Роман Молчанов

Сетевые сервисы (очевидно, ssh, web и почта) вам нужны, значит открытые порты в любом случае будут. Можно их поменять на нестандартные, но пользы от этого чуть больше нуля: сканирование открытых портов на интерфейсе занимает несколько секунд.
Значит нужно защищать уже открытые: аутентификация, фильтрация по IP/mac, fail2ban, авторизация по сертификату и т.д.

Нарисовать несколько сайтов для себя, где-нибудь на локальном ресурсе, - понять сайтостроение в принципе.
Нарисовать несколько сайтов и выпустить их в мир или, скорее, подпустить мир к ним - узнать какие уязвимости надо закрыть в первую очередь и осознать важность бэкапов.
Нарисовать несколько сайтов для друзей-приятелей бесплатно или за еду (чтобы не нести за них материальную ответственность) - понять потребность потенциального заказчика, привести к компромису его желания к своим возможностям, учитывая технические ограничения.
Искать и выполнять заказы, набивая руку.

Нужен локальный адрес шлюза, через который пойдёт соединение. Т.е. клиенту в подсети 192.168.0.0/24 нужно прописать [куда ходить] и [через что ходить]
route add 192.168.1.0 mask 255.255.255.0 192.168.0.188
Если VPN-сервер является основным (первичным) шлюзом для клиентов сети, то маршрут можно прописать на нём и не делать этого на клиентах.

1) Опечатка ли

voip | viop.subdomain.domain.ru | ask.subdomain.domain.ru

2) Недоменному компьютеру (или члену другого домена) нужно указывать полное имя сайта (сервера) с суффиксом, иначе он будет его искать в своей доменной зоне.
3) Клиент не получает данных от DNS из-за настроек firewall на сервере. Т.к. DNS находится на контролллере домена, вероятно к нему сейчас разрешён доступ только от клиентов сети домена. Выход: разрешить доступ к сервису или к порту из общедоступных и частных сетей .

Гипотетически, кейлогер на хост-системе будет видеть пароли, вводимые в консоль гипервизора. Вероятность этого не высока и профит случайного злоумышленника, я считаю невысока, но возможна.

АртемЪ Станислав Бодро́в, поправьте меня, если я ошибаюсь.

Скорее всего на сервере работает fail2ban и при вводе неверного пароля он разрывает соединение

Мегафон в Москве даёт статические адреса, держали на такой связи офис более полугода. И, если не ошибаюсь, эту услугу предоставляют даже физ.лицам.

Если вдруг кто-то пришёл сюда в поисках решения для похожего вопроса:

delete FROM roundcubemail.contacts WHERE (email LIKE '%@MYDOMAIN') AND (user_id=NUMBER);
CREATE TABLE roundcubemail.temp AS SELECT username, name, created, employeeid FROM vmail.mailbox;
INSERT INTO roundcubemail.contacts (name, email, surname, user_id) SELECT name, username, name, NUMBER FROM roundcubemail.temp;
drop TABLE roundcubemail.temp;

, где
NUMBER - идентификатор пользователя, который создал globaladdressbook;
roundcubemail.temp - временная таблица для миграции данных.
Можно обойтись без temp-таблицы, но мне она понадобилась, чтобы удалить из общего справочника разные технические адреса, чтобы они пользователям не мешались.
Всё это дело в скрипт, а затем в Cron.

Никуда телефония не денется в ближайшее время, так же как электронная почта. Платформа, может быть, будет другая, но технология останется.
Месенеджеры, в том числе голосовые, останутся второстепенным средствами связи, пока в их инструкциях и документациях указано "не использовать для вызова экстренных служб".
И если нововведений в самой телефонии будет немного, будут нужны интеграции с CRM и ERP, обновления безопасности и т.д.

IMHO, что бы ни говорили крутые специалисты, но в первую очередь всё упирается в ресурсы: деньги на железо и лицензии, место для размещения всего оборудования. Если есть в наличии или возможность приобрести только один сервер + одна лицензия на ОС, то естественно всё придётся ставить на одном, если есть ресурсы, то вариантов много.

