Eu tenho uma máquina Windows 10 Pro que está funcionando como um terminal RDP para um único usuário.

Esta máquina foi configurada há mais de 2 anos e não teve grandes alterações na sua configuração, exceto é claro pelas atualizações automáticas obrigatórias do Windows 10.

Tudo estava funcionando bem até alguns meses atrás, quando o usuário começou a receber este erro ao tentar se conectar via RDC:

Remote Desktop Connection
An internal error has occurred.

Tentei fazer login via RDC por meio de minhas credenciais de administrador e recebo o mesmo erro. O erro aparece imediatamente após clicar em conectar. Não há tempo de processamento e a tentativa de conexão parece ser imediatamente rejeitada pelo servidor.

Não consigo rastrear o problema até um momento ou evento específico. Ocorre aparentemente de forma aleatória. Às vezes depois de alguns dias, às vezes duas vezes em um dia.

Reiniciar a máquina Windows 10 Pro sempre parece resolver o problema.

Estranhamente, acessar o Event Viewerna máquina Windows 10 Pro também parecia corrigir o problema, mas quase sempre retorna muito mais rapidamente se eu usar essa "correção".

Falando em Event Viewer, esses são erros relevantes que encontrei no log relacionado ao RDC no momento em que meu login foi rejeitado:

Error Event 227 RemoteDesktopServices-RdpCoreTS
    General: 'Failed OnConnected to Listener callback' in CUMRDPConnection::InitializeInstance at 606 err=[0x8007050c]
    Log Name: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational
    Source: RemoteDesktopServices-RdpCoreTS
    EventID: 227
    Task Category: RemoteFX module
    Level: Error
    User: NETWORK SERVICE
    OpCode: Runtime

Error Event 227 RemoteDesktopServices-RdpCoreTS
    General: spCoreConnection is NULL!' in CUMRDPConnection::TerminalInstance at 741 err=[0x8007139f]
    Log Name: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational
    Source: RemoteDesktopServices-RdpCoreTS
    EventID: 227
    Task Category: RemoteFX module
    Level: Error
    User: NETWORK SERVICE
    OpCode: Runtime

Esses são alguns outros erros que notei no log, mas não correspondem ao momento que tento conectar:

Warning Event 226, RemoteDesktopServices-RdpCoreTS
    General: RDP_TCP: An error was encountered when transitioning from StateUnknown in response to Event_Disconnect (error code 0x80070040)

Warning Event 142, RemoteDesktopServices-RdpCoreT
    General: TCP socket READ operation failed, error 64

Observe que as máquinas clientes também estão executando o Windows 10 Pro.

Observe que também publiquei isso nos fóruns da Synology. Estou postando aqui porque não tenho certeza se o problema é com o Windows ou com o servidor Synology:

Fundo

Dezenas de estações de trabalho com vários servidores Synology.

Todas as estações de trabalho que executam o Windows 10 Pro.

No ano passado, e até cerca de uma semana atrás, todas as estações de trabalho conseguiram acessar todos os servidores Synology sem problemas.

Problema e sintomas

Agora, apenas começando cerca de uma semana atrás, UMA estação de trabalho não consegue acessar UM servidor Synology através do Windows Explorer.

Não funciona com \\UNCnamenem com\\ip.ad.re.ss

No entanto, posso pingar o servidor muito bem usando o ip.ad.re.ss e nslookup para UNCname retorna o endereço correto.

Dilema

Se isso estivesse acontecendo com todas as minhas estações de trabalho, eu assumiria que o servidor Synology estava com defeito. Mas todas as outras estações de trabalho não têm problemas para acessar esta caixa Synology. Se isso estivesse acontecendo com todos os servidores Synology nesta máquina, eu assumiria que a estação de trabalho estava com defeito. Mas a estação de trabalho não tem problemas para acessar as outras caixas Synology na mesma rede, e até uma semana atrás não tinha nenhum problema com a caixa específica em questão.

Novamente, é apenas uma estação de trabalho que de repente está tendo problemas com um servidor Synology.

