Евгений

обслуживать Active Directory, DNS должен свой собственный.
Чтобы использовать днс на микротике, просто поставьте в настройках форвардеров в днс ваш микротик.
Однако на клиентах должен быть ДНС контроллера домена.

определитесь, чего вы хотите :
1. удалённая работа с приложениями на сервере средствами windows server 2012
Для этого нужен терминальный сервер MS или Citrix (или другие)
2. удалённое подключение пользователей к своим ПК в вашей сети средствами windows server 2012
Для этого нужно организовывать удалённое подключение к вашей сети, далее всё не зависит от сервера.
В зависимости от того что вам надо - средства разные, и советы, соответственно, будут разные.

Вообще, вы второй контроллер держите именно затем, чтобы можно было в случае падения первого перенести роли и спокойно восстанавливать.
Имхо, восстановление из бэкапа, в данном случае, будет злом, вы получите только проблемы с репликацией данных АД.
Лучше всего, если на поломанном кд остались какие-то важные сервисы, восстановить его без сети из бэкапа, выгрузить сервисы. Затем - переустановка(Роли на втором всё это время). После возвращения первого, роли можно и обратно.
Если сервисов нет, только КД - спокойно все роли на второй, переустановка первого, затем разнесение ролей как нравится.

ну и на всякий, проверьте, какая версия 10-ки у вас установлена.
rsat не ставится на домашнюю версию.

troubleshooting kerberos problems

Читаем, тщательно проверяем (даже если вы уверены что к вашей проблеме это не относится) и выполняем рекомендации.

В интерфейсе добавления ролей сервера есть описание каждой роли.
Внимательно прочитайте описание. Если в вашем приложении не используется то, что вы прочитали, значит эта роль вам не нужна.

nfire, сложность паролей - исключительно организационный вопрос.
как правило, в нормально организованной ИТ службе, за вопрос смены паролей пользователей отвечает служба технической поддержки, и пусть пользователь сбрасывает себе пароль хоть по 100 раз на дню, оформив, конечно, заявку на сброс, установленным образом.
Это только даст руководству пищу для размышлений на тему "а все ли в порядке с данным сотрудником".
В конце-концов, можно расписать руководству все опасности, продемонстрировав в интернетах базы компаний (в том числе и email адресов, а это - увеличение поступающего спама).
Ну и упирать на то, что в таком случае нужно будет сделать одного, совершенно бесправного пользователя на всех, чтобы не давать никому расширенных прав, поскольку один пароль продвинутого пользователя, в таком случае, будет гулять по всей компании и приведет к заражению вирусами (или запуску программ, вирусами не являющимися, но сильно мешающих работе как пользователей так и сети\серверов).
В общем, запугайте начальство :D, подключив весь ваш опыт, воображение, и google.
Главное не переборщить.

Ах да, про личные фотографии с подключаемых смартфонов не забудьте рассказать :D которые обязательно украдут и выложат в интернет

нужны разрешения для сервера srv-sc-dpm yf удаленный запуск и удаленная активация dcom-компонента агента ДПМ на целевых машинах.
если не поменялось, то компонент должен называться DPM RA

вообще, очень полезная ссылка : Устранение неполадок, связанных с DPM

$NetAdapter = Get-NetAdapter -Name $InetrfaceName
$NetAdapter | New-NetIPAddress -IPAddress $IP1 -PrefixLength $NewNetMask
$NetAdapter | Remove-NetIPAddress -IPAddress $IP2 -PrefixLength $NewNetMask -Confirm:$false
$NetAdapter | Set-NetRoute -NextHop $NewGateway
$NetAdapter | Set-DnsClientServerAddress -ServerAddresses $NewDNS1,$NewDNS2

https://technet.microsoft.com/en-us/library/jj1308...
Обратите внимание, что командлеты работы с сетью зачастую доступны только, начиная с windows 8\server 2012
По приведенной ссылке на technet, например, видно, что get-netadapter доступен начиная с 8.1\2012 R2

Для реализации вашего функционала в windows 7\server 2008 нужно или использовать netsh (пусть и в powershell скрипте) или через wmi

Есть два варианта удаленного подключения к компьютеру :
1. для технической поддержки пользователя, интерактивно
2. для административных задач.

Клиентские ОС не подразумевают одновременную интерактивную работу с ОС двух пользователей без хаков : вы или будете подключаться к сеансу уже залогиненного пользователя, или же выкидывать его, чтобы "поработать" под своей учетной записью.

Для нужд технической поддержки (подключение к сеансу пользователя) есть куча разных утилит, платных и бесплатных, я же порекомендую обратить внимание на нативное решениt : remote assistance, который присутствует в клиентских ОС, начиная с windows 2000.
Плюсы : доменные компьютеры могут быть настроены на разрешение подключения к пользователям группы технической поддержки через gpo. Поддержка осуществляется как с удаленным управлением, так и без. Присутствует в системе, не требует софта.
Особенность (многие считают её минусом) : не подразумевает, ради безопасности, тайное подключение к сеансу пользователя без запроса.

Для административных нужд есть возможность управлять компьютером через powershell remoting (или pstools для ОС с отсутствующей PowerShell).

В домене Active Directory 99% задач по конфигурации пользовательских систем можно решить через gpo или, в срочных случаях, указанными выше средствами удаленного администрирования.

немного непонятна задача.
Автономные папки, если не поменялась их идея, это пользовательская фишка : в сетевом папке выбираем файл или папку - "сделать доступным автономно" и оно начинает синхронизироваться.
Если же вы про always offline mode то вот вам ссылка, там описывается где в gpo можно настроить сетевую папку для которой он включен.

вопрос поднимался неоднократно
разные решения:
1. создаете в dns домена srv запись _http.tcp с IP вашего сайта. при заходе на http : //site.ru будет подставляться внешний IP адрес
2. создаете в зоне domain.ru запись www c IP адресом вашего сайта.
пользователи внутри сети заходят на сайт через www.site.ru
3. на контроллере домена делаете редирект в IIS на ваш сайт
4. переименовываете домен

Первый вариант:
Ограничить в файрволе доступ только на вашу локальную сеть.
Пришли на работу - работают в терминале.
Пришли в нерабочее время - охранник не пустил.
Второй вариант :
Используем для всех пользователей логон-скрипт, запускающий нужную программу, перед этим проверяя время на сервере :
с 8:45 до 18:15 заходить можно - запускаем нужную программу.
В другое время - нельзя, делаем логофф.
Третий вариант уже описали ниже. Влияет на вход в нерабочее время и на ПК пользователей.
четвертый вариант :
По расписанию изменяем разрешения на доступ к подключению для группы терминальных пользователей, насильно выкидывая их в 18:15. Или меняем членство пользователей в группе.
пятый вариант :
Включение или отключение возможности удаленного подключения на сервер по расписанию

У вас два сервера AD.
Переносите роли на один из серверов 2003. (FSMO)
Второй 2003 удаляете роль контроллера домена, выводите из домена, переустанавливаете на 2008, вводите в домен.
Дальше роли на 2008, выводите второй 2003 и переустанавливаете.