в качестве ответа Vector BCO Moderator 22 апреля 2018 г. 19:35

Корректны ответ в данном случае представляется четырьмя буквами — WSUS

И всякие правила разрешений отпадают)))

Но если трафика не жалко и управляемость процессом не нужна, то:

• Помечено в качестве ответа Vector BCO Moderator 22 апреля 2018 г. 19:35

Все ответы

• http://windowsupdate.microsoft.com
• http://*.windowsupdate.microsoft.com
• https://*.windowsupdate.microsoft.com
• http://*.update.microsoft.com
• https://*.update.microsoft.com
• http://*.windowsupdate.com
• http://download.windowsupdate.com
• http://download.microsoft.com
• http://*.download.windowsupdate.com
• http://wustat.windows.com
• http://ntservicepack.microsoft.com

• Предложено в качестве ответа Vector BCO Moderator 16 февраля 2016 г. 8:24
• Помечено в качестве ответа Vector BCO Moderator 22 апреля 2018 г. 19:35

Корректны ответ в данном случае представляется четырьмя буквами — WSUS

И всякие правила разрешений отпадают)))

Но если трафика не жалко и управляемость процессом не нужна, то:

• Помечено в качестве ответа Vector BCO Moderator 22 апреля 2018 г. 19:35

Корректны ответ в данном случае представляется четырьмя буквами — WSUS

И всякие правила разрешений отпадают)))

Хоть старая уже тема, но.

Правила разрешений — не отпадают. 🙁

Т.к. WSUS-сервер тоже нужно отгородить от «общего интернета». WSUS тем более нужно оберегать, с него же на все компы в организации обновления раздаются, и если что-то подхватит WSUS то все остальные тоже могут подхватить.

А вообще вопрос актуальный. Где все возможные ip-шники серверов обновлений Microsoft?