我有一台 Windows 10 Pro 机器，用作单个用户的 RDP 终端。

这台机器是 2 年多前配置的，除了强制的 Windows 10 自动更新之外，它的配置没有任何重大变化。

直到几个月前，当窗口尝试通过 RDC 连接时用户开始收到此错误时，一切都运行良好：

Remote Desktop Connection
An internal error has occurred.

我尝试通过我的管理员凭据通过 RDC 登录，但我得到了同样的错误。单击连接后立即出现错误。没有处理时间，连接尝试似乎立即被服务器拒绝。

我无法将问题追溯到任何特定时间或事件。它似乎是随机发生的。有时几天后，有时一天两次。

重新启动 Windows 10 Pro 机器似乎总能解决问题。

奇怪的是，Event Viewer在 Windows 10 Pro 机器上访问似乎也解决了这个问题，但如果我使用这个“修复”，它几乎总是会更快地返回。

说到Event Viewer，这些是我在登录被拒绝时在与 RDC 相关的日志中发现的相关错误：

Error Event 227 RemoteDesktopServices-RdpCoreTS
    General: 'Failed OnConnected to Listener callback' in CUMRDPConnection::InitializeInstance at 606 err=[0x8007050c]
    Log Name: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational
    Source: RemoteDesktopServices-RdpCoreTS
    EventID: 227
    Task Category: RemoteFX module
    Level: Error
    User: NETWORK SERVICE
    OpCode: Runtime

Error Event 227 RemoteDesktopServices-RdpCoreTS
    General: spCoreConnection is NULL!' in CUMRDPConnection::TerminalInstance at 741 err=[0x8007139f]
    Log Name: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational
    Source: RemoteDesktopServices-RdpCoreTS
    EventID: 227
    Task Category: RemoteFX module
    Level: Error
    User: NETWORK SERVICE
    OpCode: Runtime

这些是我在日志中注意到的其他一些错误，但与我尝试连接的那一刻不对应：

Warning Event 226, RemoteDesktopServices-RdpCoreTS
    General: RDP_TCP: An error was encountered when transitioning from StateUnknown in response to Event_Disconnect (error code 0x80070040)

Warning Event 142, RemoteDesktopServices-RdpCoreT
    General: TCP socket READ operation failed, error 64

请注意，客户端计算机也在运行 Windows 10 Pro。

请注意，我也已将其交叉发布到 Synology 论坛。我在这里发帖是因为我不确定问题出在 Windows 还是 Synology 服务器：

背景

带有多个 Synology 服务器的数十个工作站。

所有运行 Windows 10 专业版的工作站。

在过去的一年中，直到大约一周前，所有工作站都能够正常访问所有 Synology 服务器。

问题和症状

现在刚开始大约一周前，ONE 工作站无法通过 Windows 资源管理器访问 ONE Synology 服务器。

它不适用\\UNCname也不适用\\ip.ad.re.ss

但是，我可以使用 ip.ad.re.ss 很好地 ping 服务器，并且 nslookup 用于 UNCname 返回正确的地址。

难题

如果这发生在我所有的工作站上，我会认为 Synology 服务器有问题。但是所有其他工作站访问这个 Synology 盒子都没有问题。如果这台机器上的所有 Synology 服务器都发生这种情况，我会假设工作站有问题。但工作站在访问同一网络上的其他 Synology 机器时没有问题，直到一周前，该特定机器都没有问题。

