Alexey Dmitriev

1. Обращение по короткому имени в DNS работает, если правильно настроить DNS search suffixes.
2. Что мешает ввести компы второго филиала в домен, используя контроллер в первом филиале?

Нет, нельзя.
У каждого объекта есть владелец, с которым заключен договор и только он имеет доступ к домену или хостингу.

Перейти на другого оператора DNS.

Все описано в документации

Есть конечно. Неплохо бы поиск использовать
https://adguard.com/en/adguard-home/overview.html
разворачивается в Docker, через Snap и.т.п.

Идете в гугл, забиваете запрос "dns делегирование поддомена", читаете и делаете.

IMHO правильнее развернуть bind с хранением данных в MySQL например, а из панели просто добавлять\удалять данные в БД.

Найдите другого хостера\регистратора, что предоставит вам услугу DNS и перенастройте NS записи на него. Будете DNS рулить на другом сайте.

А у вас настроены PTR зоны? Это отдельная сущность.
Если да - нужно аналогичным образом отправлять запросы для PTR записей через dnsmasq

Ответ что делать был дан выше.
К SPF, DKIM, DMARC нужно добавить еще PTR DNS запись.
Сервисы есть у многих публичных почтовых серверов - обычно называются postmaster.
У гугла это https://postmaster.google.com/

1. DC с ролью PDC Emulator в корневом домене леса должен иметь синхронизацию времени с надежным источником.
2. На всех DC в качестве второго сервера DNS должен стоять 127.0.0.1 (если конечно на нем есть DNS сервер). Это необходимо, чтобы DC корректно стартовал при отсутствии связи с другими серверами DNS

С точки зрения безопасности каждый сайт лучше размещать в отдельной директории.

В частном DNS сервере настраиваете forwarder всех неизвестных доменов на DNS сервер в интернет и используете для резольвинга только частный.
Более того, он по умолчанию по root hints должен это делать.

Опишите, что даст вам DDNS и в чем ее необходимость для соединения через VPN.
Пока ваш вопрос не выглядит понятным.