域控服务器上DNS应该怎样设置使内外网都可以

你好。
要是想把内网的DNS放到公网上来用呢，就在防火墙上做一个DNS端口的转发，
把53转到你的DNS服务器的地址上来。然后设置你的外网静态IP为对外的DNS就行
要是内网DNS不能上网的话，就做一个条件转发，查一下你们本地的DNS地址，加上。或者用谷歌8888
如果我的回答没能帮助您，请继续追问。

系统服务端口
本部分提供对每个系统服务的说明，包括与系统服务相对应的逻辑名称，还显示了每个服务所需的端口和协议。
Active Directory（本地安全机构）
Active Directory 在 LSASS 进程下运行，它包括用于 Windows 2000 和 Windows Server 2003 域控制器的身份验证引擎和复制引擎。除了 1024 和 65536 之间的某一范围的临时 TCP 端口外，域控制器、客户机和应用程序服务器还需要通过特定硬编码端口与 Active Directory 进行网络连接，除非使用隧道协议封装此流量。封装的解决方案可能在同时使用第 2 层隧道协议 (L2TP) 和 IPsec 的筛选路由器后面包含一个 网关。在此封装方案中，您必须允许 IPsec 封装式安全协议 (ESP)（IP 协议 50）、IPsec 网络地址转换器遍历 NAT-T（UDP 端口 4500）以及 IPsec Internet 安全关联和密钥管理协议 (ISAKMP)（UDP 端口 500）通过路由器，而不是打开下面列出的所有端口和协议。最后，可以按 224196 中所述对用于 Active Directory 复制的端口进行硬编码：将 Active Directory 复制流量限制在特定端口。
注意：L2TP 流量不需要数据包筛选器，因为 L2TP 受 IPSec ESP 保护。

建议您使用安全配置向导而不是通过配置防火墙来实现服务器的安全。
在Windows Server 2003 SP1以后的版本中，提供了安全配置向导（SCW）的安全配置功能，它可以最大程度地缩小服务器的受攻击面。安全配置向导（SCW）可以帮助我们非常轻松地完成服务器角色的指定，禁用不需要的服务和端口，配置服务器的网络安全，配置审核策略、注册表和IIS服务器等工作，对巩固服务器的安全有极大的帮助。同时，由于整个配置过程都是在向导对话框中完成的，无需繁琐的手工设置，工作负担会得到减轻。

---