我所在的公司是一家跨国企业，负责的工厂有自己的本地域，这个域和公司主域建立了外部信任关系，所以主域的用户也能在我们的本地域完成身份认证。

我刚接手这套DNS配置，现在想对DNS转发器做些调整，先把当前的域名情况列出来：

• 本地域：our.domain.name.company.com
• 公司相关域：
  • name1.sub1.company.com（我们的信任关系是和这个域建立的）
  • name1.sub2.company.com
  • whatever.sub3.company.com
  • company.com（用于内网和公共站点等）

可以看到所有这些域最终都指向company.com根。

目前我们的配置是把公司DNS服务器设为转发器，这个配置能正常工作，但问题是所有非本地域的查询（比如google.com这类外部域名）都会转发到公司的DNS服务器。

我们想要实现的效果是：

1. 所有针对our.domain.name.company.com的查询，由我们自己的DNS服务器处理
2. 所有针对*.company.com的查询（包含company.com和所有子域，但排除our.domain.name.company.com），转发到公司DNS服务器
3. 其他所有外部域名查询（比如google.com、serverfault.com等），转发到谷歌DNS这类公共DNS服务器

现在想请教大家，实现这个需求的最佳方式是什么？

我自己有几个思路，想听听大家的意见：

• 思路一：移除公司DNS服务器作为全局转发器，换成谷歌DNS，然后为company.com创建条件转发器。这样的话，只需要添加一个company.com的条件转发器就够了，还是说需要为每个需要转发的子域单独创建条件转发器？
• 思路二：直接创建一个company.com的正向查找区域，然后把公司的DNS服务器添加到这个区域的DNS服务器列表里。目前我们的环境里已经有_msdcs.sub1.company.com、name1.sub2.company.com、our.domain.name.company.com、sub1.company.com、our-external.company.com这些记录，会不会产生冲突？
• 或者有没有更简单的方法，是我想复杂了？

非常感谢大家的帮助！

补充说明：已添加预期的DNS流向说明
补充说明：参考了strongline的回答

备注：内容来源于stack exchange，提问作者C Kolkman