Você quase conseguiu sua solução sozinho.
Estou assumindo que srv01.extra.company.com
é um servidor em sua própria empresa, então seus servidores de nomes são responsáveis por isso.
Você está certo de que não pode usar zonas de stub nem encaminhadores condicionais, já que o servidor de nomes configurado para essa finalidade só verá as consultas originadas pelos seus DCs do AD. 1
Mas é um equívoco comum que o Active Directory tenha definido os DCs como servidores de nomes, ou que os clientes precisam resolver através dos DC's . 2
Neste caso em particular, você precisa configurar um BIND adequado que resolva tudo ( que inclui seu AD! ). Depois de verificar a operação correta, você adicionaria uma zona extra.company.com
a esse servidor (mascarando efetivamente o subdomínio real). Lá, você pode substituir os registros ao seu gosto.
Observe, no entanto, que quando este BIND passar, seu AD inteiro será interrompido , já que todas as consultas dos seus clientes passam por esse servidor. Então, configure de acordo (failover, backup, standby, et al).
1 Tecnicamente, isso não vale para todos os casos: Se o resolvedor do cliente é capaz de seguir as referências, o servidor de nomes autoritativo veria a consulta originada do cliente. No entanto, como quase todos os resolvedores de SO são resolvedores de stub, isso não se aplica realmente.
2 Você pode definir com segurança até mesmo o NS autoritativo do seu AD para o servidor BIND, mas com certeza não é uma solução para ignorar e esquecer, ele precisa de algum trabalhos; por exemplo, adicionando registros específicos e permitindo que seus DCs os atualizem. Microsoft tem isso bem documentado, consulte este artigo no Technet da Microsoft para começar. Eu geralmente evito tudo isso e, em vez disso, tenho company.com
servido por um BIND e delego um subdomínio ad.company.com
ao AD. Eu não acho que valha a pena fazer isso em um AD existente, como no seu caso.