Nada mudou do meu lado, exceto, é claro, que existem atualizações automáticas para Synology e para o Windows 10 ... então, novamente, não tenho ideia de onde está o problema.

Eu tenho dois usuários no fuso horário de Taipei.

Ambos estão usando PCs com a hora do sistema configurada corretamente para a hora de Taipei.

Ambos têm uma conta do Office 365 E3 Enterprise no mesmo locatário e têm o Office 2016 instalado.

Ambos usam o Outlook 2016 para suas necessidades de email e se conectam ao mesmo servidor Exchange local.

Para um usuário, todos os carimbos de data/hora no e-mail são exibidos corretamente com o horário de Taipei.

Para o outro usuário, todos os carimbos de hora no e-mail parecem estar usando o horário PST.

Por quê?

Tudo que eu google parece fazer referência a fusos horários nas funções de calendário do Outlook, mas eles nem usam seus calendários. Isso é apenas em referência aos carimbos de hora do e-mail.

No momento, estou usando o cmdlet Out-File, assim:

PS> Some-Cmdlet -someswitch | Out-File -filepath .\somefile.txt

Funciona muito bem.

Existe alguma maneira de eu conseguir que a própria linha de comando imprima no mesmo arquivo antes da saída?

Em outras palavras, quando abro somefile.txt, quero ver o seguinte:

Some-Cmdlet -someswitch | Out-File -filepath .\somefile.txt

OUTPUT
OUTPUT
OUTPUT
etc.

Clientes Windows Server 2012 R2 e Windows 10 Pro.

Entããão... Eu estava experimentando OUs no início do meu AD e acidentalmente apliquei um GPO a todo o meu domínio, o que não deveria ter acontecido.

Agora preciso criar um GPO para desfazer o que fiz.

1. Algumas das alterações foram feitas Computer Config -> Preferences -> Windows Settings -> Registrye foi fácil simplesmente criar um GPO diferente que recoloque os valores padrão ou exclua a chave completamente.

2. No entanto, também tenho uma tarefa agendada Computer Config -> Preferences -> Control Panel Settings -> Scheduled Tasksque foi enviada para todos os meus computadores, que agora preciso remover. Desejo criar um novo GPO com o objetivo de remover essa tarefa. Bem, existe uma Deleteopção para Scheduled Tasks, então esse parece ser o método óbvio para realizar o que preciso fazer. No entanto, não tenho certeza se é suficiente simplesmente corresponder com precisão à Nameda tarefa ou se todas as configurações da tarefa devem corresponder com precisão para excluir a tarefa com êxito.

3. Tenho menos certeza sobre as mudanças que ocorreram em Computer Config -> Policies -> Administrative Templates. Então, eu tinha várias configurações que habilitei ou desabilitei. Se bem me lembro, as configurações do Modelo Administrativo são armazenadas em um local especial em cada registro local. Se eu simplesmente desvincular o GPO original (já está), os computadores locais pararão de usar essas configurações do Modelo Administrativo? Caso contrário, se eu vincular um novo GPO com as mesmas configurações definidas para Not configured, ele realmente reverterá as configurações para seu estado original ou terei que criar um novo Modelo Administrativo que defina especificamente cada configuração alterada de volta ao seu estado original? Basicamente, qual é a melhor maneira de reverter as alterações desses arquivos ADMX para o estado padrão?

_{Em primeiro lugar, deixe-me dizer que este é um repost de uma pergunta que postei no AskUbuntu. Se isso for contra as regras, remova-o. Honestamente, após uma consideração mais aprofundada do tópico, percebi que, como o autofs funciona basicamente da mesma forma em várias distros, essa era mais uma questão de autofs/linux do que uma questão específica do Ubuntu. Claro, esta é minha justificativa porque também espero obter mais exposição para esta questão: parece que autofs e WebDAV é uma combinação bastante incomum, então tenho mais chances de encontrar alguém que tenha feito isso com sucesso se Eu tento neste fórum mais geral.}

Estou usando espaços reservados para nomes e pastas de servidores reais, no entanto, tentei torná-los o mais representativos possível dos nomes reais; portanto, preste atenção às letras maiúsculas e à pontuação, caso isso tenha algo a ver com o meu problema.

