pindschik

Зайду немного с другой стороны и опишу неочевидные новичку вещи...
1) Про "мощность" забудьте, она ниже плинтуса. Но нужен ли вам только контроллер домена? А будет к нему файловый сервер? А желателен ли ему дисковый кэш? А будет дедупликация данных и DFS?
2) Да, старые ОС иногда есть смысл ставить сначала, создавать домен на них, но потом сразу и обязательно мигрировать на свежую ОС и выводить старый из работы. Иногда это решает проблему странных специфических глюков совместимости в разнородной среде. Но ваш ли это случай?
3) Лишнего избыточного не надо, но второй обязателен. И если будут филиалы - функцию запасного можно засчитать как второй контроллер в другом филиале, но... Будет у вас сервер DHCP? А как он будет дублирован? В общем сперва подумайте, сколько конкретно ВАМ надо контроллеров.
С виртуалками есть один нюанс - в домене время должно синхронизоваться, желательно И с внешним источником И внутри. Ставя машины на виртуалке, вы можете забыть снять галку "синхронизация времени", тогда ваша виртуалка станет жить не по времени домена, а по времени гипервизора. С печальным итогом... Еще не додумайтесь оживлять "консервы" - если контролер домена выбыл на ощутимое время из сети (например на месяц) - потом его лучше не возвращать. Он может попортить вам ключи шифрования в домене.
Про линукс забудьте, вам и так проблем на первое время хватит...
4) Характеристики, как я уже писал, пофиг, но если у вас есть DFS и есть несколько серверов с файловым ресурсом - то как минимум не должно случиться переполнения на меньшем по объему диске. А еще есть теневые копии. Стоит под них тоже рассчитывать пространство (например на одном диске в 5ТБ - выделить 1 ТБ, а остальные реплики DFS диски ставить по 4ТБ, но уже без теневых копий).
5) Собственно даже если у вас не будет ни одного сервера на физической машине - ничего страшного в этом нет. Делайте как надо лично вам, рекомендации - просто для сведения.
6) Операционки не имеют значения, но есть такое понятие, как режим контроллера домена - т.е. к первому 2012-му вы сможете потом добавить 2022, но к первому 2022 добавить 2012 не выйдет, если явно не ставить сразу старый режим.
7) Много:

Миграция пользователей - начинайте с молодых и однотипных.

Перемещаемые профили. Раскурите. Очень хорошо потом помогает от воплей ВСЁ ПРОПАЛО! ВСЯ РАБОТА БЫЛА ТОЛЬКО НА РАБОЧЕМ СТОЛЕ! ДИСК СДОХ! ПОЧЕМУ МНЕ КУПИЛИ ДИСК, КОТОРЫЙ ЧЕРЕЗ 8 ЛЕТ СДОХ?! Есть минусы, но там не так всё плохо, и всё настраивается.

Политики безопасности - ВНАЧАЛЕ продумайте, разделяйте и властвуйте. Это ОЧЕНЬ важно.

Ни в коме случае не работайте под админкой администратора домена и не давайте ее пользователям. Организуйте группу локальных админов, которые могут админить только свои ПК. И лучше всего им запретить доступ на всё рабочие станции по сети (от сетевых червей спасёт). А для целей доступа админа по сети - лучше сделать третью группу (например для автоматизированного развертывания ПО).

Сервер печати - сразу все принтеры собирайте на него и раздавайте их через политику. Не надо бегать к каждому пользователю.

Сетевые диски - сразу разворачивайте через DFS и цепляйте через политики. Не делайте по старинке через "расшаривание".

Резервное копирование данных - рассматривайте все, вообще все негативные сценарии, а не только отказ одного диска в RAID массиве. Это может и полный отказ массива, и вполне легитимное удаление данных пользователем, и работа злоумышленника (оборудованного ГОЛОВНЫМ МОЗГОМ), и шифрование в каникулы, чтоб к выходу с них у вас зашифрованные данные оказались и в резервной копии тоже, и т.д. и т.п.

