Encontre a origem de uma consulta DNS no Windows Server

Eu tenho uma máquina executando o Windows Server 2012 R2 que está gerando consultas DNS inválidas.

O único endereço IP do servidor é 192.168.1.20/24 e está configurado estaticamente. Ele está configurado para um único servidor DNS, 192.168.1.1, que também é o gateway padrão. O Windump confirma que a maioria das consultas DNS desse servidor é enviada para o servidor DNS correto.

Ocasionalmente, porém, o windump mostra uma consulta DNS enviada para outro servidor DNS, que se parece com isso:

12:37:54.397958 IP 192.168.1.20.51359 > 192.168.0.10.53:  23110+ [1au] A? clientservices.googleapis.com. (58)
12:44:29.037933 IP 192.168.1.20.51174 > 192.168.0.10.53:  37409+ A? www.skyres.ca. (31)
12:44:35.528727 IP 192.168.1.20.52753 > 192.168.0.10.53:  11591+ [1au] A? ns1.secureserver.net. (49)
12:52:46.473216 IP 192.168.1.20.51157 > 192.168.0.10.53:  25493+ A? safebrowsing.googleapis.com. (45)
12:52:53.761783 IP 192.168.1.20.51157 > 192.168.0.10.53:  25493+ [1au] A? safebrowsing.googleapis.com. (56)

Pode ser pura coincidência, mas nosso escritório tem um controlador de domínio do Windows e um servidor DNS cujo endereço IP é 192.168.0.10, no entanto o servidor em questão (192.168.1.20) está em um local remoto e não tem acesso ao nosso domínio controlador. Na verdade, 192.168.1.20 é um controlador de domínio em outro domínio.

É possível que 192.168.1.20 tenha sido localizado na mesma rede e domínio que 192.168.0.10, mas isso foi antes de eu entrar nesta empresa 8 meses atrás.

Alguma ideia de por que 192.168.1.20 está tentando consultar um servidor DNS que o Windows aparentemente não está configurado para usar, e para o qual ele não tem acesso?

Alguém poderia sugerir uma maneira de rastrear a origem do software dessa solicitação de DNS dentro do servidor?