Спасибо за советы!
Компов около 200 (вместе с серверами), часть из них - виртуальные на Хайпер-В.
Еще такое уточнение - на основном КД (тот, который с двумя сетевушками и прямым выходом в интернет):
крутится SQL-база данных (доступная из интернета)
внешний сайт
почтовик
внутренний сайт.
Порты открыты только эти: 8080, 25, 80, 110, 143, 443, 1433.
Вопрос вот в чем - если я передам ФСМО роли другому серверу, а этот понижу до обычного сервера, нужна ли будет ему роль ДНС-сервера?
Доступ ко внутреннему сайту такой: в браузере набираем имя сервера и указываем порт (ну или все это в ярлычке)
http://myserver:4500. Тут вроде бы ДНС не нужен?
Доступ ко внешнему сайту: на nic.ru и у другого подобного регистратора прописаны служебные записи cname, mx и прочие, что домен, он же внешний сайт крутится на этом серевере (прописан адрес внешней сетевой карты). Тут вроде внутренний ДНС-сервер тоже не нужен...
Доступ к почте: в почтовике-клиенте прописан сервер по его имени: myserver, с указанием портов поп и смтп.
Кроме этого почему-то пропала половина рут-хинтов в оснастке ДНС. Часть есть: и имена и адреса, а другая - только имена, а вместо адресов написано - толи неопределено, толи неизвестно... как-то так.
Появилась новая проблема: в системном журнале большое число ошибок с кодом 18456 "пользователю SA не удалось войти в систему" - проблема с SQL-ем, похоже на то, что подбирают пароль к БД. Нафига нужен SQL для доступа из интернета - пока неизвестно, но такое требование было. В логах есть адреса с которых шла атака, один из США другой из Китая, хотя это наверное прокси-сервера.
На скорую руку закрыл эскуэльный порт брандмауэром - пока выходные. Но с началом рабочей недели, функционирование надо будет вернуть, как защищить базу от взлома?
Есть вариант переназначить на другой порт, но узнать его - дело 2-х минут - если злоумышленники выбрали цель осмысленно, продолжать атаковать, то любой вновб появившейся порт будет эскуэльным - тут понятно сразу.
Есть вариант переименовать встроенные учетные записи SQL, и поставить блокировку после 3-х неверных паролей. Это сделать можно в принципе?
Что еще можно сделать для защиты?
Ну и такой вопрос: понимаю, что надо переносить КД на внутренний сервер, чем срочнее тем лучше, а нового сервера пока не предвидится.
Есть на примете офисный компьютер с Core i5 + 8 гб памяти, вроде бы на мамке есть встроенный рейд-контроллер. Как такая конфигурация, потянет 200 компов? Насколько страшно, если у КД не серверная память (я имею ввиду что без ECC), и десктопный встроенный рейд? Скорее всего на этот комп кроме КД придется перенести и ДХЦП-сервер.