Estou executando o Ubuntu 16.04 .
Eu instalei autofs e davfs2 .

O seguinte comando é montado com sucesso:

mount -t davfs https://servername.mydomain.com:3333/Shared.Folder /testmount

Ele me pede um nome de usuário e senha, que são [email protected]e myypasswordresulta em uma montagem bem-sucedida.

Isso me diz várias coisas:

1. Meu servidor WebDAV está funcionando e configurado corretamente.
2. HTTPS funciona bem.
3. Minhas credenciais autenticadas com sucesso.

Então agora estou tentando fazer isso funcionar com autofs .

Aqui estão meus arquivos:

/etc/auto.master

/Server.mount /etc/auto.Servername.mount

/etc/auto.Servername.mount

storage-folder -fstype=davfs,ro :https://servername.mydomain.com:3333/Shared.Folder

/etc/davfs2/secrets

https://servername.mydomain.com:3333/Shared.Folder [email protected] mypassword

Com esta configuração, se eu tentar navegar para /Servername.mount/storage-folder, recebo um arquivo No such file or directory error.

Agora tenho 95% de certeza de que meu problema é um erro de sintaxe ou de autenticação. Não há muitos exemplos na web para implementações de autofs baseadas em WebDAV, e alguns deles mostram sintaxe conflitante. No entanto, eu tentei tudo que eu poderia pensar.

Acho que é provável que os dois pontos no auto.Servername.mountarquivo estejam atrapalhando a análise, então tentei todas as seguintes combinações:

storage-folder -fstype=davfs,ro https://servername.mydomain.com:3333/Shared.Folder
storage-folder -fstype=davfs,ro https\://servername.mydomain.com\:3333/Shared.Folder
storage-folder -fstype=davfs,ro :https\://servername.mydomain.com\:3333/Shared.Folder
storage-folder -fstype=davfs,ro https\://servername.mydomain.com\:3333:/Shared.Folder

Se isso não estiver causando o problema, acho que pode ter algo a ver com o secretsarquivo. Então, eu também tentei isso para o meu secrets:

/Servername.mount/storage-folder [email protected] mypassword

Como estou acostumado a usar um arquivo de credenciais com montagens autofs baseadas em cifs, também tentei, apenas por diversão, no meu auto.Servername.mountarquivo:

storage-folder -fstype=davfs,ro,credentials=/etc/credentials.Servername.mount https://servername.mydomain.com:3333/Shared.Folder

Onde credentials.Servername.mountestava simplesmente:

[email protected]  
Password=mypassword  

Eu também tentei com 'credentials.Servername.mount' como:

https://servername.mydomain.com:3333/Shared.Folder [email protected] mypassword

Nada funciona.

Então, sinto que estou perdendo alguma parte pequena, mas crucial, da sintaxe ou configuração aqui. Eu venho até você desesperado. Qualquer ajuda seria apreciada!

Domínio Windows Server 2012 R2 com clientes Windows 10 Pro.

Estou fuçando no GPO sob

User Configuration -> Policies -> Administrative Templates -> Windows Components -> Microsoft Management Console -> Restricted/Permitted snap-ins

Parece o lugar perfeito para estar, mas não é

Posso adicioná-lo manualmente mesmo assim?

• eu tenho UserA.
• Trabalhando em ComputerA.

• Eu configurei uma máquina virtual no ComputerAHyper-V chamada ComputerA-VM.

• ComputerAexecuta o Windows 10 Pro.

• ComputerAfaz parte do domínio.com gerenciado por um controlador de domínio executando o Windows Server 2012 R2.
• UserAé um usuário de domínio.

Eu quero UserAter permissões para INICIAR ComputerA-VMe CONECTAR (acessar o console) ComputerA-VMe NADA MAIS.

Não quero que eles possam criar outras VMs, excluir VMs, editar as configurações do ComputerA-VM ou mexer com instantâneos ou qualquer coisa.

Como posso fazer isso?

Vindo desta pergunta aqui: Como criar um script para Exchange Powershell para modificar as configurações de todas as caixas de correio compartilhadas?

