hint000

процессор стоит intel core i9 13900

https://dtf.ru/hard/2819675-pk-geimery-i-razrabotc...

Проблемные процессоры:
i9-13900K/KF/KS
i9-14900K/KF/KS
i7-14700K/KF
i7-13700K/KF

copy "C:\Users\nitro80\AppData\Roaming\1C\1CEStart\ibases.v8i" "C:\Users\Default User\AppData\Roaming\1C\1CEStart\"
(предполагается, что у пользователя nitro80 были прописаны ровно те базы, которые нужны будут всем новым пользователям).
Но AppData\Roaming\1C\1CEStart\ibases.v8i - это простой текстовый файл, который можно хоть Блокнотом редактировать, удаляя оттуда ненужные и вставляя нужные базы, исправляя понятные пользователю названия баз, исправляя пути к базам...

Общий принцип: то, что вы закинули в профиль Default User, будет появляться у новых пользователей (например, ярлыки на рабочем столе и т.п.).

WSUS
https://ru.wikipedia.org/wiki/Служба_обновления_Wi...

1. Вы пишите, что у вас только один контроллер домена. Второй сервер вы только собираетесь сделать контроллером домена? Делается в два шага: (а) ввести сервер в существующий домен, (б) добавить на нём роль AD DC и объявить его новым контроллером.

2. Два контроллера домена нужны не для балансировки нагрузки, а для надёжности работы всего домена.

3. О какой-то нагрузке на контроллер домена можно начинать рассуждать, когда в домене 1000+ пользователей; в этом случае у вас уже будет развитая сетевая инфраструктура, и вы можете два контроллера разместить в двух сайтах (в терминах AD), каждому сайту назначить подсеть, пользователи из определённой подсети будут обслуживаться своим контроллером;
Но если у вас пользователи распределены территориально и работают в разных подсетях, то даже при малом количестве пользователей есть смысл распределить контроллеры по тому же принципу - не для распределения нагрузки, а для надёжности.

Если погуглить по этой ошибке, по первой же ссылке рекомендуют отключить управление питанием в свойствах драйвера сетевого адаптера. Похоже, проблема характерна для сетевых адаптеров intel, на разных версиях Windows.

Вместо терминального сервера используйте VDI.

Я, конечно, не знаю, в чём смысл исходной задачи, но если он (т.е. смысл) сводится к анонимизации пользователей, то достаточно поменять имена учётных записей, чтобы вместо ostap.bender@roga-i-kopyta.com было user00123@roga-i-kopyta.com.

А здесь смотрели?: https://www.google.com/search?q=Как+запретить+запу...

Отключаю.
Не потому, что создаёт проблемы в работе приложений, а потому что он не используется.
Провайдеры не предлагают IPv6. Только в локальной сети использовать нет смысла.
В итоге неотключенный IPv6 на ПК только создаёт мусорный трафик в сети. Хоть и мало этого трафика, но он мешается под ногами (как кошка, ну вы знаете), когда нужно быстро что-то отладить через tcpdump.
Если вам не мешается под ногами, то можете не отключать.

Потери пакетов в сети.
На клиентской стороне в командной строке ping -t адрес_сервера
на несколько минут (можно параллельно с подключением RDP), потом Ctrl-C и смотреть количество потерь.

По мощностям минимум 8 ОЗУ, 2 CPU по 4 ядра, SSD 100GB

У меня на виртуальных машинах работают контроллеры домена, я им выделял по 2 ГБ ОЗУ и по 2 виртуальных ядра. Уже 7+ лет полёт нормальный. Первый год вообще по 1 виртуальному ядру выделял и тоже они нормально выполняли свои функции, но немного напрягало, что когда я заходил внести какие-то изменения, то медленно выполнялись действия, поэтому я увеличил до 2 ядер и стало вообще нормально. Что касается SSD 100GB, у меня контроллеру выделено 30..50 ГБ, из них реально занято 20..25.
До эпохи всеобщей виртуализации в разных конторах ставили контроллеры домена на первые попавшиеся Целероны, которые были слишком слабыми для работы пользователей, а выкидывать было жалко. :) Контроллер домена - одна из самых нетребовательных к железу ролей. Если в принципе серверная винда устанавливается на какое-то железо, то этого хватит и для контроллера домена.
2. 2019. И да, ей хватает 2 ГБ оперативки.
3. Как уже сказали, нет основного и резервного, все равноправны. Для начала достаточно двух. Если сеть распределена географически (не на одной площадке, а в разных частях города или в разных городах), то желательно на каждой площадке иметь контроллер домена.

Все хочу попробовать поднять резервные контроллеры домена на Linux с помощью Kerberos.