DHCP сервис малотребовательный, особенно для небольших сетей. Виндовый по соседству с AD/DNS меня ещё ни разу не подводил, но ни разу не подводил также и DHCP на базе pfSense или домашних роутеров (Zyxell/Asus).
Если почтовый сервер находится в локальной сети, то для него я бы посоветовал выделить отдельную машину (хотя бы виртуальную) и отдельный IP-адрес, чтобы зараженный клиентский компьютер или личный смартфон сотрудника в локальной сети не подставлял адрес под антиспам фильтры. Дополнительный адрес у многих провайдеров стоит копейки.
В целях экономии файл-сервер можно прикрутить на контроллере, но может возникнуть неприятная ситуация с закончившимся свободным местом, бэкапами или вредоносом из пользовательской папки. Если есть возможность: на виртуалку или на отдельную железку.

Таблица вида:
| №п/п | Внутренний номер | MAC | IP-адерс| Логин | Пароль | Пользователь | Где установлен | Примечание |

В любом виде (csv, xls, dbf, Keepass). Естественно, ограничить доступность данных от посторонних лиц. По личному опыту, за глаза достаточно для сети до 500 телефонов; более 500 - не знаю, но не думаю, что будет большая разница.
IP-адрес обязательно фиксировать (или статика, или резервирование на DHCP) и записывать в таблицу. Это избавит от беготни до телефонов. Не знаю, как в облачно АТС, а во внутренней обычно можно посмотреть с какого адреса зарегистрирован телефон или был зарегистрирован последний раз.
В привязке соответствия адреса телефона и адреса компьютера смысла ни вижу, если нет каких-то скриптов, в которых это повысило бы оптимизацию.

Антивирус - не панацея. Проверка на том же Virustotal показывает, что платные решения не всегда определяют угрозы, которые могут быть остановлены каким-нибудь бесплатным продуктом.
ИМХО,
- обычно на производственных компах доступ в интернет и чтение со съёмных носителей не нужно; лишнее можно отключить;
- обновление можно настроить через локальные ресурсы и WSUS, поможет залатать всплывающие уязвимости;
- "Защитник Windows", встроенный во все современные версии Винды, не многим хуже популярных антивирусов;
- как написали выше, админские права пользователям обычно не нужны;
- отключить лишних служб, принимающих сетевые соединения, и стандартных share;
- firewall, тот же "Брандмауэр Windows";
-- и вероятность заражения снижается почти так же, как при использовании платного антивируса.

Статус письма "Получено / Не получено" обычно хранится на почтовом сервере, причём не в письме, а в индексном файле или БД. Поэтому при переносе почты на другой сервер надо переносить эту информацию отдельно.

И ещё, рекомендую обратить внимание, у некоторых пользователей MS Outlook, возможно, включена функция "Автоматически отправлять отчёт о прочтении" при получении письма. Т.е. пользователь получивший несколько тысяч новых писем и нажавший "Отметить папку как прочитанную" отправит этот отчёт всем, кто его когда-либо просил. Я на таком обжёгся один раз.

S1 имеет адрес в обеих подсетях? Тогда:

netsh interface portproxy add v4tov4 listenaddress=ip_address_s1 listenport=443 connectaddress=ip_address_s2 connectport=8053
ip_address_s1 должен быть в подсети, доступной компьютерам,
ip_address_s2 должен быть в подсети, доступной этим двум серверам,
командная строка должна быть запущена с правами администратора

В Windows - PowerShell или VisualBasicScript - присутствует в стандартной установке.
Option Explicit
Dim objMessage
Set objMessage = WScript.CreateObject("CDO.Message")
objMessage.Subject = "Тема"
objMessage.From = "Отправитель"
objMessage.To = "Получатель"
objMessage.TextBody = "Тело письма "
objMessage.AddAttachment "C:\folder\file"
{...}

В Linux при базовой установке, по-моему, функционала не хватит, но из родных репозитариев ставится sendmail, например.

Когда-то видел оригинальные наклейки под аккумулятором.