У вас сервер DNS на КД является полномочным для зоны домена example.ru. Поэтому все записи он разрешает чеез свою зону (обычно - интегрированную с AD). Менять такую настройку не надо - иначе замучаетесь с настройко домена AD. Надо решать задачу по-другому, через имеющуюся внутреннюю копию зоны.
Задача, на самом деле распадается на две:
1. Настроить публикацию сайта с именем, совпадающим с именем домена
2. Настроить публикацию других сайтов
Вариантов решения первой задачи два. Как известно, по умолчанию КД по умолчанию регистрируют записи A с именем домена и своим адресом. Поэтому нужно сделать одно из двух:
1. настроить на всех КД обратный прокси для публикации внешнего сайта, совпадающего с именем домена. Для IIS для этого используется модуль ARR (Application Request Routing).
2. Запретить через политику (Default Domain Controller Policy)регистрацию КД записей A с именем домена. Это можно делать практически безопасно - эти записи нужны только для устаревших ещё во времена Windows 2000 клиентов LDAP, которые ищут сервер LDAP домена по записи типа A с его именем. Все хоть сколько-нибудь современные клиенты (включая саму Windows) ищут сервер LDAP для домена по записям SRV. Нужный раздел политики - Конфигурация Компьютера/Административные шаблоны/Система/Сетевой вход в систему/DNS-записи локатора домена/DNS-записи контроллеров домена, не регистрируемые контроллерами домена: добавьте туда слово LdapIPAddress.
А для других сайтов просто добавьте в зону домена их имена с нужными IP.
Простой