Usar o domínio completo como domínio do AD geralmente é uma má ideia. Ele pode funcionar se você realmente executar os servidores DNS para o seu próprio domínio para que o DNS do AD seja realmente o DNS autoritativo. Se o seu provedor de serviços de Internet executar os servidores DNS authoritative domain.com e também usar domain.com como seu domínio do AD, você estará tecnicamente falsificando domain.com. Seu próprio escritório só verá as informações "incorretas" no domínio DNS do AD e não as informações reais nos servidores DNS oficiais. Você pode não ser capaz de ver seu próprio site, ter problemas com o correio, etc. Se o DNSSEC for usado, isso realmente quebrará a cadeia de assinaturas e seu DNS interno não funcionará.
Usar um subdomínio como office.domain.com ou ad.domain.com como domínio raiz do AD é sempre uma boa ideia e evita muitas dores de cabeça.