Aqui está o meu script Powershell (role para a direita para ver todos):

$Mailboxes = Get-Mailbox -RecipientTypeDetails SharedMailbox

Foreach ($Mailbox in $Mailboxes) { 
    Set-Mailbox $Mailbox -MessageCopyForSentAsEnabled $True -MessageCopyForSendOnBehalfEnabled $True
    }

Ele funciona bem sozinho se for iniciado a partir de uma janela do Shell de gerenciamento do Exchange.

Mas quero iniciá-lo a partir de um arquivo em lote, então encontrei a seguinte página da Microsoft: https://technet.microsoft.com/en-us/library/bb123798%28v=exchg.150%29.aspx?f=255&MSPPError =-2147217396#RunScript

Seguindo o guia de lá, criei esse arquivo batch (role para a direita para ver todos):

PowerShell.exe -noexit -command ". 'C:\Program Files\Microsoft\Exchange Server\V15\bin\RemoteExchange.ps1'; Connect-ExchangeServer -auto; 'C:\Program Files\Microsoft\Exchange Server\V15\bin\enablesentforshared.ps1'"

Uma coisa que adicionei que não foi especificada nas instruções são aspas simples em torno do caminho completo para o script que desejo executar. Sem as aspas simples, recebi um erro sobre C:\Programnão ser um cmdlet ou script reconhecido.

De qualquer forma, quando executo este arquivo em lote, a janela do terminal é aberta, muda para uma janela do Powershell e o nome do caminho para o script é impresso na tela, mas é impresso ANTES do [PS]prompt e nada é realmente executado.

É assim que minha janela do Powershell fica depois de executar o arquivo em lote:

VERBOSE: Connecting to exchangeserver.domain.com
VERBOSE: Connected to exchangeserver.domain.com
C:\Program Files\Microsoft\Exchange Server\V15\bin\enablesentforshared.ps1
[PS] C:\Users\Admin.domain>

E não há nenhuma indicação de que o script realmente foi executado.

Então, o que eu tenho de errado aqui? Tentei mudar .para a com &base em algumas pesquisas que fiz no Google, mas isso me dá um erro sobre Connect-ExchangeServerser um comando não reconhecido, então acho que .está mais próximo de estar correto.

Seguindo este guia: https://blogs.technet.microsoft.com/exchange/2015/03/03/want-more-control-over-sent-items-when-using-shared-mailboxes/

Devo emitir estes comandos no Exchange Powershell (Exchange Management Console):

set-mailbox <mailbox name> -MessageCopyForSentAsEnabled $True
set-mailbox <mailbox name> -MessageCopyForSendOnBehalfEnabled $True

No entanto, tenho muitas caixas de correio compartilhadas. Eu quero não ter que emitir este comando 100 vezes. Existe uma variável e/ou script que eu possa usar para <mailbox name>automatizar esse processo para todas as caixas de correio compartilhadas ? (É muito importante que eu aplique isso apenas a caixas de correio compartilhadas e não apenas a todas as caixas de correio)

Continuo recebendo um erro GPO 0x80070bcb em meus clientes Windows 10 Pro ao tentar instalar uma impressora de rede compartilhada Brother. Aparentemente, esse erro significa que ele não consegue encontrar um driver (ou não consegue instalá-lo).

1. A impressora é compartilhada de uma máquina Windows Server 2012 R2, que também é um controlador de domínio em meu domínio.
2. Baixei o driver mais recente do site da Brother, que afirma que o driver é certificado pela WHQL.
3. Instalei as versões de 64 bits e 32 bits do driver no servidor de impressão.
4. Ativei as Restrições de apontar e imprimir via GPO e especifiquei o servidor de impressão mencionado acima como uma fonte autorizada de drivers. Além disso, desativei os avisos ao instalar uma nova impressora (somente o aviso é ativado para atualizar um driver).
5. A impressão funciona bem a partir do servidor.

O que mais é necessário para superar esse erro?

Percebo que qualquer coisa que adiciono Security Filteringtambém aparece em Delegation, então não tenho certeza de como ou por que ambos existem e se são redundantes ou não?

