MVV

Сервер DHCP может быть где угодно. Но он обычно раздает адреса серверов DNS для клинтов. И для работы AD это критично. Общее правило: на клиентах в списке серверов DNS не должно быть серверов, которые не знают про домен AD. В списке серверов DNS должны быть только контроллеры домена (КД) или серверы/прокси DNS, которые переадресуют запросы к именам из этого домена на КД.
Простейший вариант этого правила, для начинающих: в списке серверов DNS на членах домена должны быть только КД.

Ошибка - не в протоколе доступа (SMB), а в аутентификации/авторизаци.
Для поиска включите (если не включен) на сервере аудит удачных и неудачных попыток входа в систему, и смотрите, под каким пользователем идут попытки подключения.
Если под анонимным - проблема в аутентификации. Т.к. при подключении по IP используется только NTLM, то смотрите, чтобы на клиенте и на сервере использование NTLM не было ограничено политиками и на ошибки от Сетевого входа в систему (NetLogon) в журнале Система на сервере.
Если под конкретным пользователем, то для начала смотрите, под ожидаемым ли пользователем происходит вход. Если нет - разбирайтесь на клиенте, нет ли там сохраненных учетных данных для взода на сервер. Если да -смотрите в политиках, на наличие у него прав на вход в систему по сети: входит ли он в группу тех, кому доступ разрешен, и не запрещен ли доступ персонально ему (это две независимые настройки).

Через групповую политику: Конфигурация компьютера/Административные шаблоны/Система/Дисковые квоты

Включите аудит доступа. Проще всего он включается через политику.

В настройках dhcp распространяю выдачу ip адресов, указываю dns домен-контроллера (*.10.1) и основной шлюз (*.10.2)

Так делать нельзя: клиенты по Windows в каждый момент работают с одним сервером DNS (по крайней мере - при елинственном подключении сети), на другой они переключаются при недоступности первого.
Настраивайте в качестве сервера DNS для клиентов только КД (точнее, сервера DNS на нем), а для самого КД обеспечьте возможность разрешения имен в общемировом DNS. Если не хотите разрещать ему доступ к любым серверам DNS в интернете (кстати, почему?), используйте DNS-сервер или DNS-прокси на шлюзе: настройте его как сервер пересылки в консоли сервера DNS в Windows.
Для п.3 вам требуется прокси-сервер. Какой - не посоветую: что там сейчас на какой платформе модно (и вообще поддерживается) - я не в курсе.

я поднял 1й КД (dc1), установил ему адрес 192.168.88.2, и в dns добавил 1 запись, самого себя.

Когда КД в сети больше одного, то так делать не надо. Добавляйте на него второй DNS на DC2. Иначе есть возможность, что содержимое зон DNS на обоих КД будет рассогласовано (впрочем, для вас, судя по в вашему описанию, эта возможность - теоретическая, но все равно стоит делать хорошо сразу).

решил глянуть статус репликации, а там ошибка
ошибка репликации

Прямо сейчас там ошибок нет: все разделы каталога среплицировались. Но проверьте обратную репликацию на DC1 - она совершенно отдельная, мало ли что там.
Те сообщения, которые вы видите - это пока не забытые прошлые ошибки (например, при старте AD). Или такое бывает, если команда была запущена не в режиме администратора.

PS А вообще состояние КД лучше проверять командой dcdiag (из командной строки в режиме администратора). Если не хотите читать лишние буквы - используйте dcdiag /q, тогда будут выведены только тесты с ошибками.

Уберите 8.8.8.8 из всех списков серверов DNS на всех клиентах, которым нужно обращаться к домену (на NAS, в частности). Этот сервер почти наверняка не способен разрешать имена ваших КД в IP вашей локальной сети (подробности разных сценариев опускаю). По умолчанию DNS на КД вполне способен справляться с разрешением всех имен (и из интернета - тоже, через корневые сервера). Если это вдруг не так - кто-то (ваш маршрутизатор или провайдер) почему-то блокирует исходящие запросы DNS с КД - настройте на них пересылку запросов на внешний сервер DNS, запросы на который не блокируются (например, тот же 8.8.8.8).
PS Если маршрутизатору не нужно обращаться к домену (в том числе - если он настроен как DNS Proxy для локальной сети), то 8.8.8.8 можно оставить, чисто на случай отказа всех КД.

Судя по симптомам, наиболее вероятная проблема - изначальная неисправность репликации SYSVOL, препятствующая этому КД объявить себя таковым. Перезапустите на каждом КД службу репликации DFS (она же DFSR) и смотрите наличие в его журнале событий ошибок или предупреждений в течение 15 минут после перезапуска. Дальнейшие действия зависят от того, что там зафиксировано.

PS Официальные рекомендации от MS по аналогичным проблемам: https://learn.microsoft.com/en-us/troubleshoot/win...

