วิธีแก้ DNS Error ใน Active Directory บน Windows Server 2025 แบบละเอียด

DNS คือหัวใจของ Active Directory เพราะระบบ AD แทบทุกอย่างพึ่ง DNS ไม่ว่าจะเป็น:

• Login
• Replication
• Group Policy
• Kerberos
• SYSVOL
• LDAP
• Domain Join

หาก DNS มีปัญหา แม้เพียงเล็กน้อย อาจทำให้:

• User Login ไม่ได้
• GPO ไม่ทำงาน
• Replication Fail
• NAS/VPN ใช้งานไม่ได้
• Domain Controller หาไม่เจอ

กว่า 70% ของปัญหา Active Directory จริงในองค์กร มาจาก DNS ผิด ซึ่งทีม comsiam เจอปัญหานี้บ่อยที่สุดในงาน Windows Server

บทความนี้จะสอนการตรวจสอบและแก้ DNS Error บน Windows Server 2025 แบบละเอียด พร้อมแนวทางป้องกันสำหรับองค์กรจริง

---

① ทำไม DNS สำคัญกับ Active Directory

AD ใช้ DNS เพื่อ:

• หา Domain Controller
• หา LDAP
• หา Kerberos
• หา Global Catalog

หาก DNS ผิด:
AD แทบทั้งหมดจะมีปัญหา

---

② อาการที่บ่งบอกว่า DNS มีปัญหา

เช่น:

• Login ช้า
• Join Domain ไม่ได้
• GPO ไม่ Apply
• Replication Error
• หา DC ไม่เจอ

---

③ วิธีตรวจ DNS เบื้องต้น

ใช้ CMD:

nslookup company.local

หากหาไม่เจอ:
DNS มีปัญหา

---

④ วิธีตรวจ DNS Server ที่เครื่องใช้อยู่

ใช้:

ipconfig /all

ตรวจว่า:
DNS ชี้ไป Domain Controller หรือไม่

---

⑤ สิ่งที่ “ห้ามทำ”

ห้ามตั้ง DNS เป็น:

• 8.8.8.8
• 1.1.1.1
• Router

บน Domain Controller และ Client ใน Domain

---

⑥ DNS ที่ถูกต้องควรเป็นแบบไหน

ตัวอย่าง:

DC01

Preferred DNS → ตัวเอง
Alternate DNS → DC02

Client

DNS → Domain Controller

---

⑦ วิธีตรวจ DNS Health

ใช้:

dcdiag /test:dns

สำคัญมาก

---

⑧ วิธีดู DNS Zone

เปิด:

dnsmgmt.msc

ดู:

• Forward Lookup Zone
• Reverse Lookup Zone

---

⑨ วิธีตรวจ SRV Record

ไปที่:

_msdcs
_tcp
_udp

หากหาย:
Client อาจหา DC ไม่เจอ

---

⑩ วิธี Force Register DNS ใหม่

ใช้:

ipconfig /registerdns

---

⑪ วิธี Restart Netlogon

ใช้:

net stop netlogon
net start netlogon

ช่วยสร้าง SRV Record ใหม่

---

⑫ วิธี Flush DNS Cache

ใช้:

ipconfig /flushdns

---

⑬ วิธีตรวจว่า DC หาเจอไหม

ใช้:

nltest /dsgetdc:company.local

---

⑭ วิธีตรวจ Replication

ใช้:

repadmin /replsummary

DNS ผิดมักทำให้ Replication Fail

---

⑮ วิธีตรวจว่า Client Login ผ่าน DC ตัวไหน

ใช้:

echo %logonserver%

---

⑯ วิธีตรวจ Event Viewer

เปิด:

Event Viewer

ดู:

• DNS Server
• System
• Directory Service

---

⑰ Event DNS ที่พบบ่อย

เช่น:

• 4013
• 4000
• 4007

เกี่ยวกับ DNS Startup และ AD

---

⑱ วิธีตรวจ Forwarder DNS

เปิด DNS Manager

ดู:

Forwarders

นิยมใช้:

• 8.8.8.8
• 1.1.1.1

เฉพาะออก Internet

---

⑲ วิธีตรวจ Reverse Lookup Zone

ควรมี Reverse Zone

ช่วย:

• ลด Error
• แก้ปัญหาบาง Application

---

⑳ วิธีตรวจว่า DNS Replicate ปกติไหม

หากมีหลาย DC:
ตรวจว่า Zone Replicate ครบ

ใช้:

repadmin /showrepl

---

㉑ วิธีแก้ DNS หลังย้าย DC

หากเปลี่ยน DC:
ต้องตรวจ:

• Client DNS
• DHCP Option
• SRV Record

ทั้งหมด

---

㉒ วิธีตรวจ DHCP Option DNS

หากใช้ DHCP

ตรวจ:

Option 006

ต้องชี้:
Domain Controller

---

㉓ วิธีตรวจว่า DNS Service ทำงานไหม

ใช้:

sc query dns

ควรขึ้น:

RUNNING

---

㉔ ปัญหาที่พบบ่อย

Login ช้า

สาเหตุ:
DNS ชี้ผิด

---

Join Domain ไม่ได้

สาเหตุ:
หา SRV Record ไม่เจอ

---

GPO ไม่ทำงาน

สาเหตุ:
หา SYSVOL ไม่เจอ

---

㉕ แนวทาง DNS ที่ดีสำหรับองค์กร

แนะนำ:

• ใช้ DNS ภายใน
• มีอย่างน้อย 2 DC
• ตรวจ SRV Record
• ตรวจ DNS Health ทุกสัปดาห์

หลายองค์กรตั้ง DNS ไป Router แล้วทั้งระบบ AD พัง ซึ่งทีม comsiam เจอบ่อยมาก

---

㉖ สิ่งที่ไม่ควรทำ

ไม่ควร:

• ใช้ DNS ภายนอก
• ลบ _msdcs
• ปิด Dynamic Update
• Ignore DNS Error

---

㉗ DNS กับ Active Directory แยกกันได้ไหม

ได้

แต่:
Microsoft แนะนำให้ใช้ AD-Integrated DNS

เพราะ:

• Replicate ง่าย
• ปลอดภัยกว่า
• เสถียรกว่า

---

㉘ แนวทางองค์กรจริง

องค์กรส่วนใหญ่มัก:

• ใช้ AD Integrated DNS
• มี DNS หลายตัว
• ใช้ Forwarders
• Monitor DNS ตลอด

ซึ่งเป็นแนวทางที่ทีม comsiam ใช้จริงเช่นกัน

---

㉙ สรุป

DNS คือหัวใจของ Active Directory บน Windows Server 2025 เพราะเกี่ยวข้องกับทุกระบบใน Domain

หาก DNS ผิด:

• Login อาจล้มเหลว
• Replication อาจพัง
• GPO อาจไม่ทำงาน

ดังนั้นการตรวจ DNS อย่างสม่ำเสมอถือเป็น Best Practice สำคัญที่สุดอย่างหนึ่งของระบบ Enterprise IT