Роман Безруков

UDP123 в обе стороны открыт? Синхронизация времени между хостом и ВМ отключена (если КД=ВМ)? В политиках ничего не отключено в плане времени (политики для NTP-клиентов могут быть отключены или не настроены)?
Внешний источник времени можно поменять...
Все КД одновременно являются и NTP-клиентами, и NTP-серверами...
обычно PDCe смотрит наружу на внешний источник времени (как клиент) и внутрь домена как надежный источник времени (сервер) с типом NTP. Остальные КД являются клиентами PDCe и серверами времени для рядовых серверов и ПК, при этом тип должен быть NT5DS
w32tm /monitor - показывает, емнип, разницу во времени между текущим КД и внешним источником, я им пользуюсь редко, чаще использую w32tm /stripchart...

Windows Deployment Services/Microsoft Deployment Tookit (готовые образы с ПО), System Center Configuration Manager и аналоги, групповые политики, PS-скрипты...

З.Ы. можно свой собственный портал самообслуживания сделать, откуда пользователи будут ставить разрешенное и утвержденное в компании ПО

В вашем случае проще и быстрее грохнуть существующую ВМ и создать новую.
Если речь идет об эталонном образе (Golden Image) для тиражирования, то сначала создается обычная виртуальная машина с нужными характеристиками (CPU, RAM, Disks, Network), устанавливается ОС, накатываются обновления, ставится дополнительное ПО, при необходимости ВМ добавляется в домен, и выполняются всякие настройки.
После этого образ "запечатывается" с помощью SYSPREP - что-то типа sysprep.exe /generalize /oobe /shutdown /mode:vm
Перед запуском SYSPREP рекомендуется создать контрольную точку

например:
1. создать обычный автоответ (можно в Outlook, а лучше с помощью Set-MailboxAutoReplyConfiguration). Во внешнем сообщении (External Message) можно использовать какой-нибудь ключевой набор слов.
2. создать транспортное правило для исходящей почты: получатель, которого надо исключить, и в теме письма есть слова "Automatic reply:" или в теле письма содержится ключевой набор слов - просто удалять письмо
3. Настройку автоответа и транспортное правило включать/выключать одновременно

З.Ы. со времен Exchange 2013 автоответ отправляется каждому отправителю только один раз. Если надо отправлять автоответ каждый день - выключаем/включаем настройки каждый день

1. Смотрите и разбирайте логи IIS на Exchange
2. Security Log на Exchange - разбирайте события 4625 (An account failed to log on), в которых Account Name = "учетка в AD, связанная с этим ящиком", могут быть полезные данные

По-правильному, для общих ящиков в Exchange создается почтовый ящик типа Shared Mailbox, у него по умолчанию отключен пользователь в AD, и в делегировании отдельно назначаются права на доступ (Full Mailbox Access) и на отправку (Send As). Обычный пользовательский почтовый ящик (ваш случай) можно преобразовать в Shared Mailbox и отключить соответствующую учетку в AD

Я нашел func GroupIds пакета "os/user"

вам нужен модуль/пакет/библиотека для Go для работы с LDAP/Active Directory...
Далее в коде вы выполняете подключение к AD и LDAP-запрос с фильтром вида

(&(objectClass=user)(sAMAccountName=yourUserName)(memberof=CN=YourGroup,OU=UsersOU,DC=YourDomain,DC=YourDomainExt))

должен вернуться ненулевой результат, если конкретный пользователь (yourUserName) входит в конкретную доменную группу (YourGroup)

тут два варианта:
1. Общий домен с головной конторой, два AD-сайта (головной и ваш региональный), два КД в вашем региональном сайте. Головные админы должны вам делегировать управление КД и прочими объектами AD, которые относятся к вашему региону (AD-сайту)
2. Поднимаете собственный AD-лес. Как вы назовете лес и домен - дело ваше. Именование объектов - в принципе, тоже на ваше усмотрение, но можно привязаться к системе именования объектов головной конторы. При необходимости, можно поднять доверительные отношения между головным лесом и вашим региональным лесом

1. на КД (с ролью "эмулятор PDC") поднимается и настраивается NTP-клиент (через w32tm), который ходит за временем до надежного источника в сети (например, до сетевой железки или до внешних источников времени) - в настройках такого клиента указывается тип NTP;
2. на этом же КД (PDCe) поднимается NTP-сервер, который раздает время клиентам в домене - и на доменных клиентах указывается тип NT5DS, в том числе и на остальных КД

раз вы не предоставляете уточнения по вопросу - попробую ответить по имеющимся данным...
в Exchange есть механизм Duplicate Detection, который использует свойства Internet Message ID и Client Submit Time для определения дубликатов писем. Дубликаты могут быть в следующих случаях:
1. Если у двух сообщений не совпадает один из параметров Internet Message ID или Client Submit Time
2. Если параметры сообщений совпадают, интервал между получениями превышает 1 час, задача очистки хранилища успела удалить исходное сообщение из таблицы DeliveredTo
3. Ящик перемещен в другую почтовую базу, а соответствующая таблица DeliveredTo не успела обновиться.

