В филиале обязательно нужен свой домен? Почему бы не использовать в филиале ReadOnly контроллер домена того же домена, что развернут в головном офисе?
Почему бы не взять IPSec-тунель? Он, установив соединение между двумя шлюзами, объединяет равнозначные локальные сети), статические маршруты прописываются на интернет-шлюзе, и клиентам уже всё равно к ресурсам в какой из сетей подключаться.
Главное, чтобы на DNS-ах на каждой из сторон были прописаны необходимые доменные зоны, но это как раз и решается развертыванием ReadOnly DC со своимом DNS.
Если же необходим именно отдельный домен в филиале, то у клиента, который переедет из одной сети в другую, сеть надо настроить с Main Gateway той сети, в которую он приехал, а DNS-ы оставить от его же домена (через ipsec они будут доступны, если gateway даст маршрут до них).
Сложный
