Kann es evtl. sein, dass die
API nur dann korrekt funktioniert, wenn es eine Vertrauensstellung zwischen beiden Domänen gibt?
Ich würde sagen ja.
Ansonsten könnte ja ein User ein Brude-Force-Attacke auf eine Domäne startet indem er einen eingeschleusten Rechner ranhängt und dann die Domänen-User/PW durchlaufen lässt die er meint das es sie gibt.