DNS Server behind Astaro... need NAT?

You could do it either way.

If you feel the DNS proxy on Astaro is more solid than the one you're using internally (e.g., Bind), you could benefit from using the proxy; people on the 'net will not have direct access to the ports of your so-so DNS Server to play with. Any malformed DNS requests will (hopefully) be sanitized by Astaro's DNS proxy.

The advantage of not using the proxy is it removes another thing to maintain/go wrong.

Try the proxy and see how it performs...

Well my network includes a test Windows 2003 Server environment with a DNS server which is hosting a couple of live domains.

With this in mind, will Astaro's DNS proxy handle the bidirectional DNS traffic without the ability to tell it where the server is?

I'm assuming that setting up both a NAT entry and the proxy will defeat one of the two... probably the Proxy, yes?

If you use the proxy, you wouldn't use NAT at all. The internal DNS server would use the proxy as its forwarder DNS server, authoritative for all else outside your domain.

If you use the proxy, you wouldn't use NAT at all. The internal DNS server would use the proxy as its forwarder DNS server, authoritative for all else outside your domain.