Евгений Хлебников

EDNS - расширение DNS протокола
Оно работает через UDP (UDP DNS запросы могут быть заблокированы вашим файрволом\провайдером, так, что только TCP DNS запросы будут проходить), а так же использует увеличенный размер датаграм, что тоже может блокироваться файрволом.
Вообще, ваша проблема необязательно связана с тем, что я написал - это только одна из причин, описанная в статье от Microsoft (касательно любой версии Windows Server)
Как вариант - выключить ENDS или продолжать копать про возможные причины проблем работы DNS сервера MS в связке с EDNS

С точки зрения разнесения ролей - виртуализировать всё это единственный выход при нехватке железа
Однако,вам и вашему руководству стоит задуматься о том, что падение (хардварное) единственного сервера без бэкапа серьезно повлияет на бизнес процессы, поскольку восстановление того же функционала на новом железе выльется в длительное ожидание процесса закупки и тд и тп.
Если же у вас два маркера, то вы можете покрасить вообще всё сервера то
1. виртуализация и
2. кластеризация (например в случае падения сервера все переезжает на второй, более слабый, зато работает)
сильно поможет бизнесу не простаивать из-за хардварной проблемы.

Ваш вопрос вызывает больше вопросов чем желаний дать ответ, FYI
Вопросы:
1. Объединены ли в сетевом плане облачная сеть и офисная, если да то кто виноват зачем?
2. В вопросе присутствуют
- SQL: вообще не давать доступа никому кроме админов и приложения, логины обязательно отдельные от офисной сети
- Exchange: Вообще никому не давать доступ, кроме админов. Все пользовательские интерфейсы работы с Exchange - внешние.
- Служба терминалов: Вот тут (спорное утверждение) можно бы логиниться под офисными логинами, однако:
Exchange интегрирован с AD domen2, его логины для почты будут отдельными.
Если все равно есть отдельные логины - то и в службе терминалов так-то особо не стоит интегрироваться.

В общем и целом из вашего вопроса я не вижу причин для объединения доменов, так что если отвечать на "как правильно функционально" - ответ,наверное, будет: "не надо объединять"
Но если вам настолько хочется снизить безопасность сети с БД, приложением(1с наверное какой-нибудь) и почтой - дерзайте: объединяем подсети site2site VPN-ом, настраиваем траст, как написал hint000 , надеемся на авось надеемся на авось.

Впихнуть все на один сервер потенциально можно, но в получите неудобство в управлении и риски по безопасности. Приведу очевидные примеры:
сервер терминалов+AD = пользователи сервера терминалов должны быть домен админами
MSSQL + AD = https://www.concurrency.com/blog/february-2017/ins...
IIS + AD = проблемы с безопасностью (или пользователю, под которым запускается apppool не хватает прав - "глюки" в работе веб приложенияили, наоборот, слишком высокий уровень доступа у учетной записи, под которой работает приложение - риск взлома AD через IIS)
Кроме того, понимайте, что после появления AD и присоединения к нему рабочих машин это - центральный сервер вашей сети. Его поломка вызовет вал работ по восстановлению, переприсоединению, перенастройке учетных записей и тд и тп. Вы же вносите в его конфигурацию дополнительные сервисы, что несет для AD дополнительные риски
Тем не менее, у MS всегда было решение Small Business Server которое совмещало на одном сервере роли, необходимые небольшой организации. На текущий момент мои знания по SBS устарели, но продукт существует в виде Windows Server Essentials - возможно, для того, чтобы понять какие роли сейчас (по рекомендации MS) можно совмещать на одном сервере можно посмотреть в его сторону

Возможно, путь в статье поможет и вам.
https://secureidentity.se/delegate-dhcp-admins-in-...
Только читайте внимательнее: автор решает другую задачу: как дать административный доступ к DHCP пользователю без админских прав. Про доступ на чтение - у него в конце одна строка "сделайте по аналогии" :D
Заодно там есть кратенько почему эти две дефолтные группы "не работают"

P.S. По хорошему, вам бы не заморачиваться всем этим, а просто раз в минут 5 выгружать необходимую статистику в файл, а пользователю работать с файлом, без непосредственной работы со службами. Но все зависит от того какую задачу вы на самом деле решаете. В вопросе у вас сформулирована проблема с уже выбранным решением, с которой поможет разобраться приведенная статья, но, возможно, не стоит настолько усложнять схему и выдавать права там где они реально не нужны

вот тут хорошо написано.
Если кратко :
1. закончившиеся пароли можно включить RDWeb - там есть возможность смены.
2. действовать проактивно : включить настройку, предупреждающую пользователей о смене паролей за N дней до истечения.
По ссылке инструкции на английском со скриншотами.

https://technet.microsoft.com/ru-ru/library/hh8315...
Если кратко : разрешаете запускать программы из Windows и Program Files, Program Files (x86) и запрещаете откуда угодно из другого места.

