Uma maneira de ver isso é que não importa se vale a pena ou não. É direto obrigatório em determinados ambientes que devem obedecer a determinadas políticas de auditoria, como FISMA e FedRAMP. (Leia a publicação especial NIST 800-53 SC-20 e SC-21.)
Se você não estiver sob esse tipo de requisito, só poderá decidir se vale a pena ou não. É verdade que o DNSSEC e o IPsec introduzem complexidade. É verdade que o uso do DNSSEC com zonas internas / privadas sem também acoplá-lo ao IPsec é de valor limitado. Ao falar em termos de zonas DNS internas / privadas, o DNSSEC só é realmente útil se o cliente puder confiar que está falando com o servidor DNS verdadeiro e correto. E para validar que a autenticação geralmente também requer IPsec.
Além disso, considere não usando DNSSEC no Windows Server em menos do que o Server 2012. O DNSSEC no Server 2008 R2 é capaz de usar somente SHA-1, não SHA-2. E como a zona raiz da Internet (ou seja, .
) é assinada com RSA / SHA-256, isso significa que o Server 2008 R2 será inútil como um validador de zonas da Internet. Server 2012 e acima resolve este problema.
Se essa complexidade é demais para você ou sua empresa, ou se o benefício adicional vale a pena ... é muito subjetivo e não podemos responder por você.