Parece que seus clientes não estão usando seus DCs como servidores DNS. Você deve certificar-se de que seus controladores de domínio estejam realmente executando o DNS para sua zona do AD e que seus clientes estejam configurados para usá-los.
Se houver uma alteração na sua configuração, as políticas antigas ainda serão aplicadas, pois elas serão armazenadas em cache nos clientes, mas não poderão atualizar ou verificar novas políticas. Se você estiver usando o DHCP, verifique se ele está configurado para configurar clientes para usar os servidores DNS adequados.