Так все понятно
Если к тебе залезают извне, ставишь пару DNS серверов, у которых ДОЛЖНЫ БЫТЬ ВНЕШНИЕ АДРЕСА, и поднимаешь на них нужные зоны.
Если лезут только из той же подсети, то хватит одного сервера без форварда его зон наружу.
Кстати, в сети из 50 машин внутренний DNS экономит до 5 мегабайт траффика в сутки на кешировании информации, пришедшей от внешних серверов.