Certificado de terceiros LDAPS do ActiveDirectory e nomes internos

Eu tenho um AD RODC em execução no Server 2012 R2 Core na minha rede de perímetro. Eu estou usando isso para aplicativos externos / hospedados que podem fazer autenticação baseada em LDAPS. Meu problema é que o FQDN do servidor é um nome interno somente (rodc-01.company.local). Eu tenho um registro A em DNS externo e DNS externo para um nome amigável (auth.company.com). Já verifiquei que o tráfego LDAP normal, não SSL, na porta 389 funciona bem para aplicativos internos e externos.

Idealmente, quero usar apenas LDAPS, mas, de acordo com a Microsoft, o FQDN do servidor precisa estar no nome comum ou na SAN do certificado. Como preciso usá-lo com aplicativos externos, preciso de um certificado de terceiros confiável. Eu obtive um através do GoDaddy para auth.company.com. O RODC se recusa a reconhecer o certificado (os logs CAPI2 fornecem um erro de incompatibilidade do nome do host). Fornecedores de certificados de terceiros confiáveis não emitem certificados para domínios .local. Existe uma maneira de contornar isso? Posso emitir um certificado da minha infraestrutura de CA interna, mas, em seguida, os aplicativos externos se recusam a se conectar porque não confiam no certificado, e nem todos os aplicativos permitem que eu ofereça o certificado para confiar.

Alguém tem conhecimento ou experiência para fazer isso funcionar? A Microsoft nos deixou em uma ligação real, colocando este requisito em LDAPS.