Вы не сможете надежно управлять настройками на клиентских машинах. Можно настроить шлюз для прерывания всего Порта 80/443 трафик для прохождения через прокси, но он походит на то, что Вы действительно хотите, система управления доступом к сети как PacketFence.
Yes that is normal. It is a good thing. It basically just means you got results from the cache instead of from the authoritative servers for a particular zone.
Everything should be fine. The only reason you get a notice about it within nslookup, is because nslookup is mostly used as a troubleshooting tool, and knowing you are getting cached data is often important to understanding why you got the result that you got.