วิธีตรวจสอบ Domain Health บน Windows Server 2025 แบบละเอียด

Domain Health คือการตรวจสอบว่า Active Directory ขององค์กรยังทำงานปกติหรือไม่ เพราะหลายครั้งระบบ AD มีปัญหา “แบบเงียบๆ” โดยผู้ดูแลยังไม่รู้ตัว เช่น:

• Replication Error
• DNS Error
• SYSVOL ไม่ Sync
• Authentication ช้า
• Group Policy พัง

หากปล่อยไว้นาน อาจทำให้:

• User Login ไม่ได้
• GPO ไม่ทำงาน
• NAS/VPN ใช้งานไม่ได้
• Domain Controller พังทั้งระบบ

ดังนั้นองค์กรที่ใช้ Windows Server 2025 ควรตรวจสอบ Domain Health เป็นประจำ ซึ่งเป็นแนวทางที่ทีม comsiam ใช้กับระบบจริงทุกองค์กร

บทความนี้จะสอนการตรวจสอบสุขภาพ Domain แบบละเอียด พร้อมเครื่องมือสำคัญที่ Admin ควรรู้

---

① Domain Health คืออะไร

คือการตรวจสอบว่า:

• AD ปกติไหม
• DNS ปกติไหม
• Replication ปกติไหม
• SYSVOL ปกติไหม

ทั้งหมดทำงานสมบูรณ์หรือไม่

---

② ทำไมต้องตรวจ Domain Health

เพราะปัญหา AD หลายอย่าง:
ไม่ได้แสดงทันที

แต่จะค่อยๆ สะสมจนระบบพัง

---

③ สิ่งที่ต้องตรวจหลักๆ

มี 5 ส่วนสำคัญ:

• DNS
• Replication
• SYSVOL
• Authentication
• FSMO

---

④ เครื่องมือสำคัญที่ใช้ตรวจ

นิยม:

• dcdiag
• repadmin
• nslookup
• Event Viewer

---

⑤ วิธีใช้ dcdiag

เปิด CMD แบบ Admin

ใช้:

dcdiag

จะตรวจ:

• DNS
• Replication
• SYSVOL
• NetLogon

---

⑥ วิธีใช้ dcdiag แบบละเอียด

ใช้:

dcdiag /v

จะแสดงข้อมูลละเอียดมากขึ้น

---

⑦ วิธีตรวจ DNS Health

ใช้:

dcdiag /test:dns

สำคัญมาก

เพราะ AD พึ่ง DNS ตลอดเวลา

---

⑧ วิธีตรวจ Replication

ใช้:

repadmin /replsummary

หากขึ้น:

• Fails
• Error

แปลว่ามีปัญหา Replication

---

⑨ วิธีดู Replication รายละเอียด

ใช้:

repadmin /showrepl

จะเห็น:

• Source DC
• Destination DC
• Error ต่างๆ

---

⑩ วิธีตรวจ SYSVOL

ใช้:

net share

ควรเห็น:

SYSVOL
NETLOGON

---

⑪ SYSVOL สำคัญยังไง

SYSVOL ใช้เก็บ:

• GPO
• Login Script
• Policy

หาก SYSVOL เสีย:
GPO อาจไม่ทำงาน

---

⑫ วิธีตรวจ DNS Record

ใช้:

nslookup company.local

และ:

nslookup dc01.company.local

---

⑬ วิธีตรวจ FSMO Roles

ใช้:

netdom query fsmo

ตรวจว่า:
FSMO ยังอยู่ครบ

---

⑭ FSMO สำคัญยังไง

FSMO คือ Role สำคัญของ AD เช่น:

• Schema Master
• RID Master
• PDC Emulator

หากหาย:
บางระบบอาจทำงานไม่ได้

---

⑮ วิธีตรวจ Time Sync

Kerberos ไวต่อเวลา

ใช้:

w32tm /query /status

---

⑯ วิธีตรวจ Domain Controller ทั้งหมด

ใช้:

netdom query dc

---

⑰ วิธีตรวจ Authentication

ที่ Client ใช้:

echo %logonserver%

ดูว่า:
Login ผ่าน DC ตัวไหน

---

⑱ วิธีตรวจ Event Viewer

เปิด:

Event Viewer

ดู:

• Directory Service
• DNS Server
• DFS Replication
• System

---

⑲ Event ที่ควรระวัง

เช่น:

• Replication Failed
• DNS Error
• Kerberos Error
• SYSVOL Error

---

⑳ วิธีตรวจ DFS Replication

ใช้:

dfsrdiag replicationstate

---

㉑ วิธีตรวจว่า GPO ยังทำงานไหม

ที่ Client ใช้:

gpresult /r

---

㉒ วิธีตรวจ Secure Channel

ใช้:

nltest /sc_verify:company.local

---

㉓ วิธีตรวจ LDAP

ใช้:

ldp.exe

ทดสอบ:

• LDAP
• LDAPS

---

㉔ ปัญหาที่พบบ่อย

Replication Error

สาเหตุ:
DNS ผิด

---

SYSVOL ไม่ Sync

สาเหตุ:
DFS Replication Error

---

Login ช้า

สาเหตุ:
DC หา DNS ไม่เจอ

---

㉕ แนวทางตรวจสุขภาพ Domain ที่ดี

แนะนำ:

• ตรวจทุกสัปดาห์
• Monitor Event
• มี 2 DC ขึ้นไป
• Backup System State

หลายองค์กรไม่เคยตรวจ AD เลยจนวันหนึ่ง Login ไม่ได้ทั้งบริษัท ซึ่งทีม comsiam เจอบ่อยมาก

---

㉖ สิ่งที่ไม่ควรทำ

ไม่ควร:

• ใช้ DNS ภายนอก
• มี DC ตัวเดียว
• Ignore Replication Error
• ปล่อย SYSVOL Error ทิ้งไว้

---

㉗ เครื่องมือที่ Admin ควรจำ

สำคัญมาก:

dcdiag
repadmin
gpresult
nslookup
netdom

ควรใช้คล่องทั้งหมด

---

㉘ แนวทางองค์กรจริง

องค์กรส่วนใหญ่มัก:

• ตรวจ Health ทุกสัปดาห์
• มี Monitoring
• มี Secondary DC
• Backup AD สม่ำเสมอ

ซึ่งเป็นแนวทางที่ทีม comsiam ใช้จริงเช่นกัน

---

㉙ สรุป

การตรวจสอบ Domain Health บน Windows Server 2025 เป็นงานสำคัญที่ช่วยป้องกันปัญหาใหญ่ของ Active Directory ก่อนระบบล่มจริง

ข้อดี:

• ลด Downtime
• ลด Login Problem
• ลด Replication Error
• ป้องกัน AD พังทั้งระบบ

โดยเฉพาะองค์กรที่ใช้ AD จริง การตรวจสุขภาพ Domain เป็นประจำถือเป็น Best Practice สำคัญของ Enterprise IT