Alexey Dmitriev

Так как рекомендует Microsoft, а именно - использовать office deployment tool и конфигуратор config.office.com.
Создать нужный конфиг, скачать дистрибутив с обновлениями в оолайн, а дальше делать, что угодно - MECM, GPO и т.п.

Для фиксации "кто и когда сделал изменения в этих файлах" достаточно включения аудита

Видимо чьи-то шальные руки удалили Domain Admins из Built-in Administrators

"Я удалил все объекты неймспейса metallb-system." - у вас был неконсистентный etcd. Вы понимали, откуда вы что-то удаляли и что на двух not ready нодах удаления в etcd не было?
Проще всего удалить две мастер ноды, переустановить и ввести в кластер заново.

Так никто не делает. Сделайте site to site VPN между VDS и роутером и переадресовывайте нужные вам порты сразу с ВДС на конкретный сервис. Либо если там не порты, то ещё промежуточный реверз прокси

Логично же - поднять VPN подключение выше, например на роутер, который может предоставить функциональность killswitch

apk add --no-cache musl-locales musl-locales-lang
echo 'export LANG=ru_RU.UTF-8' >> /etc/profile.d/20locale.sh
echo 'export LC_ALL=ru_RU.UTF-8' >> /etc/profile.d/20locale.sh

glibc для alpine также есть https://github.com/sgerrand/alpine-pkg-glibc/releases/

"хочу в локалке обращаться к устройствам с максимально коротким именем, например nas, server, printer" - для этого давно придумали DNS search suffixes

Да, можно - режим "точка доступа".

Да. man mkfs вам поможет. Или гугл "как отформатировать карту памяти в fat232 в linux"

"Но компьютеры из этой же локальной сети по соответствующему локальному IP его не видят." - по соответствующему это какому? WSL по умолчанию не выходит в локальную сеть и создает свою, доступную только с компьютера, на котором запущена.
Разверните на компьютере reverse proxy для всех портов matrix например на базе nginx или haproxy, либо настройтке port forwarding средствами Windows

В гугле что-то типа "insert nginx logs to mysql" + nginx custom log с нужными столбцами

Любой, что умеет в протокол webdav. В Windows 10 работает из коробки, стабильный.

Best practice - это Vault и другие хранилища секретов.
Минимум - swarm с его docker secrets

Да это будет работать. Нужно только ещё вопрос с сертификатом сайта решить длбавочно

У 2012r2 срок поддержки закончился два года назад. Особой пользы от обновлений уже нет, все равно он или дырявый или нет, просто не ставьте обновления. Если только у вас доступ к Extended updates правда есть, значит и спросить техподдержку можно.
И да, на серверах нужно держать английский интерфейс и гуглить английские ошибки

Microsoft Deployment Toolkit и WDS сервер/PXE типа Iventoy