DNS dinâmico - Windows Server tentando atualizar registros A indesejados para o mestre de zona BIND

Eu tenho um servidor Active Directory e Exchange 2010 do Windows Server 2008R2 (acesso para cliente, transporte de hub e funções de caixa de correio) em um ambiente de servidor Linux. Um servidor Linux executando o BIND9 é mestre em todas as zonas, incluindo as específicas do AD, com atualizações permitidas do servidor Windows (e de um servidor DHCP Linux separado). Um transporte de correio linux / postfix atua como o servidor MX de domínio e uma retransmissão inteligente para o servidor Exchange.

O servidor Windows é exchange.domain.tld (type = authoritative), mas também possui um domínio aceito type="relay interno" no Exchange para domain.tld.

O PROBLEMA: O servidor Windows atualiza o DNS consigo mesmo como o registro A para domain.tld - o que certamente não é. Isso interrompe as pesquisas de DNS do servidor da web da empresa. Atualmente estou trabalhando em torno disso, removendo o acesso de atualização para domain.tld, mas deixando-o no lugar para os subdomínios específicos do AD, mas isso gera muitos erros (Event ID 5774) no log de eventos do servidor Windows.

Além disso, o servidor Windows possui um segundo NIC que se conecta a um intervalo de endereços IP privados (usado para um sistema de telefonia VOIP), e esse endereço também está sendo definido como um registro A para domain.tld

Existe uma maneira de limitar / controlar o que o servidor Windows atualiza? Qualquer sugestão alternativa sobre como estruturar o DNS nesse ambiente também seria bem-vinda.