Windows Server 2008 R2 で DNS Server を利用する場合、DNSSEC がデフォルトで有効になっています。
そのため、環境によっては、フォワーダーが適切に機能しない場合もあります。
そのような環境では DNSSEC を利用できるよう、フォワーダー先の DNS および経路中にあるセキュリティ フィルター機器の設定を修正してください。
ただし、そのような行為が許されない場合、以下の設定を DNS Server へ行い、乗り切るという手段もあります。…あくまで最後の手段としてですよ。

dnscmd /config /enablednssec 0

コマンド実行後は、DNS Server の再起動を忘れずにどうぞ。

ITdesignのブログ:Windows Server 2008 R2 （RC） のDNSで。。。 - livedoor Blog（ブログ） や Dnscmd | Microsoft Docs あたりも参考にしてください。

ちなみに、DNSSEC によりフォワーダーが利用できない状況下では、nslookup コマンドによる外部名前解決が、Request timeout... となります。フォワーダーの設定に誤りがあるような挙動を示すので、トラブル シューティングの際は注意してください。