Если вам нужно подключиться самому для администрирования сервера - попробуйте для подключения запустить mstsc /admin: подключитесь в режиме администрирования, без запроса лицензии, но число таких подключений ограничено (ЕМНИП до сих пор 2-мя).

Если у вас установка свежая и ещё не в бою, считаю предпочтительным вариант выше, от Роман Безруков .
Но есть альтернатива, которую можно попробовать: загрузиться в безопасном режиме восстановления службы каталогов (надеюсь пароль для этого режима у вас есть) и переименовать компьютер обратно, как было. После чего - помолиться своему богу или постучать по дереву и попробовать перезагрузиться.
PS

Помимо разрешений на папку:
1. Убедитесь, что папка и файлы внутри нее не открыты по сети (в узле "Общие папки\Открытые файлы"в консоли управления компьютером, например).
2. Убедитесь, что у вас есть разрешения на удаление всех подпапкох и файлов на все подпапки внутри этой папки (имейте в виду, что наследуемые разрешения могут и не примениться, т.к. разрешения хранятся для кажого файла или папки отдельно).

Начать надо с того, что сервер времени - это часть конфигурации компьютера, а не пользователя (кстати, это видно на картинке по вашей ссылке). Поэтому посмотрите результат применения политик (RSOP) к компьютеру, для этого результат лучше всего вывести в файл: gpresult /scope computer /h файл.htm

Проверьте (например, командой ping) на сервере AD разрешение имен DNS для сайтов, которые находятся в интернете. Если оно не работает - настройте так, чтобы оно работало. Как именно настроить - завист от причины. Например, если запросы DNS наружу от сервера AD режутся у вас на маршрутизаторе - разрешите их: сервер DNS на сервере AD по умолчанию уже настроен на поиск в DNS, начиная с корневых серверов, и дальше в соответствиеи с делегированием, а чтобы этот поиск работал, нужно чтобы запросы проходили.
Если запросы DNS к посторонним серверам (кроме своего) режет провайдер - настройти на сервере DNS для AD в его свойствах безусловную пересылку на сервер DNS провайдера.

Я так понимаю у меня не находит сервис из-за задваивания "looch.local" в запросе.

Наоборот, запрос к имени с к нему дописанным суффиксом домена ("задваивание") происходит потому, что перед этим на запрос к самому имени клиенту приходит ответ, что имя не найдено.

Как я понял, у вас это 172.16.128.1 - это микротик? Если да, тогда подозреваю, что его адрес отдавается по DHCP клиентам в качестве второго сервера DNS, а на самом микротике условная пересылка запросов к домену AD DNS на контроллер домена AD (КД) не настроена. Так? Если так (это - распространенная ошибка), то либо уберите микротик из списка серверов DNS, либо настройте на нем нужную условную пересылку (если это возможно и если вы это умеете). Потому что клиент, в какой-то момент может переключиться на этот второй сервер DNS на микротике (например, при сбое при обращении к DNS на КД), а микротик ничего про ваш домен AD не знает - вот и получается эта ошибка.

Похоже, у вас, на самом деле, всё нормально.
Другое название папки на Win2012 - это след давней миграции репликации SYSVOL с FRS на DFSR.
Код ошибки 0x800706e4 при проверке сервера Win20212 c Win2019 означает "Запрошенная операция не поддерживаяется" - т.е. налицо некоторая несовместимость версий по диагностическим механизмам, этим можно пренебречь, а состояние Win2012 - проверить с него самого.
Не прошедший тест DFS Replications означает всего лишь то, что в журнале событий этой службы были ошибки и предупреждения. Посмотрите, какие были. Ошибки и предупреждения могут появляться и при нормальной работе репликации: например, при перезагрузке другого КД (ошибка потеря связи с ним) или при резервном копировании КД (предупреждение о заморозке записи в БД репликации в момент создания теневой копии системного тома).
Для того, чтобы упокоиться, можете выполнить опрос состояния репликации на КД через WMI (из командной строки в режиме администратора):

For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state

Числа в state означают следующее:
0 = Uninitialized
1 = Initialized
2 = Initial Sync
3 = Auto Recovery
4 = Normal
5 = In Error

Коды ошибки показывают, что какая-то программа пытается подключиться к вашему компьютеру с него самого или, возможно, - с другого компьютера через какую-то выполняющуюся на вашем компьютерее программу, типа веб-сервера, через сеть с указанной (и не существующей) учетной записью.
Чтобы понять, какая программа на вашем компьютере это пытается, попробуйте включить ненадолго аудит процессов, чтобы получить сведения о програмах и поискать корреляцию.

Во-первых, вы сделали суперобласть, включающую обе эти области ("пулы", если по-вашему)?
Во вторых, если сделали, то проверьте MAC в записи аренды того адреса, который выдан: там иногда бывают чудеса - в виде дополнительных нулей, например.