Ситуацияй схожа с этой - http://forum.oszone.net/thread-229649-2.html
Но мне пок ане очень понятен этот комментарий (с tmg недавно знаком,много вопросов..):
разрешите доступ вашему ДНС-серверу (10.10.10.10) доступ в интернет по 53 порту UDP.
на вашем же DNS-сервере (10.10.10.10) настройте пересылку на сервера провайдера.

А безопасно ли давать давать доступ внутреннему днс в интернет по 53 порту UDP?

Как настроить дополнительный DNS установленный на там же где и TMG 2010? Чтобы не настраивать внутенний DNS.

А безопасно ли давать давать доступ внутреннему днс в интернет по 53 порту UDP? »
а как он будет спрашивать провайдерские ДНС, если ему выход закрыт?

а как он будет спрашивать провайдерские ДНС, если ему выход закрыт? »
Ну об этом и второй вопрос - как настроить для этого дополнительный dns ? На http://technet.microsoft.com/ru-ru/library/dd896985.aspx пишут что если внутренний днс не настроен на внешнюю сеть то можно поднять на том же сервере дополнительный днс. Ну DNS то есть. а как его настроить в этой ситуации пока не могу сообразить...

Ну об этом и второй вопрос »
это не второй вопрос, а первый. и ответив на него, других вопросов вроде "как настроить второй ДНС" не будет.
у DNS то есть. а как его настроить в этой ситуации пока не могу сообразить... »
всё написано в вашем же вопросе:
разрешите доступ вашему ДНС-серверу (10.10.10.10) доступ в интернет по 53 порту UDP.
на вашем же DNS-сервере (10.10.10.10) настройте пересылку на сервера провайдера. »

А безопасно ли давать давать доступ внутреннему днс в интернет по 53 порту UDP? »
ответьте сперва на вопрос - а какая в этом опасность?

ответьте сперва на вопрос - а какая в этом опасность? »

Предположил. Если есть дверь то внее можно войти. Вы считаете что никакой опасности в этом нет?

exo,
разрешите доступ вашему ДНС-серверу (10.10.10.10) доступ в интернет по 53 порту UDP.
Доступ настраивается на tmg ?

Если есть дверь то внее можно войти »
вы понимаете в какую сторону вы открываете дверь?
Доступ настраивается на tmg ? »
да. и к вопросу выше - это исходящее правило.
ДНС будет обращаться в интернет, а не интернет к ДНС серверу.
Хотите повысить "безопасность" - создайте правило для 53 порта, в котором исходящий IP будет ваш ДНС сервер, и IP назначения - ДНС провайдера.
И будет тогда ваш ДНС общаться только с ДНС провайдера.

всё написано в вашем же вопросе: »

Настроил пересылку. Настроил правило на 53 порт для DNS сервера(он же контроллер домена).

Еще один вопрос - в настройках сетевого интерфейса на DNS сервер в качестве шлюза должен быть установлен IP адрес TMG сервера, верно?

в настройках сетевого интерфейса на DNS сервер в качестве шлюза должен быть установлен IP адрес TMG сервера, верно? »
у вас есть другой шлюз, кроме тмг, в интернет?

у вас есть другой шлюз, кроме тмг, в интернет? »
В этом случае будет один шлюз - это Forefront TMG. Соединение с сетью провадйдера - напрямую.

В этом случае будет один шлюз - это Forefront TMG »
ну если шлюз один, то ведь больше кроме него никого не запишешь в настройках ;)