[billybons]

Пофиксить получилось так:
1. изначально зона была интегрирована в AD.
2. я сделал ее основной зоной, не интегрированной в АД. После перезагрузки (которые теперь почему-то очень долгие) компьютер видимо сообразил что-то, так как открыл ты самую "вторую" зону, интегрированную в АД, про которую ругался.
3. после этого я поставил второй DNS на другом компе, тож интегрированный в AD.


Теперь вроде все ОК, только достали уже сообщения (на обоих DNS-AD-Win2003 компах):

Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 6702
Дата: 13.11.2005
Время: 22:42:20
Пользователь: Н/Д
Компьютер: DC2
Описание:
DNS-сервер обновил свои записи узла (A). Чтобы убедиться, что с этими интегрированными в DS равноправными DNS-серверами можно провести репликацию с данным сервером, была произведена попытка их динамического обновления с новыми записями. При этом обновлении произошла ошибка. Данные записи содержат код ошибки.

Если этот DNS-сервер не имеет интегрированных в DS партнеров по репликации,
то это сообщение об ошибке можно пропустить.

Если партнеры репликации Active Directory этого DNS-cервера имеют неправильные IP-адреса этого сервера, то они не смогут проводить репликацию с ним.

Чтобы убедиться в правильном проведении репликации:
1) Найдите партнеров репликации Active Directory данного сервера, на которых запущен DNS-сервер .
2) Откройте "Диспетчер DNS" и подключитесь по очереди к каждому из партнеров по репликации.
3) На каждом сервере, проверьте регистрацию узла (запись типа A) для ЭТОГО сервера.
4) Удалите любые записи (A), которые НЕ связанны с IP-адресами этого сервера.
5) Если для этого сервера отсутствуют записи типа (A), добавьте как минимум одну запись (A), связанную с адресом этого сервера, с которой партнер по репликации может контактировать. (Другими словами, если для данного DNS-сервера существует несколько IP-адресов, добавьте по крайней мере один, который находится в той же сети, что и обновляемый Active Directory DNS-сервер.)
6) Отметьте, что не обязательно обновлять сведения КАЖДОГО партнера по репликации. Это необходимо только для тех, чьи записи исправляются, чтобы каждый сервер, реплицирующий данные этого сервера, получал после репликации новые данные.

и еще (на ИСА 2004-компьютере):
1.
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1053
Дата: 12.11.2005
Время: 17:22:16
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: PROXYSERVER
Описание:
Не удалось определить имя пользователя или компьютера. (Сбой при удаленном вызове процедуры. Вызов не произведен. ). Обработка групповой политики прекращена.

2.
Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5719
Дата: 11.11.2005
Время: 21:47:46
Пользователь: Н/Д
Компьютер: PROXYSERVER
Описание:
Компьютер не может установить безопасный сеанс связи с контроллером домена SOVET6 по следующей причине:
Сбой при удаленном вызове процедуры. Вызов не произведен.
Это может затруднить проверку подлинности. Убедитесь, что компьютер подключен к сети. Если ошибка повторится, обратитесь к администратору домена.

Дополнительные сведения
Если данный компьютер является контроллером указанного домена, он устанавливает безопасный сеанс связи с эмулятором основного контроллера этого домена. В противном случае компьютер устанавливает безопасный сеанс связи с произвольным контроллером данного домена.

3.
(эта ошибка была только однажды, и больше не повторялась)
Тип события: Ошибка
Источник события: Kerberos
Категория события: Отсутствует
Код события: 7
Дата: 11.11.2005
Время: 21:47:46
Пользователь: Н/Д
Компьютер: PROXYSERVER
Описание:
The kerberos subsystem encountered a PAC verification failure. This indicates that the PAC from the client PROXYSERVER$ in realm SOVET6 had a PAC which failed to verify or was modified. Contact your system administrator.

Не знаю, связаны ли данные ошибки с DNS или нет (подозреваю, что связаны), но с ходу найти их причину не смог.
Может что подскажете?