Was sind die Mindest-Domänen, die für Windows Update benötigt werden?

Sie müssen mindestens *.windowsupdate.com, *.update.microsoft.com und *.delivery.mp.microsoft.com durch Ihre Firewall auf den Ports 80 (HTTP) und 443 (HTTPS) zulassen.

Verwendet Windows Update nur HTTPS?

Windows Update verwendet hauptsächlich HTTPS (Port 443) für Metadaten und Sicherheit. Die eigentlichen Update-Downloads können jedoch HTTP (Port 80) für die Leistung über CDN-Bereitstellung verwenden. Beide Ports sollten zugelassen werden.

Muss ich diese Domänen noch zulassen, wenn ich WSUS verwende?

Wenn Ihr WSUS-Server Updates direkt von Microsoft herunterlädt, benötigt der WSUS-Server selbst Zugang zu diesen Domänen. Client-Maschinen benötigen nur Zugang zum WSUS-Server. Wenn Clients über Gruppenrichtlinien für die Verwendung von WSUS konfiguriert sind, kontaktieren sie Microsoft nicht direkt für Updates.

Warum schlägt Windows Update hinter meinem Proxyserver fehl?

Windows Update verwendet die WinHTTP-Proxy-Einstellung, nicht den Internet Explorer- oder WinINET-Proxy. Sie müssen den WinHTTP-Proxy separat mit 'netsh winhttp set proxy' konfigurieren oder die IE-Einstellungen mit 'netsh winhttp import proxy source=ie' importieren. Unter Windows 10/11 und Server 2016+ können Sie dies auch über Gruppenrichtlinien konfigurieren.

Domänen und URLs, die Sie für Windows Update durch eine Firewall oder einen Proxy zulassen müssen

In Unternehmensumgebungen mit Firewalls, Proxyservern oder Web-Filterung wird Windows Update stillschweigend fehlschlagen, wenn es die Microsoft-Server, von denen es abhängt, nicht erreichen kann. Dieser Artikel enthält die vollständige Liste der Domänen und URLs, die Sie zulassen müssen, sowie Konfigurationsanleitungen für WSUS- und Proxy-Umgebungen.

Erforderliche Ports

Windows Update verwendet die folgenden Protokolle und Ports:

Protokoll	Port	Zweck
HTTPS	443	Metadaten, Authentifizierung und sichere Downloads
HTTP	80	Update-Paket-Bereitstellung über CDN

Beide Ports müssen für ausgehenden Datenverkehr vom Client (oder WSUS-Server) zum Internet geöffnet sein.

Kern-Domänen von Windows Update

Dies sind die wesentlichen Domänen, die zugelassen werden müssen, damit Windows Update funktioniert. Verwenden Sie Platzhalterregeln, wo angegeben.

Primäre Update-Dienste

*.windowsupdate.com
*.update.microsoft.com
*.windowsupdate.microsoft.com
windowsupdate.microsoft.com
update.microsoft.com

Bereitstellungsoptimierung und CDN

*.delivery.mp.microsoft.com
*.download.windowsupdate.com
download.windowsupdate.com
download.microsoft.com
*.download.microsoft.com

Zertifikatsvalidierung und Authentifizierung

Windows Update validiert Code-Signatur-Zertifikate über diese Endpunkte:

ctldl.windowsupdate.com
*.digicert.com
*.globalsign.com
*.verisign.com

Microsoft Update (Office und andere Produkte)

Wenn Sie Microsoft Update verwenden (das Windows Update um Updates für Office, SQL Server und andere Microsoft-Produkte erweitert):

*.update.microsoft.com
update.microsoft.com

Telemetrie und Berichterstattung

Windows Update meldet Statusinformationen an diese Endpunkte. Das Blockieren dieser Endpunkte verhindert möglicherweise nicht die Installation von Updates, kann aber dazu führen, dass Fehlerberichte und Diagnosen fehlschlagen:

*.microsoft.com/pkiops/*
settings-win.data.microsoft.com

Spezifisch für Windows 10 / Windows 11

Moderne Windows-Versionen verwenden zusätzliche Endpunkte:

*.prod.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
emdl.ws.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com

Vollständige Zulassungsliste (zum Kopieren und Einfügen)

Hier ist eine konsolidierte Liste, die für den Import in Firewall-Regeln oder Proxy-Zulassungslisten geeignet ist:

# Windows Update core
*.windowsupdate.com
*.update.microsoft.com
*.windowsupdate.microsoft.com

# Download and delivery
*.delivery.mp.microsoft.com
*.download.windowsupdate.com
*.download.microsoft.com
download.windowsupdate.com
download.microsoft.com

# Delivery Optimization (P2P and CDN)
*.prod.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com

# Certificate validation
ctldl.windowsupdate.com

# Activation and licensing (required for feature updates)
activation.sls.microsoft.com
validation.sls.microsoft.com

# Telemetry / diagnostics
settings-win.data.microsoft.com

Proxyserver-Konfiguration

Der Unterschied zwischen WinHTTP und WinINET

Dies ist die häufigste Ursache für Windows Update-Fehler in Proxy-Umgebungen. Windows Update verwendet den WinHTTP-Proxy-Stack, der von den Proxy-Einstellungen getrennt ist, die in Internet Explorer / Windows-Einstellungen konfiguriert sind (die WinINET verwenden).

Selbst wenn ein Benutzer über den Proxy im Web surfen kann, kann Windows Update Microsoft möglicherweise nicht erreichen, da WinHTTP seine eigene, unabhängige Proxy-Konfiguration hat.

