Несколько доменных контролеров
 

Вводные:
Имеем основной офис с контролером домена на WIN 2016 (для простоты общения назовём его DC1).
Имеем два филиала. Ну очень отдаленных.

Задача:
При пропадании связи между основным офисом и филиалом – домен на филиалах должен продолжать работать.

Подробнее:
Филиалы находятся ну уж в очень отдаленных местах. Бывает и по нескольку дней отсутствует интернет.
Сейчас настроены VPN и вроде бы все работает до тех пор, пока не пропадает интернет. Естественно пропадает интернет. Не поднимается VPN туннель. Пользователи не могут попасть на ресурсы компании, даже, внутри своего филиала из-за отсутствия связи с контролером домена… Не буду долго описывать, я думаю, тут все понятно. Что бы все было хорошо должен быть контролер домена. Другого провайдера – нет. Интернета лучше не получится.
По простоте душевной поднял в одном из филиалов, на виртуалке, резервный контролер домена (DC2). Перенастроил DNS на машинах и вроде бы все отлично. Но есть, но! Когда преподает интернет, преподает связь между DC1 и DC2, и офис все-равно не работает. В один из моментов отправили меня в командировку в этот филиал и я, даже, не смог открыть оснастку «Пользователи и компьютеры Active Directory». Мне выдалось сообщение об ошибке «Доменные службы Active Directory: Не удалось найти информацию об именах по следующей причине: Сервер неработоспособен». И открылась пустая оснастка.
После поисков по нету нашел информацию о владельце ролей доменных служб. И понял, что у меня не работает резервный контролер по тому что он не является владельцем ролей «FSMO».
Каждый раз ездить на филиалы и включать роли, а потом, переподнимать на этих же филиалах контролеры доменов, когда инет, снова появляется, как сами понимаете – не вариант.

Внимание вопрос:
Как можно сделать так что бы на филиалах контролеры домена, работали автономно, и когда есть инет обменивались инфой с основным контролером домена.

Надеюсь, что задачи описал достаточно подробно. В какую сторону копать – не понимаю, поэтому и прошу помощи у вас.
Заранее благодарен.

Разносить контроллеры по разным сайтам AD и в эти же сайты переносить юзеров и компьютеры в этих филиалах.
Либо поднимать поддомены в каждом филиале.

А по поводу сайтов можно немножко подробнее? Пользователей именно переносить, или, можно, как то копировать? В разных сайтах могут быть одинаковые пользователи? Или отдельные сайты будут жить своей отдельной жизнью? Спасибо. А как будет происходить взаимоотношения между сайтами?

Почитайте серию статей Active Directory – трудности перевода. Часть 1.
Никуда пользователей переносить не надо.
Неправильно Вы поняли. Для полноценного функционирования КД и аутентификации пользователей на КД должна быть включена роль Глобального каталога и правильно настроены сайты AD и DNS. При правильной настройке всех компонентов все будет работать не зависимо от того есть у Вас интернет в филиале или нет.
В Вашем случае так как Интернет не постоянный необходимо пристально следить за репликацией между КД.

Начать стоит отсюда: Understanding Active Directory Site Topology
Многие вопросы сразу отпадут. Но, сайты - это просто разделение одного домена на несколько подсетей, разнесённых территориально. То есть, юзеров с одинаковыми логинами не бывант, так-же как и нескольких компьютеров с одним именем. Все манипуляции с AD проходят в соответствующих оснастках управления AD. Между сайтами, если всё сделать правильно отношения будут проходить нормально - будет синхронизация данных.