Есть ли на Микротике какие-то правила запрета или фильтрации? По MAC-адресам, HoneyPot, blacklists или что-то еще?
Для начала отключите все запрещающие правила и проверьте результат. Если все будет работать, то, соот-но, включаем по одному каждое правило запрета и проверяем результат.
Что говорят логи Микротика, логи Windows и логи антивируса, на котором происходят такие вещи?
Раз речь идет о песочнице, то чтобы понять до конца саму схему восстановления КД, можно просто развернуть на виртуалках тестовый дрмен AD с такими же настройками, кол-м КД и др.
Там же установить Veeam, сделать сразу снэпшоты рабочего состояния всех участников AD, там же провести симуляцию отказа одного из КД и там же сразу пытаться восстановить его из бэкапа Veeam.
В большинстве случаев такой метод тренировки на кошках позволить понять вообще как устроена схема AD, какие нужны сделать первые шаги, какие вторые и т.д.
Если не получилось восстановить КД с первой попытки, то откатываемся в первоначальное положение с помощью ранее сделанных снэпшотов и пробуем еще раз.
DNS- служба на AD DC нужна всегда по умолчанию. Это правило действует еще с первой версии AD, т.е. с 2000 версии. При этом 'эти DNS -атрибуты записаны в схеме AD (можете там поковыряться самому для интереса, но только ничего не меняйте) и крайне нежелательно просто так перебрасывать эту службу на другие внешние устройства.
Если нужно настроить DNS на шлюзе, то настройте еще один DNS на Микротике, затем нужно просто указать IP этого Микротика во вкладке Forwarding (насколько я помню) самой DNS-оснастки AD DC.
Т.е., получается стандартная схема - запросы на внутренние AD DNS хосты обрабатываются AD DC, а все внешние запросы сам AD DC передает на обработку Микротику.
Если службы DNS и DHCP с самого начала были настроены на AD DC, то ничего лучше не менять просто так, не имея явных причин на это.
1) Купить аппаратный NAS типа Synology или Qnap и там настроить шары.
2) Установить программный NAS на базе Linux - FreeNAS, OpenNAS и др. Я лично предпочитаю OMV (OpenMediaVault).
3) Если нужно сделать на базе WIndows, то использовать Windows DFS.
А причина точно в Микротике? Вы анализировали логи самого сервера 1с? Может он перегружен сильно в такие моменты, когда 100 сессий в нем сидят.
Поставьте систему мониторинга типа Zabbix, установите агенты на Микротик через SNMP, поставьте агента на сервер 1с, на свитч и мониторьте ситуацию, как пример:
1) Происходят отвалы пингов во время сильной загрузки на сервере 1с + RDP? Если да, то добавьте аппаратные ресурсы на этот сервер. Если это виртуалка, то будет проще добавлять. Обратите внимание, что скажет вам Zabbix по поводу загрузки Input/Output диска на сервере, если будут показываться слишком серьезные пики, то добавьте ОЗУ на сервер.
2) Происходят эти отвалы пингов во время пиковой сетевой активности Микротика и/или свитча? Если да, то какие пакеты так сильно загружают Микротик и/или свитч? Не происходят ли в этот момент еще дополнительные какие-то сетевые задачи типа копирование данных, сбор отчетов каких-то серверов приложений и др.
3) Если проблема скользящая, то в большинстве случаев статистика системы мониторинга сможет только помочь, а не гадать по каким причинам что-то происходит.
В том числе как правильно маршруты прописаны между различными подсетями. Данная статья показывает, как можно настроить роуты между подсетями, не применяя NAT для публикации каждого порта какой-то службы.
В вашем случае действительно лучше уйти от 192.168.0.x и 192.168.1.x подсетей, т.к. они прописаны по умолчанию во многих бытовых WiFi роутерах по умолчанию.
Необязательно переходить на подсети класса А 10.х.х.х, но хотя бы перейти на 192.168.10.х или повыше касательно третьего октета.
А firewall был включен на этом VPS ранее?
Если да, то неудивительно, что не прослушивается новый порт, если вы заранее не разрешили ему доступ в firewall-е.
"/var/log/apcupsd*" - если у вас настроен APC через родной кабель, то посмотрите отдельно что там в логах пишется. Обычно там пишется точное время ребута или выключения.
"имеется машина с Debian 11, и она иногда самопроизвольно перезагружается, " - возможно как раз сделаны настройки в .conf этого APC,чтобы при определённых условиях сервер уходил в ребут.
Drno, это оставил как временное решение., т.к. нет особой надобности гонять видеотрафик в большом объеме через зашифрованный трафик, напрягая проц роутера.
"Еще момент, верно ли что при такой схеме, если к примеру домашний почтовый сервер по какой-то причине упадет или отключат интернет, все письма которые были отправлены, PMG придержит и они придут в любом случае когда основной почтовый сервер станет доступен?" - да, так и будет. Кроме того, в PMG можно настроить какой срок хранить недоставленные письма до внутреннего почтовика, перед тем как отправить статус NDR отправителю письма.
В PMG я сразу добавил дополнительные адреса антиспам-серверов, т.к. встроенных мне не хватило. Правда, последний раз PMG я пользовался года 3-4 назад.
А в общем, PMG как почтовый шлюз работал стабильно и отрабатывал свой функционал полностью.
Strabbo, я возможно не полностью расписал, что мне нужно в конечном итоге. Хотя кажется расписал все по пунктам. В конечном итоге хочу настроить VRRP, но в текущем конфиге на единственном Микротике есть нюансы касательно l2TP сервера и Web-приложения. Ранее VRRP я настраивал, но там была проще конфигурация ))).
Нанимать никого не буду, сам разберусь. Вообще-то на этом ресурсе поэтому я и спрашиваю, чтобы получить ответы на вопросы, т.е. получить рекомендации от других.
