Подскажите, как решить такую задачу: есть головной домен и дочерний, подключенный через VPN. при отсутствии связи с головным, пользователи дочернего не могут зайти в свои учетки. Как это можно исправить?

В дочернем есть контроллер домена ?

пользователи дочернего не могут зайти в свои учетки. Как это можно исправить? »
Разрешить кеширование паролей.
Правда,*в этом случае при отсутствии связи пользователи смогут войти только на свои компьютеры, а сетевые ресурсы соседних будут недоступны.

Для полноценной работы сети нужно поднимать в локальной сети дополнительный контроллер домена.

несколько вариантов:
1. Поставить дочерний КД с установкой роли Глобальный каталог.
2. Поставить ОТДЕЛЬНЫЙ контроллер и настроить доверительные отношения между доменами.
3. Вариант El Scorpio про кеширование паролей.

У меня 2 контроллера домена, между ними родительско-дочерние отношения (это про доверия);
На счёт сервера глобального каталога, не помню как ставил... а где это можно посмотреть?

не помню как ставил... а где это можно посмотреть »
На КД дочернего домена покажите вывод команды
repadmin /options

на дочернем:

repadmin running command /options against server localhost
Current DC Options: (none)

на головном:

repadmin running command /options against server localhost
Current DC Options: IS_GC

понимаю, что дочерний не является сервером глобального каталога. А как это можно исправить?

Active Directory - сайты и службы, находим нужный КД->NTDS Settings->Свойства ставим галку "Глобальный каталог".

Всем спасибо, наверное помогло (проверять не буду :) )

Вообще-то глобальный каталог не нужен для аутентификации юзера.

Active Directory - сайты и службы, находим нужный КД->NTDS Settings->Свойства ставим галку "Глобальный каталог". »

Для этого примерно там же можно установить "разрешить кэширование членства в универсальных группах".

Windows Server 2003 поддерживает новую функцию кэширования универсального группового членства, которая дает возможность входить в сеть Windows Server 2003 без контакта с GC-каталогом. Универсальное групповое членство кэшируется на контроллерах домена, не являющихся контроллерами GC, если эта опция разрешена, а пользователь впервые пытается войти в систему. Как только эта информация попадает в GC-каталог, она кэшируется на неограниченное время на контроллере домена сайта и периодически обновляется (по умолчанию каждые 8 часов). Включение этой функции приводит к ускорению входа в систему пользователей с удаленных сайтов, так как для аутентификации контроллеру домена не требуется обращения к GC-каталогу.

Вообще-то глобальный каталог не нужен для аутентификации юзера »
Добавлю - одного юзера, а именно встроенной УЗ administrator, да - он может аутентифицироваться и без ГК.
Для все остальных ГК для аутентификации обязателен.
Кэширование членства в UG - это "костыли" для медленных и ненадежных каналов связи, когда объем ГК может занимать многие гигабайты (но это очень большой лес с кучей доменов и объектов)
Кэширование не поможет, когда связи с ГК нет и пользователь впервые входит в систему на сайте, где нет ГК

Для этого примерно там же можно установить "разрешить кэширование членства в универсальных группах". »

"Чтобы кэшировать членство в универсальных группах"

Active Directory - сайты и службы/сайты/сайт, для которого нужно разрешить кэширование членства в универсальных группах
В области сведений щелкните правой кнопкой раздел Параметры сайта NTDS и выберите команду Свойства.
Установите флажок Включить кэширование членства в универсальных группах.
В разделе Обновлять кэш из щелкните сайт, с которого будет обновляться кэш данного сайта, или примите значение <По умолчанию>, чтобы обновлять кэш с ближайшего сайта, на котором имеется глобальный каталог."

Канал в 2Мбит. И всё-таки, нужно включать кэширование членства в универсальных группах?

Канал в 2Мбит. И всё-таки, нужно включать кэширование членства в универсальных группах? »
Вы уже как я понял, на КД дочернего домена установили ГК. Таким образом кэширование членства в UG вам не нужно