DNS-Anfragen in einem Airgapped-Netzwerk

Ich arbeite mit einem isolierten/luftgekapselten globalen Netzwerk mit mehreren redundanten Domänencontrollern, die auch als DNS-Server fungieren. Meine Frage ist, so hoffe ich, ziemlich einfach, aber es fällt mir anscheinend schwer, bei Google etwas zu finden, das auf unser Setup zutrifft.

Gibt es eine bewährte Methode zum Umgang mit externen DNS-Internetanforderungen, die von Systemen in einem isolierten Netzwerk stammen?

Zum Hintergrund:

Wir haben kürzlich festgestellt, dass ein großer Teil unserer Netzwerkbandbreite von DNS genutzt wird, insbesondere von UDP-Verkehr auf Port 53 zwischen den verschiedenen DNS-Servern. Wir können dies überprüfen, indem wir die DNS-Debugprotokollierung aktivieren, in der wir stündlich Hunderte von Megabyte DNS-Verkehr auf allen unseren DNS-Servern sehen. Wir wissen, dass der Hauptschuldige das GTI/Artemis-Protokoll von McAfee ist, mit dem versucht wird, gehashte Dateidaten über DNS-Anfragen an avts oder avqs.mcafee.com zu senden. Wir beheben das McAfee-Problem, indem wir uns mit der McAfee-Software in unserem Netzwerk befassen, aber ich war besorgt darüber, wie die DNS-Anfragen zwischen unseren verschiedenen DNS-Servern weitergeleitet werden. Es scheint, dass unsere DNS-Server die Anfragen für jede externe Site einfach an einen anderen DNS-Server in unserem Netzwerk weiterleiten. Dieser Vorgang scheint ewig zu dauern, oder zumindest sehr lange (mehr als 30 Minuten für eine bestimmte Anfrage, die ich über die DNS-Debugprotokolle verfolgt habe). Die Anfrage wird von Server 1 -> Server 2 -> Server 3 -> Server 1 usw. gesendet. Ich versuche, einige Daten zusammenzutragen, um den für das Konfigurationsmanagement zuständigen Personen eine Änderung vorzuschlagen, denn im Moment scheint etwas eindeutig nicht richtig konfiguriert zu sein.

Es wird Windows Server 2008 R2 verwendet.