Когда рабочая станция или сервер пытается аутентифицировать пользователя в другом домене, связывается ли рабочая станция или сервер с DC другого домена напрямую для аутентификации после обращения к DC локального домена? Или DC локального домена выполняет запрос аутентификации от имени рабочей станции?
Пример:
Сейчас у меня два домена.
Домен hosted.contoso.com и office.contoso.com.
Все пользователи созданы в office.contoso.com домен, поэтому пользователь Smith@office.contoso.com хочет войти в систему host1.hosted.contoso.com. Делает host1.hosted.contoso.com нужно иметь видимость domain-control.office.contoso.com прямо?
Пользователь Смит аутентифицирован в домене office.contoso.com. Этот домен находится в доверительном управлении с hosted.contoso.com и предоставляет пользователю Smith билет для host1.hosted.contoso.com.
Другими словами: пользователь аутентифицируется в своем своя домен (другой домен не может быть подтвержден). Поэтому, когда пользователь подключается к чужому домену, DC создает действительный билет для другого домена (если это доверенные домены). Итак, в вашем примере host1 не нужно видеть dc.office, но dc.office требуется соединение с dc.hosted.
Также посмотрите http://blogs.msdn.com/anthonw/archive/2006/08/02/686041.aspx