MVV

Во-первых, вы сделали суперобласть, включающую обе эти области ("пулы", если по-вашему)?
Во вторых, если сделали, то проверьте MAC в записи аренды того адреса, который выдан: там иногда бывают чудеса - в виде дополнительных нулей, например.

Чтобы устранить: запустите консоль конфигурирования DCOM (например dcomcfng.exe), перейдите в раздел Component Services/My Computer/DCOM Config, найдите там это приложение по имени (это некий "Flight API Settings Broker") или по AppId из события и дайте нужное разрешение указанной в событии учетной записи.

Включите аудит неудачных попыток входа в систему (через групповую политику) и смотрите в журналах Security событий Windows на КД и на всех серверах, куда пользователи не могут получить доступ.
Предполагаемая причина, особенно, если у вас принята политика регулярной смены паролей для пользователей - устаревший запомненный пароль на устройствах пользователей. Обучите пользователей самостоятельно смотреть и удалять эти пароли.

С 2003 на 2019 домен AD напрямую мигрировать не получится: 2019 уже не поддерживает репликацию SYSVOL по протоколу FRS, а только по DFSR, а 2003 SYSVOL по DFSR реплицировать ещё не умеет. Придется вместо 2019 ставить пока 2016 максимум, заменять 2003 на них, а далее - как положено, мигрировать репликацию SYSVOL на DFSR (только аккуратно, по шагам, а не сразу в конечную стадию) , повышать уровень домена и леса до 2016 и заменять 2016 на 2019.

Кроме встроенного брандмауэра (который по умолчанию занимается локальным трафиком) в Windows в RRAS есть фильтры пакетов. Это - более примитивный инструмент: они могут только блокировать или пропускать весь трафик кроме указанного в списке исключений, они настраивается для конкретного интерфейса, они работают только в одну сторону (для входящего и исходящего трафика фильтры отдельные), они не отслеживает сессии (но есть возможность избирательного блокирования пакетов подключения по TCP). Но, думаю, для решения вашей задачи фильтров хватит.
Доступ к настройке фильтров находится в свойствах каждого интерфейса в узле General для протоколов IP (v4 и v6).
В вашем случае можно на интерфейсе каждой сети в настройках входящего фильтра следует указать, что надо пропускать весь трафик, кроме трафика, направленного в другую сеть (указать в исключениях адрес и маску этой сети).