Trend Micro proxy с аутентификацией используя Глобальный каталог AD

Суть дела: имеется trend micro IWSA proxy сервер. Можно связать сделать связку с Active Directory. Создаётся политика в trend micro IWSA к примеру такие то группы АД могут поподать на такие то саиты и т.д.
Всё замечательно работает в условии одного леса.(так как trend micro IWSA подсоединяется напрямую к глобальному каталогу.)
Но дело приняло новый оборот. И надо сделать так чтобы люди из других лесов пользовались этим прокси.
Настроил форест траст между 2 хранителями глобального каклога. Оба под управлениями 2003 r2. ABC.local и 123.local.
trend micro IWSA связан с ABC.local. Поэтому создал группу Inetusers (Domain local типа Security) Добавил в эту группу группу из домена 123.local. Что интересно, если в ABC.local создать группу не Domain local типа Security а Global или Universal то не возможно в них добавить группы из 123.local, 123.local просто не появляется в том списке выбора Loction.
Но Trend Micro почему то не понимает этой связки групп из другого домена. хотя логин/пароль пользователя из 123.local, Trend Micro замечательно авторизует(наверняка из за форест траста.) но политики по группам Active Directory на Trend Micro в этом случае не сработали.