hint000

Смотря какое железо не поддерживает ОС. Вы не пишете, что за гостевая ОС, откуда она взялась, какое железо. Может быть вы конвертировали эту виртуалку с qemu (легко) и может быть она требует ахритектуру arm в режиме эмуляции процессора. :) Тогда нет, не будет работать, потому что qemu умеет эмулировать другую архитектуру, а hyper-v не умеет.
А если "не потдерживает новое железо" означает всего лишь отсутствие драйверов на USB-контроллер или что-то подобное, тогда будет работать.

Нет "очереди событий". Есть события и есть очередь сообщений. Сообщения могут генерироваться в результате событий. Сообщения попадают в очередь. Вроде как эта очередь в kernel space, так что одна на всех, наверное (но это не точно).

или всё валится в одну очередь на сервер и далее обработчик распихивает по сеансам/окнам?

А вот это не так работает. Никто не распихивает сообщения. Окно само должно "сходить на почту" получить своё сообщение, никакой "почтальон" не ходит по окнам, не вручает сообщения лично в руки.

Пробовал так:

Ошибка в имени интерфейса - в правиле ens0, а выше показан ens0.

и так:

А так должно работать, по идее.

iptables до изменений имеет вид:

Проверьте после изменений, появляются ли новые правила. А то я столкнулся с тем, что именно в Ubuntu 22.04 поломали iptables (отработанный годами набор правил, работавший на Ubuntu 20.04, просто выдавал ошибки при попытке их добавления на Ubuntu 22.04). Я не знаю, может быть, уже починили это, а может быть и нет.

Они настойчиво подталкивают к миграции на nftables (типа того, что iptables внезапно признали за дерьмо мамонта, и приняли решение, что оно вам не нужно). И действительно, при конвертации в nftables "поломатый" набор правил снова стал работать как надо.

Несмотря на то, что графическое ядро в процессоре, и оно поддерживает больше одного монитора, от материнской платы это тоже зависит. По крайней мере, на платформе AMD точно существут материнки с несколькими видеовыходами, не поддерживающие больше одного монитора на интегрированной графике, хотя у процессоров такого ограничения нет. Не удивлюсь, если и на платформе Intel найдутся материнки с аналогичными ограничениями. Есть смысл внимательно изучать спецификации конкретной материнки, а также отзывы\обзоры.

сдохнет через месяц

Если найдёте не SMR- (черепичная запись), а старый добрый CMR-диск, то не сдохнет. В том и беда, что большинство новых дисков большого объёма производят по технологии SMR. Года два назад был даже скандал из-за того, что производители дисков скрывали эту информацию.
https://www.youtube.com/watch?v=2iZaIivWHkI
Это выгодно производителям, но при постоянной записи такие диски, действительно, умрут быстрее. Может быть не через месяц, но всё же быстро. К тому же, при постоянной записи они будут время от времени страшно тупить.

Так что продавцы слегка преувеличивают, но эта проблема действительно существует. Если видеонаблюдение "для дома, для семьи", то можно взять обычный дешевый диск; сдохнет - фиг с ним, новый купите. А если для серьёзного применения в бизнесе, то экономия может привести к большим убыткам.

Ip блокнул через штатный firewall, порт тоже открыт только для локальной сети.

Таким образом атаку на сервис вы исключили. Остаётся атака на канал. От DDoS на канал в принципе невозможно защититься локально, для этого пользуются услугами (платными) компаний с офигенно большой пропускной способностью. В лёгких случаях можно попросить родного провайдера (наверное, тоже не бесплатно). Но мне здесь видится другое:

Порядка 500 в секунду.

даже при блокировании все эти 500 событий в секунду пишутся в лог. Как вы думаете, запись в лог отнимает ресурсы сервера? У вас сервер только и занят этим процессом записи в лог.

Как бороться с подобным?

У вас Windows Server, как говорят в народе, выставлен голой задницей в интернет? Такие вещи нужно блокировать на внешнем (по отношению к серверу) firewall'е. Даже роутер-мыльница лучше, чем совсем ничего, вот там и надо блокировать трафик, чтобы на сервере этих событий вообще не было.

скриншот с win2008r2, но суть та же

3. Входящий провод распараллеливаем на два (скруткой, пайкой, патч-панелью, не важно, главное физически из одного кабеля сделать два)

Не важно, говорите? Хех... Вполне важно. Таким соединением вы нарушите волновые характеристики кабеля, либо до полной неработоспособности линка, либо до значительного ухудшения надёжности связи (потери пакетов, мерцание линка) (допускаю, что на 10 Мбит/c может быть и нормально заработает). Нужен пассивный хаб (окей Гугл...), есть варианты на резисторах или на диодах:
https://www.qrz.ru/schemes/contribute/comp/passive...
https://www.rlocman.ru/shem/schematics.html?di=66876

Сожжет оба коммутатора и ещё порт у провайдера?

Нет. С вероятностью 99.5% ничего не сожжет такое соединение, просто не будет работать, пока не подключите нормально; оставшиеся 0.5% - про то, что раз в год даже палка может выстрелить.

