Para a funcionalidade adequada do domínio Os computadores Windows precisam ser capazes de realizar pesquisas na zona DNS usada para o AD.
Se os clientes forem apontados para um servidor que não forneça respostas corretas para essa zona do AD, provavelmente esses sistemas falharão em algum momento.
É importante entender que, se um cliente fez uma pesquisa de DNS para um registro como _gc._tcp.yourdomain.example.org
ou algum outro registro somente interno contra esse terceiro servidor externo, esse servidor responderá com um erro não encontrado. Seu cliente não tentará novamente essa consulta nos seus controladores de domínio. Uma resposta não encontrada é perfeitamente válida.
Se você quiser um pouco mais de redundância para o DNS em seus sites externos, eu verificaria qualquer dispositivo que esteja executando essa VPN ou o dispositivo que atua como o roteador / firewall. Veja se um desses dispositivos pode atuar como um servidor DNS de armazenamento em cache. Possivelmente você pode obtê-lo para encaminhar as solicitações de DNS interno para os DCs e solicitações não internas para o mundo. Ou, talvez, execute um servidor DNS na nuvem em algum lugar que encaminhe todas as solicitações internas para seus DCs e use qualquer método de recursão para outras solicitações.