创建我们公共域的子域，供公司/内部 Active Directory 使用。公共域也是我们的 Office 365 和 Azure 域

我个人不明白为什么拥有一个名为公司网站例如，公司局域网。或者其他任何东西。如果您知道任何好处，请分享。

如果您使用 AD 的公共子域，则无需在公共 DNS 区域配置中添加任何内容。这很重要不是公开发布任何内部记录。

唯一不好的想法是使用你的公共域名company.com作为内部 AD 域名。除此之外，您无需担心

此 MSFT 文档概述了您描述的子域场景中的基本设置：https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772970(v=ws.10)

您无需“告诉”您的 DC，它们从属于上游区域。只需安装 AD 和 DNS 角色，指定域 FQDN，它就会在设置期间将子区域配置为 DC 上的权威区域。

如果您在 DC 的网络适配器上配置了外部 DNS 主机地址的 DNS 客户端，安装程序将向您发出警告，因为它将尝试注册其新的 DNS 名称。但请忽略它，上游 DNS 不需要知道它。

对于需要从 Internet 访问的内部托管资源，您可以为内部资源（如网站或 VPN）分配一个公共 IP 和一个公共 DNS 名称，然后通过这种方式访问​​它，而不是完全公开/委托私有命名空间 - 如果可能的话，这绝对应该避免。这是 MSFT 文档中描述的场景。关于第 4 点，您无需担心禁用 DNS 提供商的动态注册，因为我怀疑它是否已启用。

主要决定是如何为域成员​​进行外部名称解析。当然，成员应使用 DC 作为其 DNS 主机。DC 将需要在 Internet 上解析名称。理想情况下，DC 会将查询转发给特定的 DNS 提供商 - 这会使防火墙的工作更加轻松。我链接的文章中的第 5 点讨论了这些选项。

我认为在您的场景中，您会使用 ISP 的 DNS - 无论您现在如何操作。如果您当前的提供商不提供 DNS 安全，那么值得考虑提供 DNS 安全的 DNS 服务提供商，如 OpenDNS 或 Cloudflare - 额外的钓鱼网站保护等非常棒，而且这些服务可以是免费的或相当便宜的。如果您选择这种方式，只需确保您选择的那个具有本地接入点（至少是全国性的）。后备方案是让 DC 使用根提示，但这意味着它们需要在整个 Internet 上进行查询，我当然更喜欢 OpenDNS 等而不是该选项。您应该定义多个转发器，除非您知道转发器 IP 实际上是具有多个主机的 VIP。

MSFT 文档中还有许多其他章节值得一看。但是，除非您要公开内部命名空间并从上游 DNS 注册商委托给它，否则内部 DNS 根服务器之类的东西就无关紧要了。同样，这是您要避免的情况。

此外，在安装第一个 DC 后，请记住在网络配置中检查其自己的 IP 是主 DNS 主机，加上 127.0.0.1。如果 DNS 转发器设置为将查询中继到您的外部 DNS，我认为您也不需要将其定义在网络配置中（当然，要进行测试以验证 DC 是否可以解析外部名称）。

对于后续 DC，在安装 ADDS 之前，请配置网络，以便第一个 DC 是其主 DNS，然后是其自身，然后是 127.0.0.1。在第二个 DC 上完成设置并完成复制后，确保第一个 DC 可以解析它，并设置其网络配置，以便第二个 DC 是第一个 DNS 主机（保留其他条目）。