วิธีแก้ AD Replication Error บน Windows Server 2025 แบบละเอียด

AD Replication Error คือหนึ่งในปัญหาที่อันตรายที่สุดของ Active Directory เพราะเมื่อ Domain Controller Sync กันไม่ได้ ข้อมูลในระบบจะเริ่มไม่ตรงกัน เช่น:

• Password ใหม่ใช้ไม่ได้
• User บางเครื่อง Login ไม่ได้
• GPO ไม่อัปเดต
• DNS เพี้ยน
• SYSVOL มีปัญหา

หลายองค์กรปล่อย Replication Error ทิ้งไว้หลายวันหรือหลายเดือน จนสุดท้ายระบบ AD เสียหายทั้ง Forest ดังนั้นบทความนี้จะสอนวิธีวิเคราะห์และแก้ AD Replication Error บน Windows Server 2025 แบบละเอียด ซึ่งเป็นแนวทางที่ทีม comsiam ใช้ในการแก้ปัญหาระบบองค์กรจริง

---

① AD Replication Error คืออะไร

คือปัญหาที่ Domain Controller ไม่สามารถ Sync ข้อมูลกันได้

ผลกระทบ:

• ข้อมูลไม่ตรงกัน
• Login มีปัญหา
• GPO ไม่ทำงาน
• DNS เสีย
• ระบบเริ่มไม่เสถียร

---

② อาการที่บ่งบอกว่า Replication มีปัญหา

อาการที่พบบ่อย:

• Password ใหม่ใช้ไม่ได้บางเครื่อง
• User หายบาง DC
• Group Policy ไม่อัปเดต
• Login ช้า
• Event Error จำนวนมาก

---

③ วิธีตรวจสอบ Replication Error เบื้องต้น

เปิด CMD:

repadmin /replsummary

หากมี:

Fails
Errors
Largest Delta

แปลว่าเริ่มมีปัญหา

---

④ วิธีดูรายละเอียด Error

ใช้:

repadmin /showrepl

จะเห็น:

• DC ที่ Error
• Replication Partner
• Error Code
• เวลา Fail

---

⑤ วิธีตรวจสอบสุขภาพ AD

ใช้:

dcdiag

หรือ:

dcdiag /test:replications

คำสั่งนี้สำคัญมาก

---

⑥ Error ที่พบบ่อยที่สุด

RPC Server Unavailable

ข้อความ:

1722 The RPC server is unavailable

สาเหตุ:

• Firewall
• Network
• DNS

---

⑦ วิธีแก้ RPC Server Unavailable

ตรวจสอบ:

• Ping หากันได้
• Firewall เปิด
• Port RPC ไม่ Block
• DNS ถูกต้อง

ทดสอบ:

ping dc02

และ:

nslookup dc02.company.local

---

⑧ Error DNS ผิดพลาด

ข้อความ:

DNS Lookup Failure

สาเหตุหลัก:
DC ใช้ DNS ผิด

---

⑨ วิธีแก้ DNS Replication Error

ที่ DC ทุกตัว:
DNS ต้องชี้หา:

• ตัวเอง
• หรือ DC ตัวอื่นใน Domain

ห้ามใช้:

• 8.8.8.8
• Router
• ISP DNS

ตัวอย่าง:

Preferred DNS: DC01
Alternate DNS: DC02

---

⑩ วิธีตรวจสอบ SYSVOL

เปิด CMD:

net share

ต้องมี:

SYSVOL
NETLOGON

หากไม่มี:
SYSVOL Replication มีปัญหา

---

⑪ วิธี Restart DFS Replication

เปิด CMD:

net stop dfsr
net start dfsr

จากนั้น Force Replication ใหม่

---

⑫ วิธี Force AD Replication

ใช้:

repadmin /syncall /AdeP

ช่วยบังคับ Sync ทุก DC

---

⑬ วิธีตรวจสอบ Time Sync

Kerberos ใช้เวลาเป็นหลัก

หากเวลาเพี้ยน:
Replication จะ Fail

ตรวจสอบ:

w32tm /query /status

---

⑭ วิธี Sync เวลาใหม่

ใช้:

w32tm /resync

---

⑮ วิธีตรวจสอบ Event Viewer

เปิด:

Event Viewer
> Directory Service

ดู:

• Error
• Warning
• Event ID

Event สำคัญ:

• 1311
• 1865
• 2042

---

⑯ วิธีแก้ USN Rollback

ปัญหานี้อันตรายมาก

มักเกิดจาก:

• Restore VM Snapshot
• Clone DC ผิดวิธี

อาการ:
Replication Fail ทั้งระบบ

วิธีแก้:

• Demote DC
• Rebuild ใหม่

---

⑰ วิธีตรวจสอบ Secure Channel

ใช้:

nltest /sc_verify:company.local

หาก Fail:
Machine Trust อาจเสีย

---

⑱ วิธีแก้ Lingering Objects

ใช้:

repadmin /removelingeringobjects

ใช้เมื่อ:
Object ค้างจาก DC เก่า

---

⑲ วิธีตรวจสอบ FSMO Role

หาก FSMO มีปัญหา:
Replication อาจ Fail

ตรวจสอบ:

netdom query fsmo

---

⑳ แนวทางป้องกัน AD Replication Error

แนะนำ:

• ใช้ DNS ถูกต้อง
• Backup สม่ำเสมอ
• ไม่ใช้ Snapshot แบบสุ่ม
• ตรวจ repadmin ทุกวัน
• ใช้ Time Sync

หลายองค์กรปล่อย Replication Error ไว้จน AD เสียทั้ง Forest ซึ่งทีม comsiam มักแนะนำให้ตรวจสุขภาพ AD เป็น Routine เสมอ

---

㉑ สิ่งที่ไม่ควรทำ

ไม่ควร:

• ปิด DC นานเกินไป
• Restore Snapshot DC
• ใช้ DNS ภายนอก
• Ignore Event Error

---

㉒ คำสั่งสำคัญที่ควรรู้

repadmin /replsummary
repadmin /showrepl
dcdiag
dcdiag /test:replications
repadmin /syncall

Admin ทุกคนควรจำได้

---

㉓ สรุป

AD Replication Error เป็นปัญหาที่สำคัญมากใน Active Directory เพราะหากปล่อยไว้นาน อาจทำให้ทั้งระบบองค์กรมีปัญหา

สาเหตุหลักส่วนใหญ่คือ:

• DNS
• Time Sync
• Firewall
• Snapshot VM

หากตรวจสอบ Replication สม่ำเสมอ:
จะช่วยป้องกันปัญหาใหญ่ของระบบ AD ได้มาก