O DNS específico às vezes resolve o curinga, incorretamente

Eu tenho um problema intermitente e não tenho certeza de onde começar a tentar solucionar o problema.

Em nosso ambiente de desenvolvimento, temos dois endereços IP visíveis em balanceadores de carga, um para o front-end e um para um número de máquinas de serviços de back-end. O front-end está configurado para usar um nome DNS curinga para oferecer suporte a "portais" genéricos.

dev.example.com   A     10.1.1.1
*.dev.example.com CNAME dev.example.com

Os servidores de backend são todos nomes específicos dentro do mesmo espaço:

core.dev.example.com   A     10.1.1.2
cms.dev.example.com    CNAME core.dev.example.com
search.dev.example.com CNAME core.dev.example.com

Aqui está o problema. Periodicamente, um desenvolvedor ou um programa que tenta acessar, por exemplo, cms.dev.example.com, obtém um resultado que aponta para o front-end, em vez do balanceador de carga de back-end:

cms.dev.example.com is an alias to core.dev.example.com
core.dev.example.com is an alias to dev.example.com (WRONG!)
dev.example.com 10.1.1.1

Os desenvolvedores estão todos em máquinas Mac OS X, embora eu tenha visto o problema ocorrer em uma máquina Ubuntu também, usando um resolvedor DNS de host de nuvem local.

Às vezes, o desenvolvedor está usando uma VPN, que direciona o DNS para seu próprio resolvedor, e às vezes ele está na rede local usando um resolvedor de DNS atribuído pelo roteador NAT.

Às vezes, ao limpar o cache do DNS do Mac OS X, fazer login na VPN e, em seguida, efetuar logout da VPN, o problema desaparece.

O servidor autoritativo de origem está em zerigo, e uma escavação diretamente em seus servidores de nome sempre parece dar a resposta correta. O tempo de cache DNS publicado para esses registros é de 15 minutos, mas o problema tem sido intermitente por cerca de uma semana.

Alguma sugestão de solução de problemas?