Удаленка - учтите ограничения программ, типа anydesk и сразу думайте про переход на серверы терминалов. А потом вы поймете, что пользователи ВСЕГДА сливают пароли. И к вам на удаленку полезут злоумышленники с головным мозгом. Поэтому для таких случаев двухфакторная авторизация (без паники, это бесплатно).

Себе админку на удаленке не открывайте в интернет. Только VPN, IPSec, Wireguard и т.п.

Гадящие мессенджеры и яндекс-диски - создают 100500 тыщ мильёнов файлов в профиль пользователя. Убираем из синхронизации с серверной копией сразу.

Не удастся обновить контроллер домена. Скорее всего не удастся сервер терминалов (без понижения роли).
А еще сталкивался с проблемой, которая пришла в Server 2022 из Windows 11 - при подключении сетевых дисков через групповые политики - система падает в синий экран.
В любом случае - сделайте полный бэкап системы перед экспериментом.

Всё, что не ограниченно на самом деле может быть обойдено (портабельным браузером, клиентами удаленного доступа и т.п.).
Если на роутере/шлюзе это сделать нельзя - ну попробуйте настраивать им принудительно нулевой маршрут в никуда. :)

1) Да, теперь так, но есть пути обхода нынешних повышенных заморочек безопасности.
Устройства: запретить пользователям установку драйверов принтера: отключено
Функцию указания и печати можно использовать только на следующих серверах: Включено
Введите полные имена серверов через точку с запятой - тут перечисляем сервера печати.
Функцию указания и печати можно использовать только на компьютерах своего леса: Отключено
Запросы безопасности:
При установке драйверов для нового подключения: Показывать только предупреждение
При обновлении драйверов для нового подключения: Показывать только предупреждение

Еще у пользователя должны быть права админские на свой комп, хотя бы на один заход, иначе драйвера принтера не встанут. И разворачивать принтер надо И на компьютер И на пользователя.
2) Глюк да.
3) Сетевые там никогда не отображаются.

Комп ведь в домене? Попробуйте поменять драйвер сетевой карты (свежее/старше). Сталкивался с тем, что на дефолтном atheros сетевуха поднимается дольше, чем полностью загружается винда. И там даже политики домена не отрабатывали.

Кроме атаки с перебором паролей с одного IP, еще есть распределенные атаки с разных IP, и атаки на перебор логинов (совмещенные с распределенными атаками).
Закрывать по IP особого смысла нет.
Если ограничите количество логинов - при активной атаке ваши пользователи тоже не смогут подключаться.

Если еще нету - привяжите на терминал двухфакторную авторизацию (например бесплатный MultiOTP)

Ненене, всё не так.
1) Думаешь головой и планируешь безопасность.
2) Создаешь подразделения в AD исходя из того, что надумал, например: серверы, рабочие места пользователей, серверы терминалов.
3) Например для подразделения "рабочие места" в групповых политиках наделяешь админскими правами группу "Локальные админы". Или вообще только одну учетку "Инсталл01".
4) Для этой же учетки в группе "рабочие места" запрещаешь доступ по сети (а то или наодминят, или червь зашифрует все компы).
5) Добавляешь в группу "Локальные админы" нужных пользователей. Или всех.

Итог - кому положено - админы на своих компах. Но не на терминалах. И не в домене.

Не путай - местоположение компьютера и местоположение пользователя - это разные вещи.
Админские (права) и железячные настройки назначаются компу. Пользовательские - к пользователям.

С виртуализацией контроллеров доменов есть только одна рекомендация - хотя бы один из них держать в "железе". Но это на самом деле очень необязательно.
Еще надо не забывать про время в домене и время на гипервизоре. Чтоб не получалось, что гипервизор закидывает контроллеру домена свое неправильное время через службы интеграции.
А в вашем случае скорее всего слетела сетевуха, зайдите и настройте новую, так же, как была старая.