По предоставленному Message Tracking логу (надо еще миллисекунды смотреть):
1. в 14:32:20 выполняется первый SUBMIT - передача письма в Exchange Transport
2. в 14:32:20 от транспортного агента прилетает FAIL
3. в 14:40:22 агент делает первый RESUBMIT
4. в 14:40:23 - второй RESUBMIT
5. в 14:40:26 - двойной SEND (надо смотреть миллисекунды). Видимо, это относится к первому RESUBMIT
6. в 14:43:04 - снова двойной SEND (надо смотреть миллисекунды). А это - ко второму RESUBMIT

Нашел ваш предыдущий вопрос касательно Exchange - в нем упоминается некая "сторонняя dlp система". Я бы копал в эту сторону

З.Ы. Message Tracking лог лучше отсортировать по TimeStamp для наглядности...

Данная ошибка связана с драйвером Intel Rapid Storage Technology (IRST).
Поэтому обновляйте драйвера материнской платы (с сайта производителя) и/или драйвера IRST

З.Ы. Гугл все это рассказывает на первой странице результатов поиска по "iaStorE.sys"

Для чего это все? Задача какая?

Ставил пользакам 143 STARTTLS.

какой почтовый клиент?

993 SSL/TLS или 143 STARTTLS

это IMAP4, на Exchange он по умолчанию отключен, и без особой необходимости включать его не надо (так же, как и POP3)

465 я так понимаю Exchange в принципе не поддерживает

этот порт используется внутренними сервисами Exchange (Client Proxy Receive Connector)

На тему портов есть официальный документ - Network ports for clients and mail flow in Exchange

Возможно, поврежден файл SRS (Send/Receive Settings), лежит в профиле пользователя - C:\Users\%username%\AppData\Roaming\Microsoft\Outlook. Этот файл надо переименовать или удалить - Outlook сам создаст новый...
P.S. можно удалить неработающее правило из Outlook и снова создать его, но через OWA - в каких-то случаях помогает...

In-place upgrade - штука сама по себе не совсем безопасная, тем более для контроллера домена. По-хорошему - рядом разворачивается новый сервер с нужной ОС и поднимается до КД

ошибка на этапе установки safe_os во время операции boot 0xC1900101 - 0x20017

ошибка-то, в целом, более-менее известная, причин - вагон+тележка (свободное место на диске, дисковые разделы, драйверы, настройки обновлений, папка Software Distribution и т.д.)

P.S. я с In-place upgrade до WS2025 еще не игрался - про указанную ошибку конкретно в случае WS2025 ничего не скажу...

если сервера имеют на борту несколько дисков и достаточно дискового места, то можно настроить и использовать Storage Spaces Direct вместо общего хранилища.
Журнал "Здоровье" так и пишет:

Storage
You must use Storage Spaces Direct or shared storage that's compatible with Windows Server 2012 R2, Windows Server 2012, and later.

ОС: Win11 и WinSrv2022

WMIC is deprecated as of Windows 10, version 21H1; and as of the 21H1 semi-annual channel release of Windows Server. This utility is superseded by Windows PowerShell for WMI; see Chapter 7 - Working with WMI. This deprecation applies only to the WMIC utility. Windows Management Instrumentation (WMI) itself is not affected.

тут

Starting January 29, 2024, you'll find Windows Management Instrumentation Command line (WMIC) feature "disabled by default" on the insider build of Windows 11. If your application is dependent on WMIC, please migrate away from it using this post as a guide. Let's catch up on the latest and learn how you can use PowerShell and programmatic ways to query WMIC today.

тут

что можно предпринять?

перейти на PowerShell - Working with WMI
по портам: нужны 135 (RPC) и 49152-65535 (DynRPC)

User 555555

это прям имя пользователя (sAMAccountName) такое? с пробелом? или это DisplayName? обычно все, что с пробелами, заключается в кавычки...

Служба для запуска Total Commander при загрузке

а чем обычная автозагрузка не подходит?