Я не сделал бы этого из соображений безопасности, если уровень приложений будет выставленным Интернету. Если так, они должны быть в демилитаризованной зоне, и не способны непосредственно связаться с Вашим внутренним AD. Вообразите, были ли они взломаны, и они были DCS. Плохие новости, правильно? И вообразите, не были ли они DCS, но раскололись и могли бы использоваться для предпринятия атак непосредственно против учетных записей домена.

Если Вы хотите автора к своему AD, лучшая практика должна использовать что-то как ADAM и AD репликация или своего рода проксирование.

Если это - внутреннее единственное приложение и не выставленное сети, то можно сделать то, что Вы хотите.

Редактирование - Другой комментарий. Если Вы хотите аутентификацию домена строго в среде приложения (Ваш вопрос неясен мне по этому вопросу), то можно настроить автономный AD в демилитаризованной зоне. Если Вы кластеризируете SQL, я думаю, что Вам нужен домен так или иначе для этого. Разрешение уровня приложений использовать тот домен для аутентификации к SQL лучше, чем разрешение этого соединиться с фактическим внутренним AD. "Лучшая практика" всегда должна взвешиваться против преимуществ и риска того, что Вы пытаетесь сделать.