Agora implementei o novo domínio do 2012 R2 e configurei a confiança com a floresta antiga do 2008 R2.
Eu não tive problemas, agora estou colocando isso como um padrão para todos os outros domínios que eu gerenciei, pois não causou dores de cabeça com quebra de aplicativos, etc.
Eu simplesmente decidi configurar o IPsec no GPO 'Default Domain Policy' como:
- Isolamento
- Solicitar autenticação para conexões de entrada e saída
- Computador e usuário (Kerberos V5)
Eu também configurei uma regra adicional na 'Política de Domínio Padrão' que excluía os controladores de domínio, pois excluí-los causava problemas de login e problemas conforme o esperado.
A confiança funcionou bem nessa configuração e o domínio agora está isolado em todos os dispositivos, exceto quando se comunica com um controlador de domínio (DC).
Como a maioria do tráfego é criptografada ao se comunicar com um DC, isso não foi um problema para mim.
Espero que isso ajude alguém a entender o impacto da implantação, optei por usar a solicitação, pois ela tem o menor impacto e foi a mais fácil de ser implantada.