День добрый, господа и дамы.
Исходные данные:
Первый контроллер домена - Server 2008 R2, роли FSMO - Schema master, Domain naming master, PDC, RID pool manager и GC.
Второй КД - Server 2012 R2, роли FSMO - Infrastructure master.
Служба DFS установлена на обоих КД. Первый КД по совместительству файловый сервер.
Ситуация следующая: еще со времен, когда контроллеры домена работал на Server 2003 работала служба DFS. После миграции контроллеров на Server 2008 R2 служба все так же работала нормально. НО после миграции одного из КД на Server 2012 R2 у пользователей периодически начали возникать проблемы в работе с DFS. Проблема в том, что когда пользователь пытается войти в DFS, служба требует аутентификацию и вводе данных возвращает это самое окно и не пускает дальше. У некоторых проблема возникает при попытке попасть в корень DFS \\domain.local, у других, когда пытаются войти в какой нибудь из namespace'ов \\domain.local\folder. Причем если вручную набрать \\domain.local\folder\subfolder окна аутентификации нет и пользователь без проблем туда ходит. Права на чтение или изменение этих директорий есть. Не пойму куда копать и в каких логах искать эвенты. С учетом того, что пользователей ~1500 проблема стоит очень остро.

Это (https://support.microsoft.com/ru-ru/help/975440/how-to-troubleshoot-distributed-file-system-namespace-access-failures-in-windows) глядел?

paranoya, посмотрел, спасибо. Но это не то. С сетью проблем нет. На всякий случай сделал что они предлагают, не помогло.

Посмотри ошибки в журналах системы, как на сервере, так и на проблемных компах/юзерах.
Время, надеюсь, синхронизировано с сервером у всех?

Время синхронизовано. Не знаю в каких именно журналах искать. В логах аудита ничего такого нет. В журналах безопасности тоже.

Так, что-то я не понял, при вводе в окне эксплорера строки \\domain.local должен появляться список папок контроллера домена - SYSVOL, NETLOGON. Корневые папки DFS должны выглядеть как \\domain\papka1 и если вводить этот путь, то юзера должно пускать в зависимости от разрешений шары и разрешений NTFS. Поэтому необходимо проверить разрешения юзеров на эти папки на сервере, где они расшарены и лежат.

при вводе в окне эксплорера строки \\domain.local должен появляться список папок контроллера домена - SYSVOL, NETLOGON »
так и есть. Кроме этих директорий, есть еще и директории DFS.
Корневые папки DFS должны выглядеть как \\domain\papka1 »
Нет, папки выглядят как \\domain.local\papka1
если вводить этот путь, то юзера должно пускать в зависимости от разрешений шары и разрешений NTFS. Поэтому необходимо проверить разрешения юзеров на эти папки на сервере, где они расшарены и лежат. »
Полностью с вами согласен, все верно. И разрешения на шары есть. В том то и проблема, что даже при наличии разрешений на шары при попытке входа в директорию выводиться окно аутентификации, правда не всегда, от чего ситуция становиться еще более напутанной. Все вроде бы нормально настроено, всегда все работало. Как я уже говорил, все это началось после ввода в домен КД на ОС Windows Server 2012 R2...

Хм. Ну как минимум стоит проверить %logonserver%, когда возникает такая ошибка.
А дайка вывод dcdiag /e /v

прошу прощения за задержку, выходные:)
знаю что там множество ошибок в репликации, но эти ошибки из-за плохого качества связи в основном, и на данную ситуацию не должны влиять, т.к. проблемы репликации возникают между с другими сайтами.