Я не сделал бы этого из соображений безопасности, если уровень приложений будет выставленным Интернету. Если так, они должны быть в демилитаризованной зоне, и не способны непосредственно связаться с Вашим внутренним AD. Вообразите, были ли они взломаны, и они были DCS. Плохие новости, правильно? И вообразите, не были ли они DCS, но раскололись и могли бы использоваться для предпринятия атак непосредственно против учетных записей домена.
Если Вы хотите автора к своему AD, лучшая практика должна использовать что-то как ADAM и AD репликация или своего рода проксирование.
Если это - внутреннее единственное приложение и не выставленное сети, то можно сделать то, что Вы хотите.
Редактирование - Другой комментарий. Если Вы хотите аутентификацию домена строго в среде приложения (Ваш вопрос неясен мне по этому вопросу), то можно настроить автономный AD в демилитаризованной зоне. Если Вы кластеризируете SQL, я думаю, что Вам нужен домен так или иначе для этого. Разрешение уровня приложений использовать тот домен для аутентификации к SQL лучше, чем разрешение этого соединиться с фактическим внутренним AD. "Лучшая практика" всегда должна взвешиваться против преимуществ и риска того, что Вы пытаетесь сделать.
Действительно ли глупо иметь мои серверы приложений быть контроллерами домена?
Уверенный. Никогда не мудро выставить контроллер домена непосредственно Интернету. Ваши серверы приложений должны запрашивать DC на другой машине (виртуальный или физический). Необходимо также удостовериться, что любой трафик между серверами и DC шифруется.