windows10加入AD，找不到網絡路徑。

這是一起對抗勒索病毒引發的事故。
簡單的說，win10加域，無論DC和PC是否在同一個網段，都必須保證445端口能正常通信。
為什么這樣強調，因為win7不需要，這可能是他們的SMB版本不一樣導致。
事情經過是這樣的：
當時為了抵抗勒索病毒，我在三層交換機上針對每個接口做了禁止訪問445端口的ACL，因為是應急，所以沒有做相關的日志說明，早就忘了這茬了，就是這時埋下的故障隱患。

上個月在做桌面云時，發現win7加不了域（帶機網關為屏蔽了445的三層交換機），故障表現為：加域能彈出輸入帳號密碼的窗口，但最后會報錯：找不到網絡路徑。抓包也沒查出原因，于是嘗試在和虛擬機同網段下新增一臺額外域控，win7加域問題也因此解決。這樣也讓我更加堅信是防火墻DNS透明代理設置不妥造成的（因為我的DC部署在防火墻的DMZ區域）。

前幾天質控部門打算更換一批PC，因為質控軟件較老，不支持win7，突發奇想在win10上嘗試安裝了下，居然裝上了。所以就想弄個虛擬桌面，先讓win10跑軟件測試一段時間。這時win10加域的毛病又來了，但這次更絕，提示和win7加域故障類似，即使同網段也一樣。

net use \\dcname.local\ipc$
返回：找不到網絡路徑 53

折騰好幾天，最后下午突然想起交換機屏蔽445這事，取消配置，一切順利了~

這說明：win7加域，PC和DC同網段下，不需要445端口，跨網段，則需要。
win10加域，不管PC和DC在不在一個網段下，都需要445端口。

個人愚見，不喜勿噴。