Se você deseja que as coisas funcionem com facilidade e sem problemas, faça o seguinte:
-
Execute servidores DNS do Windows somente em computadores do controlador de domínio do Active Directory. (Isso garante que eles tenham cópias de suas zonas DNS integradas ao Active Directory).
-
Certifique-se de que os servidores DNS do Windows tenham "Dicas de Raiz" especificadas (o que é o caso por padrão) ou que um "Encaminhador" seja especificado referente a um servidor DNS no seu IPS.
-
Verifique se todas as máquinas Windows (servidores e clientes) têm apenas servidores DNS do Windows especificados como seus servidores DNS. (Nenhum servidor DNS não baseado em DC deve ser especificado em qualquer configuração de servidor, cliente ou DHCP.)
-
Verifique se as regras de firewall permitem a porta UDP 53 de saída dos servidores DNS do Windows para a Internet (seja a rede inteira, se você estiver usando "Dicas de raiz" ou os servidores DNS do ISP, se estiver usando "Encaminhadores").
Esta é a configuração recomendada da Microsoft e resultará na resolução de nomes internos e da Internet sem "vazar" solicitações dinâmicas de registro de máquinas Windows para seu ISP ou outros servidores DNS externos.
Esta resposta é bastante presuntiva, mas sendo que você mencionou o SBS, é provável que esta seja uma rede bastante simplista e o acima é a maneira mais indolor de obter o que você está procurando.
Se fosse eu, BTW, usaria dicas de raiz em vez de encaminhadores. Eu não confio no meu ISP para não fazer coisas desagradáveis com DNS (responda com o seu próprio site "motor de busca" em vez de reter NXDOMAIN's para nomes de domínio inválidos, etc).