DNS do Active Directory não resolve QUAISQUER consultas

Estou experimentando algum comportamento estranho com o nosso resolvedor AD Dns. Nossa rede Windows usa o AD como seu resolvedor de DNS, que por sua vez resolve consultas como o Google.com e assim por diante. Tudo bem e dandy lá.

Eu comecei a curtir (no Windows, Yay!) um dia para mostrar um problema para um colega, e eu perguntei: %código%. O resultado foi extremamente pequeno, e só tinha $ dig ANY google.com de registros, o que inicialmente me fez pensar que o Google havia matado o serviço deles. Pensamentos melhores prevaleceram e eu questionei: A , é claro que isso deu o resultado esperado com todos os registros.

Eu descobri o que parece ser um truque de cache da parte da Microsoft, onde eles juntam uma resposta para a consulta $ dig ANY @8.8.8.8 google.com , com base em seu cache atual. As etapas a seguir ajudarão a reproduzir o problema. Execute todas essas etapas e o servidor DNS do AD.

1. Consulte um domínio de destino usando a ANY query: ANY . Observe que o resultado só tem registros A e AAAA.

2. Consulte o domínio de destino usando outro tipo, como $ dig ANY example.com ou MX : TXT . Verifique se os resultados são os esperados.

3. Emitir novamente a consulta $ dig MX example.com original, observe agora que os resultados incluem os registros ANY da etapa 2.

Acho melhor escolher um novo domínio a cada teste, pois o teste anterior armazenará os resultados no DNS do AD. Use o resolvedor do Google (ou outros resolvedores) para verificar os resultados esperados, como: MX .

Alguém pode confirmar isso? É uma configuração no DNS do AD que impede a resolução recursiva de $ dig ANY example.com @8.8.8.8 consultas - porque elas são, de algum modo, mais caras do que qualquer outra coisa?

Eu, pelo menos, acho esse comportamento totalmente errado.