É altamente recomendável criar zonas DNS internas e externas separadas para evitar a divulgação de todos os detalhes sobre sua topologia para toda a Internet. O risco é melhor atenuado, mantendo os dados separados. Além disso, ao isolar o DNS voltado para o público do AD e sua funcionalidade de atualização automática, você pode impedir outro mecanismo que poderia ser usado para seqüestrar seus registros.
A maneira de fazer isso sem dividir completamente o DNS é usar uma exibição, ou DNS de split-horizon, que o Windows não suporta. Então, de qualquer forma, você terá que gerenciar um segundo conjunto de servidores DNS.
Além disso, você pode usar o mesmo domínio dentro e fora com dados diferentes (basicamente split-horizon) ou um subdomínio. É a sua escolha. Para saber mais sobre isso, leia as práticas recomendadas de nomeação do Windows Active Directory .