Contact
Line : comsiam
Domain Health คือการตรวจสอบว่า Active Directory ขององค์กรยังทำงานปกติหรือไม่ เพราะหลายครั้งระบบ AD มีปัญหา “แบบเงียบๆ” โดยผู้ดูแลยังไม่รู้ตัว เช่น:
- Replication Error
- DNS Error
- SYSVOL ไม่ Sync
- Authentication ช้า
- Group Policy พัง
หากปล่อยไว้นาน อาจทำให้:
- User Login ไม่ได้
- GPO ไม่ทำงาน
- NAS/VPN ใช้งานไม่ได้
- Domain Controller พังทั้งระบบ
ดังนั้นองค์กรที่ใช้ Windows Server 2025 ควรตรวจสอบ Domain Health เป็นประจำ ซึ่งเป็นแนวทางที่ทีม comsiam ใช้กับระบบจริงทุกองค์กร
บทความนี้จะสอนการตรวจสอบสุขภาพ Domain แบบละเอียด พร้อมเครื่องมือสำคัญที่ Admin ควรรู้
① Domain Health คืออะไร
คือการตรวจสอบว่า:
- AD ปกติไหม
- DNS ปกติไหม
- Replication ปกติไหม
- SYSVOL ปกติไหม
ทั้งหมดทำงานสมบูรณ์หรือไม่
② ทำไมต้องตรวจ Domain Health
เพราะปัญหา AD หลายอย่าง:
ไม่ได้แสดงทันที
แต่จะค่อยๆ สะสมจนระบบพัง
③ สิ่งที่ต้องตรวจหลักๆ
มี 5 ส่วนสำคัญ:
- DNS
- Replication
- SYSVOL
- Authentication
- FSMO
④ เครื่องมือสำคัญที่ใช้ตรวจ
นิยม:
- dcdiag
- repadmin
- nslookup
- Event Viewer
⑤ วิธีใช้ dcdiag
เปิด CMD แบบ Admin
ใช้:
dcdiagจะตรวจ:
- DNS
- Replication
- SYSVOL
- NetLogon
⑥ วิธีใช้ dcdiag แบบละเอียด
ใช้:
dcdiag /vจะแสดงข้อมูลละเอียดมากขึ้น
⑦ วิธีตรวจ DNS Health
ใช้:
dcdiag /test:dnsสำคัญมาก
เพราะ AD พึ่ง DNS ตลอดเวลา
⑧ วิธีตรวจ Replication
ใช้:
repadmin /replsummaryหากขึ้น:
- Fails
- Error
แปลว่ามีปัญหา Replication
⑨ วิธีดู Replication รายละเอียด
ใช้:
repadmin /showreplจะเห็น:
- Source DC
- Destination DC
- Error ต่างๆ
⑩ วิธีตรวจ SYSVOL
ใช้:
net shareควรเห็น:
SYSVOL
NETLOGON⑪ SYSVOL สำคัญยังไง
SYSVOL ใช้เก็บ:
- GPO
- Login Script
- Policy
หาก SYSVOL เสีย:
GPO อาจไม่ทำงาน
⑫ วิธีตรวจ DNS Record
ใช้:
nslookup company.localและ:
nslookup dc01.company.local⑬ วิธีตรวจ FSMO Roles
ใช้:
netdom query fsmoตรวจว่า:
FSMO ยังอยู่ครบ
⑭ FSMO สำคัญยังไง
FSMO คือ Role สำคัญของ AD เช่น:
- Schema Master
- RID Master
- PDC Emulator
หากหาย:
บางระบบอาจทำงานไม่ได้
⑮ วิธีตรวจ Time Sync
Kerberos ไวต่อเวลา
ใช้:
w32tm /query /status⑯ วิธีตรวจ Domain Controller ทั้งหมด
ใช้:
netdom query dc⑰ วิธีตรวจ Authentication
ที่ Client ใช้:
echo %logonserver%ดูว่า:
Login ผ่าน DC ตัวไหน
⑱ วิธีตรวจ Event Viewer
เปิด:
Event Viewerดู:
- Directory Service
- DNS Server
- DFS Replication
- System
⑲ Event ที่ควรระวัง
เช่น:
- Replication Failed
- DNS Error
- Kerberos Error
- SYSVOL Error
⑳ วิธีตรวจ DFS Replication
ใช้:
dfsrdiag replicationstate㉑ วิธีตรวจว่า GPO ยังทำงานไหม
ที่ Client ใช้:
gpresult /r㉒ วิธีตรวจ Secure Channel
ใช้:
nltest /sc_verify:company.local㉓ วิธีตรวจ LDAP
ใช้:
ldp.exeทดสอบ:
- LDAP
- LDAPS
㉔ ปัญหาที่พบบ่อย
Replication Error
สาเหตุ:
DNS ผิด
SYSVOL ไม่ Sync
สาเหตุ:
DFS Replication Error
Login ช้า
สาเหตุ:
DC หา DNS ไม่เจอ
㉕ แนวทางตรวจสุขภาพ Domain ที่ดี
แนะนำ:
- ตรวจทุกสัปดาห์
- Monitor Event
- มี 2 DC ขึ้นไป
- Backup System State
หลายองค์กรไม่เคยตรวจ AD เลยจนวันหนึ่ง Login ไม่ได้ทั้งบริษัท ซึ่งทีม comsiam เจอบ่อยมาก
㉖ สิ่งที่ไม่ควรทำ
ไม่ควร:
- ใช้ DNS ภายนอก
- มี DC ตัวเดียว
- Ignore Replication Error
- ปล่อย SYSVOL Error ทิ้งไว้
㉗ เครื่องมือที่ Admin ควรจำ
สำคัญมาก:
dcdiag
repadmin
gpresult
nslookup
netdomควรใช้คล่องทั้งหมด
㉘ แนวทางองค์กรจริง
องค์กรส่วนใหญ่มัก:
- ตรวจ Health ทุกสัปดาห์
- มี Monitoring
- มี Secondary DC
- Backup AD สม่ำเสมอ
ซึ่งเป็นแนวทางที่ทีม comsiam ใช้จริงเช่นกัน
㉙ สรุป
การตรวจสอบ Domain Health บน Windows Server 2025 เป็นงานสำคัญที่ช่วยป้องกันปัญหาใหญ่ของ Active Directory ก่อนระบบล่มจริง
ข้อดี:
- ลด Downtime
- ลด Login Problem
- ลด Replication Error
- ป้องกัน AD พังทั้งระบบ
โดยเฉพาะองค์กรที่ใช้ AD จริง การตรวจสุขภาพ Domain เป็นประจำถือเป็น Best Practice สำคัญของ Enterprise IT
