Como Joeqwerty disse, geralmente é aceito que você usará a autenticação NTLM com uma confiança externa e Kerberos com uma confiança de floresta.
No entanto, é possível obter a autenticação Kerberos funcionando com um domínio externo, mas há condições.
A confiança deve ser criada usando o nome de domínio totalmente qualificado (FQDN). A referência de Kerberos falha se o FQDN estiver ausente no objeto de domínio confiável.
A sintaxe do nome de usuário é UPN e o sufixo UPN pode ser resolvido para um DC no DNS (UPN implícito)
As portas UDP 389, UDP / TCP 88 e UDP / TCP 464 estão abertas para os controladores de domínio no domínio do usuário.
O nome do servidor no domínio de recursos confiante deve ser o FQDN, e o sufixo de domínio do nome do servidor deve corresponder ao FQDN de DNS do domínio do AD DS.
Se ainda estiver causando azia depois disso, recomendo mudar para Negotiate authentication protected with SSL.
Algumas leituras / referências adicionais: