Você não quer fazer isso através do NAT. Você poderia construir um cenário de pesadelo onde você gerencia os registros DNS dos DCs e registra manualmente os endereços "externos" do NAT no DNS. Com o direito de encaminhamento através do NAT você provavelmente poderia fazer tudo funcionar.
Você seria mais bem atendido com uma VPN site a site para permitir que os DCs tivessem comunicação transparente e permitissem o registro de endereços atribuídos pelo NIC no DNS. IPSEC em endereços IP públicos também é uma possibilidade.
Além dos problemas de comunicação de rede, acho que você tem uma preocupação com a arquitetura de segurança.
Eu diria que você precisa de duas florestas de AD. Sua floresta AD do "back office" deve ser separada da floresta do AD que executa seu aplicativo. Você certamente pode ter uma réplica do controlador de domínio da floresta de aplicativos no local da sua sede física, mas eu aconselharia veementemente uma relação de confiança bidirecional entre as florestas. Eu certamente não gostaria que os dois domínios fizessem parte da mesma floresta AD.