安全通道信任验证失败

正在解决在两个域之间建立信任的问题，这两个域之间有多个防火墙，并且在两个服务器之间有针孔路由。

newdc.newdomain.com 是全新域中的 2012 服务器。admt.olddomain.local 是现有域中的 2008R2 服务器，有两个现有域控制器 dc1.olddomain.local 和 dc2.olddomain.local。正如您可能已经猜到的那样，此服务器将用于 Active Directory 迁移工具 (ADMT)

防火墙规则已设置到位，允许 newdc.newdomain.com 仅与 admt.olddomain.local 双向通信 Active Directory。所有 DNS 测试均正常，双方的 DCDIAG 也正常。

在 admt.olddomain.local 上创建信任时，我收到以下错误

传入信任已验证。它已到位并处于活动状态。传出信任验证失败，错误如下：信任密码验证测试未得出结论。将尝试重置安全通道。安全通道重置失败，错误 1311：当前没有可用于处理登录请求的登录服务器。

但是，在两个域中都创建了传入和传出的信任。在 newdc.newdomain.com 上验证信任（双向）显示已成功验证。但是，当我尝试从服务器 admt.olddomain.local 验证信任时，出现以下错误：

在域 olddomain.local 到域 newdomain.com 的 Active Directory 域控制器 \dc1.olddomain.local 上重置的安全通道 (SC) 失败，并出现错误：当前没有可用的登录服务器来处理登录请求。

传入信任已成功验证。

我在这里看到了问题，即使我正在从 admt.olddomain.local 执行验证，它实际上也会尝试检查无法与服务器 newdc.newdomain.com 通信的 dc1.olddomain.local 的安全通道，但这真的是个问题吗？有没有办法强制从 admt.olddomain.local 进行验证？我们能否在此设置中使用 ADMT？（我们将很快使用它来尝试测试副本，只是为了看看当前设置中会发生什么）

最终，我们将使用相同的网络地址和防火墙配置/网络路由将此 admt.olddomain.local 服务器重建为 newdomain.com 的只读域控制器，并且它将是唯一能够与 dc01.olddomain.local 和 dc02.olddomain.local 通信的机器，但是我们是否会遇到同样的问题，因为 newdc.newdomain.com 无法直接路由到 dc01/dc02 来验证信任？

谢谢您对此的任何意见！