Размещение контроллера домена

Я проработал некоторую учебную документацию по Exchange (официальный пакет электронного обучения MS), и все сценарии проектирования ссылаются на размещение хотя бы одного контроллера домена из корневого домена леса на каждом сайте.

Я не уверен, относится ли это только к Exchange, но я могу вспомнить ряд проблем, с которыми мы сталкиваемся в нашем лесу, которые можно было бы решить с помощью этого. Например, инженер службы поддержки Microsoft заявил, что КАЖДОМУ клиенту в дочернем домене (т.е. всем рабочим станциям и рядовым серверам) необходим доступ к корневому DC леса для проверки разрешений сертификата / шаблона, даже в подчиненном CA.

Я попытался найти документацию или рекомендации от Microsoft по этому поводу, но не смог ничего найти. Я нашел руководство по размещению контроллеров домена, но это всего лишь форма - вы могли бы использовать его, чтобы задокументировать, где вы разместите свои контроллеры домена, но оно не дает никаких указаний о том, где вы должны их развернуть.

Кто-нибудь знает, где я могу найти такую ​​документацию?

РЕДАКТИРОВАТЬ: Чтобы прояснить, мне интересно, есть ли какая-либо документация (особенно от Microsoft), о которой кто-либо знает, в которой говорится, что имеет значение наличие DC корневого домена леса на каждом сайте, даже для сайтов, которые в остальном предназначены исключительно для дочернего домена.

Конкретно в отношении ситуации с CA, инженер MS, который работал над открытым делом, сослался на это сообщение в блоге Technet, где описывается проблема с каждым клиентом (включая рабочие станции), которому требуется доступ к DC в корневом домене леса. Но то, что мне не удалось найти, так это какой-либо проектной / архитектурной документации от MS, которая предлагает этот дизайн.