Depois de muita pesquisa, finalmente encontrei a causa do problema.
Nós rastreamos isso depois de notar alguns outros problemas relacionados. Ao tentar navegar para um compartilhamento no accserver16 um usuário seria apresentado com uma caixa de credenciais e a seguinte mensagem de erro:
The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.
O preenchimento das credenciais apropriadas funcionou, mas isso não deveria ter sido necessário.
Além disso, ao tentar validar a confiança no controlador de domínio da floresta B, a seguinte mensagem de erro foi exibida:
The secure channel (SC) reset on Active Directory Domain Controller \accserver04.domainb.local of domain domainb.local to domain domaina.local failed with error: There are currently no logon servers available to service the logon request.
Isso apontou para uma incapacidade de localizar os controladores de domínio na outra floresta como a causa do problema.
Dentro do DNS, na zona de pesquisa direta de cada domínio, existe uma zona de delegação denominada "_msdcs". Isso deve conter registros NS estáticos apontando para os servidores de nomes nesse domínio.
No domínio A e no domínio B, isso foi configurado incorretamente. No domínio A, o único servidor de nomes listado havia sido rebaixado e no domínio B apontava para um servidor que não existia mais na rede.
Aparentemente, isso não causou problemas para consultas DNS internas e não afetou as consultas entre florestas, desde que o encaminhamento condicional estivesse sendo usado. Assim que o encaminhamento condicional foi substituído por zonas secundárias, a confiança entre as florestas caiu em pedaços.
Corrigir os registros do servidor de nomes nas zonas de delegação _msdcs em cada domínio para apontar para os servidores de nomes corretos resolveu o problema.