Não consigo encontrar essa configuração documentada em lugar algum, mas na semana passada encontrei essa chave em um servidor de teste que gerencio.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\AllowUpdate
Se esta chave existir e tiver um valor 0, as atualizações dinâmicas dos clientes serão recusadas. Não tenho certeza se isso afetaria as atualizações de um serviço DHCP no mesmo servidor, mas você poderia testá-lo e verificar se ele pode ser uma alternativa ao bloqueio do firewall.