同样，这只是 ONE 工作站突然与 ONE Synology 服务器出现问题。

我没有任何改变，当然除了 Synology 和 Windows 10 都有自动更新......所以我也不知道问题出在哪里。

我在台北时区有两个用户。

两者都使用系统时间正确设置为台北时间的 PC。

两者都在同一租户上拥有 Office 365 E3 Enterprise 帐户并安装了 Office 2016。

两者都使用 Outlook 2016 来满足其电子邮件需求，并连接到同一个本地 Exchange 服务器。

对于一位用户，电子邮件上的所有时间戳都与台北时间正确显示。

对于其他用户，电子邮件上的所有时间戳似乎都在使用 PST 时间。

为什么？

我在谷歌上搜索的所有内容似乎都引用了 Outlook 日历功能中的时区，但他们甚至不使用他们的日历。这仅参考电子邮件时间戳。

我目前正在使用 Out-File cmdlet，如下所示：

PS> Some-Cmdlet -someswitch | Out-File -filepath .\somefile.txt

它工作得很好。

无论如何，我实际上可以让命令行本身在输出之前打印到同一个文件吗？

换句话说，当我打开时，somefile.txt我想看到以下内容：

Some-Cmdlet -someswitch | Out-File -filepath .\somefile.txt

OUTPUT
OUTPUT
OUTPUT
etc.

Windows Server 2012 R2 和 Windows 10 Pro 客户端。

太好了...我在 AD 早期尝试使用 OU，但我不小心将 GPO 应用于我的整个域，这不应该。

我现在需要创建一个 GPO 来撤销我所做的。

1. 其中一些更改Computer Config -> Preferences -> Windows Settings -> Registry很容易创建一个不同的 GPO 来放回默认值，或者完全删除密钥。

2. 但是，我还有一个计划任务，该任务已Computer Config -> Preferences -> Control Panel Settings -> Scheduled Tasks发送到我的所有计算机，我现在需要将其删除。我想创建一个新的 GPO 来删除该任务。好吧，有一个Delete选项Scheduled Tasks，所以这似乎是完成我需要做的事情的明显方法。但是，我不确定仅仅精确匹配Name任务是否足够，或者任务的所有设置是否必须精确匹配才能成功删除任务。

3. 我最不确定在Computer Config -> Policies -> Administrative Templates. 所以，我有几个启用或禁用的设置。如果我没记错的话，管理模板设置存储在每个本地注册表的一个特殊位置。如果我只是取消链接原始 GPO（它已经是），本地计算机会停止使用这些管理模板设置吗？如果不是，如果我将具有相同设置的新 GPO 链接为Not configured，它实际上是否会将设置恢复为其原始状态，或者我是否必须创建一个新的管理模板，专门将每个更改的设置设置回其原始状态？基本上，将这些 ADMX 文件的更改恢复到默认状态的最佳方法是什么？

_{首先让我说这是我在 AskUbuntu 中发布的一个问题的转贴。如果这违反了规则，那么请删除它。老实说，在进一步考虑该主题后，我意识到由于 autofs 在各种发行版中的工作原理基本相同，因此这更像是一个 autofs/linux 问题，而不是特定于 Ubuntu 的问题。当然，这是我的理由，因为我也希望获得更多关于这个问题的曝光：autofs 和 WebDAV 似乎是一个相当不常见的组合，所以我更有机会找到其他成功完成它的人我尝试在这个更通用的论坛中。}

我正在为真实的服务器名称和文件夹使用占位符，但是，我已尝试使它们尽可能代表真实名称，因此请注意我的大小写和标点符号，以防与我的问题有关。

我正在运行Ubuntu 16.04。
我已经安装了autofs和davfs2。

以下命令成功挂载：

mount -t davfs https://servername.mydomain.com:3333/Shared.Folder /testmount

它要求我输入用户名和密码，[email protected]然后myypassword是成功挂载。

这告诉了我几件事：

1. 我的 WebDAV 服务器工作正常且配置正确。
2. HTTPS 工作正常。
3. 我的凭据已成功验证。

所以现在我正试图让它与autofs一起工作。

这是我的文件：

/etc/auto.master

/Server.mount /etc/auto.Servername.mount

/etc/auto.Servername.mount

storage-folder -fstype=davfs,ro :https://servername.mydomain.com:3333/Shared.Folder

/etc/davfs2/secrets

https://servername.mydomain.com:3333/Shared.Folder [email protected] mypassword

使用此设置，如果我尝试浏览到/Servername.mount/storage-folder，我会得到一个No such file or directory error.

