Межсетевой экран Cisco ASA блокирует запросы к внутреннему DNS-серверу

У меня есть DNS-сервер за межсетевым экраном Cisco ASA. Межсетевой экран Cisco выполняет NAT. Находясь внутри сети, я могу выполнить NSLOOKUP прямо на сервере. Когда клиент внешний, время ожидания запросов истекло.

Предполагая, что внутренний IP-адрес DNS-сервера - 10.0.0.10, а общедоступный IP-адрес - 1.2.3.4:

Мои соответствующие конфиги:

object network NS1_SERVVE_COM_dns
 host 10.0.0.10

access-list outside_in extended permit tcp any object NS1_SERVVE_COM_dns eq domain 

object network NS1_SERVVE_COM_dns
 nat (inside,outside) static 1.2.3.4 service tcp domain domain 

Также я ввел следующее, чтобы позволить Active Directory разрешать имена в Интернете:

policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 8192
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 

Я пытался изменить TCP на UDP, но результат тот же. Есть предположения?

firewall # ввод трассировщика пакетов вне домена tcp 4.2.2.1 1.2.3.4 domai $

Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network NS1_SERVVE_COM_dns
 nat (inside,outside) static 1.2.3.4 service tcp domain domain 
Additional Information:
NAT divert to egress interface inside
Untranslate 1.2.3.4/53 to 10.0.0.10/53

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group outside_in in interface outside
access-list outside_in extended permit tcp any object NS1_SERVVE_COM_dns eq domain 
Additional Information:

Phase: 3
Type: NAT
Subtype: per-session
Result: ALLOW
Config:       
Additional Information:

Phase: 4
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
object network NS1_SERVVE_COM_dns
 nat (inside,outside) static 1.2.3.4 service tcp domain domain 
Additional Information:

Phase: 6
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:

Phase: 7
Type: IP-OPTIONS
Subtype: 
Result: ALLOW
Config:
Additional Information:

Phase: 8
Type: FLOW-CREATION
Subtype: 
Result: ALLOW
Config:
Additional Information:
New flow created with id 7845414, packet dispatched to next module

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow