Запуск собственного DNS в интрасети, как получить доступ к внешним DNS от клиентов

Сценарий:

Я создаю сеть для 8 рабочих станций Windows 7, работающих в студенческой лаборатории. Предполагается, что они работают в Интернете, но не могут быть доступны из-за пределов их внутренней сети. Для этого я запускаю сервер Ubuntu 14.04 с двумя сетевыми адаптерами. Одна сетевая карта (em1) подключена к VLAN нашего отдела, то есть к Интернету. Я маршрутизирую интрасеть рабочей станции на NIC em2 через пересылку IPV4 через функцию MASQUERADE iptables.

Схема:

internet
|
departments VLAN
|
Ubuntu server / iptables
|
Switch-------
|  |  |  |  |
W  W  W  W  W ...

После некоторых сбоев это работает нормально, см. Другой мой пост для полной картины (и некоторых моих конфигураций):

Аскубунту

Сервер Ubuntu - единственная машина с действующим IP-адресом из VLAN, которая должна использовать DNS-серверы VLAN отделов, иначе она не сможет подключиться к Интернету. Как я узнал из другого поста, всем клиентам также необходимо использовать DNS-серверы наших отделов, поскольку их пакеты запускаются через маршрутизатор Ubuntu и маскируются под его пакеты.

Эта проблема:

Теперь я хочу развернуть Microsoft Active Domain Controller через Samba. Но: мне нужно запустить собственный DNS в интрасети, чтобы использовать все интересные функции сети Microsoft. Имена хостов должны быть разрешены для виртуальных дисков, входа в систему, групповых политик и т. Д. Однако, если я это сделаю, машины больше не смогут использовать DNS внешних / отделов и, следовательно, не смогут запрашивать пакеты из Интернета. .

Как это решить?

Могу ли я использовать DNS отделов для разрешения имен моих хостов в интрасети? (Наверное, нет, правда?)

Есть ли способ, чтобы мои рабочие станции получали свое имя из моего DNS, но запрашивали интернет-пакеты из внешнего DNS, чтобы они были доступны по тому же IP?

Это почему обычно два поля для DNS-серверов?

Могу ли я «перенаправить» внешний DNS параллельно моему собственному DNS во внутреннюю сеть?