Consegui que isso funcionasse, embora fosse um teste real.
Em primeiro lugar, é importante lembrar que os controladores do AWS Directory Services estão em um grupo de segurança separado que, por padrão, restringe todo o acesso de saída, exceto para outros controladores de domínio. Para que minha situação funcionasse, eu precisava adicionar explicitamente o acesso de saída aos outros controladores de domínio.
No entanto, mesmo quando eu fiz isso, ainda não estava funcionando. Eu tive que excluir o encaminhador e recriá-lo depois de corrigir o grupo de segurança para que ele funcionasse.