Olá Igor, tudo bem?Se entendi bem, você precisa que as máquinas da tua filial consigam se autenticar na matriz. Detalhe que conexão entre matriz <--> filial foi feita por túnel IPSec. confere?Neste caso, você pode fazer de algumas formas diferentes, mas o importante é que as máquinas da filial resolvam corretamente o teu domínio interno (empresa.local por exemplo) para que possam puxar os dados do AD, se autenticarem corretamente além de aplicarem GPOs e outras coisas correlatas do active directory.Entendo que sua preocupação em não usar o AD da matriz como servidor dns primário da filial para não gerar tráfego desnecessário é extremamente válida (dns é uma parte crítica da navegação dos usuários, e quanto mais perto do usuário estiver o cache, melhor, além de liberar a banda do túnel ipsec quem nem sempre é lá grandes coisas na internet brasileira).A maneira mais simples (que inclusive fiz recentemente), será na qual as máquinas da filial usem o próprio firewall da filial como servidor DNS, e que o firewall da filial encaminhe para a matriz apenas as consultas *.empresa.local, que são aquelas apenas encontradas no domínio (AD).Para isso, vá no firewall da filial e configure no serviço do Unbound um novo Override (Services > Unbound DNS > Overrides > Domain Overrides ) com domínio empresa.local e IP o endereço IP do servidor AD da matriz. Isto vai fazer com que as consultas endereçadas para o domínio *.empresa.local seja redirecionada para o AD da matriz. (semelhante a um conditional forwarder no dns do AD).*Detalhe que o IPSec por padrão não permite a comunicação do firewall (filial) com o AD (matriz) pois o IP de binding do serviço Unbound não vai sair da LAN da filial por padrão (na fase 2 do ipsec a gente normalmente configura apenas lan <--> lan por isso este empecílio). Daí pra resolver esta segunda questão você pode forçar o serviço do unbound a sempre conectar no servidor upstream, tendo como origem o endereço LAN do firewall. Faça o seguinte: vá no menu System > Services > Unbound DNS > General. Marque a opção Advanced options e no campo Outgoind Network Interface selecione apenas a interface LAN do firewall da filial. Salva, aplica e seja feliz