надеюсь, вот эта ссылка сможет ответить на ваш вопрос (если кратко - то нет, базовый функционал остался точно таким же, а вот утилиты командной строки привязанные к возможностям\ролям\приложениям сервера - могли измениться)

SyavaSyava отчасти прав.
Но вы просто не понимаете задачу.
Вам нужно средствами домена законфигурить клиентское приложение Outlook.
средствам групповых политик - ищите шаблоны групповых политик для MS Office вашей версии

1. ipconfig /all на клиентской машине где наблюдается проблема.
Выясняем список всех полученных DNS серверов
Тестируем их на доступность и прохождение запроса ( а так же скорость отклика ) - как прописал Александр Карабанов
На доменных машинах клиентские DNS должны смотреть только на контроллеры домена.
2. Смотрим на DNS сервер на контроллере домена :
- логи с ошибками\warning-ами сервера
- доступность DNS серверов, прописанных в свойствах сетевого подключения контроллера домена и прохождение запроса к ним с контроллера домена
- настройки DNS :
доступность root hints
доступность форвардеров и кондишнл форвардеров, если вы их прописали в свойствах сервера.
3. Работоспособность и отсутствие ошибок в Active Directory сервисе.

Ориентируйтесь в первую очередь на ответ SyavaSyava
Но помните :
Доверительные отношения это доверительные отношения, а информация - это информация.
1.Как бы компания не доверяла сотрудникам - не каждому стоит давать доступ к файлу\отчёту "финансовая отчетность организации"
Разграничивайте доступ к документам : рабочие документы отдельно, важная информация управляется конкретным лицом\отделом и доступна максимум для чтения всем, кроме него\них.

2.Если сотрудник не видит файл, к которому ему доступ не нужен - это предотвратит лишние соблазны.
(в свойствах файлового сервера что-то вроде policy-based enumeration)

3. аудит доступа к файловым ресурам.(то что SyavaSyava прописал) позволит фиксировать кто когда работал\получал доступ к документу.

4. по сложным случаям,в которых применение DLP реально видится необходимым (пересылка с компа с личной почты или через мессенджер) - ничего поделать нельзя. Реально. Моцарт когда-то спиратил Miserere без всяких там смартфонов и личных почт.
Здесь может помочь :

5. Развивайте лёгкую паранойю у сотрудников на предмет "принимаются меры по защите информации". Проводите мероприятия, составляйте списки защищаемых документов. Подписывайте, проводите все стандартные процедуры. Сотрудники, таким образом, будут знать что если что - "атата" (даже если "атата" реально не получится сделать по причине невыяснения а кого-же "атата") .

backup and restore iis configuration
заодно прочитайте про iis configuration history

опишите, пожалуйста, как вы видите механизм синхронизации пользовательских данных, в случае смены пользователем своего пароля на своей основной станции.
И как вы планируете решать проблемы с доступом пользователя на расшаренные папки в таком случае.

Это в случае, если вы все таки реализуете вашу хитроумную систему управления пользователями через скрипты\удалённое управление.

The cmdlets for Windows Server Backup are contained in a Windows PowerShell snap-in. Before you begin, you must install the cmdlet snap-in. (For instructions, see Install Windows Server Backup Tools (go.microsoft.com/fwlink/?LinkID=101794)). Then, each time you use the cmdlets, you must add the Windows Server Backup cmdlet snap-in to the instance of Windows PowerShell that you have opened by using the following command at the command prompt: C:\PS>add-pssnapin windows.serverbackup.

1. очистка системных временных файлов :
включаете в features(компоненты) Desktop Experience (возможности рабочего стола) . Перезагружаетесь. После перезагрузки получаете стандартный cleanmgr.
1.a настраиваете cleanmgr. ключи коммандной строки
/sageset:n - настраиваете профиль очистки под номером n
/sagerun:n - запускаете настроенный профиль очистки под номером n.
и вообще читаете, например, это или другую документацию, на сайте MS например, и настраиваете под себя.
Запускаете cleanmgr с нужными ключами по расписанию в планировщике задач.

2. Очистка пользовательских профилей
Включаете настройку групповой политики на этом сервере:

Computer Configuration -> Administrative Templates -> System -> User Profiles
Delete cached copies of roaming profiles

Теперь при логоффе пользователя его профиль будет выноситься.
Бывают проблемы что он не удаляется - но их надо решать отдельно.
Так же приучаете пользователей не хранить ничего на рабочем столе-документах терминального сервера, под хранение рабочих документов выделяете отдельный диск\сетевой диск, если хранить документы на компьютере пользователя неприемлемо.
Ну и используете remoteapp, конечно