针对托pipe服务提供的Active Directorydevise

你真的应该保持DNS的Active Directory和DNS公开解决您的托pipe域在不同的DNS服务器。 您已经看到，Microsoft DNS服务器虽然适用于为Active Directory提供DNS并为客户端计算机recursion名称parsing的“防火墙”职责，但缺less您可能需要在Internet DNS服务器中的function（ACL是你已经提到的大一个）。

我不会自己托pipe任何DNS，或者build议我的客户这样做。 第三方DNS托pipe总是我走的路。 话虽如此，如果您为了成本/控制的原因而考虑自己托pipe您的DNS，您可以考虑运行一些运行BIND的小型Linux虚拟机以供公共DNS使用。

编辑：

这里有一些关于域名重新命名的讨论： https : //web.archive.org/web/1/http : //techrepublic%2ecom%2ecom/5208-6230-0.html?forumID=102&threadID=229757&start=0

我已经在小型环境（低于20台PC，2个DC）和实验室场景中进行了域名重命名，并且没有任何问题。 在techrepublic.com链接相关的经验几乎镜像我的。 如果你正在处理less量的域成员服务器计算机，我认为这是非常可行的。 （很显然，先在实验室环境中进行testing。）

最好的解决scheme当然是使用单独的DNS服务器来为你的外部和内部域，所以要避免它们之间的冲突; 但是如果你买不起其他服务器，你必须坚持使用你的服务器。

虚拟化呢？ 您可以轻松设置虚拟机来托pipe您的公共DNS服务器（只有这样做）; 仅启用了DNS服务的Windows系统只需要很less的资源。

如果你想走这条路，首先你需要重新命名你的AD域：

http://technet.microsoft.com/en-us/library/cc786120(WS.10).aspx http://technet.microsoft.com/en-us/library/cc794869(WS.10).aspx

我build议使用“foohost.local”（或“foohost.internal”，“foohost.dom”，“foohost.private”等），以消除内部和外部域名之间的依赖关系。

当您成功完成域名重命名操作时，您将可以正确pipe理“foohost.com”的单独DNS区域。

您可以禁用DNS中某些适配器的注册，这将解决这个问题。

域名重新命名是一个重大考验，而不是我会推荐的。 你的AD是company.com和你的互联网是company.com绝对没有错。 这是一个非常常见的设置。

一般来说，你有互联网独立的DNS。 也许看看你的互联网面临的DNS外包的东西？ 它相对便宜，它将免除你的负担/责任。

我build议使用一个单一的命名空间的域，所有的服务器将不得不用作他们的FQDN。 否则，你会发现，随着你的成长，你将不得不将DC添加到每个域以获得冗余。

请注意，域成员资格不一定与您的应用程序有关系。 您可以调用您的域“datacenter.foo.com”，并使用绑定来为您的外部域提供服务。 通过这样做，您也可以从位置pipe理GPO。

用微乎其微的眼光阅读微软有关这些主题的文档，因为他们通常认为你有一个大而扁平的networking。