O que acontece se o único DC falhar?

Posso executar um segundo controlador de domínio em uma VM?

Em ambientes de cluster, as pessoas executam ambos os DCs em VMs, mas os armazenam localmente em hosts diferentes. Portanto, não há problema em executar o DC em uma VM.

É uma prática padrão, desde talvez o Windows Server 2012, ter a) controladores de domínio virtualizados (DCs) eb) configurá-los no modo altamente disponível (HA). Os DCs têm seu próprio mecanismo de replicação integrado, portanto, isso não acarreta nenhum custo extra de gerenciamento.

Recomendações da Microsoft sobre controladores de domínio virtuais:

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/virtual-dc/virtualized-domain-controllers-hyper-v

AD HA (incluindo controladores de domínio):

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/replication/active-directory-replication-concepts

Espero que isso tenha ajudado :)

Esta é mais do que uma pergunta e um pouco fora do escopo da FC. Mas aqui está uma resposta rápida de qualquer maneira.

o que acontece quando o único DC falha/fica indisponível. Quais serviços ainda funcionariam, se houver.

Todos os serviços que dependem do AD falharão, todo o resto funcionará. Como você não postou nenhum serviço nem sua configuração, não podemos responder.

Mas é altamente recomendável ter pelo menos um segundo DC. Normalmente, a primeira coisa que você notará em um caso de falha é que seus usuários não conseguem fazer login.

se eu quiser adicionar um segundo DC, preciso de outra licença de 16 núcleos, porque você precisa de no mínimo 16 licenças de núcleo por servidor, correto?

O Windows Server Standard, a partir de hoje, pode ser instalado duas vezes (no mesmo hardware). A licença padrão vem com duas instâncias, por isso a virtualização facilita tudo.

Posso executar um segundo controlador de domínio em uma VM?

Claro - e você definitivamente deveria.