Коллеги, добрый день. Есть задача дать доступ подрядчикам на машину в

Question

Коллеги, добрый день. Есть задача дать доступ подрядчикам на машину в

DMZ, но чтобы они заходили под доменными учётками. Из DMZ есть доступ только до RODC контроллера.
Я выполнил все предварительные настройки сервера по правилам для RODC, ввёл в домен. Собственно с этого момента начинаются проблемы:
- Долгая загрузка машины, ещё более долгий вход пользователя. Сначала user profile service, потом applying user settings. Вход юзера минут 10 занимает.
- в локальной группе админов появился юзер, который выглядит как SID. Вот как бывает, когда нет связи с доменом или учётка уже удалена и SID не сопоставляется с именем.
- Я могу зайти на машину с учёткой доменного админа и буду админом. Могу обычной юзерской и буду просто юзером. Зайти могу даже по RDP. Но в локальных группах нигде не вижу ни domain admins, ни domain users, ни отдельно учётки, под которыми захожу.
- Если пробую добавить в локальные группу кого-нибудь из домена, то мне доступен поиск, я могу найти любую учётку, но на моменте добавления в группу появляется ошибка "RPC server is unavailable"
- GPO не применяются. Я так понимаю как раз из-за этого долго входит юзер

Пробовал разные тесты:
- nltest работает, кроме команды /dclist:. Тут выдает ошибку Сannot DsBind to.Status = 1722 0x6ba RPC_S_SERVER_UNAVAILABLE I_NetGetDCList failed: Status = 87 0x57 ERROR_INVALID_PARAMETER
- Test-ComputerSecureChannel показывает False

Порты открыли все, которые указаны в документациях и статьях. Возможно даже больше, чем нужно. Все telnet проверки по разным портам от сервера к RODC проходят.
В логах ничего подходящего не увидел.

Подскажите пожалуйста, что может быть не так? Что ещё можно проверить?