Сомневаюсь, что линуксовые контроллеры будут хорошо дружить с виндовым. Или все контроллеры на Linux, или все контроллеры на винде.
4. Как уже сказано выше, резервных нет, все равноправные. Характеристики железа не принципиальны, лишь бы выбранная ОС запускалась и шевелилась на этом железе.
5. Будет достаточно иметь два на виртуальных машинах, но эти ВМ - на разных физических хостах. И эти хосты желательно не включать в домен. С контроллером на голом железе нет проблем, просто это расточительно, если железо приличное; ведь на нём можно было поднять ещё одну или несколько ВМ.
6. Можно разные. У меня так, потому что контроллеры поднимались в разные годы. (Да, в принципе в планах есть поменять старые на новые, но работает и так). Главное, чтобы не было такой древности, как 2003, с ней уже нет совместимости по уровню домена и уровню леса. Даже 2008R2 и 2019 вполне уживаются в реальных условиях. Просто не вижу смысла делать новую установку старой ОС. По потребляемым ресурсам нет разницы, они в любом случае мизерные; устанавливая 2012, вы ничего не выиграете.

если как-то впендюрить роутер между ПК и DC, то можно так

По умолчанию Windows не включает маршрутизацию, вам нужно её включить на сервере. А также включить NAT на сервере. Инструкция: https://openvpn.net/cloud-docs/owner/networks-and-...
Вообще на Windows такое обычно никто не делает, но в учебных целях можете походить по граблям, почему бы нет.

Кстати, как там у вас в Польше?

Active Directory не имеет отношения к вопросу.
Очевидно, что при поставленных ограничениях остаётся вариант - поставить приложение на компьютеры пользователей локально.

_______________|__________
  |                       |
работа                  работа
приложения              приложения
удалённо                локально
(отказались)      ________|____________
                 |                     |
            приложение            приложение
            на сетевой шаре       установлено локально
        _________|________        (нам сюда)
       |                  |
  скорость сети	      требуется
  устраивает          более быстрая сеть
  (нет)               (не сейчас)

Можно в настройках RDP на сервере отключить обязательное требование NLA (аутентификации сетевого уровня).
Это не рекомендуется с точки зрения безопасности, но решать вам.

Почему бы просто не добавить сервер лицензирования с новым адресом?
Первоначально вы же когда-то прописывали этот старый арес в качестве адреса сервера лицензирования. Вот там же можно и новый добавить (см. скриншот).

Хотя канонично (фен-шуйно) было бы использовать не адреса, а имена серверов, а в адреса они бы уже через DNS резолвились. Тогда хватило бы внести изменения в DNS.

потому что недоступен domen.local. Хотя командой пинг я вижу отклик от старого домена domen.local
Команда nslookup не видит domen.local

поскольку

переехали другой офис одного и того же холдинга,

то имеет смысл сразу навести порядок с DNS - подружить DNS domen2.local c DNS domen.local. Чтобы DNS domen2.local знал, куда форвардить запросы про domen.local.
Думаю, примерно что-то такое имел в виду Alexey Dmitriev в своём комментарии.
Вариант от Andrey Barbolin тоже рабочий и несложный. Но всё-таки это кратковременный костыль до решения проблемы. Я же предлагаю вариант, который решит навсегда будущие аналогичные проблемы.

Запустил на DC утилиту Lockoutstatus.exe - показывает что заблокирован на msdc01 (это PDC) а в логах его ничего нет -то есть нет события блокировки.

А что если утилита врёт (ошибается, глючит)? Всё-таки проверьте логи и на других DC.
Правильно делаете, что ищите в логах, логи - наше всё, надо искать шибче.
В крайнем случае временно погасить все DC кроме одного и наблюдать за оставшимся. Проверить работу блокировки на тестовой учётке - набрать несколько раз неправильный пароль и посмотреть, отразится ли в логах. Если и про тестовую ничего не будет в логах, значит проблема шире, чем предполагалось.

Идея в том, что заходит рядовой пользователь на контроллер домена, эксплуатирует любой свежий баг с подъёмом привелегий - и вы сливаете в унитаз безопасность всего домена, всё предприятие разом, с сотнями или тысячами пользователей, с доступом к файлам пользователей, к рабочим машинам пользователей. Дальше можно делать в сети предприятия что вздумается. Всё зашифровать. Или получить доступ к финансам. Или годами скрытно воровать коммерческую информацию...
Такие вещи эникейщик должен выучивать в первый месяц стажировки на первом рабочем месте (если только там был поднят AD). И именно поэтому работодатели не хотят принимать на работу людей совсем без опыта - слишком велика ответственность, слишком легко одним неверным действием обанкротить всю контору.