Können ActiveDirectoryServer und WSUSServer in einem Server? Funktioniert das einwandfrei? Windows Server ist 2019 Standard
Antwort1
Tun Sie das nicht. Andere Anwendungen als AD DS + DNS + Dateiserver vergrößern die Angriffsfläche. Außerdem wird eine Updateverwaltungsdatenbank hinsichtlich Bereitstellung, Wartung und Kapazitätsplanung ganz anders verwaltet als AD DS.
Sie würden sich einen sehr guten Grund wünschen, um die Isolation auf Hostebene hier außer Kraft zu setzen, und Sie haben keinen geliefert.
Compliance-Checklisten geben den Sicherheitsgrund an, wenn Sie etwas anführen möchten. STIG zum Beispiel:Windows Server-Domänencontroller müssen auf einem für diese Funktion dedizierten Computer ausgeführt werden.
Das Ausführen von Anwendungsservern auf demselben Hostcomputer wie ein Verzeichnisserver kann die Sicherheit des Verzeichnisservers erheblich schwächen. Web- oder Datenbankserveranwendungen erfordern normalerweise das Hinzufügen vieler Programme und Konten, wodurch die Angriffsfläche des Computers vergrößert wird.
Antwort2
Technisch gesehen ist das möglich.
Aber das sollten Sie wirklich nicht.
Ein Domänencontroller sollte genau das tun (und natürlich DNS).
Zusätzliches technisches Detail: WSUS benötigt IIS, was bedeutet, dass auf der Maschine ein Webserver ausgeführt werden muss. Dies sollte auf einem DC definitiv vermieden werden.
Übrigens, wenn Sie nur einen DC haben, erstellen Sie bitte einen weiteren. Das Ausführen eines einzelnen DC ist der größte einzelne Ausfallpunkt, den Sie unter Windows erstellen können.
Wenn Ihre Ressourcen begrenzt sind, installieren Sie Hyper-V auf dem System und erstellen Sie virtuelle Maschinen für jeden Dienst. Das ist zwar immer noch nicht ausfallsicher (wenn der Server ausfällt, sind Sie aufgeschmissen), aber es ist zumindest viel sauberer. Und wenn etwas schief geht, können Sie Windows einfach neu installieren (oder einen anderen physischen Server verwenden) und die VMs neu starten. Erstellen Sie unbedingt Backups.