В общем почитал кучу интернетов, но так и не хватает ума понять откуда ноги растут.... на клиентских машинах вот такой ерор
Ошибка при обработке групповой политики. Попытка чтения файла "\\first.local\sysvol\first.local\Policies\{E1CB7482-3BC5-44CE-BDC7-7C2E3EB344C1}\gpt.ini" с контроллера домена была неудачной. Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Это может быть временным явлением, его возможные причины: a) Ошибка разрешения имен или проблемы сетевого подключения к текущему контроллеру домена. b) Запаздывание репликации Active Directory (созданный на другом контроллере домена файл еще не реплицирован на текущий контроллер домена). c) Отключен клиент распределенной файловой системы (DFS).
на КД подобная ошибка но уже при репликации с другим КД.... до этого заметил что пропали шары sysvol и netlogon, вроде восстановил с помощью переключения в реестре на D2 D4 ntfrs.... но трабла осталась :(

связь между КД есть, ДНС тоже в порядке вроде... где копать? Какая инфа нужна?

dcdiag /v spk4
dcdiag /v spkad
в прищепках.

netdiad, addiag выложите + просмотрите внимательно доступность DNS серверов через nslookup.

через nslookup всё норм, файлы в прищепке...... да, собственно понижение через dcpromo и создание контроллера заново (правда с тем же именем?) не помогло.

Убери с DNS серверов 127.0.0.1, он там ни к чему, лучше укажи реальный IP адрес.
Ну и собственно где же норм то?
DNS test . . . . . . . . . . . . . : Failed
[FATAL] Could not open file C:\Windows\system32\config\netlogon.dns for reading.
[FATAL] Could not open file C:\Windows\system32\config\netlogon.dns for reading.
[FATAL] Could not open file C:\Windows\system32\config\netlogon.dns for reading.
[FATAL] No DNS servers have the DNS records for this DC registered.

И вот еще ошибка
Redir and Browser test . . . . . . : Failed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{C76FBACE-8E9A-4309-8FCE-4DFCD591DBC4}
The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser
NetBT_Tcpip_{C76FBACE-8E9A-4309-8FCE-4DFCD591DBC4}
The browser is bound to 1 NetBt transport.
[FATAL] Cannot send mailslot message to 'FIRST*' via browser. [ERROR_INVALID_FUNCTION]

100%-но проблема в DNS серверах, проводи их тесты, смотри внимательно записи.

такие же сообщения на работающих нормально КД, так что это не первопричина.... контроллеров всего 4 и 3 работают нормально, если бы не работал ДНС то наверняка всё бы глючило, хотя не факт.... как проверить то?

Да, суть... путь \\first.local\sysvol\first.local\Policies\{E1CB7482-3BC5-44CE-BDC7-7C2E3EB344C1}\gpt.ini

не существует! т.е. папки там такого вида есть а вот именно такой нет.... т.е. как будто всё реплицировалось, названия поменялись, а КД и клиенты ищут ГПО в старой папке.