hint000

WSUS
https://ru.wikipedia.org/wiki/Служба_обновления_Wi...

Думаю Сначала развернуть на Hyper-V, настроить учетки и ПО, а потом уже перенести образ на raid. Но не знаю, на сколько это правильно

Правильно так и оставить на виртуальной машине. А на хосте на время тестовой эксплуатации нового сервера только погасить службы соответствующих ролей; после успешной проверки нового сервера под реальной нагрузкой пользователей (обычно хватает от двух будних дней до недели) можно отключить роли на старом сервере.

В случае роли AD DC немного сложнее, но пока в вопросе ничто не намекает на AD DC, не буду забегать вперёд паровоза.

1. Вы пишите, что у вас только один контроллер домена. Второй сервер вы только собираетесь сделать контроллером домена? Делается в два шага: (а) ввести сервер в существующий домен, (б) добавить на нём роль AD DC и объявить его новым контроллером.

2. Два контроллера домена нужны не для балансировки нагрузки, а для надёжности работы всего домена.

3. О какой-то нагрузке на контроллер домена можно начинать рассуждать, когда в домене 1000+ пользователей; в этом случае у вас уже будет развитая сетевая инфраструктура, и вы можете два контроллера разместить в двух сайтах (в терминах AD), каждому сайту назначить подсеть, пользователи из определённой подсети будут обслуживаться своим контроллером;
Но если у вас пользователи распределены территориально и работают в разных подсетях, то даже при малом количестве пользователей есть смысл распределить контроллеры по тому же принципу - не для распределения нагрузки, а для надёжности.

Если погуглить по этой ошибке, по первой же ссылке рекомендуют отключить управление питанием в свойствах драйвера сетевого адаптера. Похоже, проблема характерна для сетевых адаптеров intel, на разных версиях Windows.

Вместо терминального сервера используйте VDI.

Я, конечно, не знаю, в чём смысл исходной задачи, но если он (т.е. смысл) сводится к анонимизации пользователей, то достаточно поменять имена учётных записей, чтобы вместо ostap.bender@roga-i-kopyta.com было user00123@roga-i-kopyta.com.

А здесь смотрели?: https://www.google.com/search?q=Как+запретить+запу...

Запускаю SET в командной строке и там выдает пусть к временному каталогу:
TEMP=C:\Users\UserName\AppData\Local\Temp\19
TMP=C:\Users\UserName\AppData\Local\Temp\19

Был тут недавно вопрос с похожей проблемой:
Несанкционированное переназначение системных переменных TEMP и TMP — как отучить?
И в ответах там интересная ссылка:
https://renenyffenegger.ch/notes/Windows/registry/...

Отключаю.
Не потому, что создаёт проблемы в работе приложений, а потому что он не используется.
Провайдеры не предлагают IPv6. Только в локальной сети использовать нет смысла.
В итоге неотключенный IPv6 на ПК только создаёт мусорный трафик в сети. Хоть и мало этого трафика, но он мешается под ногами (как кошка, ну вы знаете), когда нужно быстро что-то отладить через tcpdump.
Если вам не мешается под ногами, то можете не отключать.

Потери пакетов в сети.
На клиентской стороне в командной строке ping -t адрес_сервера
на несколько минут (можно параллельно с подключением RDP), потом Ctrl-C и смотреть количество потерь.

По мощностям минимум 8 ОЗУ, 2 CPU по 4 ядра, SSD 100GB

У меня на виртуальных машинах работают контроллеры домена, я им выделял по 2 ГБ ОЗУ и по 2 виртуальных ядра. Уже 7+ лет полёт нормальный. Первый год вообще по 1 виртуальному ядру выделял и тоже они нормально выполняли свои функции, но немного напрягало, что когда я заходил внести какие-то изменения, то медленно выполнялись действия, поэтому я увеличил до 2 ядер и стало вообще нормально. Что касается SSD 100GB, у меня контроллеру выделено 30..50 ГБ, из них реально занято 20..25.
До эпохи всеобщей виртуализации в разных конторах ставили контроллеры домена на первые попавшиеся Целероны, которые были слишком слабыми для работы пользователей, а выкидывать было жалко. :) Контроллер домена - одна из самых нетребовательных к железу ролей. Если в принципе серверная винда устанавливается на какое-то железо, то этого хватит и для контроллера домена.
2. 2019. И да, ей хватает 2 ГБ оперативки.
3. Как уже сказали, нет основного и резервного, все равноправны. Для начала достаточно двух. Если сеть распределена географически (не на одной площадке, а в разных частях города или в разных городах), то желательно на каждой площадке иметь контроллер домена.

Все хочу попробовать поднять резервные контроллеры домена на Linux с помощью Kerberos.

