Переключить Active Directory с общедоступного IP-адреса на частный IP-адрес

У меня есть активный каталог и некоторые серверы, работающие на общедоступных IP-адресах.

ADS -> 62.xx.xx.210

Server joined ADS 

Team foundation server --> 62.xx.xx.211

SQL Server --> 62.xx.xx.212

Exchange server --> 62.xx.xx.213

Web Server --> 62.xx.xx.214

Web Server --> 62.xx.xx.215

And some other servers / windows 8.1 

Мой Active Directory в настоящее время подвергается атаке с усилением DNS, и поставщик сервера посоветовал принять меры, иначе службы будут остановлены им. Я пробовал работать на UDP-порту 389, но как только я заблокирую порт 389, сервер обмена перестает работать. Моя главная цель - справиться с атакой с усилением DNS, и я прочитал и понял, что вначале сделал неправильно, создав общедоступный активный каталог. Сейчас я работаю над перемещением активного каталога с общедоступного IP-адреса на частный IP-адрес. Для этого я добавил новый интерфейс на каждый сервер, создал частную сеть для всех, и каждая машина также может пинговать другую по частному IP. (Добавлены маршруты) Теперь у меня есть

ADS -> 62.xx.xx.210, 10.28.62.210

Server joined on Public IP and have Private IPs

Team foundation server --> 62.xx.xx.211, 10.28.62.211

SQL Server --> 62.xx.xx.212, 10.28.62.212

Exchange server --> 62.xx.xx.213, 10.28.62.212

Web Server --> 62.xx.xx.214, 10.28.62.214

Web Server --> 62.xx.xx.215, 10.28.62.215

Теперь, как я могу заставить это работать, я перемещаю все серверы для присоединения к частному домену, а также к общедоступным IP-адресам. Но активный каталог остается только частным. Это означает, что я отключаю общедоступный интерфейс активного каталога или изменяю DNS для прослушивания только на частном интерфейсе, но на всех других серверах, доступных на общедоступных IP-адресах, но аутентифицируемых через частный ADS. Никаких советов, что делать.

Спасибо