WinHTTP-Proxy konfigurieren

Option 1: Aus Internet Explorer-Einstellungen importieren

netsh winhttp import proxy source=ie

Option 2: Direkt festlegen

netsh winhttp set proxy proxy-server="http://proxy.example.com:8080" bypass-list="*.local;10.*"

Option 3: Aktuelle Einstellungen anzeigen

netsh winhttp show proxy

Option 4: Auf direkt zurücksetzen (kein Proxy)

netsh winhttp reset proxy

Proxy-Konfiguration über Gruppenrichtlinien (Windows 10/11, Server 2016+)

Auf modernen Windows-Versionen können Sie den WinHTTP-Proxy über Gruppenrichtlinien konfigurieren:

Öffnen Sie den Gruppenrichtlinien-Editor (gpedit.msc oder über GPMC für Domänenrichtlinien).
Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Datensammlung und Vorabversionen.
Aktivieren Sie Authentifizierten Proxy für den Dienst “Benutzererfahrung im verbundenen Modus und Telemetrie” konfigurieren.

Für eine umfassendere Proxy-Konfiguration:

Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update.
Verwenden Sie die Richtlinie Intranetspeicherort für den Microsoft-Updatedienst angeben, wenn Sie über WSUS routen.

Proxy-Authentifizierung

Wenn Ihr Proxy eine Authentifizierung erfordert, beachten Sie:

Das SYSTEM-Konto wird typischerweise vom Windows Update-Dienst verwendet. Es verfügt nicht über Benutzeranmeldeinformationen.
Konfigurieren Sie Ihren Proxy so, dass er nicht authentifizierten Zugriff auf die oben aufgeführten Microsoft-Domänen zulässt, oder verwenden Sie maschinen-zertifikatsbasierte Authentifizierung.
In Windows 10 Version 1709 und später können Sie die oben erwähnte Gruppenrichtlinien-Einstellung verwenden, um die Nutzung eines authentifizierten Proxys für den Update-Datenverkehr zu erlauben.

WSUS-Konfiguration (Windows Server Update Services)

Wenn Ihre Organisation WSUS verwendet, ändert sich die Architektur erheblich.

Wie WSUS den Ablauf ändert

Mit eingesetztem WSUS:

Der WSUS-Server lädt Updates von Microsoft herunter (er benötigt Zugang zu den oben aufgelisteten Domänen).
Client-Maschinen laden Updates nur vom WSUS-Server herunter. Sie kontaktieren Microsoft nicht direkt.

Firewall-Anforderungen des WSUS-Servers

Der WSUS-Server benötigt ausgehenden Zugang zu:

*.windowsupdate.com         (port 443)
*.update.microsoft.com      (port 443)
*.download.windowsupdate.com (port 80 and 443)
download.microsoft.com       (port 80 and 443)

Firewall-Anforderungen vom Client zum WSUS

Clients benötigen Zugang zum WSUS-Server auf:

Protokoll	Port	Anmerkungen
HTTP	8530	Standard-HTTP-Port von WSUS
HTTPS	8531	Standard-HTTPS-Port von WSUS

Diese Ports sind während der WSUS-Einrichtung konfigurierbar. Einige Organisationen verwenden stattdessen die Ports 80/443.

Clients über Gruppenrichtlinien konfigurieren

Um Clients auf Ihren WSUS-Server zu verweisen:

Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole und erstellen oder bearbeiten Sie ein GPO, das mit der entsprechenden OU verknüpft ist.
Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update.
Aktivieren Sie Intranetspeicherort für den Microsoft-Updatedienst angeben.
Setzen Sie beide Werte auf die URL Ihres WSUS-Servers:
- Interner Updatedienst: http://wsus-server:8530
- Interner Statistikserver: http://wsus-server:8530
Führen Sie gpupdate /force auf einem Client aus, um die Richtlinie sofort anzuwenden.

Überprüfen Sie mit:

reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUServer

Fehlerbehebung der Windows Update-Konnektivität

Grundlegende Konnektivität testen

Überprüfen Sie von der Client-Maschine aus, dass Sie die Windows Update-Server erreichen können:

Test-NetConnection -ComputerName windowsupdate.microsoft.com -Port 443
Test-NetConnection -ComputerName download.windowsupdate.com -Port 80

Das Windows Update-Protokoll überprüfen

Unter Windows 10/11 ist die traditionelle WindowsUpdate.log-Datei kein Klartext mehr. Generieren Sie eine lesbare Version:

Get-WindowsUpdateLog

Dies erstellt eine WindowsUpdate.log-Datei auf Ihrem Desktop. Suchen Sie nach Fehlern, die “proxy”, “connection” oder “0x80”-Fehlercodes enthalten.

Windows Update-Komponenten zurücksetzen

Wenn Windows Update nach Proxy- oder Firewall-Änderungen in einem defekten Zustand ist, setzen Sie es zurück:

net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver

Überprüfen, ob die Proxy-Einstellungen angewendet werden

netsh winhttp show proxy

Wenn dies “Direct access (no proxy server)” anzeigt, Ihr Netzwerk aber einen Proxy erfordert, wird Windows Update fehlschlagen. Konfigurieren Sie den Proxy wie im Abschnitt zur Proxy-Konfiguration oben beschrieben.

Zusammenfassung des Netzwerkdiagramms

So fließt der Datenverkehr in jedem Szenario:

Direkt (ohne WSUS):

Client --> Firewall (allow listed domains, ports 80/443) --> Microsoft CDN/Servers

Mit WSUS:

Client --> WSUS Server (port 8530/8531)
WSUS Server --> Firewall (allow listed domains, ports 80/443) --> Microsoft CDN/Servers

Mit Bereitstellungsoptimierung (Windows 10/11):

Client --> Peers on local network (for cached content)
Client --> Firewall (allow listed domains, ports 80/443) --> Microsoft CDN (for uncached content)