Максим Гришин

Проверьте порт свитча, в который воткнут адаптер #3 сервера Hyper-V. Ваша конфигурация сети показывает, что все пакеты, отправляемые в адаптер, идут с tagged vlan 5, порт должен принимать на своей стороне tagged vlan 5, чтобы пакеты попали в пятый влан. Скорее всего, порт на свитче стоит в режиме access vlan 5, в этом случае со стороны сервера VLAN tag указывать не нужно (указать vlan id 0). Иначе конфигурировать порт в trunk и разрешать принимать на нем tagged vlan 5.

Перенесите второй контроллер (домена) на второй хост как ВМ, репликация останется, и если что, сразу два хоста "не выйдут из строя".

Дизайнер 3D-элементов. И IT, и раз у подопытного неплохие навыки работы с изображениями, может и сможет что-то красивое создать.

Не ходи по localhost, ходи по внешнему адресу. Ошибка вида "Connection refused", и скорее всего, mysql-сервер запрещает ходить локально по дополнительным параметрам (скажем, идет проверка в /etc/passwd, а пользователь локальный для сервера).

Надо обернуть пробелы и переводы строки тегом <pre> (и поймать разъезжание верстки при отладке).

Протоколы не работают, работают их реализации. За протоколами надо идти в RFC, за особенностями реализации - к вендору. А чтобы найти описание работы протокола (точнее, как он должен работать), нужно указать его название и добавить "для чайников", может, даже гугл найдет.

tail /var/log/audit/audit.log - в том файле собираются все запросы подъема прав (и ещё куча всего, советую помониторить), получить PID этого шелла, потом ps -ef найти по цепочке кто запустил. Это правда из-под рута, и выполнять проверку нужно с висящим окном запроса рутовых привилегий.

Authenticated Users - это в первую очередь именно авторизованные пользователи, т.е. если вы что-то хотите спрятать от них, значит, предполагаете, что у вас в сети есть легальный крот. Как по мне, прятать есть смысл только имена привилегированных учеток (т.е. сами объекты), при этом оставить доступ хотя бы для domain computers, иначе рискуете поиметь проблем, когда придется логиниться под ними в домен.
По поводу статьи - описанное изменение не должно поломать GPO, так как разрешения на них вам желательно не исправлять, а прятать только нечто более-менее критичное с точки зрения безопасности, а-ля группы domain admins и подобное. А прятать сами OU и других пользователей несколько нелогично, можно поломать что-то из инфраструктуры неочевидным образом (скажем, сбор адресной книги Exchange'м).
Использование ADSIEdit в статье может быть оправдано, но только в той мере, в которой указано, а иногда и меньше, но конкретно этот параметр описан тут https://docs.microsoft.com/en-us/openspecs/windows... и тут сказано, что если вдруг в параметре есть хоть что-то, менять стоит только один символ - в данном случае третий слева. И конкретно это изменение само по себе ничего не сломает.

Проверьте, работает ли ваш сайт по http, если да, то и не получите. Если стоит редирект на https, проверьте наличие HSTS, если его нет, тоже не получите (менее вероятно). Дальше попробуйте набрать хотя бы "B" на ssllabs.com/ssltest/, если сейчас меньше, потом спросите вебмастера, что за дела. Год - слишком много, чтобы у вас не оказалось каких-то блокирующих присвоение "нормального HTTPS" факторов.

Куда копать и что чинить - я бы просто пересоздал домен, ввел всё ещё незараженные машины в новый домен, а старый КД выключил и стер, если он ВМ. И на новом КД как минимум поставил бы политику, запрещающую SMB1 для сервера, особенно если это 2008R2 - скорее всего, прилез червяк по SMB1. Если нет такой возможности - развернуть ещё КД, ввести в домен, dcpromo, перекинуть роли, потом остановить сломанный КД и проверить, работает ли домен. Если да, ОК, иначе чинить репликацию и потом всё равно прибить поеденный вирусом инстанс.

RTP-соединение НАТится в несовпадающие порты до и после ната. Вам нужен SIP/RTP-прокси, который умеет изменять на лету SIP-пакеты и открывать соответствующие согласованным порты NAT для проксируемого астериска. С первым вам просто повезло, что по умолчанию (поведение наблюдал на CentOS7) при попытке НАТить соединение, проверяется, можно ли не изменять порт, и если да, в него и НАТится. Как альтернативу, укажите другой диапазон RTP-портов на втором астериске, и выделите проброс портов на НАТе в неизменном виде до этой ВМ, то же с SIP-портом, может даже сработать.

Как вариант, ошибки в реализации VPN на роутерах, или ошибки в работе VPN traversal на зухеле. Больше всего шансов на проблемы в работе TP-Link'a, который является VPN-сервером (вплоть до перегрева, кстати, что может запороть математику криптовычислений в его процессоре и ошибки установки соединения, пока перегрев не пропадет).

Вообще, все политики пишут в HKLM/SOFTWARE/Policies, если правильно запишете, и GPO не понадобится.

Можно пробовать настроить VDI, каждому пользователю по собственному терминалу, и выдавать 2-4 ГБ мозгов на пользователя. Тогда если кто-то "переел" памяти, поимеет проблем. (Но это всерьез меняет требования к инфраструктуре, как следствие, может быть неприемлемым.)

Возможен-то возможен, с учетом потенциальных граблей при установке драйверов на новое железо. Формально даже ничего не сломается. Но правильно делать через поднятие нового DC.

Поднимите в локальной сети прокси-сервер (nginx, скажем), который будет проксировать запросы на сайт по урлу, и запустите ваше устройство ходить на него. И не нужно городить колхоз на микротике.

У тебя в веб-сайте есть некий элемент, позволяющий залить файлы, его попытались ломануть, заливая шелл или бэкдор, а путь, куда заливать, не смогли нормально подобрать (либо какой-то из каталогов, открытый на запись, в настройках веб-сервера указывает на каталог базы данных, скорее всего и то и другое). Тебя спасло то, что сервер у тебя на линуксе, а атакующий пытался ломануть винды. Возможно, тебе взломали phpmyadmin-компонент (подобрали пароль, например). В общем жопа сайту, перезалей контент, обнови движок и забэкапь базу, и внимательно смотри конфиг веб-сервера, чтобы не было в нем посторонних каталогов, которые в принципе не должны светиться наружу.

Вообще, заббикс оптимизирован под числовые данные, хотя может работать и со строками. Этот JSON больше похож на оптимизированный для обнаружения, макросы {#MACRO} предназначены для заполнения прототипов элементов данных, а не для данных как таковых. Рекомендую поискать в вашем АПИ возможность вытащить требуемые linesnow и linesmax по имени или ID транка, и создать на основе макроса прототипы элементов, в именах и ключах которых будут значения linesnow в одном и linesmax в другом, а потом отдельным постпроцессингом (хз кстати как, в самом деле - не умеет заббикс конкатенировать строки! https://support.zabbix.com/browse/ZBXNEXT-1911 девелоперы, похоже, не поняли запрос, потом кто-то предложил юзкейс, который вообще касался алертов, и идея заглохла - можете попробовать подпихнуть) собирать из элементов желаемую строку.

Разобрать JSON на составные можно, запихав данные в элемент типа текст сторонним скриптом (либо в 4.0 появился HTTP agent, позволяющий распарсить JSON из ответа по HTTP), потом из него создать несколько зависимых элементов с помощью сцепления операций препроцессинга результата этого JSON, указывая вначале JSON Path, а дальше писать триггеры и прочее.