Ip блокнул через штатный firewall, порт тоже открыт только для локальной сети.Таким образом атаку на сервис вы исключили. Остаётся атака на канал. От DDoS на канал в принципе невозможно защититься локально, для этого пользуются услугами (платными) компаний с офигенно большой пропускной способностью. В лёгких случаях можно попросить родного провайдера (наверное, тоже не бесплатно). Но мне здесь видится другое:
Порядка 500 в секунду.даже при блокировании все эти 500 событий в секунду пишутся в лог. Как вы думаете, запись в лог отнимает ресурсы сервера? У вас сервер только и занят этим процессом записи в лог.
Как бороться с подобным?У вас Windows Server, как говорят в народе, выставлен голой задницей в интернет? Такие вещи нужно блокировать на внешнем (по отношению к серверу) firewall'е. Даже роутер-мыльница лучше, чем совсем ничего, вот там и надо блокировать трафик, чтобы на сервере этих событий вообще не было.
Это учетка Администратор.Создайте новую учётку, назначте права администратора. Попробуйте войти под новой учёткой. Если всё нормально, то перенесите нужные данные (если такие есть) со старого профиля и после этого удалите старую учётку, затем удалите папку с кривым именем.
1024-65535/TCP/UDPНе надо фильтровать по номерам исходящих портов (Client Port). Вернее, такого рода фильтрация требуется в очень редких случаях и при полном понимании, что именно она требуется; у вас не такой случай. Фильтруйте только входящие пакеты по номерам входящих портов (Server Port).
это получается что в версии стандарт можно создать только 2 виртуальные машины в Hyper V?Нет, это значит, что нужно покупать большее количество лицензий, если нужно больше виртуальных машин. Технического ограничения на количество ВМ нет, с некоторого количества Standart становится невыгоден по стоимости лицензий. Не соображу только насчёт лицензирования по ядрам. Нужно ли в случае Standart количество виртуальных машин (100/2) умножать на количество ядер хоста. Тут Rsa97 хорошо ориентируется в вопросах количества и типов лицензий, давайте его призовём.
htop в такие моменты на хосте показывает все ядра этой ВМ загружены на 100%.Ещё в такие моменты на хосте iotop посмотрите. Не исключено, что процессор занят IO wait.
Читал что на сервер 1с не рекомендуется устанавливатьМожно ссылку, где такое пишут? Или хотя бы какие аргументы? Всю жизнь устанавливали 1С на терминальном сервере и всё отлично.
2. Какая разница между двумя подходами?
3. Какой подход лучше?
поменять сервер Windows Server 2008 на новое железо с Windows Server 2019 (БЕЗ миграции настроек, из-за большого количества глюков)Не вполне ясно, что значит "без миграции настроек". Означает ли это, что хотите поднимать новый домен? Если да, то вам придётся заново заводить в домен каждый компьютер, заново заводить каждого пользователя, переносить файлы каждого пользователя на каждом компьютере. Куча работы, и непонятно, есть ли в ней смысл.
но как такового объяснения этого в Интернете не встречалНагугливается довольно быстро:
...Another reason why invalid passwords take longer to reject is to reduce the effectiveness of dictionary attacks.
...The invalid password rejection time in some places can get quite high, especially if the delay escalates each time you get the password wrong. For example, after you type the third (fourth?) incorrect password to the Windows logon screen, it displays the incorrect password error for something like 30 seconds before letting you try again.
для нормального отображения логов в AD(например кто последний удалил/редактировал файл)Вы уже настроили advanced audit policy, чтобы в принципе велись те логи, которые хотите "нормально отображать"?
Скрипты и самописы не предлагайте, это достаточно неудобноТ.е. хотите платное ПО.
Или я упустил какой либо важный момент?Упустили. Случился какой-нибудь мелкий сбой и виртуальная машина не запустилась автоматически при старте железного сервера. Вы хотите разобраться в проблеме, а вас на терминальный сервер не пускает, потому что контроллера домена нет (и так совпало, что под админской учётной записью за последний месяц не логинились)... Ничего совсем уж безвыходного в такой ситуации нет, но цена огорчает: весь офис на ушах стоит, начальство злится, админ взмыленый бегает...
чисто в теории, пользователи которые заходили на него под локальной учёткой, так и смогу заходить, а я уже смогу постепенно создавать доменные учётки, и так же постепенно избавляться от локальных.Это верно. Можно постепенно.
