¿Cuáles son los dominios mínimos necesarios para Windows Update?

Como mínimo, debe permitir *.windowsupdate.com, *.update.microsoft.com y *.delivery.mp.microsoft.com a través de su firewall en los puertos 80 (HTTP) y 443 (HTTPS).

¿Windows Update usa solo HTTPS?

Windows Update usa principalmente HTTPS (puerto 443) para metadatos y seguridad. Sin embargo, las descargas reales de actualizaciones pueden usar HTTP (puerto 80) para rendimiento a través de la entrega por CDN. Ambos puertos deben estar permitidos.

¿Aún necesito permitir estos dominios si uso WSUS?

Si su servidor WSUS descarga actualizaciones directamente de Microsoft, el propio servidor WSUS necesita acceso a estos dominios. Las máquinas cliente solo necesitan acceso al servidor WSUS. Si los clientes están configurados para usar WSUS a través de Directiva de grupo, no contactarán a Microsoft directamente para las actualizaciones.

¿Por qué Windows Update falla detrás de mi servidor proxy?

Windows Update usa la configuración de proxy WinHTTP, no el proxy de Internet Explorer o WinINET. Debe configurar el proxy WinHTTP por separado usando 'netsh winhttp set proxy' o importar la configuración de IE con 'netsh winhttp import proxy source=ie'. En Windows 10/11 y Server 2016+, también puede configurar esto a través de Directiva de grupo.

Dominios y URLs que debe permitir para Windows Update a través de un firewall o proxy

En entornos corporativos con firewalls, servidores proxy o filtrado web, Windows Update fallará silenciosamente si no puede alcanzar los servidores de Microsoft de los que depende. Este artículo proporciona la lista completa de dominios y URLs que necesita permitir, además de guía de configuración para entornos WSUS y proxy.

Puertos requeridos

Windows Update utiliza los siguientes protocolos y puertos:

Protocolo	Puerto	Propósito
HTTPS	443	Metadatos, autenticación y descargas seguras
HTTP	80	Entrega de paquetes de actualización vía CDN

Ambos puertos deben estar abiertos para tráfico saliente desde el cliente (o servidor WSUS) hacia internet.

Dominios principales de Windows Update

Estos son los dominios esenciales que deben ser permitidos para que Windows Update funcione. Use reglas con comodín donde se indique.

Servicios de actualización principales

*.windowsupdate.com
*.update.microsoft.com
*.windowsupdate.microsoft.com
windowsupdate.microsoft.com
update.microsoft.com

Optimización de entrega y CDN

*.delivery.mp.microsoft.com
*.download.windowsupdate.com
download.windowsupdate.com
download.microsoft.com
*.download.microsoft.com

Validación de certificados y autenticación

Windows Update valida los certificados de firma de código usando estos puntos de conexión:

ctldl.windowsupdate.com
*.digicert.com
*.globalsign.com
*.verisign.com

Microsoft Update (Office y otros productos)

Si usa Microsoft Update (que extiende Windows Update para incluir actualizaciones de Office, SQL Server y otros productos de Microsoft):

*.update.microsoft.com
update.microsoft.com

Telemetría e informes

Windows Update reporta información de estado a estos puntos de conexión. Bloquearlos puede no impedir que se instalen las actualizaciones, pero puede causar que los informes de errores y diagnósticos fallen:

*.microsoft.com/pkiops/*
settings-win.data.microsoft.com

Específico de Windows 10 / Windows 11

Las versiones modernas de Windows usan puntos de conexión adicionales:

*.prod.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
emdl.ws.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com

Lista completa de permisos (lista para copiar y pegar)

Aquí hay una lista consolidada adecuada para importar en reglas de firewall o listas de permitidos del proxy:

# Windows Update core
*.windowsupdate.com
*.update.microsoft.com
*.windowsupdate.microsoft.com

# Download and delivery
*.delivery.mp.microsoft.com
*.download.windowsupdate.com
*.download.microsoft.com
download.windowsupdate.com
download.microsoft.com

# Delivery Optimization (P2P and CDN)
*.prod.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com

# Certificate validation
ctldl.windowsupdate.com

# Activation and licensing (required for feature updates)
activation.sls.microsoft.com
validation.sls.microsoft.com

# Telemetry / diagnostics
settings-win.data.microsoft.com

Configuración del servidor proxy

La distinción entre WinHTTP y WinINET

Esta es la causa más común de fallos de Windows Update en entornos con proxy. Windows Update usa la pila de proxy WinHTTP, que es independiente de la configuración de proxy configurada en Internet Explorer / Configuración de Windows (que usa WinINET).

Incluso si un usuario puede navegar por la web a través del proxy, Windows Update puede no poder alcanzar Microsoft porque WinHTTP tiene su propia configuración de proxy independiente.

