Роман Безруков

NGINX, Haproxy, IIS ARR и прочие reverse proxy/balancing решения...

командлет Search-Mailbox с параметрами SearchQuery и DeleteContent
Поиск и удаление писем в ящиках Exchange Server (M...

Принудительно не обновляется GPO

что в политике и в каком разделе? на подопытных ПК делали вручную gpupdate /force? если да - какие результаты? еще можно потыкать PowerShell

Get-ADComputer -filter * -Searchbase "OU=..." | foreach {Invoke-GPUpdate -computer $_.name -force}

Гуглил. Везде советуют проверять службы WMI, Task Scheduler и порт 135

там требуется несколько больше настроек - Configure Firewall Port Requirements for Group Policy
ну и классика - Service overview and network port requirements for...

UDP123 в обе стороны открыт? Синхронизация времени между хостом и ВМ отключена (если КД=ВМ)? В политиках ничего не отключено в плане времени (политики для NTP-клиентов могут быть отключены или не настроены)?
Внешний источник времени можно поменять...
Все КД одновременно являются и NTP-клиентами, и NTP-серверами...
обычно PDCe смотрит наружу на внешний источник времени (как клиент) и внутрь домена как надежный источник времени (сервер) с типом NTP. Остальные КД являются клиентами PDCe и серверами времени для рядовых серверов и ПК, при этом тип должен быть NT5DS
w32tm /monitor - показывает, емнип, разницу во времени между текущим КД и внешним источником, я им пользуюсь редко, чаще использую w32tm /stripchart...

Windows Deployment Services/Microsoft Deployment Tookit (готовые образы с ПО), System Center Configuration Manager и аналоги, групповые политики, PS-скрипты...

З.Ы. можно свой собственный портал самообслуживания сделать, откуда пользователи будут ставить разрешенное и утвержденное в компании ПО

В вашем случае проще и быстрее грохнуть существующую ВМ и создать новую.
Если речь идет об эталонном образе (Golden Image) для тиражирования, то сначала создается обычная виртуальная машина с нужными характеристиками (CPU, RAM, Disks, Network), устанавливается ОС, накатываются обновления, ставится дополнительное ПО, при необходимости ВМ добавляется в домен, и выполняются всякие настройки.
После этого образ "запечатывается" с помощью SYSPREP - что-то типа sysprep.exe /generalize /oobe /shutdown /mode:vm
Перед запуском SYSPREP рекомендуется создать контрольную точку

например:
1. создать обычный автоответ (можно в Outlook, а лучше с помощью Set-MailboxAutoReplyConfiguration). Во внешнем сообщении (External Message) можно использовать какой-нибудь ключевой набор слов.
2. создать транспортное правило для исходящей почты: получатель, которого надо исключить, и в теме письма есть слова "Automatic reply:" или в теле письма содержится ключевой набор слов - просто удалять письмо
3. Настройку автоответа и транспортное правило включать/выключать одновременно

З.Ы. со времен Exchange 2013 автоответ отправляется каждому отправителю только один раз. Если надо отправлять автоответ каждый день - выключаем/включаем настройки каждый день

1. Смотрите и разбирайте логи IIS на Exchange
2. Security Log на Exchange - разбирайте события 4625 (An account failed to log on), в которых Account Name = "учетка в AD, связанная с этим ящиком", могут быть полезные данные

По-правильному, для общих ящиков в Exchange создается почтовый ящик типа Shared Mailbox, у него по умолчанию отключен пользователь в AD, и в делегировании отдельно назначаются права на доступ (Full Mailbox Access) и на отправку (Send As). Обычный пользовательский почтовый ящик (ваш случай) можно преобразовать в Shared Mailbox и отключить соответствующую учетку в AD

Я нашел func GroupIds пакета "os/user"

вам нужен модуль/пакет/библиотека для Go для работы с LDAP/Active Directory...
Далее в коде вы выполняете подключение к AD и LDAP-запрос с фильтром вида

(&(objectClass=user)(sAMAccountName=yourUserName)(memberof=CN=YourGroup,OU=UsersOU,DC=YourDomain,DC=YourDomainExt))

должен вернуться ненулевой результат, если конкретный пользователь (yourUserName) входит в конкретную доменную группу (YourGroup)

