Контроллер, видимо, в единственном числе (случайно не Small Business Server 2003 ?).
Поддержка Windows Server 2003 (даже расширенная) закончилась 10 лет назад. С тех пор в более актуальных системах произошло огромное количество изменений в плане безопасности - изменение/отключение алгоритмов шифрования, различных фич и компонентов (SMBv1, NTLMv1,..) и т.д. Вы же берете самую свежую клиентскую ОС и пытаетесь ее скрестить с "динозавром" - да, возможно, это и получится путем включения устаревших алгоритмов/компонентов (если они не удалены из кодовой базы) для совместимости с устаревшими ОС. Так вы решите одну-две проблемы сейчас, а сколько их еще появится в будущем?
Возможно, вашу проблему решит добавление ключа в реестре на КД (перезагрузка не требуется):
HKLM:\SYSTEM\CurrentControlSet\Services\Kdc\DefaultDomainSupportedEncTypes со значением 0x7
In our case this solution solved the problem that was caused by some more recent Microsoft updates that disable RC4 encoding for Kerberos. One of our servers in local domain still required RC4 for authentication and by following exactly the instructions of this article and setting HKLM:\SYSTEM\CurrentControlSet\Services\Kdc\DefaultDomainSupportedEncTypes to 0x7 on domain controller restored access to still very much needed other server in local domain.
либо второй вариант: в свойствах конкретного доменного ПК поставить значение атрибута
msDS-SupportedEncryptionTypes равным 7.
Но все это временные решения (допускаю, что могут не сработать). По-хорошему - обновляйте свой КД до актуальной версии и добавляйте второй КД.
Внеклассное чтение:
Network security: Configure encryption types allow...
Temporarily allow Kerberos authentication to Windo... 
