De acordo com este documento da Veeam , e implícito por este documento da Microsoft , um DC restaurado (ou clonado) será inicializado no DSRM, e não há como contar a partir da tela de login. Ele pisca brevemente afirmando que isto é o que está acontecendo (mesmo se você selecionar "Iniciar o Windows normalmente"), mas você precisa ser rápido para vê-lo.
Efetuando login (com sucesso) com a senha do DSRM, confirmou que esse era o caso.
O artigo Veeam sugere a abertura de um prompt de comando e a execução do seguinte:
bcdedit /deletevalue safeboot
shutdown -t 01 -r
O artigo do MS aconselha o mesmo, mas não fornece os comandos.
A reinicialização após isso permitiu um login bem-sucedido com credenciais de domínio.