Do I need to have domain controller for both domains on each remote site to authenticate users, or can a single global catalog server that is in one domain authenticate users in the other domain?
Um controlador de domínio em outro domínio, seja um GC ou não, não pode autenticar usuários de outro domínio, seja ele confiável ou não.
Portanto, não será possível ter um único DC para o domínio "BOB" e ser capaz de autenticar usuários do domínio "MARY" por meio desse DC DC. O controlador de domínio em "BOB" terá que passar MARY \ joe off para um DC no domínio MARY para autenticação real. Portanto, se você não quiser passar o link WAN de volta para um domínio DC in MARY, precisará de 1 DC para o domínio BOB e 1 DC para o domínio MARY em cada local.
Mas o tráfego de autenticação de um usuário em uma WAN é, na verdade, bastante minúsculo. Se os seus links não estiverem saturados ou propensos a cair, provavelmente você está bem atravessando a WAN.
Mais informações: Como funcionam os domínios e as florestas
Kerberos V5 Referral Processing
If the client uses Kerberos V5 for authentication, it requests a ticket to the server in the target domain from a domain controller in its account domain. The Kerberos Key Distribution Center (KDC) acts as a trusted intermediary between the client and server; it provides a session key that enables the two parties to authenticate each other. If the target domain is different from the current domain, the KDC follows a logical process to determine whether an authentication request can be referred:
Is the current domain trusted directly by the domain of the server that is being requested? If yes, send the client a referral to the requested domain. If no, go to the next step. Does a transitive trust relationship exist between the current domain and the next domain on the trust path? If yes, send the client a referral to the next domain on the trust path. If no, send the client a logon-denied message.