Огромное человеческое спасибо за то,что натолкнул на мысль!
На контроллере домена, в личных сертификатах компьютера необходимо было запросить сертификаты от нового ЦС "Контроллер домена", "Почтовая репликация каталога", "Проверка подлинности контроллера домена". Не могу сказать что нужны все 3, запросил все сразу, а не по одному. И теперь вход по рутокену осуществляется.