Windows 7 Pro - Servidores DNS alterados em estações de trabalho habilitadas para DHCP no fim de semana, não sei como

Hoje pela manhã eu entrei em nosso escritório SOHO (> 5 usuários) para que os relatórios da Internet não funcionassem. Eu tentei todas as correções simples de costume, como interruptores de ciclismo (cada usuário tem um interruptor em sua mesa), em seguida, mudei para o firewall de hardware e modem, reiniciar e andar de bicicleta, respectivamente. Uma estação de trabalho podia acessar a internet e, a princípio, não sabia por quê. Para encurtar a história, notei que a máquina que poderia navegar tinha desativado o DHCP. Todas as outras máquinas têm o DHCP habilitado e, de alguma forma, tiveram seus servidores DNS alterados dos fornecidos pelo nosso ISP para algum endereço interno com o qual eu não estava familiarizado e não com o nosso prefixo de rede usual.

• Nosso prefixo de rede normal: 192.168.168.xxx
• DNS que foi colocado no lugar do nosso ISP DNS: 192.168.15.1 (também conhecido como mistério IP)

Info :

• Windows 7 Pro 64 bits
• Modem ADSL vinculado conectado ao firewall Sonicwall TZ105
• Sonicwall out X0 Interface LAN para alternar, alternar links pela infraestrutura para alternar para a mesa do usuário e, em seguida, para a máquina do usuário.
• Eu não consigo pingar o IP do mistério, não recebo nada
• O firewall de hardware fornece DHCP

Todas as máquinas mostraram conectividade de rede, mas não conseguiram navegar ou recuperar emails do servidor Exchange. Quando executei o diagnóstico do Windows, ele me disse que a configuração estava correta, mas o servidor DNS não estava respondendo. Eu mudei os servidores DNS de volta para os nossos servidores ISP e estava tudo bem. Em alguns casos, eu também tive que mudar o gateway padrão de volta para o nosso firewall de hardware, de volta do misterioso IP.

Ainda estou tentando descobrir o que aconteceu no final de semana que causaria esse problema. outros problemas semelhantes parecem girar em torno de algum outro servidor DHCP sendo conectado à nossa rede (o problema do servidor DHCP desonesto), mas nada incomum foi conectado à nossa rede e, até onde eu sei, nada mais em nossa rede está fornecendo DHCP.

Outras informações variadas:

• VM rodando Debian na minha estação de trabalho - quase nunca uso
• XAMPP em uma máquina sem estação de trabalho - usada com bastante frequência, mas apenas por mim via área de trabalho remota
• dispositivo Synology NAS

Estou filmando no escuro aqui, então não sei qual informação é útil. Uma das minhas preocupações é que fomos atacados de alguma forma. Eu verifiquei o log do firewall, mas ele só volta às 8:30 desta manhã, não sei por quê.

Qualquer informação e sugestões são, naturalmente, muito apreciadas.

edit: Olhando nas configurações de DNS para o Sonicwall, vejo que está configurado para herdar dinamicamente o DNS dos servidores DNS do ISP. Também existe uma opção chamada "DNS Rebinding Attack Prevention" que está ativada; uma das muitas funções do Sonicwall que eu posso adivinhar, mas não conheço todas as implicações.