locked
Adresses IP publiques des serveurs update.microsoft.com RRS feed

  • Question

  • Bonjour,

    Est-il possible d'obtenir les adresses IP publiques des serveurs de mises à jour de Microsoft, ceux vers lesquels un serveur WSUS privé va chercher les données?

    Notre serveur WSUS a deux cartes réseaux, une vers le LAN et l'autre vers le WAN, car notre LAN n'est pas relié à Internet.
    Ainsi j'aurais souhaité définir des routes statiques sur le serveur afin qu'il puisse se connecter aux serveurs de Microsoft et effectuer les mises à jour (Windows et Office).

    Si j'effectue un nslookup, j'obtiens les réponses suivantes:

    C:\>nslookup update.microsoft.com
    Serveur :  ...
    Address:  ...

    Réponse ne faisant pas autorité :
    Nom :    www.update.microsoft.com.nsatc.net
    Address:  207.46.21.123
    Aliases:  update.microsoft.com, update.microsoft.com.nsatc.net

    Mais je voudrais être sûr d'avoir les bonnes adresse.
    Pourriez-vous me le confirmer?

    Merci,
    Christophe

     

    samedi 7 août 2010 20:48

Réponses

  • Bonjour,

    Si le serveur possédant WSUS est connecté à Internet par l'intermédiaire d'une autre carte réseau, la logique serait que la route par défaut de cette machine soit celle connectée à Internet.

    En revanche, ceci implique qu'il faut configurer une route statique pour chaque réseau interne sauf pour celui connecté à la carter réseau connectée au réseau local.

    A noter qu'une machine connectée directement à Internet devrait être super bien protégée, avec uniquement la couche TCPIP active. Les couches réseau "Partage MS, Client MS et Netbios" doivent être désactivées sur la carte Internet.

    A+


    Thierry DEMAN. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (66 MCPs) Exchange MVP (http://base.faqexchange.info) LE PERMIS INFORMATIQUE.
    dimanche 8 août 2010 07:39

Toutes les réponses

  • Bonsoir,

    les adresses utilisées par Microsoft ne sont pas fixes... Toutes les autorisations doivent se faire sur le nom ou l'alias, mais pas sur les adresses IP.

    Actuellement, l'adresse IP donnée pour www.update.microsoft.com.nsatc.net est 65.55.184.16 !

    Mais, il n'y a aucune raison que cette adresse ne puisse changer à tout moment.

    Attention, plusieurs adresses sont utilisées par Windows Update.

    Voici toutes celles autorisées par Microsoft sur ISA pour que WSUS fonctionne:

    *.microsoft.com

    *.windows.com

    *.windowsUpdate.com

    A+


    Thierry DEMAN. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (66 MCPs) Exchange MVP (http://base.faqexchange.info) LE PERMIS INFORMATIQUE.
    samedi 7 août 2010 21:12
  • Merci Thierry pour ces informations.

    Aurais-tu une autre solution que des routes statiques, pour permettre à un serveur WSUS d'aller chercher les mises à jour chez Microsoft, sachant que ce serveur dispose de deux cartes réseaux, une connecté au LAN (le LAN n'est pas relié à Internet) et l'autre connecté au WAN (routeur DSL).

    Merci,
    Christophe

     

    samedi 7 août 2010 22:34
  • Je ne vois pas le problème avec le téléchargement des mises à jour par le serveur WSUS. Tout ce que vous avez besoin c'est de ne pas blocker le trafic allant vers les sites mentionnées par monsieur Thierry et de bien configurer vos tables de routage.

    Ci-dessous un  lien qui pourra vous aider au niveau de la configuration des routes utilisées:

    http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/route.mspx?mfr=true

    Je pense qu'une bonne configuration des métriques des routes vous permettra de tout faire.

    Cordialement.

    samedi 7 août 2010 22:46
  • Bonjour,

    Si le serveur possédant WSUS est connecté à Internet par l'intermédiaire d'une autre carte réseau, la logique serait que la route par défaut de cette machine soit celle connectée à Internet.

    En revanche, ceci implique qu'il faut configurer une route statique pour chaque réseau interne sauf pour celui connecté à la carter réseau connectée au réseau local.

    A noter qu'une machine connectée directement à Internet devrait être super bien protégée, avec uniquement la couche TCPIP active. Les couches réseau "Partage MS, Client MS et Netbios" doivent être désactivées sur la carte Internet.

    A+


    Thierry DEMAN. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (66 MCPs) Exchange MVP (http://base.faqexchange.info) LE PERMIS INFORMATIQUE.
    dimanche 8 août 2010 07:39
  • La carte connectée au WAN est derrière un proxy ou le routeur fait office de point d'accès à internet ?

    La piste de la liste des IP de windowsupdate peut etre ecartée à mon avis car les IP changent trés souvent.

    Si le serveur WSUS est sensible, il est possible de définir un WSUS maitre sur un serveur moins sensible et qui sera autorisé à se connecter à Internet; puis de configurer le serveur initial comme serveur WSUS esclave; permettant ainsi de n'avoir que quelques ports à ouvrir entre ce serveur sensible et un poste ayant accès au net.


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    lundi 9 août 2010 23:49
  • Bonjour Thierry,

    Je vais essayer de monter le réseau tel que vous me le conseillez.
    Pourriez-vous me dire si le schéma que je vous décris ci-dessous, est fonctionnel?
    Merci.

    Les stations (Win XP Pro SP3) et les serveurs (Win 2003R2 SP2) sont connectés au réseau local.
    Ce LAN (192.168.1.0) comporte un Contrôleur de Domaine (192.168.1.1) et un Serveur de fichiers (192.168.1.2).
    Ce Contrôleur de Domaine joue les rôles de AD, DHCP et DNS.

    Je veux ajouter un serveur WSUS pour effectuer les mises à jour des stations et des serveurs.
    Vu que le LAN n'est pas connecté à Internet, j'ai ajouté une seconde carte réseau au serveur WSUS (pour aller chercher les mises à jour chez Microsoft).

    La première carte réseau, celle côté LAN, a l'adresse IP 192.168.1.3 et elle est connecté au Switch du LAN.

    La seconde carte réseau, celle côté WAN, a l'adresse IP 192.168.0.1 car elle est connectée au Routeur (192.168.0.254).

    Si j'ai bien compris, sur la seconde carte réseau (celle côté WAN), je dois désactiver/décocher les services suivants:
    - "Partage de fichiers et d'imprimantes pour les réseaux Microsoft",
    - "Client pour réseaux Microsoft",
    - DNS (décocher "Enregistrer les adresses de cette connexion dans le système DNS"),
    - NetBIOS (cocher "Désactiver NetBIOS avec TCP/IP").

    Dois-je aussi modifier l'ordre d'accès des services réseaux (binding order) de manière à ce que le carte réseau WAN ou LAN soit en première position?

    Dois-je préférablement effectuer ces opérations avant de joindre le serveur WSUS au Domaine, ou ceci n'a pas d'importance?

    Avec ce schéma, quelle adresse IP de Passerelle dois-je utiliser pour le LAN? Est-ce l'adresse IP du Contrôleur de Domaine (192.168.1.1)?

    Si par la suite j'ajoute un serveur ISA au LAN (afin de lui donner un accès à l'Internet), est-ce que la Passerelle du LAN deviendra l'adresse IP du serveur ISA?

    J'en profite pour vous poser une dernière question: est-ce qu'il est intéressant d'ajouter le service WINS au Contrôleur de Domaine (qui occupe déjà les rôles de AD, DHCP et DNS)?

    Merci pour votre aide et vos précieux conseils,
    Christophe

    mardi 10 août 2010 04:42