hint000

1. Вы пишите, что у вас только один контроллер домена. Второй сервер вы только собираетесь сделать контроллером домена? Делается в два шага: (а) ввести сервер в существующий домен, (б) добавить на нём роль AD DC и объявить его новым контроллером.

2. Два контроллера домена нужны не для балансировки нагрузки, а для надёжности работы всего домена.

3. О какой-то нагрузке на контроллер домена можно начинать рассуждать, когда в домене 1000+ пользователей; в этом случае у вас уже будет развитая сетевая инфраструктура, и вы можете два контроллера разместить в двух сайтах (в терминах AD), каждому сайту назначить подсеть, пользователи из определённой подсети будут обслуживаться своим контроллером;
Но если у вас пользователи распределены территориально и работают в разных подсетях, то даже при малом количестве пользователей есть смысл распределить контроллеры по тому же принципу - не для распределения нагрузки, а для надёжности.

Есть ли способ обойти это?

Монтировать \\fileserver\UsersData\ в папку, которую не видит пользователь (ну как не видит, прав на чтение нет, а права на исполнение нужны), а потом оттуда надёргать символьных ссылок на подпапки, которые должны быть доступны и показать пользователю только эти символьные ссылки. Про хреновую безопасность уже сказали в комментариях и при таком варианте она не хуже и не лучше, наверное.

По мощностям минимум 8 ОЗУ, 2 CPU по 4 ядра, SSD 100GB

У меня на виртуальных машинах работают контроллеры домена, я им выделял по 2 ГБ ОЗУ и по 2 виртуальных ядра. Уже 7+ лет полёт нормальный. Первый год вообще по 1 виртуальному ядру выделял и тоже они нормально выполняли свои функции, но немного напрягало, что когда я заходил внести какие-то изменения, то медленно выполнялись действия, поэтому я увеличил до 2 ядер и стало вообще нормально. Что касается SSD 100GB, у меня контроллеру выделено 30..50 ГБ, из них реально занято 20..25.
До эпохи всеобщей виртуализации в разных конторах ставили контроллеры домена на первые попавшиеся Целероны, которые были слишком слабыми для работы пользователей, а выкидывать было жалко. :) Контроллер домена - одна из самых нетребовательных к железу ролей. Если в принципе серверная винда устанавливается на какое-то железо, то этого хватит и для контроллера домена.
2. 2019. И да, ей хватает 2 ГБ оперативки.
3. Как уже сказали, нет основного и резервного, все равноправны. Для начала достаточно двух. Если сеть распределена географически (не на одной площадке, а в разных частях города или в разных городах), то желательно на каждой площадке иметь контроллер домена.

Все хочу попробовать поднять резервные контроллеры домена на Linux с помощью Kerberos.

Сомневаюсь, что линуксовые контроллеры будут хорошо дружить с виндовым. Или все контроллеры на Linux, или все контроллеры на винде.
4. Как уже сказано выше, резервных нет, все равноправные. Характеристики железа не принципиальны, лишь бы выбранная ОС запускалась и шевелилась на этом железе.
5. Будет достаточно иметь два на виртуальных машинах, но эти ВМ - на разных физических хостах. И эти хосты желательно не включать в домен. С контроллером на голом железе нет проблем, просто это расточительно, если железо приличное; ведь на нём можно было поднять ещё одну или несколько ВМ.
6. Можно разные. У меня так, потому что контроллеры поднимались в разные годы. (Да, в принципе в планах есть поменять старые на новые, но работает и так). Главное, чтобы не было такой древности, как 2003, с ней уже нет совместимости по уровню домена и уровню леса. Даже 2008R2 и 2019 вполне уживаются в реальных условиях. Просто не вижу смысла делать новую установку старой ОС. По потребляемым ресурсам нет разницы, они в любом случае мизерные; устанавливая 2012, вы ничего не выиграете.

Active Directory не имеет отношения к вопросу.
Очевидно, что при поставленных ограничениях остаётся вариант - поставить приложение на компьютеры пользователей локально.

