Проблему решил следующим образом:
1. В DNS контролеров домена была лишняя запись - 8.8.8.8 (DNS Google). Убрал ее от греха подальше.
2. Поднял роутер на Ubuntu server и настроил DNSmask для своих доменов, указав для своих зон ip соответствующих КД. Пустил клиенты через этот DNS - полет нормальный. Т.е. получилось на клиентах три DNS: 10.11.1.1, 10.11.1.2, 10.11.1.10. Вместо 10.11.1.10 был 8.8.8.8