Здравствуйте. Помогите пожалуйста решить проблему, видимо чего-то я напортачил в настройке АД и политек.
Есть четыре КД (srv-ad, srv-ad1, srv-ad2, srv-ad3) на четырёх хостах под ESXi 5.1. srv-ad (WS 2008R2) и srv-ad2 (WS 2008R2) в подсети 192.168.2.0/24. srv-ad1 (WS 2008R2) и srv-ad3 (WS 2012R2) в подсети 192.168.1.0/24. Подсети маршрутизируются через OpenVPN на pfSense. Сеть ходит и серверы синхронизируются. Проблема в следующем: хаотично, в основном в рабочее время с 9:00 до 18:00, серверы srv-ad, srv-ad1 и srv-ad2 перестают отвечать на пинги, например srv-ad1 (http://rghost.ru/8BvpcbqDv/image.png). Сервер при этом не зависает, если перезапустить сетевой интерфейс, работа продолжается в штатном режиме. После перезагрузки одного из проблемных серверов, через произвольный период времени, "залипает" следующий сервер, например srv-ad. srv-ad3 под управлением Windows Server 2012R2 не был замечен за зависанием сетевого интерфейса, ОСь новее и с момента введения в состав контроллеров домена не прошло и месяца.
C:\Windows\system32>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = srv-ad1
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\SRV-AD1
Запуск проверки: Connectivity
......................... SRV-AD1 - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\SRV-AD1
Запуск проверки: Advertising
......................... SRV-AD1 - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... SRV-AD1 - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ зафиксированы предупреждения или сообщения об ошибках. Сбои при репликации
SYSVOL могут стать причиной проблем групповой политики.
......................... SRV-AD1 - не пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... SRV-AD1 - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... SRV-AD1 - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... SRV-AD1 - пройдена проверка KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... SRV-AD1 - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... SRV-AD1 - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... SRV-AD1 - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... SRV-AD1 - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... SRV-AD1 - пройдена проверка Replications
Запуск проверки: RidManager
......................... SRV-AD1 - пройдена проверка RidManager
Запуск проверки: Services
......................... SRV-AD1 - пройдена проверка Services
Запуск проверки: SystemLog
Возникло предупреждение. Код события (EventID): 0x0000043D
Время создания: 11/19/2015 12:30:48
Строка события: Windows не удалось применить параметры "Group Policy Registry". Параметры "Group Policy Registry" могут иметь свой собственный
файл журнала. Щелкните ссылку "Дополнительные сведения".
Возникло предупреждение. Код события (EventID): 0x000727AA
Время создания: 11/19/2015 12:34:13
Строка события: Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/srv-ad1.DOMAIN.local, WSMAN/srv-ad1.
......................... SRV-AD1 - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... SRV-AD1 - пройдена проверка VerifyReferences


Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка CrossRefValidation

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка CrossRefValidation

Выполнение проверок разделов на: DOMAIN
Запуск проверки: CheckSDRefDom
......................... DOMAIN - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DOMAIN - пройдена проверка CrossRefValidation

Выполнение проверок предприятия на: DOMAIN.local
Запуск проверки: LocatorCheck
......................... DOMAIN.local - пройдена проверка LocatorCheck
Запуск проверки: Intersite
......................... DOMAIN.local - пройдена проверка Intersite

Настораживают ошибки в DFSREvent и SystemLog, но как с ними бороться пока не представляю.

