Артем Кайбагоров

Domain computers должны иметь доступ к шаре, где лежат дистрибутивы устанавливаемого ПО. Проверьте.
АПД: я настраивал такую штуку несколько лет назад, там требовался ещё один ключ в политике, https://serverfault.com/questions/44257/group-poli... Always wait for network at computer startup and logon - нужен, чтобы ПК обработал политику до того, как выдавать приглашение на вход. Кроме того, понадобится отключить Fast Logon optimization политику https://docs.microsoft.com/en-us/previous-versions... которая запрещает синхронную обработку GPO, необходимую для корректной установки ПО через политики.

Скрин политик покажите

Они выполняются сверну вниз, причём сортировка не по имени, а по номерам

При данном замере идет нагрузка на CPU самого микрота на генерацию трафика и его обработку. Все упирается в ресурсы CPU.

Правильный замер - это ставить ПК/Сервер в количестве 2 штук и мерить между ними через iperf

1. Удаленно настройками раскладки клавиатуры можно управлять только через реестр. В групповых политиках даже Windows 2008 r2 нет параметров для управления этим. Тогда есть два варианта: использовать скрипты (Visual Basik или PowerShell) или просто создать файл реестра. Я выбрал файл реестра, так как с VBS не дружу а PS еще не на всех машинах есть.

2. Пишу .reg файл, который потом нужно будет импортировать на все машины в домене. В принципе даже не столько пишу, сколько собираю информацию из разных веток реестра правильно настроенной машины. Получаю такой файл:


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Keyboard Layout\Preload] //ветка реестра, отвечающая за языки пользователя, вошедшего в систему. (1- по умолчанию)
"1"="00000409" //английский
"2"="00000419" //русский
"3"="00000422"//украинский

[HKEY_CURRENT_USER\Keyboard Layout\Toggle] //ветка реестра, отвечающая за сочетания клавиш при переключениии языков
"Language Hotkey"="2" //Смeнa coчeтания клaвиш пepeключeния мeжду языкaми ввoдa. (2-CTRL+SHIFT; 1-ALT(слева)+SHIFT; 3-отключен)
"Hotkey"="2" //Смeнa coчeтания клaвиш пepeключения pacклaдки клaвиaтуpы и переключения между языками
"Layout Hotkey"="3" //Смeнa coчeтания клaвиш пepeключения pacклaдки клaвиaтуpы.


[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload] //ветка реестра, отвечающая за языки при входе в систему (ввод логина\пароля)
"2"="00000419" //русский
"3"="00000422" //украинский
"1"="d0010409" //английский

Вот такой файлик получился. Обзываю его как нибудь test.reg. Дальше надо заставить все компьютеры в домене добавлять информацию из этого файла в реестры.

3. На контроллере домена идем по адресу %systemroot%\SYSVOL\domain\Policies\{GUID Policy}\USER\Scripts\Logon и кладем туда test.reg. Я применял этот сценарий к Default Domain Policy.

4. Октрываем редактор управления групповыми политиками нужной групповой политики. Идем Конфигурация пользователя\Политики\Конфигурация Windows\Сценарии\Вход в систему Жмем кнопку "Добавить". В поле "Имя сценария" пишем regedit.exe, в поле "Параметры сценария" пишем /s test.reg. и сохраняем данные. Все готово.

Пока есть возможность - заложите в каждую комнату по минимум 2 кабеля максимальной категории, причем с соблюдением всех правил прокладки. Оконцуйте розетками над плинтусом. Никогда не знаешь, где они впоследствии понадобятся, пусть лежат.
Пару кабелей приведите к точке входа кабеля провайдера в квартиру. Там оконцуйте розетками и в одну из них вставьте кабель провайдера или патчкорд от оборудования провайдера.

Вероятно вам захочется организовать домашний NAS или даже сервачок свой. Прикиньте, где его разместить (лучше не в шкафу по ряду причин). Например, на застекленной лоджии. Туда тоже проложите минимум два кабеля. И питание.

Все кабели с комнат сведите в одну точку, там повесьте небольшой шкаф на 5-6 юнитов. Заведите все кабели в него, там разместите патч-панель, ИБП, полку для роутера, возможно свитч на нужное количество портов, дин-рейку с розетками и автоматом.



Важный момент - дверцу берите глухую, иначе мигание светодиодов ночью достанет.

Приобретите 2-3 точки доступа Wi-Fi mesh. В идеале найти поддерживающие стандарт EasyMesh.
Все точки доступа Wi-Fi собрать в mesh на 5ггц, одну из точек как главную настроить в режиме моста (bridge) и включить в общую сеть.