现在我 95% 确定我的问题是语法错误或身份验证错误。对于基于 WebDAV 的 autofs 实现，在 Web 上找不到很多示例，其中一些示例显示了冲突的语法。尽管如此，我已经尝试了我能想到的一切。

我认为auto.Servername.mount文件中的冒号很可能搞砸了解析，所以我尝试了以下所有组合：

storage-folder -fstype=davfs,ro https://servername.mydomain.com:3333/Shared.Folder
storage-folder -fstype=davfs,ro https\://servername.mydomain.com\:3333/Shared.Folder
storage-folder -fstype=davfs,ro :https\://servername.mydomain.com\:3333/Shared.Folder
storage-folder -fstype=davfs,ro https\://servername.mydomain.com\:3333:/Shared.Folder

如果这不是导致问题的原因，那么我认为这可能与secrets文件有关。所以我也为我的secrets：

/Servername.mount/storage-folder [email protected] mypassword

由于我习惯于将凭据文件与基于 cifs 的 autofs 挂载一起使用，因此我也尝试在我的auto.Servername.mount文件中进行尝试，只是为了好玩：

storage-folder -fstype=davfs,ro,credentials=/etc/credentials.Servername.mount https://servername.mydomain.com:3333/Shared.Folder

简单credentials.Servername.mount地说：

[email protected]  
Password=mypassword  

我还尝试使用“credentials.Servername.mount”作为：

https://servername.mydomain.com:3333/Shared.Folder [email protected] mypassword

没有任何效果。

所以我觉得我在这里遗漏了一些小而重要的语法或配置。我绝望地来到你身边。任何帮助，将不胜感激！

带有 Windows 10 Pro 客户端的 Windows Server 2012 R2 域。

我在 GPO 下闲逛

User Configuration -> Policies -> Administrative Templates -> Windows Components -> Microsoft Management Console -> Restricted/Permitted snap-ins

看起来是一个完美的地方，但它不是

我可以手动添加它吗？

• 我有UserA。
• 工作ComputerA。

• 我已经ComputerA在 Hyper-V 下设置了一个名为ComputerA-VM.

• ComputerA运行 Windows 10 专业版。

• ComputerA是 domain.com 的一部分，由运行 Windows Server 2012 R2 的 DC 管理。
• UserA是域用户。

我想UserA拥有 STARTComputerA-VM和 CONNECT（访问控制台）的权限，而没有其他权限ComputerA-VM。

我不希望他们能够创建其他虚拟机、删除虚拟机、编辑 ComputerA-VM 的设置，或者弄乱快照或任何东西。

我怎样才能做到这一点？

来自这里的这个问题：如何为 Exchange Powershell 创建脚本以修改所有共享邮箱的设置？

这是我的 Powershell 脚本（向右滚动查看全部）：

$Mailboxes = Get-Mailbox -RecipientTypeDetails SharedMailbox

Foreach ($Mailbox in $Mailboxes) { 
    Set-Mailbox $Mailbox -MessageCopyForSentAsEnabled $True -MessageCopyForSendOnBehalfEnabled $True
    }

如果从 Exchange 命令行管理程序窗口启动，它本身就可以正常工作。

但我想从批处理文件中启动它，所以我找到了以下 Microsoft 页面：https ://technet.microsoft.com/en-us/library/bb123798%28v=exchg.150%29.aspx?f=255&MSPPError =-2147217396#RunScript

按照那里的指南，我创建了这个批处理文件（向右滚动查看全部）：

PowerShell.exe -noexit -command ". 'C:\Program Files\Microsoft\Exchange Server\V15\bin\RemoteExchange.ps1'; Connect-ExchangeServer -auto; 'C:\Program Files\Microsoft\Exchange Server\V15\bin\enablesentforshared.ps1'"

