Contact
Line : comsiam
การ Demote Domain Controller คือการถอด Server ออกจากการเป็น Domain Controller ของ Active Directory ซึ่งเป็นงานสำคัญมากในองค์กร เพราะหากทำผิด อาจทำให้:
- Active Directory พัง
- DNS พัง
- Replication Error
- User Login ไม่ได้
- SYSVOL เสีย
ดังนั้นก่อน Demote ต้องวางแผนให้ดี โดยเฉพาะในระบบ Windows Server 2025 ที่ใช้งานจริงในองค์กร
องค์กรจำนวนมากรวมถึงแนวทางที่ทีม comsiam ใช้ มัก Demote DC เมื่อต้อง:
- เปลี่ยนเครื่องใหม่
- ย้ายระบบ
- ลดจำนวน DC
- แก้ปัญหา AD
- Upgrade Infrastructure
บทความนี้จะสอนการ Demote Domain Controller แบบละเอียด พร้อม Best Practice สำหรับองค์กรจริง
① Demote Domain Controller คืออะไร
คือการ:
ถอด Role Domain Controller ออกจาก Server
หลัง Demote:
Server จะกลับเป็น Member Server ปกติ
② เมื่อไหร่ควร Demote DC
ตัวอย่าง:
- เปลี่ยน Server ใหม่
- ย้าย Domain Controller
- ลดจำนวน DC
- DC ตัวเก่าจะปิดใช้งาน
③ สิ่งสำคัญก่อน Demote
ต้องตรวจสอบว่า:
- มี DC ตัวอื่นอยู่แล้ว
- Replication ปกติ
- DNS ปกติ
- FSMO Roles ไม่อยู่บนเครื่องนี้
สำคัญมาก
④ วิธีตรวจสอบ Domain Controller ทั้งหมด
ใช้ CMD:
netdom query dc⑤ วิธีตรวจสอบ Replication
ใช้:
repadmin /replsummaryหากมี Error:
ยังไม่ควร Demote
⑥ วิธีตรวจสอบ FSMO Roles
ใช้:
netdom query fsmoหาก FSMO อยู่บนเครื่องนี้:
ต้องย้ายก่อน
⑦ วิธีตรวจสอบ DNS
เปิด:
dnsmgmt.mscตรวจว่า:
มี DNS Server ตัวอื่นรองรับแล้ว
⑧ วิธีเปิด Server Manager
เปิด:
Server Manager⑨ วิธีเริ่ม Demote Domain Controller
ไปที่:
Manage
> Remove Roles and Features⑩ วิธีเอา Active Directory Domain Services ออก
เอาติ๊กออก:
Active Directory Domain Services⑪ วิธีเปิด Demote Wizard
ระบบจะขึ้น:
Demote this domain controllerกดเข้าไป
⑫ วิธีเลือก Demotion Options
หากเป็น DC ธรรมดา:
ใช้ค่า Default ได้
แต่หากเป็น Last DC:
ต้องระวังมาก
⑬ วิธีใส่ Local Administrator Password
หลัง Demote:
Server จะกลายเป็น Member Server
ต้องตั้ง Password ของ Local Admin ใหม่
⑭ วิธีตรวจสอบ DNS Delegation
ส่วนใหญ่:
กด Continue ได้
หากไม่มี DNS Delegation
⑮ วิธี Review ก่อน Demote
ตรวจสอบ:
- Role
- DNS
- Global Catalog
- FSMO
ให้ครบก่อนกด
⑯ วิธีเริ่ม Demote
กด:
DemoteServer จะ Restart อัตโนมัติ
⑰ วิธีตรวจสอบหลัง Demote
หลัง Restart
ใช้:
whoamiและตรวจว่า:
Server ไม่ใช่ DC แล้ว
⑱ วิธีตรวจสอบใน AD
เปิด:
Active Directory Users and Computersดูว่า:
Computer Object ยังอยู่หรือไม่
⑲ วิธีตรวจสอบ DNS Record
เปิด:
dnsmgmt.mscลบ Record เก่าหากจำเป็น
⑳ วิธีตรวจสอบ Sites and Services
เปิด:
dssite.mscตรวจว่า:
DC เก่าหายจาก Site แล้ว
㉑ วิธี Cleanup Metadata หาก Demote ไม่สำเร็จ
ใช้:
ntdsutilสำหรับ Cleanup DC ที่เสีย
ใช้เฉพาะกรณีจำเป็น
㉒ วิธีลบ DNS Record เก่า
ลบ:
- A Record
- SRV Record
- NS Record
ของ DC เดิม
㉓ วิธีตรวจสอบ Replication หลัง Demote
ใช้:
repadmin /replsummaryควรไม่มี Error
㉔ ปัญหาที่พบบ่อย
Demote ไม่ได้
สาเหตุ:
FSMO ยังอยู่
Replication Error
สาเหตุ:
DNS ผิด
User Login ไม่ได้
สาเหตุ:
DNS ยังชี้ DC เก่า
㉕ วิธีตรวจสอบ Client DNS
ที่ Client ใช้:
ipconfig /allตรวจว่า:
DNS ชี้ DC ใหม่แล้ว
㉖ แนวทาง Demote DC ที่ดี
แนะนำ:
- มีอย่างน้อย 2 DC
- Backup ก่อน
- ตรวจ FSMO
- ตรวจ Replication
หลายองค์กรรีบปิด DC โดยไม่ Demote ให้ถูกต้อง ซึ่งทีม comsiam มักเจอปัญหา Metadata ค้างตามมา
㉗ สิ่งที่ไม่ควรทำ
ไม่ควร:
- Shutdown DC ทิ้งเฉยๆ
- ลบ VM ทันที
- Demote โดยไม่ตรวจ FSMO
- ใช้ DNS ภายนอก
㉘ Demote กับ Remove Server ต่างกันยังไง
Demote
ถอด Role DC ออก
Remove Server
ลบ Server ออกจากระบบ
ต้อง Demote ก่อนเสมอ
㉙ แนวทางองค์กรจริง
องค์กรส่วนใหญ่มัก:
- เพิ่ม DC ใหม่ก่อน
- Replicate ให้ครบ
- ย้าย FSMO
- ค่อย Demote DC เก่า
ซึ่งเป็นแนวทางที่ทีม comsiam ใช้จริงเช่นกัน
㉚ สรุป
การ Demote Domain Controller บน Windows Server 2025 เป็นขั้นตอนสำคัญในการจัดการ Active Directory อย่างถูกต้องและปลอดภัย
ข้อดี:
- ลดปัญหา AD เสีย
- ลด Replication Error
- ลด DNS ปัญหา
- ช่วย Migration ระบบได้ปลอดภัย
โดยเฉพาะองค์กรที่มีหลาย Domain Controller การ Demote อย่างถูกต้องถือเป็น Best Practice สำคัญของระบบ Enterprise IT
