ActiveDirectoryServer와 WSUSServer를 하나의 서버에 사용할 수 있나요? 잘 작동하나요? Windows Server는 2019 표준입니다.
답변1
하지 않다. AD DS + DNS + 파일 서버 이외의 응용 프로그램은 공격 표면을 증가시킵니다. 또한 업데이트 관리 데이터베이스는 배포, 유지 관리 및 용량 계획 측면에서 AD DS와 상당히 다르게 관리됩니다.
여기에서 호스트 수준 격리를 재정의해야 하는 매우 좋은 이유가 필요하지만 이를 제공하지 않았습니다.
규정 준수 체크리스트에는 보안 이유가 나와 있습니다. 예를 들어 STIG:Windows Server 도메인 컨트롤러는 해당 기능 전용 시스템에서 실행되어야 합니다.
디렉터리 서버가 있는 동일한 호스트 시스템에서 응용 프로그램 서버를 실행하면 디렉터리 서버의 보안이 상당히 약화될 수 있습니다. 웹 또는 데이터베이스 서버 응용 프로그램에는 일반적으로 많은 프로그램과 계정을 추가해야 하므로 컴퓨터의 공격 표면이 늘어납니다.
답변2
기술적으로는 그렇습니다. 그렇게 할 수 있습니다.
하지만 정말 그러지 말아야 합니다.
도메인 컨트롤러는 그것만(물론 DNS도) 수행해야 합니다.
추가 기술 세부 사항: WSUS에는 IIS가 필요합니다. 이는 컴퓨터에서 웹 서버를 실행하는 것을 의미합니다. 확실히 DC에서는 피해야 할 것입니다.
그런데, DC가 하나뿐이라면 다른 DC를 만드세요. 단일 DC를 실행하는 것은 Windows에서 발생할 수 있는 가장 큰 단일 실패 지점입니다.
리소스가 제한된 경우 시스템에 Hyper-V를 설치하고 각 서비스에 대한 가상 머신을 생성하세요. 여전히 안전하지는 않지만(서버가 고장나면 망하게 됩니다) 적어도 훨씬 더 깨끗합니다. 그리고 문제가 발생하면 Windows를 다시 설치하거나 다른 물리적 서버를 사용하고 VM을 다시 시작할 수 있습니다. 반드시 백업을 하세요.