Владимир

Надо настроить шейпинг трафика. Прочитай про утилиту tc.

В принципе задача построения оптимальной железяки на базе десктопных комплектующих вполне решаема (на базе серверных комплектующих тоже вполне решаема). Но нужно учесть немало деталей.

Во-первых, каков бюджет?

Во-вторых, почему не рассматриваете горизонтальное масштабирование вместо вертикального? Для кучки виртуальных машин было бы очень логично не менять железо, а рядом со старым поставить новое.

В-третьих, готовы ли пожертвовать IPMI? Это нормально во многих случаях, но всё же это должно быть осознанное решение.

В-четвёртых, максимальный объём памяти на десктопных материнках. Если захочется больше, чем 128 ГБ, то Socket LGA2066 или TRX4 (но что-то не верю, что TRX4 впишется в бюджет). Если достаточно 128 ГБ, то можно взять AM4 или LGA1700. Есть ровно одна причина, по которой можно выбрать LGA1700 - это возможность в первых рядах героически броситься на амбразуру DDR5 (пока дорогая память и пока небольшой выигрыш в производительности). Если нет склонности к героизму или нет возможности разбрасываться деньгами, то на сегодня оптимально будет AM4.

В-пятых, количесво ядер. Сейчас у вас два 4-ядерных процессора. На десктопном железе будет один процессор. Он должен превосходить старые не только по частоте, но и хотя бы не уступать по количесву ядер и потоков. Т.е. хотя бы 8C/16T (и даже такой минимальный вариант уже даст выигрыш).

В-шестых, помните про интегрированный GPU. В серверном решении он был на материнке. Обращайте внимание на наличие или отсутствие графических ядер в десктопных процессорах. Часто при большом количестве ядер встоенная графика отсутствует, в этом случае нужно не забыть поставить дискретную "затычку" (что-нибудь вроде GT710).

В-седьмых, при апгрейде с использованием серверного корпуса нужно помнить, что блок питания имеет форм-фактор не ATX. Просто убедитесь, что есть подходящий запасной БП. Это ATX можно купить на каждом углу.

Не влияет. Cost считается в попугаях, которые рассчитываются через коэффициенты (коэффициенты определяют во сколько раз медленнее или быстрее операция относительно seq_page_cost - доступа к странице при последовательном чтении).
Разница в Row/width говорит почти наверняка о проблемах со статистикой. Сделайте на обеих базах ANALYZE (можно даже VACUUM FULL ANALYZE, если базы использовались для записи).

iptables -nL или iptables-save

эта команда ничего не дает !

Это ты погорячился с выводом.

Потому что если явно не указать таблицу вывод будет из таблицы filter (в которой, как видишь, у тебя пусто), если хочешь посмотреть, что в таблице nat или какой-то другой надо её указать:
iptables -S -t nat | grep 30897

У Вас неверное понимание принципа построения программ в Linux.
В Windows любая программа, когда начинает расти - непременно тащит все фичи в себя, потому что интеграция между программами невозможна в принципе (за исключением программ одного производителя).
В Linux любая программа может интегироваться с любой другой программой (за исключением некоторых платных), поэтому "почтовый сервер" в Linux - это обычно комбинация различных программ: SMTP-сервер, IMAP-сервер, а средства интеграции с AD и всем, чем угодно входят непосредственно в систему - PAM, OpenLDAP, SSS etc.

Можно действительно поднять Zimbra Community Edition - там внутри все то же самое, просто поверх этого натянута морда.

Mikrotik - это в первую очередь роутер, функционал прокси-сервера там тоже есть, но достаточно скудный. А TMG - это именно прокси+файрвол, серверное решение, c интеграцией в AD, отчетами, и т.д., ориентированный именно на разграничение доступа и безопасность.
Только вот поздновато вы про TMG вспомнили.

"9 сентября 2012 Microsoft объявила о прекращении дальнейшего развития Forefront TMG. Основная поддержка будет прекращена после 14 апреля 2015 года, а расширенная поддержка закончится 14 апреля 2020 года. Продукт не будет доступен для приобретения после 1 декабря 2012 года[2]. На сегодняшний день доступен только в составе аппаратных решений OEM партнёров Microsoft. "

если вопрос глупый - не бейте

Вопрос не глупый, но бить буду. :)
Начинать нужно с диагностики проблемы.

письма с этого устройства не уходят, почтовый ящик не обновляется

Это описание симптомов на уровне пользователя, а не айтишника. nslookup, ping, tracert, wireshark, вот это всё... (c) нужно применять для диагностики.

