No se si lo tienes configurado así, pero los DNS de todos los equipo deben apuntar al W2000 server y en éste habilitar el forwarding poniendo los DNS de tu ISP. (te cargas la zona root ".", sales vuelves a entrar y configuras los reenviadores)
Si los ordenadores de la red apuntan al DNS de Internet no funciona (obviamente)

Hola, Alvaro. Ozu, que problema mas curioso!
Yo creo que la parte "cliente" del servicio dns, en principio es la más
robusta y la que menos papeletas tiene para dar algún problema.
Me resulta extraño que el cliente dns haga diferencias entre distintos
nombres de dominio. Si no funciona un dominio "dot web", pero el resto
de las paginas son navegables, es posible que la prueba del nslookup
ponga de manifiesto otro tipo de problema secundario / paralelo.
(ni idea de cual puede ser)
Hombre, desde luego no es el adalid de las buenas maneras, supongo
que eso es lo que harían mis heroes Manolo y Benito, pero yo creo
que la idea será buena o mala, en funcion del resultado que produzca.
-yo por lo menos lo probaría- (318803.support.microsoft)
(se trata de parar el servicio "Cliente dns" con net stop dnscache)
(o bien cambiar el tipo de inicio de ese servicio a "manual")
(yo pensaba que entonces no funcionaría la resolucion de nombres,
pero si funciona, si. Al parecer ese servicio solo gestiona el cache)
Pues para "reparar" una conexion los usuarios deben pertenecer al grupo
"operadores de configuracion de red",(en XP) pero para hacer
ipconfig /flushdns no lo tengo muy claro, yo creo que un usuario si puede
hacer eso puesto que sobre windows\system32 un usuario tiene permiso
de lectura y ejecucion (no lo puedo probar, no se si digo una burrada)
Si está el directorio activo implementado, hay una manera muy elegante
de añadir estos usuarios al grupo citado, con la consola de usuarios y
equipos de ad. De lo contrario, esto se hace con la cuenta local de cada
usuario, propiedades, miembro de..., avanzadas. Ojo, despues de añadir
un usuario a ese grupo, hay que cerrar su sesion y volver a abrirla.

De cualquier forma, para confirmar todo esto, si la intuicion dice
que es el cache dns, habría que saber que es lo que realmente ocurre.
He intentado ver una forma de monitorizar / monitorear (no se como se dice)
el contenido de la cache dns, registrando el contenido de las altas y bajas
al estilo de "deb ip nat det (por ejemplo)" en algunos routers, y he visto
un comando "set tracing * enabled" de netsh, pero no vale para esto...
No se como se puede hacer eso.
En cualquier caso, no siendo esas entradas en la cache de dns
"renovables con el uso" (no se cual es la palabra) i.e: que el tiempo
de vida es fijo, creo que con registrar con ethereal (*) tranquilamente
hasta que salga un error, ayudará a saber exactamente lo que pasa,
puesto que a traves de ese registro conociendo el ttl de los registros
"dot web" en principio se puede deducir el contenido de la cache.
(*) con el filtro "udp dst port 53 or udp src port 53"
(**) si no rueda en el pc que se desea estudiar, con un filtro "host and"
(***)no conozco bien ese programa, seguro que hay un metodo mejor...
Si puedes poner por aqui el resultado (truncado) de esa captura con las
tramas que contengan "server failure" o "no such name" (o similar) y algunas
de las precedentes... seguro que hay gente que puede echarte un cable.
Un saludo, Luis.