Estou tendo esse problema peculiar com o DNS da Microsoft.
Basicamente, temos domain.com que é uma configuração de horizonte dividido (DNS público externo e DNS interno são autoritários para zonas separadas), não me pergunte por que, era assim quando cheguei aqui.
Neste AD temos 3 controladores de domínio, servindo como servidores DNS para as zonas internas. Além disso, temos 2 servidores DNS que encaminha as consultas para esses servidores AD e armazena em cache os resultados.
Além disso, temos outro domínio, example.com, que está apenas em nossos servidores DNS públicos externos.
Agora para o problema; Os servidores AD tiveram um problema com o nome subdomain.example.com. As consultas de retorno com "nome de domínio não encontrado", como um servidor autoritativo faz quando não possui um registro. No entanto, os encaminhadores de DNS para clientes resolvem a consulta.
Externamente tudo funciona bem, subdomain.example.com resolve como deveria para um CNAME para www3.domain.com
No entanto, o problema não é com toda a zona, é apenas com esse subdomínio específico. www.example.com resolve interna e externamente como um CNAME para www3.domain.com.
Então, como pode um servidor DNS que não tem autoridade para uma zona responder que um registro não pode ser encontrado?
Como solução alternativa, criei uma nova zona para subdomain.example.com e adicionei um registro A idêntico ao de www3.domain.com. E uma hora depois esse disco sumiu?
Estou perto de desistir e me tornar um criador de cabras. :)
Estou tendo problemas para entender seu fluxo a partir da descrição, mas...
Recomendo que você tenha servidores recursivos e autoritativos separados para seu domínio no lado externo e faça com que os DCs internos apontem para os servidores recursivos externos com encaminhamento de servidor.
Essa configuração é comumente chamada de DNS dividido. Uma vantagem é que você pode forçar os clientes internos a responder a determinados endereços de forma diferente dos clientes externos. A outra vantagem é que você pode solucionar mais facilmente o fluxo de DNS.
Para responder à sua pergunta, um servidor que não tem autoridade para uma zona pode dizer que o registro não foi encontrado se não conseguir encontrar uma resposta oficial para a zona. Você pode ter um problema com o DC DNS incapaz de realizar pesquisas recursivas. Certifique-se de que o encaminhamento do servidor nos DCs esteja habilitado e vá para os servidores DNS recursivos. Em seguida, certifique-se de que os servidores recursivos utilizem as dicas globais corretamente.
Você pode brincar com o NSlookup, definindo o servidor com o
server = IPcomando e testando cada servidor por sua vez para ver o que ele pode ver.