Подключение доменного пользователя к филиалу по доменному имени, когда DC только в центральном офисе

По ip поключение без проблем, но вот по доменному имени настроить не получается. Предполагаю, что туннель, который ведёт от windows пользователя к филиалу, не означает, что подключенный впн-клиент видит DC в центральном офисе, который соединен с филиалом другим туннелем. Как это реализовать, если нет возможности развернуть DC в филиале?

 

Разобрался: надо было настроить NAT трафика в туннель, уходящий в центральный офис, цепочка srcnat, Action - masquerade