благодаря вашим советам, сделали схему при которой контроллеры домена, не ходят больше в интернет с днс запросами, прописали форфард до наших же линуксовых DNS, которые уже в свою очередь ходят к рутам. Появилась возможность фильтровать на линуксовых DNS, снимать статистику запросов и прочие вещи
