Подмена DNS для другого домена в DMZ

Я настраиваю DMZ, отключенную от нашей корпоративной локальной сети. Я переместил службы DNS для хостов DMZ в DMZ с урезанным набором информации о зоне, содержащей только то, что хосты DMZ должны знать. Некоторые соединения должны возвращаться в локальную сеть из DMZ. Я знаю, что это не идеально, но это все еще улучшение по сравнению с инфраструктурой сейчас (в основном, люди запускают сервисы со своих компьютеров).

В любом случае мне нужно подключиться к серверу LDAP в локальной сети, из DMZ, через порт 636. У меня есть соединения, работающие с IP-адресом, однако сервер LDAP находится в другом филиале, через VPN, и администратор использует DNS циклического перебора, поэтому IP не всегда согласован.

В настоящее время существует 6 IP-адресов, связанных со службой LDAP (ldap.office.org). Я мог бы просто добавить эти 6 IP-адресов в файл /etc/hosts на каждом хосте DMZ, но я бы предпочел иметь их в DNS, но они не находятся в том же домене, для которого мой DNS является авторитетным (хосты в DMZ находятся в "foo")..dmz"домен, где LDAP является"ldap.office.org")

Как я могу заставить свой сервер BIND обслуживать 6 IP-адресов для ldap.office.org вместо перенаправления DNS-запроса на корневые серверы Интернета?