[Sysadmins] samba4 DC не авторизует пользователей после 5 дней работы

[solic на shpl.ru]

Уважаемые коллеги!
Столкнулся со странным поведением samba 4 DC
samba-DC-4.7.10-alt2.M80P.1
Три раза создавал домен через classicupgrade
https://wiki.samba.org/index.php/Migrating_a_Samba_NT4_Domain_to_Samba_AD_(Classic_Upgrade)#Continuing_with_the_AD_DC_setup
в том числе с разными dns-backend.
Чистый сервер в виртуалке, с переносом пользователей с файлсервера (он 
режиме domain NT)
Примерно через 64 часа после создания домена пользователи перестают 
входить в домен ( и это приходится на вторую половину пятницы 8-(  ).
В третий раз поймали, что изменились права на sysvol
Они стали
hpldc2018 samba]# ls -l sysvol
итого 4
drwxrwx---+ 4 root SHPL\denied rodc password replication group 35 ноя  4 
01:06 ws.shpl.ru
то вместо группы
BUILTIN\Administrators
которая была на свежесозданном домене.
Соответственно netlogon недоступен, как и все GPO.

Такое впечатление, что домен как-то сам стал RODC

Есть ли способы вернуть домен в нормальное состояние ?( сервер dc 
единственный, репликация не настраивалась)
И что может быть причиной такой "стабильности"?



С уважением
Сергей Соломонов