Solicitudes de DNS en una red aislada

Trabajo con una red global aislada/con espacio aéreo y varios controladores de dominio redundantes que también actúan como servidores DNS. Espero que mi pregunta sea bastante simple, pero parece que me está costando encontrar algo en Google que se aplique a nuestra configuración.

¿Existe alguna práctica recomendada para gestionar solicitudes de DNS de Internet externas procedentes de sistemas en una red aislada?

Para antecedentes:

Recientemente identificamos que DNS está utilizando una gran parte del ancho de banda de nuestra red, específicamente el tráfico UDP en el puerto 53 entre los diferentes servidores DNS. Podemos verificar esto habilitando el registro de depuración de DNS, donde vemos cientos de megabytes de tráfico DNS cada hora en todos nuestros servidores DNS. Sabemos que el principal culpable es el protocolo GTI/Artemis de McAfee, donde intentan enviar datos de archivos hash a avts o avqs.mcafee.com a través de solicitudes DNS. Estamos solucionando el problema de McAfee tratando con el software McAfee en nuestra red, pero me preocupaba cómo se reenvían las solicitudes de DNS entre nuestros diferentes servidores DNS. Parece que nuestros servidores DNS simplemente están reenviando las solicitudes de cualquier sitio externo a un servidor DNS diferente en nuestra red. Este proceso parece durar una eternidad, o al menos durante mucho tiempo (más de 30 minutos para una solicitud específica que rastreé a través de los registros de depuración de DNS). La solicitud se envía desde el Servidor 1 -> Servidor 2 -> Servidor 3 -> Servidor 1, etc. Estoy tratando de reunir algunos datos para proponer un cambio a las personas encargadas de la gestión de configuración, porque ahora mismo parece que algo está mal. claramente no está configurado correctamente.

Utilizando Windows Server 2008 R2.