Только консоль, только хардкор. Половина из описанного не будет работать, так как отсутствуют/отключены по дефолту правила на файрволле для соединения по SMB, RDP, RPC и WinRM.
Денис _______________, стандартный бэкап довольно неудобно настраивается, не умеет (не умел?) в инкрементальные, если хранилище не в шадоу-копиях, гемор с восстановлением и уязвим для внезапных vssadmin delete shadows. Да и вообще ИМХО микрософт его приделал на отвали, и нужен он только для бэкапа контроллеров домена, которые иначе как-то проблемно бэкапятся, если не целиком ВМ.
Сам контроллер что в логах имеет за указанное время? может там где-то PHY поломался или где-то дохнет диск, отчего появляются outstanding commands на шине? без доступа к железу нельзя сказать, что именно творится. Но если замена контроллера ничего не дает, то скорее всего проблема где-то ниже, ближе к дискам.
По поводу безопасности - а на этапе открытия сокета её тупо ещё нет, так что в книге просто не должно затрагиваться вопросов безопасности. Все атаки и прочая нехорошая активность идет сильно выше второго уровня сети, и в общем случае выше четвертого (где находятся сокеты), исключение ICMP флуд и использование протоколов третьего уровня как основу для атаки типа DoS (потому что больше с ним ничего не сделать, передача данных требует работу поверх четвертого уровня).
sysprep помимо прочего пересоздает machine GUID, который в случае попыток промотировать склонированную ВМ до контроллера домена может устроить вам много головной боли. Также он скидывает лицензирование и кучу всякой телеметрии в ноль, остального не помню. И я бы делал через него, причем sysprep выполнял бы на клоне, который потом останавливается и VMware vCenter превращается в шаблон, из которого уже клонированием делаются новые чистые ВМ (но без домена, вводить все равно понадобится как-то).
mrmourax, можно попробовать настроить fail2ban на отражение syn-flood, но если перебор портов будет растянут по времени или размазан по нескольким хостам, не спасет. Разве что блокировать хост при подключении по порту, который явно не разрешен в правилах с первой же попытки на сколько-то часов, тогда есть вероятность, что подропанные пакеты будут восприняты подбирающим как отсутствие слушающего порта. Но если всерьез затеют просканировать, все равно не спасет, только отсрочит получение информации.
mrmourax, весьма вероятно. Смотрите тогда правила iptables, либо у вас файрволл просто нараспашку, что само по себе вредно, либо там есть отдельное правило на открытый порт. И проверьте ещё cron под всеми пользователями, на случай если бэкдор из числа тех, кто сам стучится за указаниями. Для полноты картины поставьте iptables -P OUTPUT DROP чтобы блокировать исходящие соединения, потом будете открывать для нужного трафика, ну и логирование исходящих syn-пакетов тоже желательно врубить.
Что за запросы запуливаются в mysql для проверки? если выполнять скрипты из-под пользователя zabbix, что за ошибки возвращаются? если вызвать setenforce 0, ошибка пропадает или нет? и ещё много того, что надо бы добавить в вопрос. Заодно что такое "настроил всё в my.cnf" - что такое "всё"? может недонастроили.
shurshur, по приведенной ссылке IPsec настраивается. Если автор сделал всё правильно, проблема на стороне виндов, кроме того, на стороне сервера IPsec объявлен как необязательный, что неправильно по требованиям безопасности. Но если линукс подключается с включенным IPsec, проблема не в IPsec - а вот это надо у автора спросить.
Ну и вообще, а причем тут тик? DNS-записи для домена должны раздаваться контроллером домена (10.0.1.3), и DNS-сервер на нем есть, судя по логам. Вот его и настраивайте.
denn, ну да, значит нет такой записи. Технически, если у вас на тике есть зона forward lookup dcadm.***.ru, добавить нужно запись А на пустое имя (или @, если не ошибся, в случае bind9), тогда тест должен пройти этот этап. Если у тика нет понятия зоны (на что больше похоже), добавлять надо A-запись на dcadm.***.ru как таковой.
Как я понимаю, плюс байт-кода в ВМ - кроссплатформенность (достаточно портировать ВМ на архитектуру, а не всё приложение), минус - скорость из-за оверхэда от ВМ, который зависит от того, насколько нативно собрана сама ВМ (вдруг вы, скажем, её оттранслировали в API слишком высокого уровня вместо более низкого, которого бы хватило).
Больше всего похоже на ошибки работы с устройством scsi:6.0.0.0 и/или общей мощностью, передаваемой на все устройства через USB. Дисковод, скорее всего, пытается жрать в пике много и вызывает проседание питание по шине, отчего резетится и по кругу. Может, ваша малина неспособна передать достаточно именно мощности по своим USB-портам, при этом не может это определить.
