Вопросы о службах обновления Windows Server

У меня есть несколько вопросов о службах Windows Server Update, которые в документации MS довольно расплывчаты.

У нас есть сервер домена, работающий как виртуальная машина на сервере esx (не моя идея, и мне не разрешено отключать сервер домена). Сервер домена работает под управлением Windows Server 2003. Дайте мне знать, если потребуется дополнительная информация.

Итак, вот мои вопросы:

Может ли WSUS находиться на одном сервере с доменом или на другом?
Можете ли вы управлять обновлениями для сторонних компьютеров с сервером 2003 и XP?

С днем сисадмина!

РЕДАКТИРОВАТЬ: еще 2 вопроса. Итак, предполагая, что я собираюсь установить для этого отдельный сервер, вы бы порекомендовали добавить его в домен или было бы лучше, если бы у него был только пароль администратора и он не входил в домен?

Если я собираюсь предоставить удаленным клиентам доступ к серверу для получения обновлений, порекомендуете ли вы, чтобы он был внутренним и чтобы клиенты получали к нему доступ только через VPN? Я в основном служу техподдержки Apple и веб-разработчик, так что подобные вещи все еще ОЧЕНЬ новы для меня

windows-server-2003 wsus

Microsoft не рекомендует устанавливать WSUS на контроллер домена: Ссылка на Technet

Клиенты используют BITS для загрузки обновлений в фоновом режиме, поэтому не имеет значения, находятся ли они на одном сайте, если у них есть подключение.

Да, но в зависимости от ваших потребностей, может быть целесообразно разделить их. Два основных момента, которые потребуются WSUS: 1: IIS; и 2: достаточно места для хранения кешированных обновлений. Если у вас нет места или вы не хотите использовать IIS на вашем DC, разделите их.
Конечно, до тех пор, пока удаленные компьютеры могут подключаться к серверу WSUS через порт (а), который использует WSUS - обычно стандартные веб-порты (кроме того: обязательно настройте SSL).