справедливо и, например, резервирование PoE коммутаторов для видеонаблюдения

А камеру-то надо тоже зарезервировать (ставить по две камеры в каждой точке вместо одной).

В логах Nginx не вижу реакции на попытку подключиться к сайту со своего IP.
Что я упускаю?

Упускаете, что браузер ответил: dns probe finished nxdomain. А это проблема DNS. Браузер даже не отправлял запрос к Nginx, потому что не знает, куда отправлять. В логах Nginx нет реакции, потому что и не было запроса к Nginx.

Для диагностики на винде открываете командную строку и выполняете nslookup доменное-имя-вашего-сайта
Там будет видно, к какому DNS-серверу обращается винда (и этот сервер не знает про ваш домен).

В печёнках уже сидят эти лутбоксы. Смотрите, сколько похожих вопросов тут было:
https://qna.habr.com/q/689718
https://qna.habr.com/q/691224
https://qna.habr.com/q/866113
https://qna.habr.com/q/799909
В правилах (пункт 2.2) сказано, что нужно воспользоваться поиском, прежде чем создавать вопрос.

Чтобы, например, компания или частное лицо могли сделать публичным отображение информации, поступающей от них в звонке (скажем, ФИО или какой-нибудь ООО "Сбер-Чтотоеще").

Сто лет в обед существует такая технология, только нафиг никому не нужна оказалась.
https://ru.wikipedia.org/wiki/Caller_ID

...Caller ID number позволяет получать номер телефона, а Caller ID name позволяет видеть и имя и/или фамилию абонента или название организации, где зарегистрирован телефонный номер...
...Это изобретение было зарегистрировано для США 12 июля 1983 года...
...Caller ID был впервые использован в Нью-Джерси в 1987 году...
...Главная проблема, которая мешала ввести Caller ID в повседневную жизнь — это проблема секретности. В нескольких государствах создание Caller ID было замедлено группами защитников секретности абонента. Эти группы утверждали, что Caller ID — это вторжение в личную жизнь звонящего...
...телефонные компании были должны абоненту предложить возможность блокировать свой номер для определения...
...Подавление Caller ID через сервисный DTMF-код используется в Албании, Аргентине, Австралии, Бразилии, Финляндии, Дании, Исландии, Нидерландах, Швеции, Бразилии, Саудовской Аравии и Уругвае...
...Правительство США заявило, что они намереваются сделать доступным Caller ID по всему миру к середине 1995 года...

Там сказано: the old and new being configuration prefixes in pdns.conf.
Ну т.е. заглядываете в pdns.conf и находите, что там как-то был прописан старый бекенд. Вот префикс оттуда и есть old. Там же по аналогии нужно прописать новый бекенд.
Дальше я воспользовался поиском:
https://yandex.ru/search/?text=pdns.conf+more+than...
перешел по ссылке https://github.com/PowerDNS/pdns/blob/master/docs/...
и прочитал:

launch

Backend names, separated by commas
Which backends to launch and order to query them in. Launches backends. In its most simple form, supply all backends that need to be launched. e.g.
launch=bind,gmysql,remote
If you find that you need to query a backend multiple times with different configuration, you can specify a name for later instantiations. e.g.:
launch=gmysql,gmysql:server2
In this case, there are 2 instances of the gmysql backend, one by the normal name and the second one is called 'server2'. The backend configuration item names change: e.g. gmysql-host is available to configure the host setting of the first or main instance, and gmysql-server2-host for the second one.
Running multiple instances of the BIND backend is not allowed.

Т.е. у вас в конфиге должно быть что-то типа:

launch=gmysql,gmysql:server2
gmysql-host=192.168.1.1
gmysql-user=...
gmysql-password=...
gmysql-dbname=...
gmysql-server2-host=192.168.2.2
gmysql-server2-user=...
gmysql-server2-password=...
gmysql-server2-dbname=...

И тогда вы запускаете
pdnsutil b2b-migrate gmysql gmysql:server2

приходится говорить что-то типа: ну вот у тебя зависит от него, ты посмотри как у него сделано, поставь заглушки, потом объедините.

Сначала пишутся все необходимые интерфейсы между кусками задачи. С обсуждением. На это много времени не требуется. Когда интерфейсы зафиксированы (ну как "зафисиксированы", в рабочем порядке никто не запрещает слегка корректировать), то куски можно спокойно разрабатывать независимо. Вроде же это классика. Я бы не сказал "ну вот у тебя зависит от него...", я бы сказал "ваши куски взаимодействуют - значит сразу договаривайтесь, как в точности они взаимодействуют".

А так это надо на конкретной задаче разбирать, в чём затруднения. "По фотографии" такие проблемы не решить.

iptables не при чём. На вашем девайсе не установлен sshd (сервер ssh).

ssh и другие сервисы работают не на какой-то магии, а потому что определённая программа (сервер) работает и на каком-то порту ожидает подключение. Когда такой программы нет или она не запущена, то хоть заоткрывайтесь в iptables - отвечать на запрос некому.