用于托管服务提供的 Active Directory 设计

您确实应该将 Active Directory 的 DNS 和托管域的公共解析 DNS 保留在不同的 DNS 服务器中。您已经看到，Microsoft DNS 服务器虽然可以很好地完成“防火墙后面”的任务，为 Active Directory 提供 DNS 并为客户端计算机提供递归名称解析，但缺少您可能需要在 Internet DNS 服务器中使用的功能（ACL 是您之前提到的一个重要功能）。

我自己不托管任何 DNS，也不建议我的客户这样做。第三方 DNS 托管始终是我的首选。话虽如此，如果您出于成本/控制原因而希望自己托管 DNS，您可以考虑运行几个运行 BIND 的小型 Linux VM 作为公共 DNS。

编辑：

这里有一些关于域名重命名的很好的讨论：https://web.archive.org/web/1/http://techrepublic%2ecom%2ecom/5208-6230-0.html?forumID=102&threadID=229757&start=0

我曾在小型环境（少于 20 台 PC、2 个 DC）和实验室场景中执行过域重命名，没有遇到任何问题。该 techrepublic.com 链接中相关的经验与我的经验非常相似。如果您处理的是少量域成员服务器计算机，我认为这是非常可行的。（显然，首先在实验室环境中进行测试。）

当然，最好的解决方案是针对您的外部域和内部域使用单独的 DNS 服务器，以避免它们之间发生任何冲突；但如果您买不起其他服务器，那么您就必须坚持使用您现有的服务器。

那么虚拟化呢？您可以轻松设置虚拟机来托管您的公共 DNS 服务器（并且仅执行此操作）；仅启用 DNS 服务的 Windows 系统需要的资源很少。

如果您想走这条路，首先您需要重命名您的 AD 域：

http://technet.microsoft.com/en-us/library/cc786120(WS.10).aspx http://technet.microsoft.com/en-us/library/cc794869(WS.10).aspx

我建议使用“foohost.local”（或“foohost.internal”、“foohost.dom”、“foohost.private”等），以消除内部和外部域名之间的任何依赖关系。

当您成功完成域名重命名操作后，您将能够正确管理“foohost.com”的单独 DNS 区域。

我建议为域使用单个命名空间，您的所有服务器都必须将其用作其 FQDN。否则，您会发现随着规模的增长，您必须向每个域添加 DC 以实现冗余。

请注意，域成员身份不一定必须与您的应用程序有关系。您可以将您的域命名为“datacenter.foo.com”，并使用 bind 为您的外部域提供服务。通过这样做，您还可以从位置使用 GPO 进行管理。

请以批判的眼光阅读 Microsoft 有关这些主题的文档，因为他们通常假设您有一个大型、扁平的网络。