วิธี Restore Active Directory บน Windows Server 2025 แบบละเอียด

การ Restore Active Directory เป็นขั้นตอนสำคัญมากเมื่อ Domain Controller เกิดปัญหา เช่น Server พัง, ฐานข้อมูล AD เสีย, โดน Ransomware หรือเผลอลบ Object สำคัญในระบบ

หลายองค์กรมี Backup แต่ไม่เคยทดสอบ Restore จริง จนเมื่อเกิดเหตุการณ์จริงกลับกู้ระบบไม่ได้ ดังนั้นการเข้าใจวิธี Restore บน Windows Server 2025 ถือเป็นทักษะสำคัญของ System Admin ทุกคน ซึ่งทีม comsiam เองก็ให้ความสำคัญกับการทดสอบ Recovery มากพอๆ กับการ Backup

บทความนี้จะสอน Restore Active Directory แบบละเอียด ทั้ง GUI, PowerShell และ Best Practice สำหรับองค์กรจริง

---

① Restore Active Directory คืออะไร

คือการกู้คืน:

• User
• Group
• Computer
• GPO
• DNS
• SYSVOL
• NTDS Database

กลับมาจาก Backup

---

② กรณีที่ต้อง Restore AD

ตัวอย่าง:

• Domain Controller พัง
• HDD เสีย
• VM เสีย
• NTDS Database พัง
• โดน Malware
• ลบ OU ผิด
• SYSVOL เสีย

---

③ ประเภทของการ Restore AD

หลักๆ มี 2 แบบ

Non-Authoritative Restore

ดึงข้อมูลจาก Replication ของ DC ตัวอื่น

เหมาะสำหรับ:

• มีหลาย DC

---

Authoritative Restore

บังคับให้ข้อมูลที่ Restore กลายเป็นข้อมูลหลัก

เหมาะสำหรับ:

• เผลอลบ OU
• ลบ User
• ลบ Group

---

④ สิ่งที่ต้องมี ก่อน Restore

ต้องมี:

• Backup ของ System State
• สิทธิ์ Admin
• Password DSRM

สำคัญมาก:
หากไม่มี Backup
จะ Restore ไม่ได้

---

⑤ วิธีเข้า Directory Services Restore Mode (DSRM)

Restart Server

ระหว่าง Boot:
เข้า Advanced Startup

เลือก:

Directory Services Restore Mode

จากนั้น Login ด้วย:

• Local Administrator
• DSRM Password

---

⑥ วิธีเปิด Windows Server Backup

เปิด:

Windows Server Backup

เลือก:

Local Backup

---

⑦ วิธีเริ่ม Restore System State

เลือก:

Recover

เลือก:

• Backup Location
• วันที่ Backup

---

⑧ วิธีเลือก Recovery Type

เลือก:

System State

นี่คือส่วนสำคัญของ Active Directory

---

⑨ วิธี Restore Active Directory

กด:

Recover

ระบบจะ:

• Restore NTDS
• Restore SYSVOL
• Restore Registry
• Restore DNS

ใช้เวลาตามขนาดระบบ

---

⑩ วิธี Restart หลัง Restore

หลัง Restore เสร็จ

Restart Server

จากนั้น:
AD จะเริ่มทำงานอีกครั้ง

---

⑪ วิธีตรวจสอบว่า Restore สำเร็จหรือไม่

เปิด:

Active Directory Users and Computers

ตรวจสอบ:

• User
• OU
• Group
• Computer

ว่าย้อนกลับมาหรือไม่

---

⑫ วิธีตรวจสอบสุขภาพ AD หลัง Restore

เปิด PowerShell:

dcdiag

ตรวจสอบ:

• DNS
• SYSVOL
• Replication
• Netlogon

---

⑬ วิธีตรวจสอบ Replication

ใช้คำสั่ง:

repadmin /replsummary

หากมีหลาย DC:
ควรตรวจสอบทุกเครื่อง

---

⑭ วิธีทำ Authoritative Restore

เปิด CMD ใน DSRM

ใช้:

ntdsutil

จากนั้น:

authoritative restore

ตัวอย่าง Restore OU:

restore subtree "OU=IT,DC=company,DC=local"

---

⑮ วิธี Restore User ที่ถูกลบ

หากเปิด AD Recycle Bin:
สามารถ Restore ได้ง่ายมาก

หากไม่ได้เปิด:
ต้องใช้ Authoritative Restore

---

⑯ วิธีเปิด Active Directory Recycle Bin

เปิด:

Active Directory Administrative Center

เลือก Domain

กด:

Enable Recycle Bin

แนะนำ:
ควรเปิดตั้งแต่แรก

---

⑰ ปัญหาที่พบบ่อยหลัง Restore

SYSVOL ไม่แชร์

สาเหตุ:
DFS Replication มีปัญหา

DNS Error

สาเหตุ:
DNS Database เสีย

Replication Error

สาเหตุ:
USN Mismatch

---

⑱ สิ่งที่ไม่ควรทำ

ไม่ควร:

• Restore Snapshot VM แบบสุ่ม
• Restore DC เก่ามาก
• ใช้ Backup ที่ไม่เคยทดสอบ
• Restore ขณะ Replication ยัง Error

เพราะอาจทำให้:
AD พังทั้ง Forest

---

⑲ แนวทาง Recovery ที่ดีสำหรับองค์กร

แนะนำ:

• มี DC อย่างน้อย 2 ตัว
• Backup รายวัน
• เปิด Recycle Bin
• ทดสอบ Restore ทุกเดือน
• แยก Backup Offline

หลายองค์กร Backup ไว้แต่ไม่เคยลอง Restore จริง จนวันเกิดเหตุใช้งานไม่ได้ ซึ่งทาง comsiam มักแนะนำให้ทำ Disaster Recovery Test เสมอ

---

⑳ สรุป

การ Restore Active Directory เป็นทักษะสำคัญมากของผู้ดูแลระบบ เพราะหากเกิดเหตุการณ์ฉุกเฉิน การกู้คืนระบบได้เร็วจะช่วยลด Downtime ของทั้งองค์กร

สิ่งสำคัญที่สุดคือ:

• Backup สม่ำเสมอ
• ทดสอบ Restore จริง
• มีหลาย Domain Controller

เพราะ Active Directory คือหัวใจของระบบองค์กรทั้งหมด