¿Pueden ActiveDirectoryServer y WSUSServer en un servidor? ¿Funciona bien? Windows Server es el estándar 2019
Respuesta1
No. Las aplicaciones distintas a AD DS + DNS + servidor de archivos aumentan la superficie de ataque. Además, una base de datos de administración de actualizaciones se administra de manera bastante diferente a AD DS, en términos de implementación, mantenimiento y planificación de capacidad.
Desearía tener una muy buena razón para anular el aislamiento a nivel de host aquí y no la ha proporcionado.
Las listas de verificación de cumplimiento indican el motivo de seguridad, si desea citar algo. STIG, por ejemplo:Los controladores de dominio de Windows Server deben ejecutarse en una máquina dedicada a esa función.
La ejecución de servidores de aplicaciones en la misma máquina host con un servidor de directorio puede debilitar sustancialmente la seguridad del servidor de directorio. Las aplicaciones de servidor web o de bases de datos generalmente requieren la adición de muchos programas y cuentas, lo que aumenta la superficie de ataque de la computadora.
Respuesta2
Técnicamente, sí, puedes hacer eso.
Pero realmente no deberías hacerlo.
Un controlador de dominio debería hacer eso y sólo eso (y DNS, por supuesto).
Detalle técnico adicional: WSUS necesita IIS, lo que significa ejecutar un servidor web en la máquina; Definitivamente algo que se debe evitar en un DC.
Por cierto, si solo tiene un DC, cree otro. Ejecutar un solo DC es el mayor punto de falla que puede crear en Windows.
Si tiene recursos limitados, instale Hyper-V en el sistema y cree máquinas virtuales para cada servicio. Todavía no es a prueba de fallos (si el servidor se estropea, estás jodido), pero al menos es mucho más limpio. Y si algo sale mal, simplemente puede reinstalar Windows (o usar un servidor físico diferente) y reiniciar las máquinas virtuales. Asegúrate de realizar copias de seguridad.