Configurar el proxy WinHTTP

Opción 1: Importar desde la configuración de Internet Explorer

netsh winhttp import proxy source=ie

Opción 2: Establecer directamente

netsh winhttp set proxy proxy-server="http://proxy.example.com:8080" bypass-list="*.local;10.*"

Opción 3: Ver configuración actual

netsh winhttp show proxy

Opción 4: Restablecer a directo (sin proxy)

netsh winhttp reset proxy

Configuración de proxy vía Directiva de grupo (Windows 10/11, Server 2016+)

En versiones modernas de Windows, puede configurar el proxy WinHTTP a través de Directiva de grupo:

Abra el Editor de directivas de grupo (gpedit.msc o a través de GPMC para directivas de dominio).
Navegue a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Recopilación de datos y versiones preliminares.
Habilite Configurar el uso del proxy autenticado para el servicio de Experiencia del usuario conectado y telemetría.

Para una configuración de proxy más completa:

Navegue a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update.
Use la directiva Especificar la ubicación del servicio de actualización en la intranet de Microsoft si enruta a través de WSUS.

Autenticación del proxy

Si su proxy requiere autenticación, tenga en cuenta que:

La cuenta SYSTEM es utilizada típicamente por el servicio de Windows Update. No tiene credenciales de usuario.
Configure su proxy para permitir acceso no autenticado a los dominios de Microsoft listados arriba, o use autenticación basada en certificado de máquina.
En Windows 10 versión 1709 y posterior, puede usar la configuración de Directiva de grupo mencionada arriba para permitir el uso de proxy autenticado para el tráfico de actualización.

Configuración de WSUS (Windows Server Update Services)

Si su organización usa WSUS, la arquitectura cambia significativamente.

Cómo WSUS cambia el flujo

Con WSUS implementado:

El servidor WSUS descarga las actualizaciones de Microsoft (necesita acceso a los dominios listados arriba).
Las máquinas cliente descargan las actualizaciones solo del servidor WSUS. No contactan a Microsoft directamente.

Requisitos de firewall del servidor WSUS

El servidor WSUS necesita acceso saliente a:

*.windowsupdate.com         (port 443)
*.update.microsoft.com      (port 443)
*.download.windowsupdate.com (port 80 and 443)
download.microsoft.com       (port 80 and 443)

Requisitos de firewall cliente a WSUS

Los clientes necesitan acceso al servidor WSUS en:

Protocolo	Puerto	Notas
HTTP	8530	Puerto HTTP predeterminado de WSUS
HTTPS	8531	Puerto HTTPS predeterminado de WSUS

Estos puertos son configurables durante la instalación de WSUS. Algunas organizaciones usan los puertos 80/443 en su lugar.

Configurar clientes vía Directiva de grupo

Para apuntar los clientes a su servidor WSUS:

Abra la Consola de administración de directivas de grupo y cree o edite un GPO vinculado a la OU apropiada.
Navegue a Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update.
Habilite Especificar la ubicación del servicio de actualización en la intranet de Microsoft.
Establezca ambos valores a la URL de su servidor WSUS:
- Servicio de actualización de la intranet: http://wsus-server:8530
- Servidor de estadísticas de la intranet: http://wsus-server:8530
Ejecute gpupdate /force en un cliente para aplicar la directiva inmediatamente.

Verifique con:

reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUServer

Solución de problemas de conectividad de Windows Update

Probar conectividad básica

Desde la máquina cliente, verifique que puede alcanzar los servidores de Windows Update:

Test-NetConnection -ComputerName windowsupdate.microsoft.com -Port 443
Test-NetConnection -ComputerName download.windowsupdate.com -Port 80

Verificar el registro de Windows Update

En Windows 10/11, el archivo tradicional WindowsUpdate.log ya no es texto plano. Genere una versión legible:

Get-WindowsUpdateLog

Esto crea un archivo WindowsUpdate.log en su escritorio. Busque errores que contengan “proxy”, “connection” o códigos de error “0x80”.

Restablecer componentes de Windows Update

Si Windows Update está en un estado roto después de cambios en el proxy o firewall, restablézcalo:

net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver

Verificar que la configuración del proxy esté aplicada

netsh winhttp show proxy

Si esto muestra “Direct access (no proxy server)”, pero su red requiere un proxy, Windows Update fallará. Configure el proxy como se describe en la sección de configuración de proxy arriba.

Resumen del diagrama de red

Así es como fluye el tráfico en cada escenario:

Directo (sin WSUS):

Client --> Firewall (allow listed domains, ports 80/443) --> Microsoft CDN/Servers

Con WSUS:

Client --> WSUS Server (port 8530/8531)
WSUS Server --> Firewall (allow listed domains, ports 80/443) --> Microsoft CDN/Servers

Con Optimización de entrega (Windows 10/11):

Client --> Peers on local network (for cached content)
Client --> Firewall (allow listed domains, ports 80/443) --> Microsoft CDN (for uncached content)