hint000

Для защиты по питанию используются разрядники типа таких: www.hagersystems.ru/production/modular/excess-volt...
Вернее, должны использоваться, потому что в реальной жизни всем пофиг и я не видел подобную защиту ни в одном щите ВРУ.

Знаете в чем проблема с вашим вопросом?
Вы указали количество конечных устройств (120+20+7), но не указали, сколько портов нужно на коммутаторе ядра. И некоторые отвечающие не заметили, что это совсем не одно и то же. Они просто выкинули (не осознанно) из вашей схемы уровень доступа, и стали предлагать и обсуждать устройства на 96 или 200 портов... В то время как всё зависит от вашей схемы будущей сети и вам, возможно, на уровне ядра хватит 24 или 16 портов. Мы же не знаем, сколько у вас там кабинетов\помещений в здании. И вы не обратили внимания на эту проблему в ответах (причина которой всё же недостаток информации в вопросе), а если и обратили внимание, то не высказали в явном виде.

Пытался ввести компьютеры в домен, прописав у них в ДНС внешний IP адрес контроллера

а на скриншоте (где nslookup) видно, что вы прописали для crocodent.ru не внешний, а внутренний адрес 10.129.0.5
не удивительно, что по имени не пингуется.
пропишите в dns 84.201.143.141 вместо 10.129.0.5

Важно выяснить: DHCP есть? если есть, то на роутере или на сервере? DNS локальный есть? если есть, то на роутере или на сервере? среди свитчей есть управляемые (гуглить характеристики по модели свитча)?
Про остальное уже хорошо ответили, повторять нет смысла.

Вероятно, занял порт не совсем NM. Вот это попробуйте:

sudo systemctl disable systemd-resolved
sudo systemctl stop systemd-resolved

Окей гугл, mac vendor.
Заходим на https://macvendors.com/ и видим, что это mac Микротика.
Вам удалось поймать самого себя за хвост :)

В поисках таинственного девайса вам бы помогло, если бы все свитчи были управляемые (по цепочке отслеживать, на каком порту тот или иной mac). Без управляемых свитчей - методом тыка, точнее методом вытыка и втыка коннекторов (и пинговать левый ip-адрес при этом).