Quels sont les domaines minimaux nécessaires pour Windows Update ?

Au minimum, vous devez autoriser *.windowsupdate.com, *.update.microsoft.com et *.delivery.mp.microsoft.com à travers votre pare-feu sur les ports 80 (HTTP) et 443 (HTTPS).

Windows Update utilise-t-il uniquement HTTPS ?

Windows Update utilise principalement HTTPS (port 443) pour les métadonnées et la sécurité. Cependant, les téléchargements réels de mises à jour peuvent utiliser HTTP (port 80) pour les performances via la livraison CDN. Les deux ports doivent être autorisés.

Dois-je encore autoriser ces domaines si j'utilise WSUS ?

Si votre serveur WSUS télécharge les mises à jour directement depuis Microsoft, le serveur WSUS lui-même a besoin d'accéder à ces domaines. Les machines clientes n'ont besoin d'accéder qu'au serveur WSUS. Si les clients sont configurés pour utiliser WSUS via la Stratégie de groupe, ils ne contacteront pas Microsoft directement pour les mises à jour.

Pourquoi Windows Update échoue-t-il derrière mon serveur proxy ?

Windows Update utilise le paramètre de proxy WinHTTP, pas le proxy d'Internet Explorer ou WinINET. Vous devez configurer le proxy WinHTTP séparément en utilisant 'netsh winhttp set proxy' ou importer les paramètres d'IE avec 'netsh winhttp import proxy source=ie'. Sur Windows 10/11 et Server 2016+, vous pouvez également configurer cela via la Stratégie de groupe.

Domaines et URLs à autoriser pour Windows Update à travers un pare-feu ou un proxy

Dans les environnements d’entreprise avec des pare-feu, des serveurs proxy ou un filtrage web, Windows Update échouera silencieusement s’il ne peut pas atteindre les serveurs Microsoft dont il dépend. Cet article fournit la liste complète des domaines et URLs que vous devez autoriser, ainsi que des conseils de configuration pour les environnements WSUS et proxy.

Ports requis

Windows Update utilise les protocoles et ports suivants :

Protocole	Port	Objectif
HTTPS	443	Métadonnées, authentification et téléchargements sécurisés
HTTP	80	Livraison des paquets de mise à jour via CDN

Les deux ports doivent être ouverts pour le trafic sortant du client (ou du serveur WSUS) vers internet.

Domaines principaux de Windows Update

Ce sont les domaines essentiels qui doivent être autorisés pour que Windows Update fonctionne. Utilisez des règles avec des caractères génériques là où c’est indiqué.

Services de mise à jour principaux

*.windowsupdate.com
*.update.microsoft.com
*.windowsupdate.microsoft.com
windowsupdate.microsoft.com
update.microsoft.com

Optimisation de livraison et CDN

*.delivery.mp.microsoft.com
*.download.windowsupdate.com
download.windowsupdate.com
download.microsoft.com
*.download.microsoft.com

Validation des certificats et authentification

Windows Update valide les certificats de signature de code à l’aide de ces points de terminaison :

ctldl.windowsupdate.com
*.digicert.com
*.globalsign.com
*.verisign.com

Microsoft Update (Office et autres produits)

Si vous utilisez Microsoft Update (qui étend Windows Update pour inclure les mises à jour d’Office, SQL Server et d’autres produits Microsoft) :

*.update.microsoft.com
update.microsoft.com

Télémétrie et rapports

Windows Update signale des informations d’état à ces points de terminaison. Les bloquer peut ne pas empêcher l’installation des mises à jour, mais peut provoquer l’échec des rapports d’erreurs et des diagnostics :

*.microsoft.com/pkiops/*
settings-win.data.microsoft.com

Spécifique à Windows 10 / Windows 11

Les versions modernes de Windows utilisent des points de terminaison supplémentaires :

*.prod.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
emdl.ws.microsoft.com
tsfe.trafficshaping.dsp.mp.microsoft.com

Liste complète d’autorisation (prête à copier-coller)

Voici une liste consolidée adaptée à l’importation dans les règles de pare-feu ou les listes d’autorisation du proxy :

# Windows Update core
*.windowsupdate.com
*.update.microsoft.com
*.windowsupdate.microsoft.com

# Download and delivery
*.delivery.mp.microsoft.com
*.download.windowsupdate.com
*.download.microsoft.com
download.windowsupdate.com
download.microsoft.com

# Delivery Optimization (P2P and CDN)
*.prod.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com

# Certificate validation
ctldl.windowsupdate.com

# Activation and licensing (required for feature updates)
activation.sls.microsoft.com
validation.sls.microsoft.com

# Telemetry / diagnostics
settings-win.data.microsoft.com

Configuration du serveur proxy

La distinction entre WinHTTP et WinINET

C’est la cause la plus courante d’échecs de Windows Update dans les environnements avec proxy. Windows Update utilise la pile de proxy WinHTTP, qui est distincte des paramètres proxy configurés dans Internet Explorer / Paramètres Windows (qui utilisent WinINET).

Même si un utilisateur peut naviguer sur le web via le proxy, Windows Update peut ne pas pouvoir atteindre Microsoft car WinHTTP a sa propre configuration de proxy indépendante.

Configurer le proxy WinHTTP

Option 1 : Importer depuis les paramètres d’Internet Explorer

netsh winhttp import proxy source=ie

Option 2 : Définir directement

netsh winhttp set proxy proxy-server="http://proxy.example.com:8080" bypass-list="*.local;10.*"

Option 3 : Afficher les paramètres actuels

netsh winhttp show proxy

Option 4 : Réinitialiser en direct (sans proxy)

netsh winhttp reset proxy

Configuration du proxy via Stratégie de groupe (Windows 10/11, Server 2016+)

Sur les versions modernes de Windows, vous pouvez configurer le proxy WinHTTP via la Stratégie de groupe :

Ouvrez l’Éditeur de stratégie de groupe (gpedit.msc ou via GPMC pour les stratégies de domaine).
Naviguez vers Configuration ordinateur > Modèles d’administration > Composants Windows > Collecte des données et versions d’évaluation.
Activez Configurer l’utilisation du proxy authentifié pour le service Expérience des utilisateurs connectés et télémétrie.

Pour une configuration proxy plus complète :

Naviguez vers Configuration ordinateur > Modèles d’administration > Composants Windows > Windows Update.
Utilisez la stratégie Spécifier l’emplacement intranet du service de mise à jour Microsoft si vous routez via WSUS.

Authentification du proxy

Si votre proxy nécessite une authentification, sachez que :

Le compte SYSTEM est généralement utilisé par le service Windows Update. Il ne dispose pas de credentials utilisateur.
Configurez votre proxy pour autoriser l’accès non authentifié aux domaines Microsoft listés ci-dessus, ou utilisez l’authentification basée sur le certificat machine.
Dans Windows 10 version 1709 et ultérieure, vous pouvez utiliser le paramètre de Stratégie de groupe mentionné ci-dessus pour permettre l’utilisation d’un proxy authentifié pour le trafic de mise à jour.

Configuration WSUS (Windows Server Update Services)

Si votre organisation utilise WSUS, l’architecture change considérablement.

Comment WSUS modifie le flux

Avec WSUS déployé :

Le serveur WSUS télécharge les mises à jour depuis Microsoft (il a besoin d’accéder aux domaines listés ci-dessus).
Les machines clientes téléchargent les mises à jour uniquement depuis le serveur WSUS. Elles ne contactent pas Microsoft directement.

Exigences de pare-feu du serveur WSUS

Le serveur WSUS a besoin d’un accès sortant vers :

*.windowsupdate.com         (port 443)
*.update.microsoft.com      (port 443)
*.download.windowsupdate.com (port 80 and 443)
download.microsoft.com       (port 80 and 443)

Exigences de pare-feu client vers WSUS

Les clients ont besoin d’accéder au serveur WSUS sur :

Protocole	Port	Notes
HTTP	8530	Port HTTP par défaut de WSUS
HTTPS	8531	Port HTTPS par défaut de WSUS

Ces ports sont configurables lors de l’installation de WSUS. Certaines organisations utilisent les ports 80/443 à la place.

Configurer les clients via Stratégie de groupe

Pour pointer les clients vers votre serveur WSUS :

Ouvrez la Console de gestion des stratégies de groupe et créez ou modifiez un GPO lié à l’UO appropriée.
Naviguez vers Configuration ordinateur > Modèles d’administration > Composants Windows > Windows Update.
Activez Spécifier l’emplacement intranet du service de mise à jour Microsoft.
Définissez les deux valeurs sur l’URL de votre serveur WSUS :
- Service de mise à jour intranet : http://wsus-server:8530
- Serveur de statistiques intranet : http://wsus-server:8530
Exécutez gpupdate /force sur un client pour appliquer la stratégie immédiatement.

Vérifiez avec :

reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUServer

Dépannage de la connectivité Windows Update

Tester la connectivité de base

Depuis la machine cliente, vérifiez que vous pouvez atteindre les serveurs Windows Update :

Test-NetConnection -ComputerName windowsupdate.microsoft.com -Port 443
Test-NetConnection -ComputerName download.windowsupdate.com -Port 80

Vérifier le journal Windows Update

Sous Windows 10/11, le fichier traditionnel WindowsUpdate.log n’est plus en texte brut. Générez une version lisible :

Get-WindowsUpdateLog

Cela crée un fichier WindowsUpdate.log sur votre bureau. Recherchez les erreurs contenant “proxy”, “connection” ou les codes d’erreur “0x80”.

Réinitialiser les composants Windows Update

Si Windows Update est dans un état cassé après des modifications du proxy ou du pare-feu, réinitialisez-le :

net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
net start wuauserv
net start cryptSvc
net start bits
net start msiserver

Vérifier que les paramètres du proxy sont appliqués

netsh winhttp show proxy

Si cela affiche “Direct access (no proxy server)”, mais que votre réseau nécessite un proxy, Windows Update échouera. Configurez le proxy comme décrit dans la section de configuration du proxy ci-dessus.

Résumé du diagramme réseau

Voici comment le trafic circule dans chaque scénario :

Direct (sans WSUS) :

Client --> Firewall (allow listed domains, ports 80/443) --> Microsoft CDN/Servers

Avec WSUS :

Client --> WSUS Server (port 8530/8531)
WSUS Server --> Firewall (allow listed domains, ports 80/443) --> Microsoft CDN/Servers

Avec Optimisation de la livraison (Windows 10/11) :

Client --> Peers on local network (for cached content)
Client --> Firewall (allow listed domains, ports 80/443) --> Microsoft CDN (for uncached content)