Contact
Line : comsiam
การ Transfer FSMO Roles คือการย้าย Role สำคัญของ Active Directory จาก Domain Controller เครื่องหนึ่งไปยังอีกเครื่องหนึ่ง ซึ่งเป็นงานสำคัญมากในระบบองค์กร โดยเฉพาะตอน:
- เปลี่ยน Server ใหม่
- อัปเกรด Domain Controller
- ย้ายระบบ VM
- ปรับโครงสร้าง AD
- เตรียมถอด DC เก่า
หากย้าย FSMO ผิด หรือไม่ย้ายก่อน Demote Server อาจทำให้:
- Login มีปัญหา
- สร้าง User ไม่ได้
- Replication Error
- Domain เสียหาย
บทความนี้จะสอนวิธี Transfer FSMO Roles บน Windows Server 2025 แบบละเอียด ทั้ง GUI, PowerShell และ Best Practice สำหรับองค์กรจริง ซึ่งเป็นสิ่งที่ทีม comsiam ใช้ในงาน Migration ระบบ Active Directory อยู่เป็นประจำ
① FSMO Roles ที่สามารถ Transfer ได้มีอะไรบ้าง
มีทั้งหมด 5 Roles
Schema Master
Domain Naming Master
RID Master
PDC Emulator
Infrastructure Master② ทำไมต้อง Transfer FSMO Roles
ใช้ในกรณี:
- เปลี่ยน DC ใหม่
- Upgrade Hardware
- ย้าย VM
- DC เก่าจะปิดใช้งาน
- Load Balance
หากไม่ย้าย:
Role จะติดอยู่กับ DC เดิม
③ สิ่งที่ต้องตรวจสอบก่อน Transfer FSMO
ต้องมี:
- Domain Controller ใหม่ Online
- Replication ปกติ
- DNS ปกติ
- ไม่มี Error ใน dcdiag
ตรวจสอบด้วย:
dcdiagและ:
repadmin /replsummary④ วิธีดูว่า FSMO Roles อยู่ที่ไหน
เปิด CMD:
netdom query fsmoตัวอย่างผลลัพธ์:
Schema master DC01
Domain naming master DC01
PDC DC01
RID pool manager DC01
Infrastructure master DC01⑤ วิธี Transfer RID, PDC และ Infrastructure ผ่าน GUI
เปิด:
Active Directory Users and Computersคลิกขวา Domain
เลือก:
Operations Mastersจะมี 3 Tabs:
- RID
- PDC
- Infrastructure
กด:
Changeเพื่อย้าย Role
⑥ วิธี Transfer Domain Naming Master
เปิด:
Active Directory Domains and Trustsคลิกขวา:
Active Directory Domains and Trustsเลือก:
Operations Masterกด Change
⑦ วิธี Transfer Schema Master
ก่อนอื่น Register DLL:
regsvr32 schmmgmt.dllเปิด MMC → Add Snap-in
เพิ่ม:
Active Directory Schemaคลิกขวา:
Active Directory Schemaเลือก:
Operations Masterกด Change
⑧ วิธี Transfer FSMO ด้วย PowerShell
เปิด PowerShell:
Move-ADDirectoryServerOperationMasterRole -Identity DC02 -OperationMasterRole 0,1,2,3,4เลข Role:
0 = PDC
1 = RID
2 = Infrastructure
3 = Schema
4 = Domain Naming⑨ วิธี Transfer เฉพาะบาง Role
ตัวอย่าง:
Move-ADDirectoryServerOperationMasterRole -Identity DC02 -OperationMasterRole PDCEmulator⑩ วิธีตรวจสอบหลัง Transfer
ตรวจสอบอีกครั้ง:
netdom query fsmoRole ควรย้ายไป DC ใหม่แล้ว
⑪ วิธีตรวจสอบ Replication หลังย้าย FSMO
ใช้:
repadmin /replsummaryและ:
dcdiagหากไม่มี Error:
ถือว่าสมบูรณ์
⑫ ควรย้าย FSMO Roles ไป DC ไหน
แนะนำ:
- DC เสถียรที่สุด
- CPU/RAM ดี
- Network ดี
- Backup สม่ำเสมอ
โดยเฉพาะ:
PDC Emulator
ควรอยู่บน DC หลัก
⑬ Role ไหนสำคัญที่สุดตอน Transfer
สำคัญสุด:
- PDC Emulator
- RID Master
เพราะเกี่ยวกับ:
- Login
- Password
- สร้าง User
⑭ สิ่งที่ต้องทำก่อน Demote DC เก่า
ก่อน Demote:
ต้อง Transfer FSMO ออกก่อน
หากไม่ทำ:
Role อาจหาย
และอาจต้องใช้:
Seize FSMO
ซึ่งอันตรายกว่า
⑮ Transfer กับ Seize ต่างกันอย่างไร
Transfer
ย้ายแบบปกติ
DC เดิมยัง Online
Seize
ยึด Role
ใช้เมื่อ DC เดิมเสียถาวร
ควรใช้เฉพาะกรณีฉุกเฉิน
⑯ ปัญหาที่พบบ่อยตอน Transfer FSMO
Access Denied
สาเหตุ:
ไม่มีสิทธิ์ Enterprise Admin
Replication Error
สาเหตุ:
DC Sync ไม่ครบ
RPC Server Unavailable
สาเหตุ:
Firewall หรือ DNS ผิด
⑰ แนวทางวาง FSMO สำหรับองค์กร
องค์กรเล็ก:
วางทุก Role บน DC เดียวได้
องค์กรใหญ่:
แยก:
- PDC
- RID
- Schema
เพื่อความเสถียร
หลายองค์กรปัจจุบันใช้ VM + HA ร่วมกัน ซึ่งทีม comsiam ก็ใช้แนวทางนี้ในระบบองค์กรเช่นกัน
⑱ สิ่งที่ไม่ควรทำ
ไม่ควร:
- Transfer ตอน Replication พัง
- Shutdown FSMO DC ทันทีหลังย้าย
- ย้ายโดยไม่ตรวจสอบ Health
- ลืม Backup ก่อนย้าย
⑲ แนวทางตรวจสอบสุขภาพ AD ก่อนและหลังย้าย
ควรเช็ค:
- DNS
- SYSVOL
- Replication
- Time Sync
- Event Viewer
ทุกครั้งก่อนย้าย FSMO
⑳ สรุป
การ Transfer FSMO Roles บน Windows Server 2025 เป็นขั้นตอนสำคัญของการดูแล Active Directory โดยเฉพาะตอนเปลี่ยน Domain Controller หรืออัปเกรดระบบ
หากทำอย่างถูกต้อง:
จะช่วยให้ระบบ AD เสถียร และลดปัญหาระยะยาวได้มาก
โดยเฉพาะ:
PDC Emulator และ RID Master
ถือเป็น Role สำคัญที่ต้องดูแลอย่างใกล้ชิด
