Регулярное падение локальной сети, сервер 2008R2 : Сеть

Имеем сервер 2008R2, на котором работает MSSQLSERVER. Из ролей - только Файловый сервер. в локальной сети 5 клиентов ОС -Вин7, 3 шт DIGI SM100 и DIGI SM500, два ФР и два банковских терминала, роутер Линксис Е900. На всех машинах установлена лицензионная Авира.

Проблема: стала падать локальная сеть через не равные промежутки времени, но примерно минут через 30. Клиенты перестают видеть сервер и друг друга. примерно через 2-5 мин работа сети восстанавливается. Изучение логов системы выявило такие ошибки:

"Событие 56, TermDD
Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 213.123.235.17", (таких адресов несколько) и

"Событие 36888, Schannel
Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203."

Результатом поиска стало отключение удаленного доступа и отмена правила проброса порта на роутере. Ошибки не появляются, но сеть продолжает падать регулярно.
После дальнейших поисков было предпринято следующее:
- на сервере была заменена сетевая карта на новую, старая была отключена и удалена из устройств.
- был заменен свитч на новый
- поочередное отключение клиентов явной взаимосвязи с падением сети не показало
- на всех клиентах проведен сброс и заново настройка сетевых карт
- с сервера удалена Авира, после чего сеть работала на 15 мин. дольше, но все равно упала.
- на сервер установлен SEP со своим файрволом
- сейчас качаю обновления от МС, но без особого рассчета на успех.
Из мыслей осталась только восстановить систему из образа двухлетней давности и пока всё (

Есть ли идеи по выходу из ситуации, поделитесь пожалуйста? Заранее благодарен.

Перечисленные ошибки к проблеме отношения не имеют, это следствие. Надо бы найти другие. Полагаю, что кто-то лезет в сеть с DHCP или адресом сервера. С этого и надо начать.
Если из того, чтобы пальцем в небо, то можно попробовать следующее:
Обновление может помочь и обновления должны быть регулярными и у всех, т.е. на клиентах тоже.
Из полезного - лучше отключить IPv6 совсем. Особенно, если нет понимания, как оно работает.
https://olegon.ru/showthread.php?t=19689, но лучше - совсем. Я тут, вроде, писал, как это сделать.
SEP очень быстро лучше снести. И до обновлений. Надеюсь, сервер задницей в интернет не торчит? А то ролей у сервера резко прибавится.
На всякий проверить настройки энергосбережения, в том числе на сетевой карте сервера.
Если MSSQL не очень нагруженный, я бы предложил текущую винду засунуть в виртуалку, а файлопомойку поднять на Linux, где параллельно эту виртуалку и крутить.

спасибо!
IPv6 отключен
с отключения устройства на карте галка снята
установка обновления завершена, посмотрю, не помогло ли (скорее всего нет)
по поводу проникновения в сеть - наблюдаю такие сообщения в журнале:

Не удается найти описание для идентификатора события 18456 из источника MSSQLSERVER. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.

Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.

К событию были добавлены следующие сведения:

sa
Reason: Password did not match that for the login provided.
[CLIENT: 124.67.115.131]

Сервер в инет смотрит?

да, за роутером

Надо смотреть, в каком он режиме - роутер. Если бридж - то ваш сервак практически открытой попой наружу торчит.

Ну, если за рутером, то предлагаю особо не паранойить и убрать SEP, но подкрутить рабочие станции, чтобы и вирусов там не было, и юзеры не баловали.
Да, Avira я не люблю. Есть утилитка KVRT, регулярный оффлайновый прогон вместе с подкрученными правами и штатным антивирусом Windows вполне себе рабочий вариант. Сейчас предлагаю на всех машинах, включая сервер, прогнать KVRT. Еще раз, про IPv6. ВЕЗДЕ, на всех машинах он должен быть отключен в реестре, а не галочкой на интерфейсе. Рутер заслуживает пристального внимания. 124.67.115.131 - это Китай. Как ему напрямую виден сервер - очень интересный вопрос. Скорее всего, где-то в сети поднят гейт, который и рушит все остальное. Но, если вообще какое-то соединение прошло, то надо смотреть таблицу рутинга на сервере. Сервер тоже видит этот адрес напрямую.
должны показать что-то интересное. И журналы винды, системы, приложения и безопасности. И винду срочно обновить!

Я как-то и не подумал, действительно, рутер-то бриджем поднят чтоль? И необновленная винда... Жди, Петя тебя уже нашел, наверное...

Microsoft Windows [Version 6.1.7600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\adminus>route print tracert 124.67.115.131
===========================================================================
Список интерфейсов
16...00 1e 67 02 a8 27 ......Intel(R) 82578DM Gigabit Network Connection
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Отсутствует
Постоянные маршруты:
Отсутствует

Караул :)
Это две команды
[Enter]
Только ты не соскакивай, в каком режиме рутер и что сказал KVRT?