Проблема при добавлении контроллера домена из другой сети в существующий лес
 

Добрый день!

Есть задача построить лес состоящий из нескольких деревьев.
Организация имеет несколько филиалов объединенных контуром VPN. В каждом филиале и головной организации на границе VPN и внутренней локальной сети установлены межсетевые экраны (МЭ) под управлением Linux, правила транзитного трафика осуществляется на IPTABLES. В каждом филиале внутренняя локальная сеть одинаковой стандартной категории 192.168.0.0/24, а в головной 172.16.0.0/16. Каждый МЭ в филиале выступает основным шлюзом (при необходимости) для проброса трафика из удаленного филиала во внутрь локальной сети. Соответственно, на каждом МЭ филиала как минимум задействованы два сетевых интерфейса 192.168.0.254 (внутр.) и 10.х.х.х/8 (внешн.)
В головной организации поднят корневой домен test.local на (WinServ2008r2 в режиме WinServ 2003) и с адресом в локальной сети 172.16.0.1/16 Роль Сервера DNS установилась автоматически, в зоне прямого просмотра автоматически прописался локальный ip-адрес. Больше на DNS ничего не настраивалось. Пограничный головной МЭ имеет два интерфейса: 172.16.0.254/16 (внутр) и 10.0.1.1/8 (внешний)
На пограничном головном МЭ в IPTABLES установлены правила для проброса трафика во внутрь локальной сети таким образом, что весь возможный трафик для AD перенаправляется на адрес 172.16.0.1 (корневой контроллер) Правила записаны в цепочку nat/PREROUTING в цепочке filter/FORWARD весь входящий трафик для адреса контроллера разрешен.
Порты, которые перенаправляются на контроллер действием DNAT:
UDP порт 88 для Kerberos авторизации.
UDP и TCP порт 135 для операций взаимодействия контроллер-контроллер и контроллер-клиент.
TCP порт 139 и UDP 138 для File Replication Service между контроллерами домена.
UDP порт 389 для LDAP запросов от клиента к серверу.
TCP и UDP порт 445 для File Replication Service
TCP и UDP порт464 для смены пароля Kerberos
TCP порт 3268 и 3269 для доступа к Global Catalog от клиента к контроллеру.
TCP и UDP порт 53 для DNS запросов
TCP и UDP порты динамического диапазона: 49152 — 65535.

Руководствуясь статьей http://www.buldakov.ru/?p=436, был сделан новый сайт в оснастке контроллера "Сайты и службы" для последующего добавления в него удаленного сервера - будущего домена. Для сайта добавлена внешняя подсеть удаленного офиса 10.0.2.0/24.
Далее, перешли в удаленный офис, настроили и разрешили весь трафик на головной МЭ и обратно. Согласно той же статьи, настроили на машине с WinServ 2003 r2 сетевой интерфейс с локальным адресом 192.168.0.1/24 шлюзом 192.168.0.254 (местный МЭ) и DNS 10.0.1.1 (внешний ip головного МЭ, который в дальнейшем будет перенаправлен на локальный ип-адрес корневого контроллера 172.16.0.1).
Зашли в общие папки корневого контроллера по ip \\10.0.1.1 - авторизовались, заходит. А по имени DC.test.local не заходит!
Основной DNS сервер, установленный на контроллере в головной организации при запросе имени DC.test.local сопоставляет его с локальным ip-адресом и выдает нашей удаленной машине адрес 172.16.0.1, что и показывает nslookup, соответственно такой адрес не может использоваться далее. На всякий случай попробовали запустить dcpromo и создать новый контроллер в существующем лесу, но на шаге теста DNS все закончилось, тест не пройден.

Итак, хотелось бы понять правильность выбранного направления.
Возможно ли вообще при однотипности ип-адресации 192.168.0.0/24 в каждом филиале создать в них деревья в одном лесу. Может уже на этом этапе следовало бы остановиться и перестраивать сеть. Если все же возможно, то как настроить DNS сервер корневого контроллера в лесу, чтобы удаленные контроллеры могли с ним работать. Может что-то забыто в iptables или наоборот излишки?