Allerdings, ja das geht, zumindest mit dem Microsoft Office 365. Stichwort Azure AD Connect.
Achte aber mal gleich auf zwei Sachen:
Deine Domänen-Benutzer müssen einen UPN-Suffix für ihren Anmeldenamen haben, der identisch zu der in Office 365 hinterlegten, geprüften Domäne ist. Heißt, wenn deine Domäne intern apped.local heißt & eure E-Mail-Domäne apped.de, musst du einen zusätzlichen UPN-Suffix im AD hinzufügen namens apped.de
Geh sicher dass deine neue interne Domäne nicht in irgendeine Fantasie-Domäne benannt wird. Best Practice ist (zur Zeit), die interne Domäne nach einer (öffentlich nicht vorhandenen) Sub-Domäne auf einer Domäne zu benennen, die eurer Firma gehört und für immer und ewig gehören wird.
Ist eure öffentliche Domäne also bspw. apped.de, dann sollte die interne Domäne in etwa ad.apped.de oder intern.apped.de heißen. Auf gar keinen Fall darf die interne Domäne apped.de heißen.
Und in diesem Zuge auch gleich sichergehen, dass euer Homepagehorst keinen Wildcard-DNS für *.apped.de angelegt oder übersehen hat, der zu Hetzner oder so zeigt. Quintessenz ist, dass ad.apped.de im öffentlichen DNS nicht auflösbar sein darf. Nur im internen DNS.
edit, und wir wir schon mal dabei sind: Wenn du nicht gerade Server 2016 Essentials sondern mindestens Standard hast, hast du auch zwei (oder mehr) Virtualisierungsrechte mit der einen Lizenz.
Das bedeutet dass du zwei virtuelle Maschinen aufsetzen darfst und keine weitere Lizenz kaufen musst.
Das hat den Vorteil, dass der Domänen-Controller komplett autark vom sonstigen Schlonz sein kann, der sonst noch so auf den typischen Kleinbetriebs-Domänen gerne mal zu sehen ist.
Mach also zwei VMs:
1 VM nur für den DC/DNS & ggf. DHCP
1 VM für alles andere: Print; File; mit der heißen Nadel gestrickte Branchenanwendung wo der Herstellersupport gerne mal alles durchtstartet und die halbe Firma zum Stillstand bringt, etc.
Weiterhin:
Wenn euer internes Subnetz zur Zeit klassischerweise 192.168.2.0/24 (Speedport) oder 192.168.178.0/24 (Fritzbox) oder sonstiges in diesem nahen Bereich ist, dann ändert das Subnetz bevor Ihr die Domäne aufbaut. In 192.168.217.0/24 oder irgendein anderes Subnetz das mit hoher Wahrscheinlichkeit nicht so oft in freier Wildbahn anzutreffen ist.
Benutzt DFS-N für eure Freigaben. Ab sofort und konsequent. Fangt nicht mit UNC-Pfaden für Freigaben an. Das wird euch in ein paar Jahren in den Arsch beißen, wenn Ihr Freigaben umziehen müsst.
Vergesst Netzlaufwerke. Benutzt stattdessen Verknüpfungen auf den DFS Namespace.