powerdns como resolvedor interno, por trás do firewall

Eu tenho uma configuração um pouco estranha com powerdns:

• Para o domínio xxx.de da nossa empresa, temos quatro entradas NS na Internet pública (na Nexinto). Nós rodamos um primário oculto (chamado dns-ext) usando o Powerdns / Poweradmin, isso funciona tão bem até o momento.
• Dentro da nossa rede baseada no Windows AD, usamos o servidor DNS interno do Windows (chamado ad-master; o domínio de nossa empresa NÃO é o nome de domínio do AD para evitar confusões!)
• Temos outro servidor (chamado dns-int) dentro da LAN que possui Powerdns / Poweradmin, que serve a visão de xxx.de; o servidor AD está configurado para encaminhar consultas de máquinas da empresa para esse servidor
• O dns-int executa o pdns-recursor no UDP53 e o pdns (a parte autoritativa) no UDP / 54; o recursor está configurado para encaminhar consultas para xxx.de para localhost: 54
• devido a restrições de segurança de rede, o dns-int não pode se conectar diretamente à Internet e as solicitações DNS "upstream" devem passar por um servidor proxy dns

O problema é que agora, quando eu quero subdomínios, tenho que criá-los em dns-int e dns-ext, mesmo que eu não queira uma visão dividida para essa zona de subdomínio.

Então eu pensei "ok, defina em dns-int a.xxx.de NS a.prim-ns.de, coloque uma entrada de redirecionamento para. = ip_of_proxy e ela deve funcionar", o que não aconteceu porque quando solicitada baxxx.de dns-int não poderia perguntar em a.prim-ns.de - Powerdns tentou se conectar a a.prim-ns.de independentemente do. frente. Registros CNAME para endereços públicos da Internet falham pelo mesmo motivo - o dns-int tenta resolver o CNAME, que falha e retorna apenas o registro CNAME para o anúncio-mestre, e o mestre de anúncios não quer resolver essa entrada CNAME por algum motivo .

Não há como obter acesso de saída para o dns-int - então como posso fazer os powerdns usarem o proxy DNS para todas as consultas que não podem responder?