_______________|__________
  |                       |
работа                  работа
приложения              приложения
удалённо                локально
(отказались)      ________|____________
                 |                     |
            приложение            приложение
            на сетевой шаре       установлено локально
        _________|________        (нам сюда)
       |                  |
  скорость сети	      требуется
  устраивает          более быстрая сеть
  (нет)               (не сейчас)

потому что недоступен domen.local. Хотя командой пинг я вижу отклик от старого домена domen.local
Команда nslookup не видит domen.local

поскольку

переехали другой офис одного и того же холдинга,

то имеет смысл сразу навести порядок с DNS - подружить DNS domen2.local c DNS domen.local. Чтобы DNS domen2.local знал, куда форвардить запросы про domen.local.
Думаю, примерно что-то такое имел в виду Alexey Dmitriev в своём комментарии.
Вариант от Andrey Barbolin тоже рабочий и несложный. Но всё-таки это кратковременный костыль до решения проблемы. Я же предлагаю вариант, который решит навсегда будущие аналогичные проблемы.

Запустил на DC утилиту Lockoutstatus.exe - показывает что заблокирован на msdc01 (это PDC) а в логах его ничего нет -то есть нет события блокировки.

А что если утилита врёт (ошибается, глючит)? Всё-таки проверьте логи и на других DC.
Правильно делаете, что ищите в логах, логи - наше всё, надо искать шибче.
В крайнем случае временно погасить все DC кроме одного и наблюдать за оставшимся. Проверить работу блокировки на тестовой учётке - набрать несколько раз неправильный пароль и посмотреть, отразится ли в логах. Если и про тестовую ничего не будет в логах, значит проблема шире, чем предполагалось.

Идея в том, что заходит рядовой пользователь на контроллер домена, эксплуатирует любой свежий баг с подъёмом привелегий - и вы сливаете в унитаз безопасность всего домена, всё предприятие разом, с сотнями или тысячами пользователей, с доступом к файлам пользователей, к рабочим машинам пользователей. Дальше можно делать в сети предприятия что вздумается. Всё зашифровать. Или получить доступ к финансам. Или годами скрытно воровать коммерческую информацию...
Такие вещи эникейщик должен выучивать в первый месяц стажировки на первом рабочем месте (если только там был поднят AD). И именно поэтому работодатели не хотят принимать на работу людей совсем без опыта - слишком велика ответственность, слишком легко одним неверным действием обанкротить всю контору.

Уже были ответы на ваш вопрос:
https://qna.habr.com/q/1044384
https://qna.habr.com/q/374061
Там и ссылка на утилиту, и лайфхак для лёгкого копирования вручную.

https://qna.habr.com/q/1066292

поменять сервер Windows Server 2008 на новое железо с Windows Server 2019 (БЕЗ миграции настроек, из-за большого количества глюков)

Не вполне ясно, что значит "без миграции настроек". Означает ли это, что хотите поднимать новый домен? Если да, то вам придётся заново заводить в домен каждый компьютер, заново заводить каждого пользователя, переносить файлы каждого пользователя на каждом компьютере. Куча работы, и непонятно, есть ли в ней смысл.

Если нет желания такую фигню разгребать, то поднимаете новый сервер, заводите его в имеющийся домен, поднимаете на нём роли DNS и контроллера домена, повышаете его до контроллера домена в своём домене, передаёте новому серверу роли FSMO, выключаете старый и проверяете, как работает домен на новом. Если всё нормально, то включаете старый и понижаете его с контроллера до обычного компьютера. Потом можете и вовсе вывести старый из домена.

для нормального отображения логов в AD(например кто последний удалил/редактировал файл)

Вы уже настроили advanced audit policy, чтобы в принципе велись те логи, которые хотите "нормально отображать"?

Скрипты и самописы не предлагайте, это достаточно неудобно

Т.е. хотите платное ПО.

Сложность будет в настройке DNS.
Есть официальные статьи:
https://docs.microsoft.com/en-us/windows-server/ne...
https://docs.microsoft.com/en-us/windows-server/ne...
Но насколько это работает для случая, когда надо отдавать разные адреса одного AD DC - не берусь судить. Может быть, вы окажетесь первым человеком, успешно реализовавшим такую странную схему. И даже в этом случае больно бьющие грабли могут выпрыгнуть позже, при эксплуатации.

А так - ответы, которые дали Sasha Odarchuk и Дмитрий Шицков подталкивают вас в правильную сторону. Слушайте их, и обойдётся без граблей.