Невозможно войти в систему, когда основной контроллер домена не работает

Если ваши клиенты настроены на DHCP, то почему бы вам просто не добавить вторичный DC в качестве вторичного DNS-сервера, предполагая, что DNS также запущен на вторичном DC?

Также, трюк для входа клиента в систему, когда DC не работает, заключается в том, чтобы просто протянуть сетевой кабель при вводе пароля.

EDIT я только что увидел, что IP-адреса статические. Попробуйте ipconfig -flushdns на клиенте и посмотрите, есть ли разница.

Сначала проверьте IP-конфигурацию ваших DCs. Убедитесь, что вторичный DC может видеть себя в качестве DNS-сервера для домена. Если это зависит от автономного сервера для DNS, то у вас возникнет эта проблема.

Далее посмотрите на "Кэширование на стороне клиента DNS". Это может быть проблема таймаута на клиенте, который ранее видел первичный. http://blogs.msmvps.com/acefekay/2009/11/29/dns-wins-netbios-amp-the-client-side-resolver-browser-service-disabling-netbios-direct-hosted-smb-directsmb-if-one-dc-is-down-does-a-client-logon-to-another-dc-and-dns-forwarders-algorithm/#section7

https://blogs.technet.microsoft.com/stdqry/2011/12/14/dns-clients-and-timeouts-part-2/

Всякий раз, когда у меня возникают проблемы с аутентификацией, удаление Ethernet-соединения заставит ПК использовать кэшированные учетные данные. До тех пор, пока этот пользователь не войдет на ПК, прежде чем он хотя бы заставит вас войти в систему для поиска и устранения неисправностей, затем снова подключите Ethernet.

В удаленном ответе вы сказали, что "1-ый и 2-ой контроллеры прекрасно настроены, и оба DC указывают на себя, а клиенты могут выполнять nslookup на обоих серверах". Такая конфигурация неверна.

На контроллере домена первым и вторым DNS-серверами должны быть другие контроллеры домена. Третий DNS-сервер должен быть 127.0.0.1. Все ваши клиенты должны иметь как минимум 2 контроллера домена в качестве DNS сервера