Ошибки из системного лога srv-ad1 в период "залипания":
Имя журнала: System
Источник: bowser
Дата: 19.11.2015 10:55:00
Код события: 8003
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: srv-ad1.DOMAIN.local
Описание:
Основной браузер сети получил с сервера извещение, что компьютер SRV-AD3 объявил себя основным браузером домена на транспорте NetBT_Tcpip_{D0553432-EC4C-466E-A98A-A1222F007936}. Основной браузер останавливается или объявляются выборы.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="bowser" />
<EventID Qualifiers="49152">8003</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2015-11-19T04:55:00.522018400Z" />
<EventRecordID>34468</EventRecordID>
<Channel>System</Channel>
<Computer>srv-ad1.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data>\Device\LanmanDatagramReceiver</Data>
<Data>SRV-AD3</Data>
<Data>NetBT_Tcpip_{D0553432-EC4C-466E-A98A-A1222F007936}</Data>
<Binary>000000000300320000000000431F00C0000000000000000000000000000000000000000000000000</Binary>
</EventData>
</Event>
Имя журнала: System
Источник: NetBT
Дата: 19.11.2015 10:58:51
Код события: 4319
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: srv-ad1.DOMAIN.local
Описание:
В сети TCP обнаружено повторяющееся имя. IP-адрес компьютера, отправившего сообщение, содержится в данных. Чтобы определить, для какого имени возникло конфликтное состояние, следует выполнить команду nbtstat -n в командном окне.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="NetBT" />
<EventID Qualifiers="49152">4319</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2015-11-19T04:58:51.902701600Z" />
<EventRecordID>34469</EventRecordID>
<Channel>System</Channel>
<Computer>srv-ad1.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data>
</Data>
<Binary>000000000100320000000000DF1000C0050100001284A8C000000000000000000000000000000000</Binary>
</EventData>
</Event>
Имя журнала: System
Источник: NetBT
Дата: 19.11.2015 11:05:29
Код события: 4321
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: srv-ad1.DOMAIN.local
Описание:
Имя "DOMAIN :1d" не удалось зарегистрировать на интерфейсе с IP-адресом 192.168.1.5. Компьютер с IP-адресом 192.168.1.18 не разрешил использовать имя, запрошенное этим компьютером.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="NetBT" />
<EventID Qualifiers="49152">4321</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2015-11-19T05:05:29.658451300Z" />
<EventRecordID>34474</EventRecordID>
<Channel>System</Channel>
<Computer>srv-ad1.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data>
</Data>
<Data>DOMAIN :1d</Data>
<Data>192.168.1.5</Data>
<Data>192.168.1.18</Data>
<Binary>000000000400320000000000E11000C001010000010000C004000000000000000000000000000000</Binary>
</EventData>
</Event>
Имя журнала: System
Источник: Microsoft-Windows-DNS-Client
Дата: 19.11.2015 11:22:05
Код события: 1014
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:
Пользователь: СИСТЕМА
Компьютер: srv-ad1.DOMAIN.local
Описание:
Разрешение имен для имени _msdcs.DOMAIN.local истекло после отсутствия ответа от настроенных серверов DNS.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-DNS-Client" Guid="{1C95126E-7EEA-49A9-A3FE-A378B03DDB4D}" />
<EventID>1014</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2015-11-19T05:22:05.210033000Z" />
<EventRecordID>34476</EventRecordID>
<Correlation />
<Execution ProcessID="548" ThreadID="1668" />
<Channel>System</Channel>
<Computer>srv-ad1.DOMAIN.local</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="QueryName">_msdcs.DOMAIN.local</Data>
<Data Name="AddressLength">16</Data>
<Data Name="Address">02000035C0A876050000000000000000</Data>
</EventData>
</Event>
Имя журнала: System
Источник: Microsoft-Windows-GroupPolicy
Дата: 19.11.2015 11:39:19
Код события: 1058
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:
Пользователь: СИСТЕМА
Компьютер: srv-ad1.DOMAIN.local
Описание:
Ошибка при обработке групповой политики. Попытка чтения файла "\\DOMAIN.local\SysVol\DOMAIN.local\Policies\{611AE1EE-9C22-44A6-A928-39F69FC36F14}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины:
a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена.
b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена).
c) Отключен клиент распределенной файловой системы (DFS).
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
<EventID>1058</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>1</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2015-11-19T05:39:19.262661500Z" />
<EventRecordID>34477</EventRecordID>
<Correlation ActivityID="{3EE1BC6F-6074-4121-BFE3-B3FE55A868C1}" />
<Execution ProcessID="944" ThreadID="1812" />
<Channel>System</Channel>
<Computer>srv-ad1.DOMAIN.local</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="SupportInfo1">4</Data>
<Data Name="SupportInfo2">816</Data>
<Data Name="ProcessingMode">0</Data>
<Data Name="ProcessingTimeInMilliseconds">86970</Data>
<Data Name="ErrorCode">64</Data>
<Data Name="ErrorDescription">Указанное сетевое имя более недоступно. </Data>
<Data Name="DCName">srv-ad3.DOMAIN.local</Data>
<Data Name="GPOCNName">cn={611AE1EE-9C22-44A6-A928-39F69FC36F14},cn=policies,cn=system,DC=DOMAIN,DC=local</Data>
<Data Name="FilePath">\\DOMAIN.local\SysVol\DOMAIN.local\Policies\{611AE1EE-9C22-44A6-A928-39F69FC36F14}\gpt.ini</Data>
</EventData>
</Event>
Имя журнала: System
Источник: Microsoft-Windows-GroupPolicy
Дата: 19.11.2015 12:30:48
Код события: 1085
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:
Пользователь: СИСТЕМА
Компьютер: srv-ad1.DOMAIN.local
Описание:
Windows не удалось применить параметры "Group Policy Registry". Параметры "Group Policy Registry" могут иметь свой собственный файл журнала. Щелкните ссылку "Дополнительные сведения".
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{AEA1B4FA-97D1-45F2-A64C-4D69FFFD92C9}" />
<EventID>1085</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>1</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2015-11-19T06:30:48.707440200Z" />
<EventRecordID>34486</EventRecordID>
<Correlation ActivityID="{2CB51648-1033-4483-8BC5-374BAE92CF72}" />
<Execution ProcessID="944" ThreadID="1812" />
<Channel>System</Channel>
<Computer>srv-ad1.DOMAIN.local</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="SupportInfo1">1</Data>
<Data Name="SupportInfo2">4237</Data>
<Data Name="ProcessingMode">0</Data>
<Data Name="ProcessingTimeInMilliseconds">224236</Data>
<Data Name="ErrorCode">2248216583</Data>
<Data Name="ErrorDescription">
</Data>
<Data Name="DCName">\\srv-ad1.DOMAIN.local</Data>
<Data Name="ExtensionName">Group Policy Registry</Data>
<Data Name="ExtensionId">{B087BE9D-ED37-454f-AF9C-04291E351182}</Data>
</EventData>
</Event>
Имя журнала: System
Источник: Microsoft-Windows-WinRM
Дата: 19.11.2015 12:34:13
Код события: 10154
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: srv-ad1.DOMAIN.local
Описание:
Службе WinRM не удалось создать следующие имена участников-служб: WSMAN/srv-ad1.DOMAIN.local, WSMAN/srv-ad1.

