Aqui está o que eu suspeito que está acontecendo, mas não posso provar isso em meus próprios sistemas, pois não quero colocar um registro curinga em meus servidores DNS.
This somewhat works, except that when I run nslookup www.domain.com I get this response:
Server: winsrv.domain.com
Address: 172.16.1.2
Name: www.domain.com.domain.com
Address: 172.16.1.3
Isso ocorre porque sua consulta nslookup é tecnicamente um nome não qualificado.
Você pode testar isso fazendo um nslookup www.domain.com. (anote o ponto final / ponto no final que "qualifica") e veja se o retorno é válido agora.
EDIT: sim, este parece ser o caso ... porque sua entrada de caractere curinga está invalidando a resposta NXDOMAIN normal que o nslookup normalmente retorna neste caso. Já que o nslookup sempre anexa o sufixo se a pesquisa não tiver o período final.
Por exemplo, aqui está uma no meu computador:
> set debug=true
> www.yahoo.com
Server: dc1.mdmarra.local
Address: 10.10.10.10
------------
Got answer:
HEADER:
opcode = QUERY, id = 2, rcode = NXDOMAIN
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
www.yahoo.com.mdmarra.local, type = A, class = IN
AUTHORITY RECORDS:
Observe como ele retornou o NXDOMAIN para www.yahoo.com.mdmarra.local. Em seguida, ele passa a consultar apenas www.yahoo.com usando encaminhadores. Como você tem a entrada de caractere curinga, sua consulta é válida com base no caractere curinga.