Роман Безруков

In-place upgrade - штука сама по себе не совсем безопасная, тем более для контроллера домена. По-хорошему - рядом разворачивается новый сервер с нужной ОС и поднимается до КД

ошибка на этапе установки safe_os во время операции boot 0xC1900101 - 0x20017

ошибка-то, в целом, более-менее известная, причин - вагон+тележка (свободное место на диске, дисковые разделы, драйверы, настройки обновлений, папка Software Distribution и т.д.)

P.S. я с In-place upgrade до WS2025 еще не игрался - про указанную ошибку конкретно в случае WS2025 ничего не скажу...

ОС: Win11 и WinSrv2022

WMIC is deprecated as of Windows 10, version 21H1; and as of the 21H1 semi-annual channel release of Windows Server. This utility is superseded by Windows PowerShell for WMI; see Chapter 7 - Working with WMI. This deprecation applies only to the WMIC utility. Windows Management Instrumentation (WMI) itself is not affected.

тут

Starting January 29, 2024, you'll find Windows Management Instrumentation Command line (WMIC) feature "disabled by default" on the insider build of Windows 11. If your application is dependent on WMIC, please migrate away from it using this post as a guide. Let's catch up on the latest and learn how you can use PowerShell and programmatic ways to query WMIC today.

тут

что можно предпринять?

перейти на PowerShell - Working with WMI
по портам: нужны 135 (RPC) и 49152-65535 (DynRPC)

User 555555

это прям имя пользователя (sAMAccountName) такое? с пробелом? или это DisplayName? обычно все, что с пробелами, заключается в кавычки...

Служба для запуска Total Commander при загрузке

а чем обычная автозагрузка не подходит?

а где у вас в системе лежит готовая библиотека?

If anyone comes across this issue in Python > 3.8 with Windows, dll's are only loaded from trusted locations https://docs.python.org/3/whatsnew/3.8.html#ctypes This can be fixed by adding the dll path using os.add_dll_directory("PATH_TO_DLL")

PowerShell-скриптом и собирайте (тэг же соответствующий поставили)...
Полный путь к файлу известен - проверяете наличие файла и его размер на удаленных компах. Если надо писать результаты именно в Excel - в скрипте создаете COM-объект Excel.Application и работаете с ним. Для простоты и быстроты я бы писал результаты в CSV-файл (Excel умеет с ними работать)

Б - безопасность...
У вас комп в домене, и вы идете локальной учеткой - (по умолчанию) Винда такое не любит и, соответственно, не пропускает. Если использовать доменные учетки (входящие в локальную группу Администраторы) - тогда доступ есть.
Либо добавлять в реестр параметр LocalAccountTokenFilterPolicy (но тут могут админы домена возбудиться...)

Имеет смысл заглянуть в журнал безопасности (Security Log) и библиотеку планировщика на предмет нестандартных задач...

Комментарий: ЭКСТРЕННАЯ перезагрузка системы.

вот это явно вручную заданный комментарий, обычно тут пустая строка

вот тут в комментариях есть ссылки на VMware Converter 6.3

SCCM, GPO+PowerShell, просто GPO, PowerShell Scripts, Ansible

ЕМНИП - есть такой баг с дефолтным свитчем Hyper-V и службой Internet Connection Sharing...
по умолчанию, все ВМ входят в рабочую группу, которой присваивается DNS-суффикс mshome.net.
Варианты:
1. Прописать у ВМ какой-то другой DNS-суффикс или включить ВМ в домен, отличный от mshome.net
2. Создать новый Exterrnal Switch и пустить весь трафик ВМ через него
3. Если есть DHCP-сервер, и ВМ получают адреса от него, то и новый DNS-суффикс можно получать от DHCP-сервера (option 15)

Править файл C:\Windows\System32\drivers\etc\hosts.ics руками не рекомендуется (кроме удаления устаревших записей) - все остальное система сделает сама

Все указывает на то, что винде не нравится сертификат

проблемы могут быть в свойствах сертификата (шаблон, назначение, параметры ключа и т.д.), в списке альтернативных имен, в субъекте сертификата и т.д.

вот что пишет журнал "Здоровье" по этой ошибке - что из этого проверяли/пробовали?

Error 13801: the IKE authentication credentials are invalid
You encounter this issue when either the server or client can't accept the IKE authentication credentials.

Error 13801 cause
This error can occur due to the following:

- The machine certificate used for IKEv2 validation on the RAS server doesn't have Server Authentication enabled under Enhanced Key Usage.
- The machine certificate on the RAS server expired.
- The client machine doesn't have the root certificate for validating the RAS server certificate.
- The client machine's VPN server name doesn't match the subjectName value on the server certificate.

Solution 1: verify the server certificate settings
If the issue is the RAS server machine certificate, make sure the certificate includes Server Authentication under Enhanced Key Usage.

Solution 2: make sure the machine certificate is still valid
If the issue is that the RAS machine certificate expired, make sure it's still valid. If it isn't, install a valid certificate.

Solution 3: make sure the client machine has a root certificate
If the issue is related to the client machine not having a root certificate, first check the Trusted Root Certification Authorities on the RRAS server to make sure the certification authority you're using is there. If it isn't there, install a valid root certificate.

Solution 4: make the client machine's VPN server name matches the server certificate
First, make sure the VPN client connects by using the same fully qualified domain name (FQDN) that the VPN server certificate uses. If not, change the client name to match the server certificate name.

Административные шары так не удаляют, ибо после перезагрузки они снова появятся.
Административные шары отключаются через реестр:

### для рабочей станции
New-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Type DWORD -Value 0

### для серверной ОС
New-ItemProperty -Name AutoShareServer -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Type DWORD -Value 0

хых...
управлять 1000 компов не в домене - оригинальный вы человек...
тогда, например, установка софта с помощью PowerShell-скрипта...

Сами же пишите про две политики: одна на рядовые ПК, вторая - на сервера RDS. Двигайтесь в этом направлении

Куда привязаны политики (на каком уровне)?
Настройки в политиках в каком разделе - Computer или User?
OU, к которым применяются ваши политики, какие объекты содержат - только пользователей, только компьютеры или все вместе? GPO Loopback Processing включен (тут зависит от...)?
Вместо WMI-фильтров и Security Filtering лучше применять механизм Group Policy Preferences (GPP) и указывать группу, которая используется в RDS-коллекции

как вариант:
1. на серверной стороне поднять новомодный HTML5 RDWeb и ходить по RDP через браузер.
2. на клиентских компах разрешить запуск только браузера и автозапуск впн

для одного локального пользователя - примерно так (у вас это все должно быть в цикле по всем компам):

$localuser = Get-LocalUser -Name $USERNAME
$localuser | Remove-LocalUser -Confirm:$false

$userprofile = Get-CimInstance -Class Win32_UserProfile | Where-Object { $_.SID -eq $localuser.SID }
$userprofile | Remove-CimInstance -Confirm:$false

например, как-то так - https://habr.com/ru/articles/502998/