тут два варианта:
1. Общий домен с головной конторой, два AD-сайта (головной и ваш региональный), два КД в вашем региональном сайте. Головные админы должны вам делегировать управление КД и прочими объектами AD, которые относятся к вашему региону (AD-сайту)
2. Поднимаете собственный AD-лес. Как вы назовете лес и домен - дело ваше. Именование объектов - в принципе, тоже на ваше усмотрение, но можно привязаться к системе именования объектов головной конторы. При необходимости, можно поднять доверительные отношения между головным лесом и вашим региональным лесом

1. на КД (с ролью "эмулятор PDC") поднимается и настраивается NTP-клиент (через w32tm), который ходит за временем до надежного источника в сети (например, до сетевой железки или до внешних источников времени) - в настройках такого клиента указывается тип NTP;
2. на этом же КД (PDCe) поднимается NTP-сервер, который раздает время клиентам в домене - и на доменных клиентах указывается тип NT5DS, в том числе и на остальных КД

раз вы не предоставляете уточнения по вопросу - попробую ответить по имеющимся данным...
в Exchange есть механизм Duplicate Detection, который использует свойства Internet Message ID и Client Submit Time для определения дубликатов писем. Дубликаты могут быть в следующих случаях:
1. Если у двух сообщений не совпадает один из параметров Internet Message ID или Client Submit Time
2. Если параметры сообщений совпадают, интервал между получениями превышает 1 час, задача очистки хранилища успела удалить исходное сообщение из таблицы DeliveredTo
3. Ящик перемещен в другую почтовую базу, а соответствующая таблица DeliveredTo не успела обновиться.

По предоставленному Message Tracking логу (надо еще миллисекунды смотреть):
1. в 14:32:20 выполняется первый SUBMIT - передача письма в Exchange Transport
2. в 14:32:20 от транспортного агента прилетает FAIL
3. в 14:40:22 агент делает первый RESUBMIT
4. в 14:40:23 - второй RESUBMIT
5. в 14:40:26 - двойной SEND (надо смотреть миллисекунды). Видимо, это относится к первому RESUBMIT
6. в 14:43:04 - снова двойной SEND (надо смотреть миллисекунды). А это - ко второму RESUBMIT

Нашел ваш предыдущий вопрос касательно Exchange - в нем упоминается некая "сторонняя dlp система". Я бы копал в эту сторону

З.Ы. Message Tracking лог лучше отсортировать по TimeStamp для наглядности...

Данная ошибка связана с драйвером Intel Rapid Storage Technology (IRST).
Поэтому обновляйте драйвера материнской платы (с сайта производителя) и/или драйвера IRST

З.Ы. Гугл все это рассказывает на первой странице результатов поиска по "iaStorE.sys"

Для чего это все? Задача какая?

Ставил пользакам 143 STARTTLS.

какой почтовый клиент?

993 SSL/TLS или 143 STARTTLS

это IMAP4, на Exchange он по умолчанию отключен, и без особой необходимости включать его не надо (так же, как и POP3)

465 я так понимаю Exchange в принципе не поддерживает

этот порт используется внутренними сервисами Exchange (Client Proxy Receive Connector)

На тему портов есть официальный документ - Network ports for clients and mail flow in Exchange

Возможно, поврежден файл SRS (Send/Receive Settings), лежит в профиле пользователя - C:\Users\%username%\AppData\Roaming\Microsoft\Outlook. Этот файл надо переименовать или удалить - Outlook сам создаст новый...
P.S. можно удалить неработающее правило из Outlook и снова создать его, но через OWA - в каких-то случаях помогает...

In-place upgrade - штука сама по себе не совсем безопасная, тем более для контроллера домена. По-хорошему - рядом разворачивается новый сервер с нужной ОС и поднимается до КД

ошибка на этапе установки safe_os во время операции boot 0xC1900101 - 0x20017

ошибка-то, в целом, более-менее известная, причин - вагон+тележка (свободное место на диске, дисковые разделы, драйверы, настройки обновлений, папка Software Distribution и т.д.)

P.S. я с In-place upgrade до WS2025 еще не игрался - про указанную ошибку конкретно в случае WS2025 ничего не скажу...