Это кажется, что проблема состоит в том, что клиенты — который мог быть любым, где угодно — видят два сервера DNS и если Вы перестали работать, они или не делают обработки отказа к вторичному серверу или существует долгий тайм-аут, прежде чем они сделают.
Я соглашаюсь, что основные и вторичные серверы DNS должны быть расположены в различных средствах как лучшая практика, но я не вижу, как это решило бы эту конкретную проблему.
Если клиент собирается настоять на том, чтобы запрашивать определенный IP-адрес, игнорируя IP-адрес вторичного устройства (или требуя времени к тайм-ауту к нему), то просто необходимо предложить решение, которое сохраняет ту работу IP-адреса, даже если основной сервер снижается.
Некоторые направления для исследования были бы подсистемой балансировки нагрузки, которая может перенаправить трафик для единственного IP-адреса к нескольким серверам в различных дата-центрах; или возможно маршрутизация передачи любому из узлов.
Я не думаю, что это может быть сделано. Сам Windows только использует AD, чтобы авторизовать и аутентифицировать пользователей. Единственный способ, которым я думаю, что это могло быть сделано, состоял бы в том, если бы у Вас была другая система с помощью Kerberos, который мог бы использовать RADIUS в качестве пользовательского бэкенда и затем сделать доверие между Windows AD и доменом Kerberos. Я не знаю, существует ли такой продукт.
Предполагая, что с помощью общих ресурсов Windows вам нужно что-то совместимое с CIFS ...
В этом случае лучшим вариантом может быть запуск сервера Samba и его настройка для использования RADIUS Auth, которая хорошо поддерживается автор: smbd.