我在说明中未指定的一件事是在我要运行的脚本的完整路径周围加上单引号。如果没有单引号，我会收到关于C:\Program不是可识别的 cmdlet 或脚本的错误。

无论如何，当我运行这个批处理文件时，终端窗口打开，然后更改为 Powershell 窗口，脚本的路径名被打印到屏幕上，但它在[PS]提示之前打印出来，实际上没有执行任何操作。

这是执行批处理文件后我的 Powershell 窗口的样子：

VERBOSE: Connecting to exchangeserver.domain.com
VERBOSE: Connected to exchangeserver.domain.com
C:\Program Files\Microsoft\Exchange Server\V15\bin\enablesentforshared.ps1
[PS] C:\Users\Admin.domain>

并且没有迹象表明该脚本已实际运行。

那么我在这里做错了什么？我尝试根据我所做的一些谷歌搜索将其更改.为 a ，但这给了我一个关于成为无法识别的命令的错误，所以我认为它更接近正确。&Connect-ExchangeServer.

遵循本指南：https ://blogs.technet.microsoft.com/exchange/2015/03/03/want-more-control-over-sent-items-when-using-shared-mailboxes/

我必须在 Exchange Powershell（Exchange 管理控制台）中发出这些命令：

set-mailbox <mailbox name> -MessageCopyForSentAsEnabled $True
set-mailbox <mailbox name> -MessageCopyForSendOnBehalfEnabled $True

但是，我有很多共享邮箱。我不想发出这个命令 100 次。是否有我可以使用的变量和/或脚本<mailbox name>让我为所有共享邮箱自动执行此过程？（非常重要的是，我仅将其应用于共享 邮箱，而不仅仅是所有邮箱）

尝试安装 Brother 共享网络打印机时，我在 Windows 10 Pro 客户端上不断收到 GPO 错误 0x80070bcb。显然这个错误意味着它找不到驱动程序（或无法安装它）。

1. 打印机从 Windows Server 2012 R2 机器共享，这也是我域中的 DC。
2. 我从 Brother 网站下载了最新的驱动程序，声称该驱动程序是 WHQL 认证的。
3. 我已经在打印服务器上安装了 64 位和 32 位版本的驱动程序。
4. 我通过 GPO 启用了指向和打印限制，并将上述打印服务器指定为驱动程序的授权来​​源。此外，我在安装新打印机时禁用了警告（仅启用警告以更新驱动程序）。
5. 从服务器打印工作正常。

克服这个错误还需要什么？

我注意到我添加的任何内容Security Filtering也出现在 下Delegation，所以我不确定它们如何或为什么都存在，以及它们是否是多余的？

到目前为止，我一直专门Security Filtering用于确定是否应用了 GPO 以及应用到哪些组，但现在 Windows Server 有一个新补丁，它会阻止我的 GPO 应用，除非我添加Domain Computers到Security Filtering...（GPO 无法应用；原因：无法访问、为空或已禁用；Server 2012 R2 和 Windows 10）

这对我来说似乎很困惑，因为我一直认为 GPO 权限将根据我对 Windows 权限的所有经验独立读取。换句话说，如果我有Boband Suein Group Aand Boband Billand Sarahin Group B，并且我将Group Aand添加Group B到带有ReadandApply设置的 GPO，那么我希望 GPO 将适用于Bob、Sue、Bill和Sarah。（实际上是一个逻辑OR操作：如果用户在Group Aor中Group B，则应用该策略）。

因此，如果我将Group Aand添加Domain Computers到Security Filtering选项卡，我希望 GPO 应用于Boband Sue，但也应用于域中的每台计算机，从而有效地呈现Group A冗余，因为接收 GPO 的每台计算机将始终是域的一部分。

但是，用户 Adwaenyth 的帖子（GPO 无法应用；原因：无法访问、空或已禁用；Server 2012 R2 和 Windows 10）似乎暗示Security Filtering现在正在通过AND一种逻辑运行，其中目标必须是GPO 应用的所有组。那么，在我以上的例子中Group A，Group B只会Bob应用 GPO，因为他是两组中唯一的一个。