Até agora, eu estava usando exclusivamente Security Filteringpara determinar se um GPO é aplicado e a quais grupos, mas agora há um novo patch para o Windows Server que impede a aplicação de meus GPOs, a menos que eu adicione Domain Computersa Security Filtering... ( GPOs não são aplicados; motivo: Inacessível, vazio ou desativado; Server 2012 R2 e Windows 10 )

Isso parece muito confuso para mim, pois sempre pensei que os direitos de GPO seriam lidos independentemente com base em toda a minha experiência com privilégios do Windows. Em outras palavras, se eu tiver Bobe Sueem Group Ae Bobe em , Bille adicionar e a um GPO com e definir, espero que o GPO se aplique a , , e . (Efetivamente uma operação lógica: se um usuário estiver em ou , aplique a política).SarahGroup BGroup AGroup BReadApplyBobSueBillSarahORGroup AGroup B

Portanto, se eu adicionar Group Ae Domain Computersà Security Filteringguia, esperaria que o GPO se aplicasse a Bobe Sue, mas também a todos os computadores do domínio, tornando-se efetivamente Group Aredundante, pois todos os computadores que receberem o GPO sempre farão parte do domínio.

No entanto, a postagem do usuário Adwaenyth ( Falha ao aplicar GPOs; motivo: Inacessível, Vazio ou Desativado; Servidor 2012 R2 e Windows 10 ) parece implicar que Security Filteringagora está operando por meio de um ANDtipo de lógica, em que o destino deve ser um membro de todos os grupos para o GPO aplicar. No meu exemplo de Group Ae Group Bacima, então, só Bobaplicaria o GPO, pois ele é o único nos dois grupos.

Todo esse mistério seria resolvido para mim se eu apenas precisasse adicionar Readdireitos, e não Apply direitos, a Domain Computers. Domain ComputersMas então por que preciso adicionar Security Filteringonde Applyos direitos são concedidos automaticamente? Tudo isso volta novamente à mesma questão de qual é, efetivamente, a diferença entre Security Filteringe Delegation? Estou ciente de que Delegationtambém é para conceder aos usuários e administradores limitados a capacidade de editar, modificar ou excluir um GPO. Mas e se eu usar Delegationpara dar manualmente uma entidade Reade Applydireitos? Isso é o mesmo que colocar a entidade Security Filtering?

Esta questão também é colocada aqui: um GPO se aplica se a guia "Filtragem de segurança" estiver vazia, mas houver um grupo de segurança em Delegação com o direito Ler e Aplicar?

Eu tenho um domínio do Windows Server 2012 R2.

Ontem, a unidade de rede de um computador (com o Windows 10 Pro) parou de funcionar.

Após uma investigação mais aprofundada ( gpresult /h) parece que TODOS os objetos de política de grupo estão falhando com o motivo Inaccessible, Empty, or Disabled.

Confirmei que todos os GPOs ainda existem e estão habilitados em ambos os controladores de domínio (redundante e local). Além disso, existem outras 20 máquinas no mesmo domínio e LAN sem absolutamente nenhum problema.

No entanto, há um outro computador que testei que apresentou o mesmo problema! Isso significa que o problema está nos servidores?

gpresult /rrelata que um cliente está obtendo GPOs do DC1 local e o outro do DC2. Portanto, não é um problema relacionado a um DC específico.

gpupdate /forcenão corrigiu nada (embora afirmasse que as políticas foram aplicadas).

Tentei excluir as entradas de registro para políticas locais (seguindo este guia https://superuser.com/questions/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -do ) e reiniciando - mesmo problema.

Encontrei esta página de suporte da Microsoft ( https://support.microsoft.com/en-us/kb/2976965 ), mas ela afirma que se aplica apenas ao Windows 7 ou clientes anteriores.

Todas as minhas máquinas (servidor e cliente) estão executando versões de 64 bits e estão totalmente atualizadas. Eu reiniciei todos eles só para ter certeza.

