С удивлением обнаружил, что на некоторых подотчётных мне ISA серверах неправильно настроены DNS записи.
Оказывается, коллеги-админы считают, что коли сервер одним сетевым интерфейсом смотрит в Интернет, то на нём(интерфейсе) необходимо прописывать внешние DNS сервера.

Но этого делать нельзя, если ISA/TMG сервера является членом домена, т.к. в этом случае начинаются проблемы с разрешением доменных DNS имён.

В общем случае, необходимо прописывать только внутренние DNS сервера на внутреннем интерфейсе, а на внешнем вообще их не указывать.
При этом на доменных DNS серверах обязательно должны быть настроены пересылки на внешние DNS сервера.

Подробнее можно прочитать на Technet и в статьях Томаса Шиндера «The Definitive Guide to ISA Firewall Outbound DNS Scenarios».