Na verdade, esse mecanismo de "failover" deve acontecer automaticamente. O cliente DNS (sempre que falamos de um servidor ou estação de trabalho) perguntará ao seu servidor DNS primário por um controlador de domínio, de modo que o mecanismo solicite ao servidor DNS um CD adicional. Você pode usar nltest / sc_reset para redefinir o canal seguro de logon de rede e, em seguida, restabelá-lo novamente.
Acho que a melhor maneira de provar que o "failover" é simular uma falha no DC (por exemplo, desconecte a Ethernet se isso for possível) e, em seguida, verifique novamente o canal seguro de logon de rede com nltest (você deve usar o modificador de força, a fim de ignorar qualquer informação em cache)