Configuração do servidor DNS do Windows para um subdomínio específico e redirecionamento do restante para autoridade

A pilha de aplicativos tem vários componentes, por exemplo, api, aplicativo público e aplicativo interno. Quero tornar o aplicativo interno acessível somente a partir de intervalos de IP de rede interna. Configurei meu nginx (proxy reverso) para permitir somente certos intervalos de IP (por exemplo, 192.168.1.0/24). Estou usando um nome de domínio: mydomain.com

Digamos que o aplicativo interno esteja usando o subdomínio. app.mydomain.com Há também um site (executando externamente) em (www.)mydomain.com O DNS externo (autoridade) está configurado para apontar para o IP estático público do meu servidor, que é necessário para a API pública (por exemplo, api.mydomain.com).

Mas na rede local (incl. VPN), quero direcionar o tráfego internamente. Por exemplo, em vez do IP público, os PCs devem usar o IP local, para que apenas aqueles com IP local sejam permitidos pelo proxy reverso nginx. Para fazer isso, estou configurando o servidor Windows AD também executando um servidor DNS. Estou tentando configurar esse DNS para direcionar computadores na rede para o servidor na rede local.

Quando tento definir uma zona primária para mydomain.com com uma entrada para app.mydomain.com para apontar para o endereço do servidor interno, nslookup app.mydomain.comele retorna o IP local, mas mydomain.comnão www.mydomain.comfunciona mais.

Existe uma maneira de apontar todos os outros subdomínios para o DNS externo (autoridade)?

Quando tento configurar uma zona secundária , a transferência falha. Acho que a autoridade (DNS externo) não me deixa fazer isso.

Gostaria de saber como conseguir isso?