Estou hesitante em responder, porque acho que isso é mais uma questão de "discussão" do que uma pergunta estritamente Q & A ... mas é um sábado preguiçoso, então vou de qualquer maneira.
Is there a clear cut best practice here?
Não. (Porra, talvez esta seja uma resposta fácil a todos ...)
A Microsoft fornece orientação binária muito genérica, fácil Googleable sobre como rebaixar controladores de domínio e realizar migrações de AD e DNS, mas não vou me incomodar em vincular a eles nem vou fingir que eles abordam sua pergunta específica, porque a Microsoft obviamente não pode documentar cada caso específico para o ambiente de cada organização diferente.
Assim, administradores de sistemas / engenheiros como nós são deixados para preencher as lacunas com nossa própria experiência e experiência, onde a Microsoft não escreveu um script especial apenas para nós, e é isso que nos torna valiosos.
Posso dar um exemplo de algo que fizemos para resolver esse problema, pois também trabalho em ambientes de abrangência global com dezenas ou mais controladores de domínio, florestas de AD distintas que coabitam nas mesmas redes, não-Windows dispositivos que também consomem serviços de DNS dos mesmos DCs, etc. Movendo-se para novos datacenters e saindo dos antigos, precisando migrar para um novo hardware ou novas versões do sistema operacional, e a política empresarial antiga é o motivo pelo qual precisaríamos descomissionar controladores de domínio que ainda estavam sendo usados. E quando você tem várias organizações heterogêneas atualmente usando esses servidores DC / DNS, geralmente é um processo cansativo e demorado de reconfigurar cada cliente (muitos dos quais podem não estar sob o seu controle) antes de desatribuir o controlador de domínio, envolvendo gerentes de projeto, tickets para várias outras equipes que podem levar dias ou semanas para serem trabalhadas, etc.
É por isso que eu digo que não acho que alguém possa lhe dar a resposta a essa pergunta. Existem mil maneiras de fazer isso e algumas serão melhores que outras, dependendo da estrutura e das necessidades da sua organização.
Algo que fizemos para enfrentar esse problema é tornar VIP para cada datacenter e agrupar todos os controladores de domínio naquele datacenter por trás desse VIP. (Este VIP é para o serviço DNS somente por razões óbvias, não estou falando sobre balanceamento de carga Kerberos e LDAP.) Dessa forma, os clientes podem ser configurados para usar esse VIP para o seu resolvedor de DNS, e estamos livres para adicionar e remover controladores de domínio por trás desse VIP sempre que quisermos.
Mas você não está na frente do problema ... então, dadas as opções que você forneceu:
Add the IP address of the outgoing DC to a new DC and ensure that DNS is listening on that address.
Demote the old DC, leave the DNS role on it, and configure a global DNS forwarder to your new server.
Eu escolheria a opção nº 1, porque seu objetivo é desativar o servidor antigo o mais rápido possível, e a opção nº 2 não ajuda você a se livrar do servidor antigo. Com a opção 2, a existência do servidor ainda é necessária. Nem eu iria com a sugestão de Mathias R. Jessen de zonas de stub, porque, novamente, você ainda tem que deixar o servidor antigo no lugar e em serviço, o que não é propício para o seu objetivo final.
Com a opção 1, por mais feia que seja, você pode aposentar o servidor antigo, reivindicar economia de custos para sua empresa, evitar ter que pagar outro mês de aluguel nesse datacenter e receber um prêmio por ser um funcionário tão bom .
Editar: Pensando em nosso bate-papo um pouco mais, eu acho que posso ter projetado meus próprios requisitos para você, porque eu tenho os requisitos de puxar o plug ASAP em algumas coisas agora, então isso estava fresco em minha mente. Parece que você não tem um requisito imediato para desligar o servidor o mais rápido possível.
Dito isso, não estou mudando minha sugestão, pois ainda preferiria. Tacking o IP extra para um controlador de domínio existente funcionou bem para mim no passado em cenários muito semelhantes, e eu prefiro que do que ter um apêndice de vestígio estranho de um servidor sentado lá por um período de tempo indeterminado.