Маршрутизатор я бы рекомендовал отдельный, без Wi-Fi, по ряду причин. К примеру, что-то из серии Ubiquiti Edge Router. Или тот же Keenetic помощнее, отключив в нем Wi-Fi и спрятав в шкаф на полочку.

Так это же давно известная шляпа с виртуальной сетью. Нужно в проблемном ПК зайти в настройки физической сетевой карты, вкладка дополнительно, выключить Recive Side Scaling (получение бокового масштабирования), Recv segment coalescing и тому подобную шляпу. Обычно даже одного выключения Recive Side Scaling (получение бокового масштабирования) хватает
Более подробно тут https://winitpro.ru/index.php/2021/09/01/nizkaya-s...

Странная схема
1. Можно попробовать сделать bridgeWAN
Добавить в него 2 порта. Получится петля, которую разрулит RSTP, если оборудование провайдера позволит это сделать.

2. Либо договориться с провайдером на LAG интерфейс, но в случае WiFi моста это не будет работать адекватно. Тут только режим active/backup.

3. Городить скрипты, которые будут проверять наличие линка к провайдеру.

4. Просить дополнительные адреса, ставить второй маршрутизатор и делать VRRP

FastPanel несколько серьезней и современней.

Имею 1000 клиентов и более 3 тыс сайтов.

Если это не Ваши мечты, то странно, почему до сих пор не пользуетесь нормальными панелями управления.
Например CloudLinux + ISPmanager Business.

Жесткие диски можно пробрасывать двумя способами:
1. Проброс SATA контроллера по методу PCI-e Passthrough
https://pve.proxmox.com/wiki/Pci_passthrough
т.е. включаем IOMMU, смотрим адрес и затем пробрасываем указывая адрес. другие настройки, как для ВК, делать не нужно. Но нужно понимать, что в этом случае для хоста отвалится тот самый SATA контроллер. Поэтому имеет смысл использовать это дело для второго RAID-контроллера в разъеме PCI-e, а не того что на борту у материнки.
(не рекомендую пробрасывать контроллер интегрированный в материнскую плату, только подключенные к PCIe), в этом случае диски выпадают для хоста и управление ими полностью на себя берет гостевая ВМ,

2. заходим в консоль и пишем:
## cd /dev/disk/by-id
через dir смотрим листинг…
копируем строки вида ata-WDC_WD40EFRX-68WT0N6_WD-WCC4E1АС9SХ9, в которой прописан интерфейс подключения, марка и номер серии жесткого диска. Затем открываем Файл конфигурации ВМ и пишем и сохраняем:
sata1: volume=/dev/disk/by-id/ata-WDC_WD40EFRX-68WT0N6_WD-WCC4E1АС9SХ9
и все работает, при этом учитывайте, что sata0-sata5, т.е. для одной ВМ число подключаемых таким образом дисков, включая виртуальных, не может превышать 6шт. В гостевой системе такие диски имеют урезанный QEMU SMART. который каждый раз при старте ВМ обнуляется и совершенно не информативен. SMART таких жестких дисков можно мониторить через WEB-интерфейс ProxMox'а или другими методами хоста на Linux

У вас асимметричная маршрутизация - принтер идет к 172.31.31.152 через микротик, а 172.31.31.152 идет к принтеру непосредственно с WAN кинетика. Поэтому микротик видит какие-то левые SYN,ACK. Левые потому, что он не видел изначального SYN и, следовательно, SYN,ACKи не принадлежат к какому либо существующему соединению и они invalid

Просто включите и работайте: все изменения, сделанные на других КД, будут на него перенесены репликацией. AD сконструирована так, что изменения никуда не пропадают в течение срока их хранения. А 5 дней - это значительно меньше срока хранения: для базы данных AD он очень редко в наше время (это когда домен - родом с Win2K) бывает 60 дней, обычно - 180, а для изменений в папке SYSVOL (там лежат политики и скрипты) - 90 дней.
PS Для диагностики отсутствия проблем с КД испольуйте команду dcdiag /q из командной строки в режиме администратора. Если нет ошибок, она не вернет ничего. Правда, в первые сутки после запуска там даже в норме могут быть сообщения об ошибках в журналах событий (во время запуска), в таком случае загляните в эти журналы.

Если прошивка очень древняя, то эксплоит winbox поможет найти пароль

Protect можешь посмотреть под админом? Сколько секунд нужно держать сброс и сбросить.