Странная проблема разрешения BIND

У меня странная проблема с разрешением на моих DNS-серверах. У меня есть опыт администрирования DNS-серверов Windows в течение нескольких десятилетий, но менее чем год опыта администрирования серверов Ubuntu / BIND 9. Небольшой опыт моей среды:

Я работаю на небольшого поставщика услуг и администрирую три сервера Ubuntu / Bind 9. Они настроены как Мастер и два Раба. Все три сервера настроены с частными IP-адресами в VLAN, зарезервированной для серверов, со статическими NAT на нашем брандмауэре для подчиненных. Ведомые устройства доступны как из нашей внутренней сети, так и из общедоступного интернета, но рекурсия для общедоступной сети ограничена подсетями IP, которые мы размещаем. Мастер разрешает доступ только от двух ведомых устройств и от нашей внутренней VLAN-сети управления. Master и Slave2 - это Ubuntu 12.04 с BIND 9.8.1-P1. Slave1 - более старая система, запланированная для замены, работающая под управлением Ubuntu 9.04 и BIND 9.8.1-P1. Я вижу одинаковое проблемное поведение на обоих ведомых. Я создал Master и Slave2 и унаследовал Slave1 от предыдущего администратора.

Вот проблема: если я выполняю NSLOOKUP из системы в одной из наших размещенных IP-подсетей для office365.com., Я получаю успешное разрешение. Если я пытаюсь разрешить outlook.office365.com., Я получаю следующую ошибку:

*** UnKnown не может найти outlook.office365.com .: неизвестная ошибка

Я могу успешно разрешите через NSLOOKUP оба этих URL-адреса из системы на VLAN-сервере и с консоли обоих подчиненных серверов. Об этой проблеме мне сообщил клиент, который заявил, что видел эту проблему на нескольких URL-адресах, но outlook.office365.com - единственный, который он мог вспомнить. Я пробовал несколько других URL, и все они успешно разрешены. Я могу повторить проблему только с одним этим URL. (Надеюсь, клиент вспомнит еще немного.)

Я настроил query.log, основываясь на статье, которую нашел на этом сайте, и вижу, что запрос приходит независимо от того, где он возник.

Пример:
клиент MYIPADDRESS # 1067: query: outlook.office365.com IN A + (BINDSERVERIPADDRESS)

Если я изменю свой DNS-сервер на 8.8.8.8 или 4.2 .2.2 разрешается правильно; добавление обоих в качестве серверов пересылки на мои серверы Bind не решает проблему. Я проверил свой системный журнал, но не вижу записей относительно этого запроса, которые могли бы предложить подсказки. Я также пытался разрешить рекурсию из "любого", но та же проблема. Я также рассмотрел наш набор правил брандмауэра и не вижу ничего, что могло бы объяснить это. Кажется, что если бы проблема была в access-list, то DNS-запросы не работали бы. У кого-нибудь есть идеи? Есть ли способ записать причину сбоя запроса?