AD的架構我不是很熟悉，圖中未標明總公司與分公司是否同Domain？
走VPN的情況下，分公司設置RODC是可行的
若為了Exchange去切子網域大可不必，在公認網域新增子公司網域即可
整個架構要集中在總公司控管也行，我是不建議搞子網域，(信任這兩個字很奇妙)前公司其它的子公司曾經發生悲劇誤刪重要的系統管理員群組

我覺得該考慮的是DC備援問題，雲端搞一台VM也是可行的

歡迎你來！

差在你有沒有需求跟技術觀念搞定而已，不同Domain請把他當作是不同的公司來看，

你的公司要怎麼信任外部的網域帳戶?，換成門禁系統會不會讓你比較容易理解一些?

別家公司的門禁卡你家的門禁系統要怎麼信任這張卡，

讓他刷你們家的門禁還可以進來?

至於子網域這個東西就是微軟幫你把這層信任關係做好預設的設定，

免得你誤操作導致掛掉，

這個子網域的系統微軟已經講了超多年的，台灣我也沒看他普及過，

主要是管理人數沒到，還有設定跟架構複雜不方便管理，

如果要設定信任關係，讓兩邊的系統可以互相運作，

我會建議你乾脆直接VPN過去對Server操作，

RODC為何會出現，就是因為信任關係容易建置但很難維護，

哪一天設定打架了你問題找半天，才發現是信任關係導致系統設定相衝你會頭很痛

如果你Windows Server Domain 夠熟，可以測試看子網域作往下一層就好，

摸懂之後你再自己想想自己的環境是否有這個需求，

大部份都卡在需求就沒了，

沒有什麼太剛性的需求會用到信任關係還有子網域這兩種架構

提供下列建議：

1. 分公司需使用自己的群組原則的話，分公司建立子網域。
2. 如果公司電腦及人員數量不多，且可套用最上層之群組原則的話，建議在同一網域，但每個子公司建立一作Site，以避免彼此間網路斷網造成無法登入網域。
3. 總公司一般都設定為Root網域，毋需再建立一個Root網域。

簡單的說就是
兩個不同根的網域需要建立信任關係，才能相互使用對方的資源，及在對方的電腦中登入。

一個根底下的兩個子網域，天生就有相互信任關係，所以，只要有設定共用，資源就可以共享，也可以用對方的電腦登入。