Максим Гришин

Поставьте пароль на user и вводите его. По умолчанию (типа безопасность) вход с пустым паролем в ssh не допускается.

Пользуйтесь сервисом, который просто не умеет в сохранение куков, зато умеет в замену user-agent (*hint* curl). Сайт, например, icanhazip.com - отдает чистый текст вместо HTML, правда куки пытается тоже ставить... но если их просто не принимать...

Надо настроить политику по умолчанию на исходящий трафик ([ТУТ] инструкция, где это), после чего в исходящих соединениях поотрубать виндовые правила на всякую там телеметрию и создать кастомное правило на разрешение трафика, там есть возможности указать целевой IP или диапазон.

Как минимум: проверьте, что nslookup возвращает А-записи с IP-адресом контроллера домена при обращении к нему по DNS. Возможно, вы подняли эквивалент AD DS, но не подняли DNS-сервер, или не сконфигурировали его достаточно, чтобы DC занес в зону необходимые записи, как следствие, тест проваливается.
Если ваш DC имеет имя, скажем, dc.example.com, то в DNS должны быть записи как для dc.example.com, так и для example.com, показывающие на DC.

Смысл ставить ESXi на виртуалку иногда бывает - как пример, запускать appliance в виде VMware VM, когда в окрестностях нет ни одного доступного сервера с ESXi, но имеется гипервизор другой системы с достаточным доступом, чтобы можно было разрешить nested virtualization для ВМ с ESXi. Так же иногда есть смысл в учебных целях разворачивать гипервизоры на ВМ, скажем, учиться управлять distributed virtual switch'ом или просто кластером ESXi в окружении, которое не страшно потерять. В случае продакшн смысла обычно нет, вплоть до того, что если требуется запускать ВМ именно на вмвари, заложить в требования ESXi хост или кластер.

Не советую такие вещи делать, лучше ищите, что у вас в конфигурации порождает нестабильность локальной сети и/или блокировку УЗ компьютеров. Локальных админов лучше все-таки где-то иметь, ну и пользователям лишних прав не давать.

Вообще настолько многоходовые действия (у вас же ещё и временный токен в апи присутствует) лучше всего отдавать на выполнение в Zabbix external script, ему передаете логин-пароль, оттуда возвращаете JSON всех (вроде как devices - массив) подключенных устройств на аккаунте. А потом средствами заббикса через dependent item создаете элементы данных, в качестве мастер-элемента подсовываете элемент, хранящий полученный JSON, дальше его препроцессингом режете на числа, строки и идентификаторы. Ну и так как мастер-итем всего один, его ставите на обновление раз в 10 минут, чтобы не вылезти за предел апи-запросов, а парсинг уже полученных данных в апи не полезет.

Примерно так:

iptables -A INPUT -m limit --limit 2/min -p tcp --dport 701 --syn -j ACCEPT

Работать будет корректно, если политика по умолчанию на INPUT равна DROP или в конце списка существует REJECT-правило, чтобы отбивать новые соединения, превышающие заданный limit. Детали по использованию модуля limit ТУТ.

Апд: ему надо, чтобы "всего" активных соединений на порт было 2 или меньше. Это решается с помощью модуля connlimit, примерно так:

iptables -I INPUT 1 -m tcp --syn --dport 701 -m connlimit --connlimit-mask 0 --connlimit-above 2 -j REJECT

Здесь 2 - предел одновременного количества соединений, а 0 - применение ограничения на все вообще IP-адреса (по умолчанию проверяются только соединения от одного хоста). Для работы требуется, чтобы новые подключения пропускались ПОСЛЕ этого правила, поэтому написал вставить правило в начало таблицы.

Разнесите запросы LLD autodiscovery на два разных, в одном возвращаете объекты верхнего уровня {#PROC} и только их, во втором по идентификатору объекта PROC возвращаете список {#CENCN}. Далее, вместе с прототипом найденного объекта PROC пишете прототип автообнаружения LLD, в котором указываете запрос номер два для поиска и прототип элемента {#CENCN} из его результатов.

Под зависимыми объектами в Zabbix понимается несколько другой объект - например, если есть запрос на полное состояние объекта, возвращающий данные в JSON, этот JSON заббикс умеет хранить как текст, и по его значению можно создавать зависимые объекты с использованием значения состояния как исходное и JSON-преобразование вида $.path[index].subpath требуемой конфигурации для вытаскивания значения из этого JSON. Кроме того, можно преобразовывать значения вторым (следующим) препроцессором, например, из номера состояния делать его расшифровку, а-ля 2 - "running".

DameWare NT Utilities ЕМНИП на такое была способна. В сущности, нужно добавить проверку на наличие элементов реестра, характерных для развернутого ПО, и по ним отслеживать, есть ПО или нет. В любом случае, для такой инвентаризации ПК должен быть включен и доступен по сети, а для нормальной инвентаризации всё равно придется телепать по кабинетам и лазать под столы, особенно если на ПК есть какой-нибудь инвентарный номер, нарисованный маркером по корпусу.

Они отжирают под себя солидный кусок полосы каждый (условно 4 ютупчика в параллель). Вы добавляете пятый поток, роутер не понимает, какой из потоков имеет приоритет, а то и отдает его скачиванию, и у всех начинает тормозить.
Почему раньше работало при прочих равных - раньше столько в ютубе не сидели, и/или не смотрели фуллхд/4к видосики, а смотрели 240р от силы, зависимость полосы от размера квадратичная. Вот и выжрали всё.

ВМ что, роутер? Если да, то можно порт свитча перевести в trunk, иначе ставите vlan id и получаете на ВМ нетегированные пакеты из настроенного vlan. Порт перевести в транк из гуя не получится (или не знаю как, но вроде нет настроек), из powershell можно использовать коммандлет Set-VMNetworkAdapterVlan у которого есть и trunk и native vlan и allowed vlan настройки.

Вруби на клиенте tcpdump/wireshark и ищи пропадания связи по времени посе часа-двух работы. Потом смотри, есть ли в каких-нибудь логах что-то странное на этот момент. Как вариант, сетевая спать идет. Как вариант, теряется мак-адрес, а ARP либо отдает кривой адрес, либо ещё что. Если он на вайфае, как вариант роутер решил освободить канал или как-нибудь переключить и карта глючит, а при постоянном трафике этого нет. Если там VPN, как вариант где-то UDP-сессия отваливается на роутере. Проблем может быть много.

К учетке админа домена - никак, только загружать DC в режиме DSRM. К учетке локального админа - вообще говоря, она не должна была никуда деваться после внедрения в домен, разве что были применены политики переименования встроенного админа, и то без доступа к домену они не применятся, если ПК ребутнуть.

Если я правильно прочитал, Azure AD Connect умеет синхронизировать данные с источником в облаке и приемником в локальном AD. Т.е. кроме мелкомягких облачных тулзов, ничего и не надо.

Проверьте настройки брандмауэра на стороне веб-сервера, скорее всего у вас закрыты входящие соединения на 80/tcp или 443/tcp.

Если нужен просто виртуальный DC, поднимайте новый, перекидывайте роли и выводите старый - вуаля, контроллер домена на виртуалке. Главное потом заморочиться на синхронизацию времени, чтобы не было такого, что КД получает время от хоста, а хост от КД.