в Exchange не особо понимаю

диагностика нужна, чтобы понять главное: тут дело даже не в Exchange, а в инфраструктуре локальной сети (конкретно DNS, маршрутизация, NAT).

Дальше два метода. 1) разбираться с внутренним DNS: https://www.google.com/search?q=split+horizon+dns
2) городить на роутере это: https://www.google.com/search?q=hairpin+nat
В зависимости от [...] поможет или любой из методов, или только какой-то один из них, или оба вместе. Точнее пока сказать нельзя, локальные сети у всех разные, встречаются и экзотические конфигурации. Если экзотики нет, то всё у вас получится.

P.S. Exchange хотя бы свежий? Все обновления установлены? А то за последний год изрядную долю серверов Exchange (доступных в Интернет) взломали и продолжают ломать. Я удивляюсь, что кто-то ещё им хочет пользоваться.

Ваше изобретение является RAID в режиме зеркала и не годится для бекапа, потому что все что происходит с данными на диске 1 будет повторено на диске 2, в том числе и удаление (кривыми руками) или визит шифровальщика (который попал в систему из-за кривых рук).

Нормальный бекап вашего объема состоит из дифференциального бекапа раз в сутки и полного по выходным (который и становится новой базой для диффов за неделю).

Бекап, как правило, делают на RAID с компрессией, дедупликацией и Erasure Coding - например, на ZFS.
При бОльших бюджеах, бекап делают на лентах.

Загрузка в ISO осуществляется по стандарту El Torito
https://en.wikipedia.org/wiki/ISO_9660#El_Torito
Когда вы собираете ISO из файлов, вам необходимо указать соответствующие опции загрузки.
Вот полная инструкция: https://unix.stackexchange.com/a/635839/486741

есть подозрение, что на ПК могли подменить корневой сертификат

Ну так идете в хранилище корневых сертификатов и просматриваете все, пытаясь найти тот, который поставил злоумышленник. Гугл тут при чем? У него явно больше одного сервера, а у каждого сервера свой сертфиикат.

как мне тогда гарантированно убедится, что сертификат валиден?

Валидность сертификата - это проверка факта, что данный сертификат выпущен одним из CA, которые размещены в хранилище доверенных корневых сертификатов (ну еще проверка срока действия). И все.

Ну, вопрос наличия (или отсутствия) сервера дома тут обсуждался сто тыщ мильенов раз.
Если Вы не админ - лучше всего идти на хостинг - потому что там решены все админские задачи типа бэкапа, электричества и запасных частей к серверу
Если не хотите/не можете на хостинг - берите VPS. Там решена часть админских задач - вопросы эксплуатации сервера (железки) берет на себя провайдер, а вот вопросы работоспособности сервера (VPS) - обеспечиваете Вы сами, бэкапы тоже обычно сами, хотя можно договориться с провайдером.

open(file, mode='r', buffering=-1, encoding=None, errors=None, newline=None, closefd=True, opener=None)

https://docs.python.org/3/library/functions.html#o...

newline controls how universal newlines mode works (it only applies to text mode). It can be None, '', '\n', '\r', and '\r\n'. It works as follows:

When reading input from the stream, if newline is None, universal newlines mode is enabled. Lines in the input can end in '\n', '\r', or '\r\n', and these are translated into '\n' before being returned to the caller. If it is '', universal newlines mode is enabled, but line endings are returned to the caller untranslated. If it has any of the other legal values, input lines are only terminated by the given string, and the line ending is returned to the caller untranslated.

When writing output to the stream, if newline is None, any '\n' characters written are translated to the system default line separator, os.linesep. If newline is '' or '\n', no translation takes place. If newline is any of the other legal values, any '\n' characters written are translated to the given string.

Да, содержат, иногда достаточно много, обычно это патчи, которые по тем или иным причинам не попали в оригинальные ядра. Например, многие дистрибутивы из коробки содержали не вошедшие в ядро патчи ( например для RaiserFS в свое время), драйверы для Wifi, сетевых плат, дополнительные планировщики IO, улучшения сетевых стеков, проприетарные драйвера.
Ближе всего к ванильному - ядра Debian. Но и там присутствуют бекпорты (патчи новых фич в старые ядра). Это делается для повышения стабильности с поддержанием новых интересных фич, не ломающих все остальное....
В большинстве случаев ванильные ядра подходят 90% пользователям. Но есть те 10%, ради которых дистрибутивостроители будут делать свои кастомные патчи.