Дополнительные данные
Была получена ошибка "8344": %%8344.

Действия пользователя
Имена участников-служб можно создать под учетной записью администратора с помощью служебной программы setspn.exe.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-WinRM" Guid="{A7975C8F-AC13-49F1-87DA-5A984A4AB417}" EventSourceName="WinRM" />
<EventID Qualifiers="7">10154</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2015-11-19T06:34:13.000000000Z" />
<EventRecordID>34615</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>srv-ad1.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="spn1">WSMAN/srv-ad1.DOMAIN.local</Data>
<Data Name="spn2">WSMAN/srv-ad1</Data>
<Data Name="error">8344</Data>
</EventData>
</Event>

ipconfig /all всех машин

ipconfig /all:
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : srv-ad
Основной DNS-суффикс . . . . . . : domain.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domain.local

Ethernet adapter local:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT
Физический адрес. . . . . . . . . : 00-50-56-B2-22-B8
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.2.19(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.2.2
DNS-серверы. . . . . . . . . . . : 127.0.0.1
192.168.2.5
192.168.1.5
NetBios через TCP/IP. . . . . . . . : Включен
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : srv-ad1
Основной DNS-суффикс . . . . . . : domain.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domain.local

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT
Физический адрес. . . . . . . . . : 00-50-56-B2-AC-72
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.5(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.2
DNS-серверы. . . . . . . . . . . : 127.0.0.1
192.168.1.18
192.168.2.5
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{D0553432-EC4C-466E-A98A-A1222F007936}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : SRV-AD2
Основной DNS-суффикс . . . . . . : domain.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domain.local

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT
Физический адрес. . . . . . . . . : 00-50-56-B2-F7-B5
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.2.5(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.2.2
DNS-серверы. . . . . . . . . . . : 127.0.0.1
192.168.1.5
192.168.2.19
192.168.1.18
Основной WINS-сервер. . . . . . . : 127.0.0.1
Дополнительный WINS-сервер. . . . . . : 192.168.1.5
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{50D03967-5C7F-4F2D-BED1-9070B8A6ECB6}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Подключение по локальной сети*:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : srv-ad3
Основной DNS-суффикс . . . . . . : domain.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domain.local

Ethernet adapter Ethernet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) 82574L Gigab
it
Физический адрес. . . . . . . . . : 00-50-56-B2-89-26
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.18(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.2
DNS-серверы. . . . . . . . . . . : 127.0.0.1
192.168.1.5
192.168.2.5
192.168.2.19
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{1556F830-DBB5-4CF1-B93A-ED965471C3A0}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

С какой целью используется WINS?
Все ли контроллеры присутствуют в DNS?
Какие СИСТЕМНЫЕ, служебные программы дополнительно установлены на контроллерах?

С какой целью используется WINS? »
Экспериментировал, с отображением компьютеров в MS сети были проблемы, мастер браузером становился пользовательский компьютер. (так к стати ине победил)
Все ли контроллеры присутствуют в DNS? »
Это имеете ввиду? "DNS"-"SRV-AD"-"Зоны прямого просмотра"-"domain.local"
http://rghost.ru/7VJgCCgzL/image.png
Какие СИСТЕМНЫЕ, служебные программы дополнительно установлены на контроллерах? »
http://rghost.ru/6tS77KvpJ/image.png
http://rghost.ru/65PpBVLfJ/image.png
http://rghost.ru/8GySFLFBG/image.png
http://rghost.ru/8KD5JCwS7/image.png
Плюсом везде Акронис.
Может второй сервер Сертификатов мешает на srv-ad2, уже не помню когда и зачем ставил. Как проверить, какой сервер раздает сертификаты для домена?

PS Отключил пока сервер сертификации на srv-ad2.

Отключите службу браузера на всех рабочих станциях. Она не нужна.
DNS вроде ничё так.
Вопрос был не про компоненты ОС, а сторонние системные программы. Например, сторонний антивирус.

Из стороннего только Акронис и Тотал коммандер.
http://rghost.ru/6JyrcYsCw/image.png

WindowsNT, Чаще всего кстати отваливается srv-ad1. А в выходные дни, когда мало компьютеров онлайн, сбоев не бывает.
Добавил на srv-ad и srv-ad1 недостающие DNS.

Должно быть что-то, что портит интерфейсы. И что-то, что объединяет все контроллеры, раз отваливаются все.
Вижу VMWare Tools > может ли что-то быть на уровне гипервизора?

Продолжая мысль WindowsNT, а на самих гипервизорах в журнале возникают какие-либо ошибки и т.п.? Есть на них соседние ВМ (не возинкают ли на них подобные проблемы)?