Возможная причина - сбой в разрешении имён в другом домене через DNS. Сбой может быть вызван наличием в списке серверов DNS сервера, не умеющего разрешать имена в этом домене.
Где искать сбой - зависит от типа аутентификации. Если используется аутентификация Kerberos (для чего обязательно требуется доверие между лесами), то разрешение имён происходит непосредственно на клиентских ПК в домене 2 - при поиске
и сервера DCOM, и DC этого домена. К сожалению, ошибки Kerberos по умолчанию фиксируются в журнале событий только на DC. Если используется аутентификация NTLM, то разрешение имён производится как на клиентских ПК (поиск сервера DCOM), так
и на контроллере домена 1 - для установления защищённого канала с DC домена 2. При этом возникновение ошибок защищённого канала - любых, не только DNS - фиксируется в журнале событий System с источником Netlogon.
Тип аутентификации, если используется межлесное, а не внешнее доверие, проще всего посмотреть в событии успешного входа в систему. Для внешнего доверия тип - только NTLM.
Разрешение имён для поиска контроллера домена можно проверить командой nltest /dnsregdc:имя.домена (nltest входит в состав средств управления ролью AD DS в RSAT).
Слава России!
