你有確認過, 是真的有哪個 GPO 需要用到外網, 而且執行的時候會卡住嗎?
還是這些電腦已經被植入後門, 其實是那些後門程式想要利用外網通訊呢?...

通過AD上的DNS去做解析，可能是某一段GPO需要用到外網，導致一直反覆認證不過造成電腦卡頓。
把DNS從AD改掉，改成中華或google就都恢復正常。

我猜想是，AD在往外查詢DNS時，被鎖住了，以致於無法查詢到正確的IP。
AD本身有鎖外網嗎？

負責DNS的AD是不是很久沒有重啟了!? 我有碰過太久沒重啟，dns就愛動不動的狀況...

重開機治百病.....

你AD的DNS配置有問題
按程序來說
當查詢本身DNS cache沒有相關紀錄時
會去問AD的DNS
但是當AD的DNS沒有紀錄時
會去外部查中華或google的DNS

不知somehow你的client要用到的DNS紀錄
沒有在AD的DNS記錄內(也沒有保住cache)
所以每次都會先查AD然後由AD再往外查然後才回應
如果client數量一多且AD資源不足
肯定會開網頁有所卡頓
查一查AD有關DNS的設定吧

看起來就是AD上的DNS被貴公司forti防火牆鎖住沒法連外網
先放開測測看
如果可以解析到外網,再從log去查認證卡頓的原因

從我理解的windows Server DNS運作的預設原理，

1.接收用戶端的DNS請求
2.尋找是否有自己設定的DNS網域名稱的紀錄
3.若無的話依序是=>條件轉寄站=>轉寄站=>上游根root DNS Server
4.從3跑完之後還是沒紀錄，回復找不到紀錄給用戶端

從你說的使用者端的DNS設定上面AD當第一組，中華跟google當二三，

如果你沒做其他額外的設定的話，只要AD的DNS還在線上，

用戶端的中華跟google設定的DNS是完全沒作用的，

如果要用戶端的DNS中華跟google發揮作用，AD的DNS就必須離線才會發揮作用

另外的一種做法就是在AD的DNS端，設定轉寄站位置是中華跟google的DNS

這樣AD才會代替使用者往外查詢DNS紀錄，

從你手動跳過AD DNS為主要DNS卡頓的問題就會解決的情況來看，

你應該要從AD DNS那端來找問題的原因

在AD DNS上面做NSlookup做第一階段的測試，看AD自身對外DNS查詢是否正常

如果AD DNS本身對外DNS查詢是正常的情況下，再檢查內部DNS的防火牆相關

你至少要確定兩件事情

1.AD自身對外DNS查詢要正常
2.用戶端對AD DNS查詢的服務要正常，port or 防火牆

然後，為了判斷是否你說的GPO問題，請設定一個新的OU，

在該OU上設定禁止GPO繼承，在沒有任何GPO干擾的情況下，

將一台新的電腦加入網域並重開機之前，再AD把該電腦物件移動到這個特製的OU內

將新的電腦重開機後再做DNS的測試，這樣你才有辦法判斷是否是GPO造成卡頓

如果上面的這3個步驟都沒有找到問題點，那問題就不是在DNS對外查詢上了

極有可能是網域出了問題，導致電腦在與AD服務溝通上造成卡頓，

或者是GPO哪個部份的服務有問題。

如果覺得和AD有關，不如wireshark抓包，照妖鏡給它照下去。

單就不能上網就卡頓這點來看，Win10工具列上面的「新聞和興趣」也符合這個情況。
只要在斷網的環境下啟用「新聞和興趣」，直接卡成狗。