Вы делаете большую ошибку, если считаете, что "вдруг сервер умрет"...
Во-первых, исходить надо из того, что он умрет обязательно, и для этого выберет самый неподходящий момент.
Во-вторых, кроме аппаратного или программного отказа - есть еще множество прекрасных сценариев апокалипсиса, и вероятность их - вы зря умножаете на ноль.
Может, например, заглючить один из дисков RAID и вывалить вам порцию данных вперемешку с мусором, и это повредит файловую структуру и вообще всю информацию.
Очень может статься, что произойдет, например, атака шифровальщика, при чем популярная в последнее время тема - не вирус поработает, а живой человек. И человек этот, #ц%@, сделает все грамотно. И вы потеряете: и гипервизоры, и виртуалки, и контроллеры доменов, и теневые копии, и реплики, и данные на удаленных серверах, и облачные хранилища обойдут и грохнут. А если даже не грохнут - пока вы заново создаете всю инфраструктуру, в час-по-чайной-ложке вытягиваете данные из облаков - это недели простоя. Проще будет платить выкуп.
Поставьте себе задачу - как быть с такой вводной? И решайте.
Решения есть, простые и недорогие. Во всяком случае их цена (на случай жадности руководства) ниже - чем от последствий для бизнеса без них...

Представьте себе утро понедельника: серверы зашифрованны полностью, клиенты стоят в очереди на склад, часть из них стоит - уже оплатив товар, поставщик привез фуру - тоже стоит... А вы не знаете, что у вас на складе есть, по какой цене, что оплачено, что нет, комы вы должны, кому - нет.
В наше время лучше быть подготовленным пессимистом, чем наивным оптимистом.

Мне нужно чтоб ребенка выносили не за 9 месяцев, а за 3. Как объединить мощность 3-х женщин, чтоб родить в 3 раза быстрее?
Какие-то задачи можно поделить и распараллелить, а какие-то нет. Универсального совета на такой широкий вопрос не может быть. Ну разве что найти в интернет программу, в которой будет одно окно и одна кнопка "сделать все хорошо"... :)

Есть мысль, что возникает разрыв в понимании протокола SMB 1.0
Выводите из дела Win 2003. Потом 2008 R2. заменяйте все минимум на 2012.

Что значит "объявил себя главным"? Роли fsmo на котором контроллере?
Ошибки скорее всего из-за просроченных сертификатов, как их обновить - раскуривайте - инструкции есть.
Контроллер домена практичнее всего отвязать от железа и держать на виртуалке. Переносится - на раз (хотя майкрософт рекомендует хотя бы один из контроллеров оставить на железе).
Организовывать контроллеры домена в куче удобно в оснастке "сайты и службы", во всяком случае там их распределение по сетям можно "программировать мышкой".
Проблема согласования "отставших" и восстановленных их копий контроллеров - более менее решена в новых версиях Server, попробуйте полностью уйти от от 2003 на что-то посвежее, старый исключить из домена, а затем повысить уровень контроллеров домена.
...Разумеется если железо несколько свежее, чем ископаемые копролиты мамонтов...

Или еще проще - включить видимость только тех папок на сетевом диске, к которым у пользователя есть доступ.
Дальше рулите правами, в соответствии с принятой у вас политикой партии.

Не забыли в групповой политике указать адрес сервера лицензий и какие типы лицензий с него просить?

В сервере доступен функционал "Маршрутизация и удаленный доступ", там тоже есть PPPoE но свой, другой. От пользователя не зависит.
Однако для его работы придется настроить маршрутизацию заново, вручную.

У них разные ветки в групповых политиках. Соответственно администратор домена может назначить какие-то действия с компьютером, "от имени администратора" - настройка параметров работы, установка ПО и т.п., или же назначит действия конкретному пользователю, например подключить сетевые диски, нужные только ему принтеры.
При этом пользователь может не иметь прав администратора на своем же компьютере, и ряд операций из его учетной записи не могут быть выполнены (попробуйте отключить режим гибернации без прав администратора).
В то же время пользователи одного и того же ПК могут меняться, быть с разными полномочиями, и каждому нужны разные настройки, которые не имеют отношения к ПК в целом.