Как оказалось, это - дефект в Windows XP. Порядок компоновки сети устанавливается неправильно так, чтобы запросы DNS всегда делались на физических интерфейсах. Существует хорошее обходное решение для этой проблемы по isaserver.org: Как работать вокруг проблемы с клиентами VPN и разделить DNS
При понятия не имении, на что похожа установка VPN, потому что Вы не упоминаете это с Cisco VPN через ASA, у Вас есть опция вызвать DNS путем включения (или прочь) раздельного туннелирования. Раздельное туннелирование на средствах, что у любого, кто соединяется с Вашим vpn, также есть доступ к локальной сети (Интернет, и т.д.). Раздельное туннелирование прочь означает, что ВСЕ запросы DNS проходят Ваш корпоративный туннель и поэтому поражают Ваши корпоративные серверы DNS.