Portanto, você deseja enumerar o conteúdo das zonas DNS. Isso não é facilmente possível a partir do "exterior", exceto para verificações de força bruta seguindo o caminho que você iniciou - é como quebrar senhas. Você precisaria consultar todos os nomes possíveis, verificar curingas com correspondências de padrões, etc ... não é trivial e exige muitos recursos, e também é muito perceptível para administradores vigilantes (parecerá um ataque DoS se você não tenha cuidado). Mas eu nem acho que os black hats se aproximariam dessa maneira, seria mais fácil instalar um sniffer na frente do servidor DNS e coletar passivamente os nomes úteis ao longo do tempo ou apenas comprometer o próprio servidor DNS.
Então, não tenho certeza do seu propósito ou caso de uso, mas existem maneiras muito mais fáceis / legítimas. Por exemplo, obtenha acesso ao servidor DNS da Microsoft para abrir um MMC, conecte-se ao serviço DNS e, em seguida, você verá todas as zonas e, dentro de cada uma, todos os nomes. Ou você poderia pedir ao administrador uma exportação de todas as zonas do console do MMC. Ou peça para poder transferir periodicamente as transferências de zona para o seu servidor "teste" (por exemplo, usando "dig axfr @" ou apenas configurando um secundário). Estas são maneiras muito mais fáceis e não intrusivas de conseguir o que você quer, e supondo que isso seja para um propósito legítimo, não deve ser um grande problema.