Alexey Dmitriev

Для обновления ОС есть две причины:
1. Закончилась поддержка определенной версии ОС.
2. Нужен функционал, который отсутствует в текущей версии ОС.

В вашем случае версии пакетов веб сервера\php будут приблизительно одинаковые и на Centos 7 и на 8.
Для nginx - при использовании официального репозитория - вообще одинаковые, php - при использовании репозитория remi - скорее всего тоже будут одинаковые.

1. Veeam Backup Community Edition - бесплатная. Поддерживает ESXI, возволяет делать полную копию VM для ее разворачивания\восстановления.
2. WIndows Server Backup - отличная встроенная вещь для бекапа продукции Microsoft.
Наличие отдельного тома вполне себе обходится созданием VHD диска в любой директориии и его монтированием как отдельного диска (главное не забыть потом эту директорию в исключения добавить).

Погуглить "как включить аудит доступа к файлам".

У zyxel есть для их роутеров keenetic свой встроенный DynDNS. Пользуюсь им.

Возможно MS SQL выделено больше памяти, чем есть в ОС и он ждет, когда освободится то, что ему пообещали.
https://habr.com/ru/post/448044/

Работает - но ввиду того, что отсутствует возможность через dcpromo делать промоушн домена, а только через Server Manager\Powershell - там есть проверка необходимости forest prep\domain prep и мастер предупредит, что нужно это сделать и сделает сам в процессе.

Контроллер домена не создают, а поднимают.
То есть нужен сервер в домене - и он может быть поднят (promoted) до роли контроллера домена.
Вам нужен сервер в домене, а дальше
1. Устанавливаете роль Active Directory Domain Services.
2. Поднимаете сервер до контроллера домена (после установки роли в Server Manager появится уведомление и выбрав его - появится помощник по поднятию сервера до DC.
https://www.google.com/search?client=firefox-b-e&q...

Сервер в Европе - промежуточный VPN сервер, к которому будет идти VPN из офиса (openvpn\wiregurd c каждого моноблока или общий VPN на выходе из офиса), от которого будет идти VPN к конечному серверу. Никакого NAT, только маршруты и в подключении RDP будет адрес сервера из серой подсети.
И да - будут подлагивания.

то получается я добавил аж 4 правила:

Транзитные пакеты - то есть проходящие сквозь сервер, не попадают в цепочки INPUT и OUTPUT, а только в FORWARD.

Подозреваю, что нужно поднять блок location /site2/ выше блока location ~* \.php$ в файле.
Они по порядку совпадения идут, если у вас блок php-fpm стоит выше - все php независимо от описанного ниже-уходит на него

Есть SetACL с функцией создания бекапа прав доступа и их восстановления.
https://helgeklein.com/setacl/examples/managing-fi...
Есть NTFSSecurity модуль для Powershell - можно им пробовать https://github.com/raandree/NTFSSecurity

У вас рисунки в отдельной location - берутся nginx напрямую, минуя apache - проверяйте есть ли права на директорию /var/www и файлы у пользователя, от которого работает nginx.

Изменить битность версии ОС без ее переустановки нельзя.

Вы поняли, что хотите? Теперь объясните другим так, чтобы было понятно.

нужно изменить default = 0 на номер ядра в списке загрузки, которое вам нужно.

Создайте рабочую группу Windows на одном компьютере и присоединитесь к ней-на втором.

Включите изоляцию драйверов принтеров на сервере. И скрипт возможно станет ненужным.

1. В Powershell отлично работает данная утилита https://helgeklein.com/setacl/
2. Есть библиотека NTFSSecurity https://github.com/raandree/NTFSSecurity