Rede:

• Domínio multi-site.
• Cada site tem 2 controladores de domínio Windows Server 2012 R2 locais (no local, na mesma sub-rede).
• Os sites são definidos corretamente nos sites e serviços do Windows.
• Os registros DNS para cada site APENAS têm os dois servidores DNS locais definidos.
• TODOS os clientes são Windows 10 Pro de 64 bits com todas as atualizações.
• Ambas as redes são totalmente gigabit rodando em switches Cisco com cabeamento CAT6 certificado.
• Cada local tem um servidor de armazenamento Synology local (no local, na mesma sub-rede).
• Como parte da Política de Grupo, duas unidades de rede são mapeadas para compartilhamentos no servidor Synology.

Diagnóstico de conectividade:

• dcdiag /test:dns /v /c /erelatórios PASSpara TODOS os servidores e TODOS os testes
• echo %logonserver% sempre retorna um DC local
• nltest /dsgetdc sempre mostra um DC local e IP local correto
• No Site A, ambas as unidades de rede aparecem, com talvez 0,5% de chance de falha (experimentei algumas inicializações em que as unidades não aparecem corretamente).

Questão:

No Site B, as unidades de rede não aparecem talvez 30% do tempo. Às vezes são as duas unidades, às vezes é uma ou outra. O problema é principalmente aleatório e não parece seguir nenhum usuário ou estação de trabalho em particular.

Sintomas:

Dos 30% das vezes em que um problema se apresenta:

• 5% das vezes um gpupdateou gpupdate /forceresolverá o problema e as unidades aparecerão imediatamente. Se gpupdatenão funcionar na primeira tentativa, praticamente nunca funcionará depois disso (para essa inicialização)
• 5% do tempo a gpupdateou gpupdate /forcefará com que apenas uma unidade apareça
• 20% do tempo, a gpupdatenão resolverá o problema, mas a próxima inicialização estará bem
• 50% das vezes, um gpupdatenão vai resolver o problema, mas depois de um boot e outro gpupdate , os drives vão aparecer

• Em 20% das vezes, serão necessárias várias reinicializações (e gpupdatepara cada inicialização) antes que as unidades apareçam. Às vezes são 2 inicializações, mas raramente tive que reiniciar um computador às vezes 6 ou 7 vezes antes que as unidades aparecessem.

  • Nos últimos 20% do tempo, às vezes recebo erros do processo gpupdate.

    The processing of Group Policy failed. Windows attempted to read the file 
    \domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini 
    from a domain controller and was not successful. Group Policy settings may not be 
    applied until this event is resolved. This issue may be transient and could be 
    caused by one or more of the following:  
    
    a) Name Resolution/Network Connectivity to the current domain controller.  
    b) File Replication Service Latency (a file created on another domain controller 
       has not replicated to the current domain controller).  
    c) The Distributed File System (DFS) client has been disabled.
    

  • Este erro é, na verdade, geralmente , mas nem sempre, um bom sinal, porque geralmente depois que recebo esse erro, a próxima ´gpupdate´ ou a próxima inicialização e ´gpupdate´ fará com que as unidades reapareçam.

Diagnóstico do mapa da unidade:

1. gpresult /h gpresult.htmlmostra:

   Drive Map (Drive: X)
    The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts.
      X:
       Winning GPO  DriveMaps 
        General Settings
         Result: Success
   

2. Ativei o log de depuração do ambiente de política de grupo (conforme http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx criou a entrada de registro [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002). O arquivo de log c:\Windows\debug\UserMode\gpsvc.lognão me mostrou nenhum erro claro, nem consegui encontrar muita ajuda no google. Aqui estão algumas mensagens interessantes que recebi:

   GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier.  
   GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. 
   GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.
   

3. Eu habilitei a depuração de preferências de política de grupo para Drive Maps (conforme http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the -rsat.aspx definido Drive Map Policy Processingcomo Enablede ativado Event Loggingnas propriedades de \Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracing). O arquivo de log C:\ProgramData\GroupPolicy\Preference\Trace\User.lognão retornou nenhum erro.

   2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:.
   2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP.
   2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping.
   2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context.
   2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token.
   2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token).
   2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:.
   2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2.
   2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children.
   2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly.
   2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.
   

