Sim, isso funcionará. Na prática, descobri que 99% dos cenários de acesso são client-pull-from-server.
Onde ele pode quebrar é se você está acostumado a usar o MMC para gerenciar suas estações de trabalho a partir do seu servidor, mas se você não fizer isso, não é nada demais.
Uma pegadinha a ser observada é que você precisa garantir que seus clientes tenham acesso ao servidor DNS do controlador de domínio. Portanto, se sua caixa NAT de roteamento da rede 192.168.20.0/24 também estiver executando seu próprio servidor DHCP, certifique-se de distribuir o endereço IP de seu controlador de domínio ( 192.168.1.100 ) no DHCP ou se ele executar seu próprio encaminhador DNS. a caixa NAT usa seu controlador de domínio como DNS upstream.
Honestamente, 9 vezes em 10, se o seu cliente não puder conversar com o servidor, é um problema de DNS, não é um problema de NAT.
Como uma recomendação geral (um pouco fora do tópico), recomendo que você comece a analisar a implantação do IPv6. O Active Directory e o SMB sobre IPv6 não são suportados com o Server 2003 ou o Windows XP, mas são totalmente suportados no Windows Vista e no Server 2008, portanto, é algo em que pensar. (Com o DirectAccess e o Agile VPN, isso é muito mais fácil do que você pensaria.)