对于AD域控制器，DNS服务器的顺序应该是什么？为什么？

这是有关Active Directory DNS设置的规范问题。

有关：

• 什么是Active Directory域服务，它如何工作？

假设有多个域控制器的环境（假设它们都同时运行DNS）：

• 在每个域控制器的网络适配器中应按什么顺序列出DNS服务器？
• 是否应将127.0.0.1用作每个域控制器的主要DNS服务器？
• 如果有的话，什么版本受到影响以及如何影响？

根据此链接和Windows Server 2008 R2最佳实践分析器，回送地址应在列表中，但绝不作为主DNS服务器。在某些情况下（例如拓扑更改），就复制而言，这可能会中断复制并导致服务器“在孤岛上”。

假设您有两个服务器：DC01（10.1.1.1）和DC02（10.1.1.2），它们都是同一个域中的域控制器，并且都保存该域的ADI区域的副本。它们应配置如下：

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1

来自http://technet.microsoft.com/zh-cn/library/ff807362%28v=ws.10%29.aspx

如果回送IP地址是DNS服务器列表中的第一项，则Active Directory可能找不到其复制伙伴。

在DNS服务器列表中包含其自己的IP地址可以提高性能并提高DNS服务器的可用性。但是，如果DNS服务器也是域控制器，并且仅指向自身，或者首先指向自身以进行名称解析，则这可能会导致启动过程中出现延迟。因此，如果服务器也是域控制器，则在适配器上配置环回地址时要格外小心。环回地址应仅配置为域控制器上的辅助或第三级DNS服务器。

我也想分享Windows Server 2008 R2 Unleashed一书中的这个片段：

但是，即使您从未受到“孤岛”问题的影响，但如果DC 使用另一个已经启动并运行的DC作为其主要DNS解析器，它的重新启动仍然会更快且错误更少。

永远不要将DC本身用作主DNS。

如果AD服务在重新启动后启用DNS服务之前就已经联机，则可能会发生各种破坏（墨菲指出：将会发生）。（或者DNS崩溃，被DOS破坏。）
在DHCP（具有动态DNS更新）和DNS之间也存在交互，这在很大程度上取决于DNS是否正常工作。

始终最后放置127.0.0.1。另外：也不要试图使用服务器的真实LAN ip地址。
DHCP的动态DNS更新对此非常敏感。
（127.0.0.1始终存在并且可以更快地访问。真实的ip地址可能并不总是可用/忙碌。在某些情况下，如果同时存在大量同时进行的DHCP请求，则动态DNS更新实际上可以DOS LAN适配器。使用低于标准的NIC /驱动程序。）