将内部route53 DNS通过VPN公开到本地ActiveDirectory

情况

我们正在将我们的Web应用程序迁移到AWS。为了连接我们的内部networking和AWS，我们创build了一个VPN连接。这工作没有问题。

本地我们有一个MS AD（2008 R2），是一个（其他）ourcompany.tld（不是真正的域名;）的权威服务器）

在AWS上，我们希望所有内部服务的命名方式如下：* .dev.ourcompany.tld。这个DNS应该由内部路由53解决。

在AWS公共资源上命名为* .ourcompany.tld。这个DNS由我们自己的域名服务器来解决。（加工）

在我们的内部networking上，我们希望能够parsing一些server.dev.saa.nl。为了达到这个目的，我们需要让MS ActiveDirectory在AWS上查找这个域名。

AWS内部路由53只能从AWS VPC内访问。 AD无法直接达到此目的。

AWS内部路由53只能通过非权威的VPC DNS转发器访问。

MS AD要求存根区域和条件转发器的权威来源。

我们做了什么/尝试过了

在VPC中创build一个DNS转发器 。这个货代是非权威的。当您将DNS转发器设置为计算机本身的主DNS时，它会很好用。 ActiveDirectory不允许我们创build一个存根区域或条件转发器，并显示服务器不是权威的消息。
在amazon VPC中为dev.ourcompany.tld创build一个存根区域的DNS服务器 。创build存根区域时，它将报告为权威性的，但是由于我们只能通过VPC DNS转发器（在VPC IP + 2上）parsingDNS，因此拒绝创build存根，因为其来源不具有权威性。直接连接权威主机返回状态REFUSED。
searchAWS文档 。我们find的唯一适当的解决scheme是https://aws.amazon.com/blogs/security/how-to-set-up-dns-resolution-between-on-premises-networks-and-aws-using-aws-目录服务和亚马逊路线53 /然而，法兰克福地区（我们受法规约束）没有简单的广告。 AWS上的完整的MS AD也可以工作，但是我们不准备为一个DNS代理商每月支付300欧元
联系AWS支持 。经过一个多星期的等待，他们似乎仍然不明白这个问题。我们正在商业支持计划。

任何人都可以请给我们如何解决这个使用我们现有的广告一些方向？

更新：将另一个域路由到AWS内部路由53，通过简单地忽略有条件转发的错误。但是，对于一个子域，我们需要创build一个委托，当查询时，它会抛出一个SERVFAIL。

更新2：似乎不可能。 AWS技术支持也放弃了。我们现在已经为我们所有的服务器和服务注册了另一个域名，并在我们的AD中使用了一个固定的DNS来设置其他人使用的服务，而不是IT dep。使用EC2中的代理将其转换为LB DNS名称。