Как-то у вас с семёркой не сложилось. Какие конкретно у вас с ними проблемы? У нас вроде все ок. У нас проблемы есть только на стыке 6 и 7, и в первую очередь с ospf.
Почитайте их форму, ccr2004, которая spf+ у них сильно проблемная вышла. Не знаю, довели они ее до ума или нет, но мы год назад их закупать по этой причине не стали.
Доп. комментарий к моему ответу. Любой автоинкремент на базе не позволит вам создавать документы задним числом. Если вам нужно в какой то момент времени, обычно это начало года, создавать документы и за прошлый год и за текущий, лучше эту логику поддержать на уровне кода, но могут быть проблемы при интенсивном создании документов.
che_aa, важно понимать сама по себе блокировка не вызывает проблемы, проблему вызывает ожидание блокировки. Т.е. нужно посмотреть кто эту блокировку наложил и кто ждет когда ее освободят. Опять таки блокировки бывают разных типов.
Наибольшую проблему могут вызвать множественные взаимные блокировки, это обычно проблема плохо продуманного кода не рассчитанного на параллельное исполнение.
В вашем случае нужно так же учесть как именно будет работать ("table"."a" + 1), это не тоже самое, что set "a" = 2( ну или любое другое произвольное значение ).
Влад Зайцев, как я уже сказал, фильтрация на l2, может работать не совсем так как вы ожидаете, плюс может значительно влиять на производительность. Лучше сделайте отдельную подсеть. Я у себя вообще не делаю единой dmz, а на каждый узел в этой зоне выделяю 30 подсеть.
Аутентификация 802.1x пропускает только пакеты 802.1x до того как прошла аутентификация. Т.е. если у вас ПК уже в домене и уже имеет сертификат, то он сможет пройти аутентификацию 802.1x и порт перейдет в обычный режим работы. Если ПК не может пройти аутентификацию, то порт по факту для него будет эквивалентен выключенному и ввести домен или получить сертификат вы на ПК не сможете.
Кажется мне это вряд ли получится. Чисто технический это реализуется через 802.11x. Разделить ПК по планам и включать во vlan по результату аутентификации на nps. Но, уже на этапе ввода ПК в домен вам потребуется значительная часть доменных сервисов, т.е. вы не сможете их ограничить, иначе вы не сможете ввести ПК в домен.
Я бы поставил отдельный squid за микротиком. Можно взять какой-нибудь сверх компактный ПК и поднять на нем.
Если прямо совсем уперлось, меняйте на pfSense, но нужно будет все перенастраивать и работать с неизвестной системой на периметре сети.