DNS-запросы в изолированной сети

Я работаю с изолированной/защищенной глобальной сетью с несколькими избыточными контроллерами домена, которые также действуют как DNS-серверы. Мой вопрос, я надеюсь, довольно прост, но мне, похоже, трудно найти в Google что-либо, что применимо к нашей настройке.

Существует ли наилучшая практика обработки внешних DNS-запросов из Интернета, поступающих от систем в изолированной сети?

Для фона:

Недавно мы обнаружили, что большая часть пропускной способности нашей сети используется DNS, в частности трафиком UDP на порту 53 между различными DNS-серверами. Мы можем это проверить, включив ведение журнала отладки DNS, где мы видим сотни мегабайт трафика DNS каждый час на всех наших DNS-серверах. Мы знаем, что основным виновником является протокол McAfee GTI/Artemis, по которому они пытаются отправлять хэшированные данные файлов в avts или avqs.mcafee.com через запросы DNS. Мы устраняем проблему McAfee, работая с программным обеспечением McAfee в нашей сети, но меня беспокоит то, как запросы DNS пересылаются между нашими различными DNS-серверами. Похоже, что наши DNS-серверы просто пересылают запросы любого внешнего сайта на другой DNS-сервер в нашей сети. Этот процесс, похоже, длится вечно или, по крайней мере, очень долго (более 30 минут для одного конкретного запроса, который я отследил по журналам отладки DNS). Запрос отправляется с сервера 1 -> сервера 2 -> сервера 3 -> сервера 1 и т. д. Я пытаюсь собрать некоторые данные, чтобы предложить изменение людям, отвечающим за управление конфигурацией, поскольку сейчас кажется, что что-то явно настроено неправильно.

Использование Windows Server 2008 R2.