Можно запретить контроллерам домена регистрировать записи типа A в DNS с именем домена.
Это делается через политику Конфигурация компьютера\Политики\Административные шаблоны\Система\Сетевой вход в систему\DNS-записи локатора контроллеров домена: включите параметр "DNS-записи локатора контроллера
домена, не регистрируемые контроллерами доменов" и добавьте в него мнемонику LdapIpAddress.
После этого настраиваете запись типа A, совпадающую с именем домена так, как вам хочется.
Пострадать от этого могут клиенты LDAP, которые используют для поиска не записи SRV (как это делает сама Windows), а запись типа A с именем домена. Обычно такие клиенты, если они есть, можно перенастроить на
имя конкретного контроллера домена.
Альтернатива - IIS c ARR в качестве Reverse proxy на всех контроллерах домена.
Слава России!
