我看了一下你的架構, 發覺有下列問題:

1. AD上有網卡直接接上Internet, 這樣對於安全性不好, 建議不要這麼做
2. 你需要的應該是一台簡單的NAT主機, 如果非用Windows不可, 請至少準備兩張網卡,一張為內部IP區段, 另一張可能是設定固定外部IP或是PPPoE, 此Windows上要裝Routing and Remote Access, 來設定routing 跟 NAT功能, 重點就是NAT主機上越簡單越好, 才不會有資安的問題, RRAS還可以提供簡單的TCP/IP firewall控管, 就可以達到你控制員工上網的功能.
3. AD主機跟內部DNS server放在同一台,同時再加上內部DHCP server, 第一可以做內部帳號的權限管理, 第二作為內部pc的IP 發放, 第三可以作為內部pc的FQDN註冊
4. DNS你只要把內部的domain架設起來, 然後啟用DNS query forwarding 到你ISP的DNS SERVER來解析外部的IP即可..

Windows 2003 DNS server設定: http://support.microsoft.com/kb/814591
Internal DNS server setup: http://www.simongibson.com/intranet/dns2003/

建議把對外的網卡拿掉，看你的架構，不用重外對內。如果要用的話，用nat就可以了
不然，對外網卡是實體ip的話，有風險。

AD+DNS架好了！那就測試看看是否在client可以解析到dns
AD SERVER IP:假設為192.168.1.1 dns為：192.168.1.1

現在用戶端的tcp/IP那裡設定dns為192.168.1.1
利用ping AD的網域或dns的網域，看看是否有回應。
如果沒有回應，那就是架設有問題，看看是不是要砍掉重架設。

至於用戶端要對外解析的話，在dns server那裡，選內容。
有一個選項是轉寄站。在哪裡設定當你架設的dns無法解析用戶端的資料時，在轉出去更上一層的dns站解析，例如：168.95.1.1

透過Windows 2003 有沒有辦法控管Client 端電腦部分能上internet 部分不行！？
︿︿︿︿︿︿︿︿︿︿︿︿
這是可以的，利用ad的群組原則來控管。

以上有誤，請多多指教