Preservar com fiabilidade a comunicação do domínio do Active Directory entre servidores no EC2 com a instância pára / inicia

Existe uma maneira de manter com segurança os servidores membros do domínio do Windows Server conversando com os controladores de domínio no Amazon EC2 se as instâncias forem interrompidas / iniciadas?

Temos vários servidores de teste no EC2 que estão associados aos domínios do Active Directory. No momento, o modo como tenho esses recursos funcionando é que todos eles pertencem ao mesmo grupo de segurança e, em seguida, tenho o servidor DNS em cada servidor membro definido como o endereço IP interno atribuído pelo Amazon-DHCP do controlador de domínio.

O problema aqui é que, se você parar o controlador de domínio e iniciá-lo novamente, o sistema não receberá necessariamente a antiga concessão de endereço IP atribuída por DHCP e receberá um novo IP (compreensivelmente). Não tenho idéia de como encontrar o domínio do Active Directory, pois a resolução de nomes falha.

Configurando um IP elástico para o controlador de domínio, a configuração do servidor DNS para esse valor não funciona, pois meu entendimento é que o tráfego funciona "fora" e depois "dentro" enquanto ele passa pelo IP público e, assim, Eu precisaria de enormes faixas de portas abertas no grupo de segurança (má ideia eu acho ...)

Existe alguma maneira de um sistema encontrar outra instância do EC2 (por ID de instância), definir o servidor DNS da instância como o endereço IP interno de outras instâncias ou outro método pelo qual a comunicação do Active Directory possa persistir instância começa / pára?