如果我只需要添加Read权限而不是 Apply权限到Domain Computers. 但是，为什么我需要添加Domain Computers到自动授予权限的位置Security Filtering？这一切又回到了同一个问题，实际上，和Apply之间的区别是什么？我知道这也是为了授予用户和有限管理员编辑、修改或删除 GPO 的能力。但是如果我使用手动赋予实体和权限呢？这与将实体放入相同吗？ Security FilteringDelegationDelegationDelegationReadApplySecurity Filtering

这个问题也在这里提出：如果“安全过滤”选项卡为空，是否适用 GPO，但委派中有一个具有读取和应用权限的安全组？

我有一个 Windows Server 2012 R2 域。

昨天，一台计算机（运行 Windows 10 Pro）的网络驱动器停止工作。

经过进一步调查 ( gpresult /h) 后，似乎所有组策略对象都因原因而失败Inaccessible, Empty, or Disabled。

我已经确认所有 GPO 仍然存在并且在（冗余和本地）域控制器上都启用。此外，在同一个域和 LAN 上还有 20 台其他机器绝对没有问题。

但是，我测试过的另一台计算机也出现了同样的问题！这是否意味着问题出在服务器上？

gpresult /r报告一个客户端从本地 DC1 获取 GPO，另一个从 DC2 获取 GPO。因此，这不是与特定 DC 相关的问题。

gpupdate /force什么都没解决（尽管它声称已应用了政策）。

我尝试删除本地策略的注册表项（按照本指南https://superuser.com/questions/379908/how-to-clear-or-remove-domain-applied-group-policy-settings-after-leaving-the -do ) 并重新启动 - 同样的问题。

我从 Microsoft ( https://support.microsoft.com/en-us/kb/2976965 ) 找到了这个支持页面，但它声称它仅适用于 Windows 7 或更早版本的客户端。

我所有的机器（服务器和客户端）都运行 64 位版本并且已经完全更新。为了确定，我已经重新启动了所有这些。

网络：

• 多站点域。
• 每个站点有 2 个本地（现场，相同子网）Windows Server 2012 R2 域控制器。
• Windows 站点和服务中正确定义了站点。
• 每个站点的 DNS 记录只定义了两个本地 DNS 服务器。
• 所有客户端都是带有所有更新的 Windows 10 Pro 64 位。
• 这两个网络都是在 Cisco 交换机上运行的全千兆网络，具有经过认证的 CAT6 布线。
• 每个站点都有一个本地（现场、同一子网）Synology 存储服务器。
• 作为组策略的一部分，两个网络驱动器映射到 Synology 服务器上的共享。

连接诊断：

• dcdiag /test:dns /v /c /ePASS所有服务器和所有测试的报告
• echo %logonserver% 总是返回一个本地 DC
• nltest /dsgetdc 始终显示本地 DC 和正确的本地 IP
• 在站点 A 上，两个网络驱动器都出现了，故障几率可能为 0.5%（我经历过几次启动时驱动器无法正确显示的情况）。

问题：

在站点 B，网络驱动器可能有 30% 的时间无法显示。有时它是两个驱动器，有时它是一个或另一个。该问题主要是随机的，并且似乎与任何特定用户或工作站无关。

症状：

在出现问题的 30%的时间里：

• 5% 的时间 agpupdate或gpupdate /force将解决问题，驱动器将立即出现。如果gpupdate在第一次尝试时不起作用，那么之后它几乎永远不会起作用（对于那个启动）
• 5% 的时间 agpupdate或gpupdate /force将导致只出现一个驱动器
• 20% 的情况下，agpupdate无法解决问题，但下次启动就可以了
• 50% 的情况下，agpupdate无法解决问题，但在一次又一次 gpupdate启动后，驱动器会出现

