to ingener
Если используется ALD и Kerberos, а Координатор фильтрует DNS-запросы, то у вас и SMB-взаимодействие с удаленным cifs-каталогом бы не отрабатывало, да и любое взаимодействие в 0 режиме через Kerberos тоже. Конечно, возможны исключения, но приведенная вами схема ранее явно их не реализует...
Кстати, на днях попадался баг на Win без мандатки в трафике, но все же. Схема та же: Client -> Coordinator-1 -> Coordinator-2 -> туннелируемый ресурс (доступа нет). Так что возможны варианты, которые мы с вами не сможем разобрать, ибо не разработчики из ИнфоТекс...