Um controlador de domínio precisa ser bem aberto para fornecer seus serviços à sua rede; só não deveria estar diretamente conectado à Internet.
Editar
Ok, vamos ver o que você pode fazer aqui.
Executar coisas como você está fazendo agora é definitivamente uma fonte de problemas, você deve evitá-la a todo custo.
Você tem duas soluções:
- Remova a NIC "privada" de todos os servidores, use apenas o endereço IP público neles (mas use uma estática, não DHCP!) e configure o firewall em cada um deles para permitir apenas conexões entre eles e de onde você vai ser RDPing para eles.
- Remova a placa de rede "pública" deles, colocando-os efetivamente em uma LAN privada e adicione outro computador executando o Windows RRAS ou ISA Server (ou FFTMG ou Linux, ou o que você quiser) com duas placas de rede, uma pública e um privado, agindo como um firewall para sua rede.