• 20% 的时间，在驱动器出现之前需要多次重新启动（并且gpupdate每次启动）。有时是 2 次启动，但我很少重启计算机，有时会在驱动器出现之前 6 或 7 次。

  • 在这最后 20% 的时间里，我有时会从 gpupdate 过程中得到错误。

    The processing of Group Policy failed. Windows attempted to read the file 
    \domain\SysVol\domain.local\Policies{5898270F-33D0-41E8-A516-56B3E6D2DBAB}\gpt.ini 
    from a domain controller and was not successful. Group Policy settings may not be 
    applied until this event is resolved. This issue may be transient and could be 
    caused by one or more of the following:  
    
    a) Name Resolution/Network Connectivity to the current domain controller.  
    b) File Replication Service Latency (a file created on another domain controller 
       has not replicated to the current domain controller).  
    c) The Distributed File System (DFS) client has been disabled.
    

  • 这个错误实际上（通常但并非总是）是一个好兆头，因为通常在我收到此错误后，下一次“gpupdate”或下一次启动和“gpupdate”将使驱动器重新出现。

驾驶地图诊断：

1. gpresult /h gpresult.html显示：

   Drive Map (Drive: X)
    The following settings have applied to this object. Within this category, settings nearest the top of the report are the prevailing settings when resolving conflicts.
      X:
       Winning GPO  DriveMaps 
        General Settings
         Result: Success
   

2. 我已启用组策略环境调试日志记录（根据 http://social.technet.microsoft.com/wiki/contents/articles/4506.group-policy-debug-log-settings.aspx创建的注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics] "GPSvcDebugLevel"=dword:00030002）。日志文件c:\Windows\debug\UserMode\gpsvc.log没有向我显示任何明显的错误，我也无法通过谷歌找到太多帮助。以下是我收到的一些有趣的消息：

   GPSVC(158.33c) 23:33:24:921 CheckGPOs: No GPO changes but extension Group Policy Drive Maps's returned error status 183 earlier.  
   GPSVC(158.c24) 23:38:12:203 ProcessGPOs(Machine): Extension Group Policy Drive Maps skipped with flags 0x110057. 
   GPSVC(158.157c) 23:08:08:216 ProcessGPOs(User): Extension Group Policy Drive Maps ProcessGroupPolicy failed, status 0xb7.
   

3. 我已启用 Drive Maps 的组策略首选项调试（根据http://blogs.technet.com/b/askds/archive/2008/07/18/enabling-group-policy-preferences-debug-logging-using-the -rsat.aspx设置Drive Map Policy Processing并在 )的属性中Enabled打开。日志文件没有返回任何错误。Event Logging\Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and tracingC:\ProgramData\GroupPolicy\Preference\Trace\User.log

   2015-11-21 17:47:38.849 [pid=0x22c,tid=0xcd0] Starting class <Drive> - X:.
   2015-11-21 17:47:38.864 [pid=0x22c,tid=0xcd0] Adding child elements to RSOP.
   2015-11-21 17:47:38.880 [pid=0x22c,tid=0xcd0] Beginning drive mapping.
   2015-11-21 17:47:38.896 [pid=0x22c,tid=0xcd0] Set user security context.
   2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] User does not have a split token.
   2015-11-21 17:47:38.927 [pid=0x22c,tid=0xcd0] Drive doesn't exist (full token).
   2015-11-21 17:47:39.114 [pid=0x22c,tid=0xcd0] Connected with access name x:.
   2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification Session ID is 2.
   2015-11-21 17:47:39.146 [pid=0x22c,tid=0xcd0] SendNotification discovered drive mask of 8388608.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set system security context.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] SendNotification drive event broadcast sent.
   2015-11-21 17:47:39.161 [pid=0x22c,tid=0xcd0] Set user security context.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] SendNotification to Shell.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Set system security context.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Properties handled.
   2015-11-21 17:47:39.177 [pid=0x22c,tid=0xcd0] Handle Children.
   2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] EVENT : The element of user preferences 'X:' of the group policy object 'DriveMaps {06FEB8B9-632C-4A1C-A7C9-5A05E1041BEE}' was applied correctly.
   2015-11-21 17:47:39.192 [pid=0x22c,tid=0xcd0] Completed class <Drive> - X:.
   

