Contact
Line : comsiam
การมี Domain Controller แค่ตัวเดียวถือว่าเสี่ยงมากสำหรับองค์กร เพราะหาก Server ตัวนั้น:
- พัง
- ดับ
- ติด Ransomware
- Storage เสีย
- Windows พัง
ทั้งระบบ Active Directory อาจใช้งานไม่ได้ทันที
ดังนั้นองค์กรส่วนใหญ่จึงต้องมี Secondary Domain Controller หรือ Additional Domain Controller เพื่อทำ Redundancy และ Replication ข้อมูลระหว่าง Domain Controller หลายตัว
บน Windows Server 2025 สามารถเพิ่ม Secondary Domain Controller ได้ง่ายมาก และเป็น Best Practice สำคัญที่ทีม comsiam แนะนำสำหรับทุกองค์กรที่ใช้ Active Directory จริง
บทความนี้จะสอนการเพิ่ม Secondary Domain Controller แบบละเอียด พร้อมแนวทางใช้งานจริงในองค์กร
① Secondary Domain Controller คืออะไร
คือ Domain Controller ตัวที่ 2
ทำหน้าที่:
- สำรอง AD
- สำรอง DNS
- Replicate ข้อมูล
- รองรับ Authentication
② ทำไมองค์กรต้องมี Secondary DC
หากมี DC ตัวเดียว:
เมื่อ Server พัง
ทั้งระบบอาจ Login ไม่ได้
แต่หากมี Secondary DC:
ระบบยังทำงานต่อได้
③ Secondary DC กับ Additional DC ต่างกันไหม
จริงๆ คือแนวคิดเดียวกัน
Microsoft ใช้คำว่า:
Additional Domain Controllerแต่หลายคนเรียก:
Secondary DC
④ สิ่งที่ต้องมี ก่อนเพิ่ม Secondary DC
ต้องมี:
- ติดตั้ง Active Directory แล้ว
- มี Domain Controller ตัวหลัก
- DNS ทำงานปกติ
- Server ใหม่ใช้ Static IP
⑤ ตัวอย่างระบบ
DC01 → 192.168.1.10
DC02 → 192.168.1.11
Domain → company.local⑥ วิธีตั้ง DNS บน Server ใหม่
สำคัญมาก
Server ใหม่ต้องใช้ DNS เป็น:
192.168.1.10คือ Primary Domain Controller
ห้ามใช้:
- 8.8.8.8
- Router DNS
⑦ วิธี Join Server เข้า Domain
เปิด:
System Propertiesเลือก:
Domainใส่:
company.localจากนั้น Restart
⑧ วิธีเปิด Add Roles and Features
เปิด:
Server Manager
> Add Roles and Features⑨ วิธีติดตั้ง Active Directory Domain Services
ติ๊ก:
Active Directory Domain Servicesกด:
Add Features⑩ วิธี Promote เป็น Domain Controller
หลังติดตั้งเสร็จ
กดธงสีเหลือง
เลือก:
Promote this server to a domain controller⑪ วิธีเลือก Deployment Operation
เลือก:
Add a domain controller to an existing domain⑫ วิธีใส่ชื่อ Domain
ตัวอย่าง:
company.local⑬ วิธีใส่ Credential
ใช้ Account ที่มีสิทธิ์ เช่น:
Domain Admin⑭ วิธีเลือก Additional Options
สามารถเลือก:
- DNS Server
- Global Catalog
แนะนำ:
เปิดทั้งคู่
⑮ วิธีตั้ง DSRM Password
ตั้ง Password สำหรับ:
Directory Services Restore Modeสำคัญมาก:
ต้องจำให้ได้
⑯ วิธีเลือก Replication Source
เลือก:
Any domain controllerหรือเลือก DC หลัก
⑰ วิธีตรวจสอบ Path ของ Database
ค่า Default ใช้ได้:
NTDS
SYSVOL
Logsองค์กรใหญ่บางแห่งแยก Disk
⑱ วิธีเริ่ม Install DC
กด:
InstallServer จะ Restart อัตโนมัติ
⑲ วิธีตรวจสอบว่าเป็น DC แล้วหรือยัง
ใช้ CMD:
dcdiagหากไม่มี Error:
ถือว่าใช้ได้
⑳ วิธีตรวจสอบ Replication
ใช้:
repadmin /replsummaryควรขึ้น Success
㉑ วิธีตรวจสอบ DNS Replication
เปิด:
dnsmgmt.mscดูว่า Zone ถูก Replicate แล้วหรือไม่
㉒ วิธีตรวจสอบ SYSVOL
ใช้:
net shareควรเห็น:
SYSVOL
NETLOGON㉓ วิธีตรวจสอบว่า Client ใช้ DC ตัวไหน
ที่ Client ใช้:
echo %logonserver%㉔ วิธีตั้ง DNS หลังมี Secondary DC
แนะนำ:
DC01
Preferred DNS → ตัวเอง
Alternate DNS → DC02
DC02
Preferred DNS → ตัวเอง
Alternate DNS → DC01
㉕ วิธีตรวจสอบสุขภาพ Domain
ใช้:
dcdiag /v㉖ ปัญหาที่พบบ่อย
Replication Error
สาเหตุ:
DNS ผิด
SYSVOL ไม่ Sync
สาเหตุ:
DFS Replication Error
Promote DC ไม่ได้
สาเหตุ:
เวลาไม่ตรง
DNS ผิด
㉗ วิธีตรวจสอบ Event Log
เปิด:
Event Viewerดู:
- Directory Service
- DFS Replication
- DNS Server
㉘ แนวทาง Secondary DC ที่ดี
แนะนำ:
- ใช้คนละ Host
- ใช้คนละ Storage
- เปิด DNS ทั้งคู่
- Backup ทั้งสองเครื่อง
หลายองค์กรมี DC สองตัวแต่เก็บไว้ Host เดียวกัน ซึ่งทีม comsiam มักไม่แนะนำ เพราะหาก Host พัง ทั้งคู่จะล่มพร้อมกัน
㉙ สิ่งที่ไม่ควรทำ
ไม่ควร:
- มี DC ตัวเดียว
- ใช้ DNS ภายนอก
- ปิด Replication
- Snapshot DC แบบมั่วๆ
㉚ Secondary DC สำคัญแค่ไหน
สำคัญมาก
องค์กรจริงแทบทุกแห่งควรมีอย่างน้อย:
- 2 DC
เพื่อลด Downtime และเพิ่มความเสถียรของระบบ AD
㉛ สรุป
การเพิ่ม Secondary Domain Controller บน Windows Server 2025 เป็น Best Practice สำคัญสำหรับทุกองค์กรที่ใช้ Active Directory
ข้อดี:
- ลด Downtime
- สำรอง Authentication
- สำรอง DNS
- เพิ่มความเสถียรของระบบ
โดยเฉพาะองค์กรที่มี User จำนวนมาก การมีอย่างน้อย 2 Domain Controller ถือเป็นมาตรฐานพื้นฐานของระบบ Enterprise IT
