ActiveDirectoryServerとWSUSServerを1つのサーバーで使用できますか?問題なく動作しますか?Windows Serverは2019 Standardです
答え1
しないでください。AD DS + DNS + ファイル サーバー以外のアプリケーションは、攻撃対象領域を拡大します。また、更新管理データベースは、展開、保守、容量計画の点で、AD DS とはまったく異なる方法で管理されます。
ここでホスト レベルの分離をオーバーライドするには十分な理由が必要ですが、その理由が提供されていません。
コンプライアンス チェックリストには、何かを引用したい場合のセキュリティ上の理由が記載されています。たとえば、STIG の場合:Windows Serverドメインコントローラは、その機能専用のマシン上で実行する必要があります。
ディレクトリ サーバーと同じホスト マシン上でアプリケーション サーバーを実行すると、ディレクトリ サーバーのセキュリティが大幅に弱まる可能性があります。Web サーバー アプリケーションやデータベース サーバー アプリケーションでは通常、多数のプログラムやアカウントを追加する必要があり、コンピューターの攻撃対象領域が拡大します。
答え2
技術的には、はい、可能です。
しかし、本当にそうすべきではありません。
ドメイン コントローラーは、それだけを実行する必要があります (もちろん DNS も)。
追加の技術的詳細: WSUS には IIS が必要です。つまり、マシン上で Web サーバーを実行する必要があります。これは DC では絶対に避けるべきことです。
ちなみに、DC が 1 つしかない場合は、別の DC を作成してください。単一の DC を実行すると、Windows 上で発生する可能性のある最大の単一障害点になります。
リソースが限られている場合は、システムに Hyper-V をインストールし、各サービスに仮想マシンを作成します。それでもフェイルセーフではありませんが (サーバーが故障すると困ります)、少なくともはるかにクリーンになります。また、何か問題が発生した場合には、Windows を再インストール (または別の物理サーバーを使用) して VM を再起動するだけで済みます。必ずバックアップを取ってください。