A lista mínima para uma confiança AD é:
53 TCP/UDP DNS
88 TCP/UDP Kerberos
389 TCP/UDP LDAP
445 TCP SMB
636 TCP LDAP (SSL)
Você pode aumentar um pouco isso configurando o Kerberos somente para TCP.
E se você é louco, você pode usar arquivos HOSTS em vez de DNS.
Referências: Blog da Pber e MS KB 179442
Quanto aos computadores que precisam acessar os itens acima: O computador que está verificando a autenticação do usuário confiável deve poder contatar diretamente seu próprio DC e o Trusted DC.
Por exemplo: Bob de Alpha (domínio) está tentando fazer login em uma estação de trabalho que está no Omega (domínio). Essa estação de trabalho verificará com seus próprios DCs para obter as informações de confiança relevantes. Em seguida, a estação de trabalho entrará em contato com um controlador de domínio da Alpha, verificará o usuário e fará o login.
Outro exemplo mais interessante: Bob está usando sua estação de trabalho no domínio Alpha. Bob registra em um serviço da web que é executado no domínio do Omega, mas não usa o Kerberos para autenticar. O servidor web no Omega vai fazer a autenticação, então ele precisa acessar como a estação de trabalho no exemplo anterior.
O último que eu não lembro a "resposta" para - exatamente como o anterior, mas usando a autenticação Kerberized. Acredito que o servidor web Omega ainda precise de acesso da mesma forma, mas ele é muito longo e eu não tenho um laboratório para testar isso rapidamente. Eu deveria me aprofundar em um desses dias e escrever um artigo no blog.