4. 我还有几个 netmon 捕获的驱动器无法加载的登录信息，但是捕获的信息太多，我不知道从哪里开始。

5. 如果在登录失败后，我尝试直接浏览到\\SynologyServer\ShareName\，则共享始终会立即加载而不会出现任何错误。没有连接或权限问题的迹象。

问题：

为什么这个问题在一个站点上如此频繁地发生，而在另一个站点上却几乎从未发生过，因为它们都在同一个域中，具有相同的策略，并且运行的是相同的软件？

我能想到的唯一软件区别是，在站点 A，所有计算机都运行 Windows 8.1 Pro 并升级到 Windows 10 Pro，而在站点 B，所有计算机都全新安装了 Windows 10 Pro。

我在所有（当前）5 个域控制器上运行了c:\dcidag /v /c /e测试（/v = 详细，/c = 综合，/e = 每个 DC），最后收到了以下结果摘要：

                             Aut. B s. Reenv. Del. Din. RReg.
Ext.
_________________________________________________________________
Domain: mydomain.com

dc-serv-1                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-2                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-3                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-4                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-5                    PASS PASS PASS PASS PASS PASS n/a 

所以，这显然是件好事。但是当我仔细阅读结果时，我发现除了运行测试的服务器之外，每台服务器都未通过三个测试：

Starting test: DFSREvent

     The event log DFS Replication on server
     dc-serv-2.mydomain.com could not be queried, error 0x6ba
     "The RPC server is unavailable."
     ......................... dc-serv-2 failed test DFSREvent

Starting test: KccEvent

     The event log Directory Service on server
     dc-serv-2.mydomain.com could not be queried, error 0x6ba
     "The RPC server is unavailable."
     ......................... dc-serv-2 failed test KccEvent

Starting test: SystemLog

     The event log System on server dc-serv-2.mydomain.com could not
     be queried, error 0x6ba "The RPC server is unavailable."
     ......................... dc-serv-2 failed test SystemLog

如果我从 运行测试dc-serv-1，那么dc-serv-1（本地服务器）将通过所有测试，但dc-serv-2通过-5这三个测试将失败，并通过其他所有测试。

我发现这个支持页面https://support.microsoft.com/en-us/kb/2512643这似乎表明这对于 Windows Server 2008+ 是正常的。我在所有 DC 上运行 Windows Server 2012 R2。

支持页面说原因是防火墙问题，这是有道理的，因为本地服务器通过没有问题。支持页面说我可以忽略这些错误（考虑到最终状态列为 ，这也很有意义PASS），或者我可以打开防火墙以允许读取日志。

通过打开防火墙来修复这些错误有什么优点/缺点吗？

问题。我有一个 Windows AD 域，但有一部分对我来说是个谜：Windows 域/DNS 服务器如何查找 Windows 域之外的域？

在简单的家庭网络中，DNS 请求路由很容易理解：

Generic Example: Client machine -> (defined DNS or from DHCP) -> 
                ->Router / Gateway -> (usually ISP DNS) -> DNS root servers -> Internet
Specific Example: 192.168.1.101 -> 192.168.1.1 -> 8.8.8.8 -> DNS root servers -> Internet

相比之下，我目前看到的 AD 网络路径是这样的：

Client Machine -> Windows Domain / DNS -> ??????? -> DNS root servers -> Internet

如果我检查我的 Domain Server 上的网络设置，DNS 设置为备用 DNS 服务器（辅助 Domain Server）、它本身和环回，没有别的。

我的互联网工作正常，所以 Windows 域服务器以某种方式足够智能，可以从上游服务器获取 DNS 信息，但是这是在哪里以及如何定义的？