Also ich werde mal zwei Möglichkeiten testen, welche dann letztendlich besser funktioniert:
1.) Ich habe für den DC eine GPO angelegt, welche die Firewall mit der vordefinierten Regel "ActiveDirectory Domänendienste" fürs lokale Subnetz öffnet. Aus allen anderen Netzen wird geblockt. Damit aber die Datenpakete nicht nur ins Nirvana laufen und unnötige Timeout-Wartezeiten entstehen, habe ich noch den Stealth-Modus der Firewall über GPP - Registry abgeschalten, so werden die Datenpackete abgelehnt und es kommt zu keinen Timeouts.
2.) ich sperre in den Filial-DNS die Anfragen an "_tcp.domain.tld", "_udp.domain.tld", "_msdcs.domain.tld", "_sites.domain.tld"
mal sehen, welche variante sich als besser für mein Vorhaben eignet.