Doména domain01.tld poskytuje uživatelské účty a doména domain02.tld poskytuje zdroje, v příkladu webový server.
Mezi doménami je vytvořen forest trust, který plně podporuje Kerberos. Externí trust podporuje Kerberos s omezením a vyžaduje další konfiguraci. Směr trustu je domain02.tld » domain01.tld to znamená uživatel z domény domain01.tld se může prihlásit ke zdroji v doméne domain02.tld. Name suffix routing má defaultní konfiguraci, jméno *.domain02.tld je propagováno do domény domain01.tld.
Web server v doméně domain02.tld má zaregistrováno SPN např. HTTP/server.domain02.tld
..
Uživatel který se pokouší pripojit k webovému serveru je na svém pocítaci v doméne domain01.tld prihlášen svým doménovým uctem. Pro pripojení k webovému serveru používá MS Internet Explorer kde je v Local Intranet zóně jméno webového serveru např. server.domain02.tld nebo wildcard *.domain02.tld. DNS server (forwarder) který používá PC uživatele je schopen najít Kerberos server (KDC) v doméně domain02.tld..
401-Unauthorized
a posílá seznam podporovaných způsobů prihlášení, pro Kerberos to muže být WWW-Authenticate: Negotiate
.msDS-TrustForestTrustInfo
TDO objektu. V případě parent/child domén je TDO objekt forest trustu primárně uložen jen v parent (forest-root) doméně, ale replika forest-root domény je uložena v globálním katalogu child domény.