brutal_lobster

А нужен ли вам RRL? Клиенты будут рады, если их днс-запросы не будут проходить по причине волшебного числа на сервере? Вы ISP? Какая вам разница, сколько я запросов отправляю?)
Основная цель RRL - ограничение атак типа dns-amplification на authoritative сервера. К рекурсеру это слабо относится, разве что в случае записей с минимальным ttl. По вашей же ссылке об этом упоминается.

А так - почитайте про методики построения baseline в целом.

Собираете дампы по днс-запросам тем же tcpdump, с помощью tshark считаете количество запросов по каждому ойпи с различными окнами.
Либо можете написать скриптик для обработки биндового query-log. Может быть даже уже есть такой скриптик:)
Результат обрабатываете по типу bindgraph и смотрите приятные графики.

1. Некорректно указывать локальный и внешний одновременно - будут проблемы с резолвом внутренней зоны. Провайдер же не знает о ней ничего.
2. Раз уж бинд работает локально - проблема скорее всего в фаерволе (или он вообще не слушает на внешнем интерфейсе)
3. При проверке с 1.3 видно, что машина обращается на свой локальный рекурсер. Этот рекурсер тоже ничего не знает о вашей внутренней зоне

@bk0011m абсолютно прав. Ломается всё, когда станция начинает резолвить через гугл.

Проблема в том, что интуитивно ожидается, как винда сначала будет использовать основной, и только потом вторичный.
На деле же алгоритм выбора сервера достаточно хитёр. С кэшированием всяким и оценкой времени отклика.
technet.microsoft.com/en-us/library/dd197552.aspx