Максим Гришин

Вообще, заббикс оптимизирован под числовые данные, хотя может работать и со строками. Этот JSON больше похож на оптимизированный для обнаружения, макросы {#MACRO} предназначены для заполнения прототипов элементов данных, а не для данных как таковых. Рекомендую поискать в вашем АПИ возможность вытащить требуемые linesnow и linesmax по имени или ID транка, и создать на основе макроса прототипы элементов, в именах и ключах которых будут значения linesnow в одном и linesmax в другом, а потом отдельным постпроцессингом (хз кстати как, в самом деле - не умеет заббикс конкатенировать строки! https://support.zabbix.com/browse/ZBXNEXT-1911 девелоперы, похоже, не поняли запрос, потом кто-то предложил юзкейс, который вообще касался алертов, и идея заглохла - можете попробовать подпихнуть) собирать из элементов желаемую строку.

Разобрать JSON на составные можно, запихав данные в элемент типа текст сторонним скриптом (либо в 4.0 появился HTTP agent, позволяющий распарсить JSON из ответа по HTTP), потом из него создать несколько зависимых элементов с помощью сцепления операций препроцессинга результата этого JSON, указывая вначале JSON Path, а дальше писать триггеры и прочее.

Лучше вместо роутера убунту впихивать. Один интерфейс 1.1, второй как провайдер просит, включить ipv4 forwarding и вперед. Дальше настройка базовых правил файрволла, чтобы снаружи вам эту убунту не сломали.

Подними QoS повыше для DNS-запросов, например.

В рамках телепатии - маршрут из 172.16 сети в сторону 10.10 сети проходит через NAT, из-за чего 10.10 сеть о 172.16 просто ничего не знает.
PS: почему подсеть 172.16.3.0 с шестнадцатой маской, когда должна быть с 24й? Опечатка?

Членство в группах отрабатывается на этапе входа пользователя в домен. Нужно перелогиниться каждому пользователю, чтобы права на папку у него появились через группу.

В таких условиях - никак. Есть оборудование, которое умеет private vlan и promiscuous port, на нем можно такое сделать, но у вас всё "глупое" - значит, доступ ограничить не сможете.

Фишин в процентах от чего? Если от спама, но какая разница, спам он и в Африке спам. Если от попыток атак, пишем 100% так как самый действенный способ по факту - атака на человека, а не на компьютеры.

get-mailboxdatabase | get-mailboxdatabasecopystatus даст половину информации.
isinteg и иже с ним дадут вторую, если в базе проблемы.
остальное дадут логи сервера, где лежит база и где она не запускается.

Нужно смотреть логи клиента вначале. Может, отъезжает синхронизация времени, может, разрешение имен по DNS/WINS, может, просто сетевая глючит, попробуйте поменять.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\AssumeUDPEncapsulationContextOnSendRule (попробованы значения 2 и 0) - оставить в 2, в любом случае клиент за натом, и если вдруг сервер тоже за натом, то без двух здесь не заведется в принципе.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\ProhibitIpSec (опробовано 0 и 1) - оставить в 0, без шифрования глухо, а в IPsec оно как раз хорошее - MPPE в L2TP мягко скажем слабое по сегодняшним стандартам.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\AllowL2TPWeakCrypto (опробовано 0 и 1) - должно быть нерелевантно, но зависит от настроек сервера.
Windows Firewall полностью отключать и добавлять правила для UDP 500, 1701, 4500 - нерелевантно, со стороны клиента соединение исходящее, политика по умолчанию разрешает их.

Дальше - запустить VPN на том ПК с семеркой, который подключается, потом поднять сниффер на роутере и собирать обмен пакетами между вторым компом и сервером. Есть подозрение, что роутер некорректно реализует обработку NAT-T для L2TP и транслирует пакеты от второго клиента тоже в порт 4500, или выбивая его, или просто направляя ответ для второго клиента первому, возможно, имеет смысл отключить на нем отдельную обработку L2TP/IPsec passthrough и проверить работу всех клиентов.

Три гипервизора в кластере, хоть и с локальным хранилищем (Storage Spaces Direct - но дорогой как собака), или с общим iSCSI-хранилищем. Как вариант - рассмотреть Nutanix Community Edition из-за бесплатности, но по железу просит больше раза в полтора, чем совокупное требование ВМ, и в три по хранилищу, плюс просит обязательные SSD для метаданных. Тоже три хоста (максимум 4), но в отличие от S2D, на гигабите тоже живут, пусть и медленно. Администрируются, кстати, инженером любой подготовки, которые умеют рулить любым гипервизором, но подводных камней большая куча, в основном касательно обязательных обновлений и использования NVMe.

Нет AS - только DNS-записями рулить. Если бы у вас был AS, можно было бы подтянуть BGP и маршруты на третьем уровне для такого резервирования. Правда, договориться с провайдерами придется.

Вообще, DNS-записями можно и балансировку поднять, особенно если на оба IP повесить DNS-серверы так, чтобы при запросе DNS на ip1 отдавался ip1, а при запросе на ip2 отдавался ip2, обе записи с временем жизни 15 минут (ну или сколько имеет смысл делать для автоматического протухания при падении канала), в этом случае пока оба канала работают, трафик на вашу службу, которую балансируете/резервируете, будет приходить где-то поровну с каждой стороны, если один ляжет, то после истечения времени жизни DNS-записей на клиентах трафик пойдет только через живой канал.

PS: вам придется каждое соединение на керио помечать, чтобы трафик уходил через тот же интерфейс, через который пришел запрос, иначе сервис доступен не будет.

Скопировать слой, выставить на новом threshold по яркости, инвертировать, привесить как маску на исходный слой.

СКС маркировать, в смысле? Этаж-комната-номер. А кабеля в свитче обычно маркируются по устройству на второй стороне соединения.

Нужно эти порты на втором уровне объединить в один виртуальный L3-интерфейс (выделив их в vlan, скажем), и уже на него вешать IP 192.168.0.1 и настройки DHCP-сервера.