windows10加入AD，找不到网络路径。

这是一起对抗勒索病毒引发的事故。
简单的说，win10加域，无论DC和PC是否在同一个网段，都必须保证445端口能正常通信。
为什么这样强调，因为win7不需要，这可能是他们的SMB版本不一样导致。
事情经过是这样的：
当时为了抵抗勒索病毒，我在三层交换机上针对每个接口做了禁止访问445端口的ACL，因为是应急，所以没有做相关的日志说明，早就忘了这茬了，就是这时埋下的故障隐患。

上个月在做桌面云时，发现win7加不了域（带机网关为屏蔽了445的三层交换机），故障表现为：加域能弹出输入帐号密码的窗口，但最后会报错：找不到网络路径。抓包也没查出原因，于是尝试在和虚拟机同网段下新增一台额外域控，win7加域问题也因此解决。这样也让我更加坚信是防火墙DNS透明代理设置不妥造成的（因为我的DC部署在防火墙的DMZ区域）。

前几天质控部门打算更换一批PC，因为质控软件较老，不支持win7，突发奇想在win10上尝试安装了下，居然装上了。所以就想弄个虚拟桌面，先让win10跑软件测试一段时间。这时win10加域的毛病又来了，但这次更绝，提示和win7加域故障类似，即使同网段也一样。

net use \\dcname.local\ipc$返回：找不到网络路径 53

折腾好几天，最后下午突然想起交换机屏蔽445这事，取消配置，一切顺利了~

这说明：win7加域，PC和DC同网段下，不需要445端口，跨网段，则需要。
win10加域，不管PC和DC在不在一个网段下，都需要445端口。

个人愚见，不喜勿喷。