hint000

Так или иначе, это связано с тем, что ПК не видит контроллер домена. А не видеть может по разным причинам.
1. Не сразу получает адрес от DHCP и уходит в APIPA, через несколько минут повторно пробует и получает. Прописать статику на ПК и посмотреть как это повлияет.
2. Не получает от DNS правильный ответ о контроллере домена. Например, прописано два DNS, но только один из них знает о контроллере домена. Прописать правильно форварды на стороне всех внутренних DNS. Не отдавать ПК никакие внешние DNS (знаем-знаем, как вы все любите четыре восьмёрки или четыре единицы).
3. Нужно убедиться, что виртуальная машина контроллера уже успела загрузиться, прежде чем запускаете виртуальную машину с ПК. Если стартовать все виртуалки одновременно, то эффект довольно ожидаемый. ПК уже запрашивает что-то у контроллера, а тот еще не полностью прогрузился и не готов ответить.

(50) - параметр в групповой политике Interactive logon: Number of previous logons to cache (in case domain controller is not available).

Проверьте, применилась ли эта политика на Win11. Вы говорите о том, что этот параметр задан политикой на сервере. А дошла ли эта политика до ноутбуков - неизвестно.

процессор стоит intel core i9 13900

https://dtf.ru/hard/2819675-pk-geimery-i-razrabotc...

Проблемные процессоры:
i9-13900K/KF/KS
i9-14900K/KF/KS
i7-14700K/KF
i7-13700K/KF

https://habr.com/ru/articles/855884/

copy "C:\Users\nitro80\AppData\Roaming\1C\1CEStart\ibases.v8i" "C:\Users\Default User\AppData\Roaming\1C\1CEStart\"
(предполагается, что у пользователя nitro80 были прописаны ровно те базы, которые нужны будут всем новым пользователям).
Но AppData\Roaming\1C\1CEStart\ibases.v8i - это простой текстовый файл, который можно хоть Блокнотом редактировать, удаляя оттуда ненужные и вставляя нужные базы, исправляя понятные пользователю названия баз, исправляя пути к базам...

Общий принцип: то, что вы закинули в профиль Default User, будет появляться у новых пользователей (например, ярлыки на рабочем столе и т.п.).

WSUS
https://ru.wikipedia.org/wiki/Служба_обновления_Wi...

1. Вы пишите, что у вас только один контроллер домена. Второй сервер вы только собираетесь сделать контроллером домена? Делается в два шага: (а) ввести сервер в существующий домен, (б) добавить на нём роль AD DC и объявить его новым контроллером.

2. Два контроллера домена нужны не для балансировки нагрузки, а для надёжности работы всего домена.

3. О какой-то нагрузке на контроллер домена можно начинать рассуждать, когда в домене 1000+ пользователей; в этом случае у вас уже будет развитая сетевая инфраструктура, и вы можете два контроллера разместить в двух сайтах (в терминах AD), каждому сайту назначить подсеть, пользователи из определённой подсети будут обслуживаться своим контроллером;
Но если у вас пользователи распределены территориально и работают в разных подсетях, то даже при малом количестве пользователей есть смысл распределить контроллеры по тому же принципу - не для распределения нагрузки, а для надёжности.

Вместо терминального сервера используйте VDI.

Я, конечно, не знаю, в чём смысл исходной задачи, но если он (т.е. смысл) сводится к анонимизации пользователей, то достаточно поменять имена учётных записей, чтобы вместо ostap.bender@roga-i-kopyta.com было user00123@roga-i-kopyta.com.

А здесь смотрели?: https://www.google.com/search?q=Как+запретить+запу...

Потери пакетов в сети.
На клиентской стороне в командной строке ping -t адрес_сервера
на несколько минут (можно параллельно с подключением RDP), потом Ctrl-C и смотреть количество потерь.

если как-то впендюрить роутер между ПК и DC, то можно так

По умолчанию Windows не включает маршрутизацию, вам нужно её включить на сервере. А также включить NAT на сервере. Инструкция: https://openvpn.net/cloud-docs/owner/networks-and-...
Вообще на Windows такое обычно никто не делает, но в учебных целях можете походить по граблям, почему бы нет.

Кстати, как там у вас в Польше?

Active Directory не имеет отношения к вопросу.
Очевидно, что при поставленных ограничениях остаётся вариант - поставить приложение на компьютеры пользователей локально.

_______________|__________
  |                       |
работа                  работа
приложения              приложения
удалённо                локально
(отказались)      ________|____________
                 |                     |
            приложение            приложение
            на сетевой шаре       установлено локально
        _________|________        (нам сюда)
       |                  |
  скорость сети	      требуется
  устраивает          более быстрая сеть
  (нет)               (не сейчас)

Почему бы просто не добавить сервер лицензирования с новым адресом?
Первоначально вы же когда-то прописывали этот старый арес в качестве адреса сервера лицензирования. Вот там же можно и новый добавить (см. скриншот).

Хотя канонично (фен-шуйно) было бы использовать не адреса, а имена серверов, а в адреса они бы уже через DNS резолвились. Тогда хватило бы внести изменения в DNS.

потому что недоступен domen.local. Хотя командой пинг я вижу отклик от старого домена domen.local
Команда nslookup не видит domen.local

поскольку

переехали другой офис одного и того же холдинга,

то имеет смысл сразу навести порядок с DNS - подружить DNS domen2.local c DNS domen.local. Чтобы DNS domen2.local знал, куда форвардить запросы про domen.local.
Думаю, примерно что-то такое имел в виду Alexey Dmitriev в своём комментарии.
Вариант от Andrey Barbolin тоже рабочий и несложный. Но всё-таки это кратковременный костыль до решения проблемы. Я же предлагаю вариант, который решит навсегда будущие аналогичные проблемы.

Идея в том, что заходит рядовой пользователь на контроллер домена, эксплуатирует любой свежий баг с подъёмом привелегий - и вы сливаете в унитаз безопасность всего домена, всё предприятие разом, с сотнями или тысячами пользователей, с доступом к файлам пользователей, к рабочим машинам пользователей. Дальше можно делать в сети предприятия что вздумается. Всё зашифровать. Или получить доступ к финансам. Или годами скрытно воровать коммерческую информацию...
Такие вещи эникейщик должен выучивать в первый месяц стажировки на первом рабочем месте (если только там был поднят AD). И именно поэтому работодатели не хотят принимать на работу людей совсем без опыта - слишком велика ответственность, слишком легко одним неверным действием обанкротить всю контору.

скриншот с win2008r2, но суть та же

Это учетка Администратор.

Создайте новую учётку, назначте права администратора. Попробуйте войти под новой учёткой. Если всё нормально, то перенесите нужные данные (если такие есть) со старого профиля и после этого удалите старую учётку, затем удалите папку с кривым именем.

В чём причина такого глюка непонятно, но если это случилось только один раз и больше не повторяется, то и чёрт с ним. Каких только глюков не бывает на винде. Для спокойствия можно прогнать проверку командой sfc /scannow, прогнать тест оперативки, тест логической целостности файловой системы, глянуть SMART на диске. Вот если будет повторяться, тогда это повод для расследования.