
ActiveDirectoryServer 和 WSUSServer 可以在一台伺服器上嗎?效果好嗎? Windows Server 是 2019 年標準
答案1
不。 AD DS + DNS + 檔案伺服器以外的應用程式增加了攻擊面。此外,在部署、維護和容量規劃方面,更新管理資料庫的管理方式與 AD DS 有很大不同。
您可能需要一個很好的理由來覆蓋此處的主機層級隔離,但您沒有提供這一理由。
如果您想引用某些內容,合規性清單會說明安全性原因。以STIG為例:Windows Server 網域控制站必須在專用於此功能的電腦上執行
在與目錄伺服器相同的主機上執行應用程式伺服器可能會大大削弱目錄伺服器的安全性。 Web 或資料庫伺服器應用程式通常需要新增許多程式和帳戶,從而增加了電腦的攻擊面。
答案2
從技術上講,是的,你可以做到這一點。
但你真的不應該。
網域控制器應該要做到這一點,而且只能做到這一點(當然還有 DNS)。
其他技術細節:WSUS 需要 IIS,這意味著在電腦上運行 Web 伺服器;在 DC 上絕對要避免。
順便說一句,如果您只有一個 DC,請建立另一個。執行單一 DC 是您在 Windows 上可能造成的最大單點故障。
如果您的資源有限,請在系統上安裝 Hyper-V 並為每個服務建立虛擬機器。它仍然不是故障安全的(如果伺服器崩潰了,你就完蛋了),但至少它乾淨多了。如果出現問題,您只需重新安裝 Windows(或使用不同的實體伺服器)並重新啟動虛擬機器即可。請務必進行備份。