O núcleo do problema está em torno da maneira como cada controlador de domínio é identificado de forma exclusiva pelo domínio e de como as informações de domínio são replicadas pelo sistema.
É vital que:
A) Cada controlador de domínio mantém seu próprio ID exclusivo, inalterado, em todos os momentos. Operações que clonam um DC ou alteram seu SID irão quebrar isso.
B) Novos DCs são adicionados somente ao domínio por meio do processo DCPROMO. O domínio depende das informações que esse processo adiciona ao domínio para identificar um controlador de domínio na rede. Qualquer operação que coloque uma máquina on-line que pareça ser um DC válido, mas não tenha sido promovida exclusivamente no domínio, causará todos os tipos de dores de cabeça.
C) Um DC nunca é restaurado para um ponto no tempo passado. Portanto, não há instantâneos, etc. Isso ocorre porque o domínio depende de um sistema de tipo de número de ticket crescente para identificar alterações no domínio. Um DC revertido para um estado anterior terá um ID de ticket inferior enquanto o domínio estiver em um ID de ticket mais alto. Isso coloca você no cenário de reversão do USN descrito por Grizly.
Portanto, resumo: A execução de DCs virtuais é possível, mas você deve tomar cuidado extra para não executar operações de VM que violem os requisitos operacionais de DC.