En plus de pas être fait pour c'est inefficace car tu peux facilement récupérer l'IP autrement pour accéder au site malgré tout.
Je connais pas spécialement le fonctionnement du serveur DNS windows de l'AD mais un DNS ça fonctionne par zone.
Je suppose que par défaut ton serveur DNS de l'AD aura la zone correspondant à *.mon.ad.fr et va forwarder le reste au dns internet qui a été configuré.
Ton serveur AD ne connaissant que la zone DNS de ton AD, forcément si tu ajoutes une entrée du genre "hardware.fr" dedans ça va rajouter le suffixe de la zone de ton domaine.
Il y a deux possibilités:
- soit tu crées une zone par domaine que tu souhaites bloquer: ça risque d'être assez lourd
- soit tu agis sur les "forward zones" (ou équivalent windows) pour ne pas forwarder les requêtes dns de certains domaines à ton DNS internet.