Com zonas integradas ao AD, não há conceito de zonas "primárias" ou "secundárias"; uma zona integrada é replicada para todos os DCs no domínio (*), e todos eles são autoritativos para ela e podem modificá-la, seja por intervenção do administrador ou por atualizações dinâmicas de computadores de domínio; sempre que a zona é modificada, o processo de replicação do AD cuida da sincronização das alterações entre todos os DCs envolvidos.
Isso, é claro, implica que todos os DCs que também são servidores DNS obtenham um registro SOA para zonas integradas ao AD; e isso está perfeitamente bem, já que todos eles são servidores DNS autoritativos para essa zona.
E, de fato, é considerada a melhor prática para usar zonas DNS integradas ao AD, fazer com que todos os seus servidores DNS DC (ou a maioria deles) repliquem zonas para todos eles e ter todos os computadores de domínio usam dois ou mais deles como seus servidores DNS. O DNS é crítico para a operação adequada do AD, então esse é um serviço que você definitivamente não deseja falhar.
(*) Esse é o comportamento usual, mas pode ser alterado dependendo do escopo de replicação da zona.