Da minha experiência, não há nada de errado com o seu design, exceto pelo fato de que você está usando apenas um mestre - você precisa ter alguma redundância. Com dois ou três mestres ocultos, que são sempre em sincronia -. Os servidores escravos pode atualizar suas zonas, mesmo que um ou dois mestres são para baixo
Muitas grandes organizações realmente não querem expor seus servidores DNS, como eles não querem lidar com a dor de cabeça de DDOSing e disponibilidade global etc. O que eles acabam fazendo é usar provedores partido DNS terceiros, como Dyn ou UltraDNS para expor os registros NS para seus domínios, esses registros NS são servidores de nome escravo de terceiros. Internamente a organização manterá seus próprios servidores mestres ocultos, fazer mudanças de DNS naqueles servidor internamente e depois ter os servidores escravos do DNS prestadores de serviços puxar as últimas alterações. Todas as solicitações de usuários externos vão para o servidor de nomes de escravo gerenciado pelo terceiro.