Bem, este link pode explicar isso: link
Basicamente, o computador de conexão (estação de trabalho) precisa ser capaz de ver o servidor AD DC em todos os domínios que planeja se conectar; mas o computador conectado (servidor) não precisa ser capaz de ver o outro servidor AD DC para os computadores que se conectam a ele.
Portanto, na prática, talvez seja necessário pensar em onde os usuários (ou aplicativos) estão se conectando e tornar esses domínios "privilegiados" para ver esses servidores DC.
No entanto, se você usar APENAS autenticação do tipo NTLM, somente os DCs precisarão ver uns aos outros e a autenticação funcionará bem. Embora, no meu conhecimento, as consultas LDAP sejam suficientes se se conectarem a um servidor de catálogo global.