SCCM 或 WSUS 可以主動向客戶端發起新的 TCP 連接嗎？

我有電腦連接到企業域網路，SCCM（+WSUS？）在通用 TCP 埠（我猜是 8531、443、80）上執行。這些電腦設置了硬體防火牆，並且禁用了與這些埠的新出站連接，僅允許新出站 TCP 連接上的少數目標 TCP 埠，例如 123、53 和 5938，並且還允許 ping。

但是最近有些電腦開始下載windows更新，這是不可取的。我想知道這是怎麼可能的，WSUS 或 SCCM 伺服器是否有可能主動啟動到客戶端的新 TCP 連接，以便考慮防火牆規則集 WAN_IN 而不是 WAN_OUT？

不，SCCM 和 WSUS 都不會推送到最終客戶端。最終客戶端始終從 SCCM 或 WSUS 拉取。

引用自：https://serverfault.com/questions/1064067