Допустим есть DNS-сервер на Windows Server 2019 в котором создана основная зона "mycooldomain.ru", а ещё в настройках сервера прописаны корневые ссылки, то есть сервер выполняет роль master-сервера для зоны "mycooldomain.ru", а также кэширующего сервера.
Где прописать права так, чтобы к master-серверу были возможны запросы чтения отовсюду, а к кэширующему серверу только из подсети 192.168.0.0/16 ?

Где прописать права так, чтобы к master-серверу были возможны запросы чтения отовсюду, а к кэширующему серверу только из подсети 192.168.0.0/16 ? »

Не уверен, что такие настройки есть в Windows в контексте DNS сервера.
Но можно настроить или Windows фаервол или роутер или свич к которому подключён сервер.

Windows фаервол позволяет просто разрешить или запретить соединения на 53 порту либо службу DNS, но не позволит разделять запросы к разным зонам. Возможно на вкладке "безопасность" свойств зоны это делается, но я не совсем понимаю, что там должно быть выставлено.
Сейчас пытаюсь со стороннего компьютера при помощи PowerShell-командлета Resolve-DnsName получить значение SRV-зоны на сервере и получаю ошибку.

Windows фаервол позволяет просто разрешить или запретить соединения на 53 порту либо службу DNS, но не позволит разделять запросы к разным зонам. »

Не верно. Вкладка "Область" в любом правиле фаервола как раз и отвечает за это.