Ну, эта ссылка может объяснить это: http://blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx
В основном соединяющийся компьютер (рабочая станция) должен смочь видеть AD сервер DC на всех доменах, с которыми это планирует соединиться; но подключенный компьютер (сервер) не должен мочь видеть другой AD сервер DC для компьютеров, которые соединяются с ним.
Так на практике это может потребовать, чтобы Вы думали, где пользователи (или приложения) соединяются от и делают те домены на "более высоком полномочии" для наблюдения тех серверов DC.
Однако при использовании ТОЛЬКО аутентификации типа NTLM затем только DCS должен видеть друг друга, и аутентификация будет хорошо работать. Хотя к моему знанию, запросы LDAP должны быть достаточными, соединяется ли оно с Глобальным сервером Каталога.