Могут ли ActiveDirectoryServer и WSUSServer быть на одном сервере? Это нормально работает? Windows Server 2019 Standard
решение1
Не надо. Приложения, отличные от AD DS + DNS + файловый сервер, увеличивают поверхность атаки. Кроме того, база данных управления обновлениями управляется совсем иначе, чем AD DS, с точки зрения развертывания, обслуживания и планирования емкости.
Вам нужна очень веская причина для переопределения изоляции на уровне хоста, но вы ее не предоставили.
В контрольных списках соответствия указывается причина безопасности, если вы хотите что-то сослаться. STIG, например:Контроллеры домена Windows Server должны работать на компьютере, выделенном для этой функции.
Выполнение серверов приложений на одной хост-машине с сервером каталогов может существенно ослабить безопасность сервера каталогов. Приложения веб-сервера или сервера баз данных обычно требуют добавления множества программ и учетных записей, что увеличивает поверхность атаки компьютера.
решение2
Технически, да, это можно сделать.
Но на самом деле этого делать не следует.
Контроллер домена должен делать это и только это (и DNS, конечно).
Дополнительные технические подробности: для WSUS требуется IIS, что означает запуск веб-сервера на машине; этого определенно следует избегать на контроллере домена.
Кстати, если у вас только один DC, пожалуйста, создайте еще один. Запуск одного DC — это самая большая точка отказа, которую вы можете создать в Windows.
Если у вас ограниченные ресурсы, установите Hyper-V в системе и создайте виртуальные машины для каждой службы. Это все еще не отказоустойчиво (если сервер сломается, вам конец), но, по крайней мере, это намного чище. А если что-то пойдет не так, вы можете просто переустановить Windows (или использовать другой физический сервер) и перезапустить виртуальные машины. Обязательно сделайте резервные копии.