Как у меня устроено.
Есть сервер АД с внутренним DNS и DHCP. Все сервера имеют статические ip типа 172.20.ххх.ххх и прописан ip внутреннего DNS. Клиенты через dhcp настроены на использование внутреннего dns. Никаких пересылок на днс провайдера не прописано. На TMG у внешнего интерфейса прописан внешний ip (81.24.ххх.ххх) и соответствующая ему маска, шлюз провайдера и ip днс провайдера. На внутреннем прописан ip 172.20.xxx.xxx и соответствующая ему маска и ip внутреннего dns (172.20.ххх.ххх) - всё.
При таком раскладе инет работает и сайты грузятся с любой машины в локалке
То что вы упомянули нечто подобное было описано в известной книге по ISA 2004. Там предлагалось установить ещё один днс в качестве кэширующего днс на сервере иса2004 и создать зоны заглушки на нём. На внутреннем днс предлагалось указать пересылку на этот второй днс, а на нём соответственно пересылку на днс провайдера и соответственно два правила на файрволе. Но этот вариант я отбросил так как и так всё работает.
П.С. Сейчас ради интереса создал правило от внутреннего днс во внешний мир или к ip провайдера, внутренний днс не смог передать данные на днс провайдера
С уважением.