4. Eu também tenho várias capturas netmon de um login com falha ao carregar as unidades, mas a captura tem tantas informações que não sei por onde começar.

5. Se, após uma falha no login, eu tentar navegar diretamente para \\SynologyServer\ShareName\, o compartilhamento sempre será carregado imediatamente sem nenhum erro. Não há sinais de problemas de conexão ou permissão.

Pergunta:

Por que esse problema ocorre com tanta frequência em um site, mas quase nunca no outro, quando ambos estão no mesmo domínio, têm a mesma política e executam o mesmo software?

A única diferença de software em que consigo pensar é que no Local A, todos os computadores estavam executando o Windows 8.1 Pro e foram atualizados para o Windows 10 Pro, enquanto no Local B, todos os computadores têm novas instalações do Windows 10 Pro.

Fiz um c:\dcidag /v /c /eteste (/v = detalhado, /c = abrangente, /e = cada DC) em todos os meus (atualmente) 5 controladores de domínio e recebi este resumo dos resultados no final:

                             Aut. B s. Reenv. Del. Din. RReg.
Ext.
_________________________________________________________________
Domain: mydomain.com

dc-serv-1                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-2                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-3                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-4                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-5                    PASS PASS PASS PASS PASS PASS n/a 

Então, isso é uma coisa boa, obviamente. Mas quando li os resultados em detalhes, descobri que todos os servidores, exceto o servidor do qual o teste foi executado, falharam em três testes:

Starting test: DFSREvent

     The event log DFS Replication on server
     dc-serv-2.mydomain.com could not be queried, error 0x6ba
     "The RPC server is unavailable."
     ......................... dc-serv-2 failed test DFSREvent

Starting test: KccEvent

     The event log Directory Service on server
     dc-serv-2.mydomain.com could not be queried, error 0x6ba
     "The RPC server is unavailable."
     ......................... dc-serv-2 failed test KccEvent

Starting test: SystemLog

     The event log System on server dc-serv-2.mydomain.com could not
     be queried, error 0x6ba "The RPC server is unavailable."
     ......................... dc-serv-2 failed test SystemLog

Se eu executasse o teste de dc-serv-1, então dc-serv-1(o servidor local) passaria em tudo, mas dc-serv-2passaria -5nesses mesmos três testes e passaria em todo o resto.

Encontrei esta página de suporte https://support.microsoft.com/en-us/kb/2512643 que parece indicar que isso é normal para o Windows Server 2008+. Estou executando o Windows Server 2012 R2 em todos os DCs.

A página de suporte diz que a causa é um problema de firewall, o que faz sentido, pois o servidor local passa sem problemas. A página de suporte diz que posso simplesmente ignorar esses erros (o que também faz sentido, considerando que o status final está listado como PASS) ou posso abrir o firewall para permitir a leitura dos logs.

Existem vantagens/desvantagens em corrigir esses erros abrindo o firewall?

Pergunta. Eu tenho um Windows AD Domain e há uma parte que é um mistério para mim: como o Windows Domain / DNS Server está fazendo pesquisas de domínios fora do domínio do Windows?

Em uma rede doméstica simples, o roteamento de solicitação de DNS é fácil de entender:

Generic Example: Client machine -> (defined DNS or from DHCP) -> 
                ->Router / Gateway -> (usually ISP DNS) -> DNS root servers -> Internet
Specific Example: 192.168.1.101 -> 192.168.1.1 -> 8.8.8.8 -> DNS root servers -> Internet

Em contraste, o caminho que vejo atualmente para minha rede AD é este:

Client Machine -> Windows Domain / DNS -> ??????? -> DNS root servers -> Internet

Se eu verificar as configurações de rede no meu servidor de domínio, o DNS será definido para o servidor DNS alternativo (servidor de domínio secundário), ele mesmo e o loopback e nada mais.

Minha internet funciona, então, de alguma forma, o servidor de domínio do Windows é inteligente o suficiente para obter informações de DNS de um servidor upstream, mas onde e como isso é definido?