Как заблокировать локальные записи NS для публики?

Вы можете использовать параметр реестра DisableNSRecordsAutoCreation, чтобы отключить автоматическую регистрацию записей NS контроллерами домена:

Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\
Value: DisableNSRecordsAutoCreation
Value Type: REG_DWORD
Value Data: 0x1

Вы также должны использовать значение реестра PublishAddresses, чтобы предотвратить внутреннее объявление вашего внешнего / общедоступного адреса.

Key: HKLM\System\CurrentControlSet\Services\DNS\Parameters\
Value: PublishAddresses  
Value Type: REG_SZ
Value Data: ip address(es), separated by spaces if multiple  

Для полной поддержки требований вы можете использовать новые функции Windows Server 2016 DNS. См. Следующее:

https://technet.microsoft.com/en-us/windows-server-docs/networking/dns/what-s-new-in-dns-server

Политики DNS

Вы можете использовать политику DNS для управления трафиком на основе геолокации, интеллектуальные ответы DNS в зависимости от времени суток, для управления одним DNS-сервером, настроенным для раздельного развертывания, применения фильтров к запросам DNS и т. Д. Следующие элементы предоставляют более подробную информацию об этих возможностях.

• Управление трафиком на основе геолокации. Вы можете использовать политику DNS, чтобы разрешить первичным и вторичным DNS-серверам отвечать на запросы DNS-клиентов в зависимости от географического положения как клиента, так и ресурса, к которому клиент пытается подключиться, предоставляя клиенту IP-адрес ближайшего ресурса. .

• Разделенный мозговой DNS. При использовании DNS с разделенным мозгом записи DNS разделяются на разные области зоны на одном DNS-сервере, и клиенты DNS получают ответ в зависимости от того, являются ли они внутренними или внешними клиентами. Вы можете настроить разделенный DNS для интегрированных зон Active Directory или для зон на автономных DNS-серверах.