Сомневаюсь, что линуксовые контроллеры будут хорошо дружить с виндовым. Или все контроллеры на Linux, или все контроллеры на винде.
4. Как уже сказано выше, резервных нет, все равноправные. Характеристики железа не принципиальны, лишь бы выбранная ОС запускалась и шевелилась на этом железе.
5. Будет достаточно иметь два на виртуальных машинах, но эти ВМ - на разных физических хостах. И эти хосты желательно не включать в домен. С контроллером на голом железе нет проблем, просто это расточительно, если железо приличное; ведь на нём можно было поднять ещё одну или несколько ВМ.
6. Можно разные. У меня так, потому что контроллеры поднимались в разные годы. (Да, в принципе в планах есть поменять старые на новые, но работает и так). Главное, чтобы не было такой древности, как 2003, с ней уже нет совместимости по уровню домена и уровню леса. Даже 2008R2 и 2019 вполне уживаются в реальных условиях. Просто не вижу смысла делать новую установку старой ОС. По потребляемым ресурсам нет разницы, они в любом случае мизерные; устанавливая 2012, вы ничего не выиграете.

если как-то впендюрить роутер между ПК и DC, то можно так

По умолчанию Windows не включает маршрутизацию, вам нужно её включить на сервере. А также включить NAT на сервере. Инструкция: https://openvpn.net/cloud-docs/owner/networks-and-...
Вообще на Windows такое обычно никто не делает, но в учебных целях можете походить по граблям, почему бы нет.

Кстати, как там у вас в Польше?

Active Directory не имеет отношения к вопросу.
Очевидно, что при поставленных ограничениях остаётся вариант - поставить приложение на компьютеры пользователей локально.

_______________|__________
  |                       |
работа                  работа
приложения              приложения
удалённо                локально
(отказались)      ________|____________
                 |                     |
            приложение            приложение
            на сетевой шаре       установлено локально
        _________|________        (нам сюда)
       |                  |
  скорость сети	      требуется
  устраивает          более быстрая сеть
  (нет)               (не сейчас)

Можно в настройках RDP на сервере отключить обязательное требование NLA (аутентификации сетевого уровня).
Это не рекомендуется с точки зрения безопасности, но решать вам.

Почему бы просто не добавить сервер лицензирования с новым адресом?
Первоначально вы же когда-то прописывали этот старый арес в качестве адреса сервера лицензирования. Вот там же можно и новый добавить (см. скриншот).

Хотя канонично (фен-шуйно) было бы использовать не адреса, а имена серверов, а в адреса они бы уже через DNS резолвились. Тогда хватило бы внести изменения в DNS.

потому что недоступен domen.local. Хотя командой пинг я вижу отклик от старого домена domen.local
Команда nslookup не видит domen.local

поскольку

переехали другой офис одного и того же холдинга,

то имеет смысл сразу навести порядок с DNS - подружить DNS domen2.local c DNS domen.local. Чтобы DNS domen2.local знал, куда форвардить запросы про domen.local.
Думаю, примерно что-то такое имел в виду Alexey Dmitriev в своём комментарии.
Вариант от Andrey Barbolin тоже рабочий и несложный. Но всё-таки это кратковременный костыль до решения проблемы. Я же предлагаю вариант, который решит навсегда будущие аналогичные проблемы.

Запустил на DC утилиту Lockoutstatus.exe - показывает что заблокирован на msdc01 (это PDC) а в логах его ничего нет -то есть нет события блокировки.

А что если утилита врёт (ошибается, глючит)? Всё-таки проверьте логи и на других DC.
Правильно делаете, что ищите в логах, логи - наше всё, надо искать шибче.
В крайнем случае временно погасить все DC кроме одного и наблюдать за оставшимся. Проверить работу блокировки на тестовой учётке - набрать несколько раз неправильный пароль и посмотреть, отразится ли в логах. Если и про тестовую ничего не будет в логах, значит проблема шире, чем предполагалось.

Идея в том, что заходит рядовой пользователь на контроллер домена, эксплуатирует любой свежий баг с подъёмом привелегий - и вы сливаете в унитаз безопасность всего домена, всё предприятие разом, с сотнями или тысячами пользователей, с доступом к файлам пользователей, к рабочим машинам пользователей. Дальше можно делать в сети предприятия что вздумается. Всё зашифровать. Или получить доступ к финансам. Или годами скрытно воровать коммерческую информацию...
Такие вещи эникейщик должен выучивать в первый месяц стажировки на первом рабочем месте (если только там был поднят AD). И именно поэтому работодатели не хотят принимать на работу людей совсем без опыта - слишком велика ответственность, слишком легко одним неверным действием обанкротить всю контору.

Нет "очереди событий". Есть события и есть очередь сообщений. Сообщения могут генерироваться в результате событий. Сообщения попадают в очередь. Вроде как эта очередь в kernel space, так что одна на всех, наверное (но это не точно).

или всё валится в одну очередь на сервер и далее обработчик распихивает по сеансам/окнам?

А вот это не так работает. Никто не распихивает сообщения. Окно само должно "сходить на почту" получить своё сообщение, никакой "почтальон" не ходит по окнам, не вручает сообщения лично в руки.