Se o controlador de domínio não fizer parte de seu AD de produção, mas gerenciar seu próprio, ele não anunciará a si mesmo como um controlador de domínio para seu (s) domínio (s) de produção. É claro que ele deve usar a si mesmo como seu servidor DNS, assim ele nem sequer irá falar para seus servidores DNS de produção.
Além disso, você pode desabilitar todos os protocolos de rede da Microsoft na rede de produção desmarcando o "Cliente para redes Microsoft" e "Compartilhamento de arquivos e impressoras para redes Microsoft" na interface de rede conectada à sua rede de produção e também desabilitando o NetBIOS nas propriedades TCP / IP da mesma interface; O TCP / IP permanecerá operacional e, assim, você poderá RDP no servidor e até mesmo se conectar ao console do VMM, mas nenhuma rede no estilo do Windows ocorrerá nessa interface.
Você também deve desabilitar o registro de DNS na interface de rede de produção, ou seu DNS interno será poluído pelo DC registrando seu endereço IP de produção para serviços de domínio interno.