ติดตั้ง Active Directory บน Windows Server 2025 — Step by Step
คู่มือติดตั้ง AD DS บน Windows Server 2025 แบบ end-to-end ทั้งผ่าน Server Manager GUI และ PowerShell พร้อม checklist หลัง promote DC
ทำไม AD DS ยังเป็นหัวใจของ identity ในยุค cloud#
ถึงหลายองค์กรจะย้าย workload ขึ้น cloud และหันไปใช้ Entra ID (ชื่อเดิม Azure AD) เป็น identity provider หลักแล้ว Active Directory Domain Services (AD DS) บน Windows Server ก็ยังเป็นแกนของ on-premises identity ในแทบทุกองค์กร เพราะระบบ legacy อย่าง file server, print server, ERP, MES และ application แบบ client/server ส่วนใหญ่ยังพึ่ง Kerberos กับ NTLM authentication รวมถึงการบังคับ policy ผ่าน Group Policy Object (GPO) ซึ่ง cloud-only identity ยังทำแทนได้ไม่ครบ
สำหรับองค์กรที่กำลังวางแผน hybrid identity การ deploy AD DS บน Windows Server 2025 เครื่องใหม่หรือเปลี่ยน hardware รอบใหม่ ถือเป็นจังหวะดีที่จะเคลียร์ค่า config ที่ไม่จำเป็น ยก forest functional level และวาง baseline ให้ sync ขึ้น Entra Connect ได้สะอาด บทความนี้สรุปขั้นตอนติดตั้ง AD DS แบบ step-by-step ทั้งผ่าน GUI และ PowerShell อ้างอิงเอกสารทางการของ Microsoft Learn
Prerequisites ที่ต้องจัดให้พร้อมก่อน promote DC#
ก่อนกด install อะไรลงไป ให้ไล่ checklist ต่อไปนี้ให้ครบ เพราะถ้าพลาดตรงนี้ แก้ทีหลังยากมาก โดยเฉพาะ forest name ที่แทบจะเปลี่ยนไม่ได้เลย:
- Static IP address — DC ต้องใช้ IP แบบ static เท่านั้น ห้ามรับจาก DHCP เด็ดขาด และต้องตั้ง DNS ของตัวเองชี้กลับ loopback (
127.0.0.1) หลัง promote เสร็จ - Server name — ตั้งชื่อให้ตรง naming convention ขององค์กร เช่น
DC01-BKKแล้วเปลี่ยนชื่อ ก่อน promote เพราะ rename DC หลังขึ้นแล้วยุ่งกว่ามาก - Time synchronization — sync เวลากับ NTP server ภายนอกที่เชื่อถือได้ เช่น
time.nist.govหรือ NTP ของกรมอุทกศาสตร์ เพราะ Kerberos ยอม time skew ได้ไม่เกิน 5 นาที - วางแผน forest/domain name — ห้ามใช้
.localหรือชื่อ TLD จริงที่ไม่ได้เป็นเจ้าของ ให้ใช้ sub-domain ของโดเมนที่บริษัทถือครองอยู่แล้ว เช่นcorp.example.co.thหรือad.example.co.th - สิทธิ์ที่ใช้ติดตั้ง — forest ใหม่ต้อง login เป็น local Administrator, child domain ต้องอยู่ใน Enterprise Admins ส่วน additional DC ต้องเป็น Domain Admins
- Disk layout — แยก volume สำหรับ NTDS database, log และ SYSVOL ออกจาก OS drive และ ห้ามใช้ ReFS เก็บไฟล์พวกนี้ตามที่ Microsoft เตือนไว้
ติดตั้ง AD DS ผ่าน Server Manager (GUI)#
วิธีนี้เหมาะกับ admin ที่ยังไม่คล่อง PowerShell หรืออยากเห็น wizard ครบทุก option ทีละหน้า:
- เปิด Server Manager เลือกเมนู Manage > Add Roles and Features
- หน้า Before you begin กด Next
- Select installation type เลือก Role-based or feature-based installation แล้วกด Next
- Select destination server เลือกชื่อ server ตัวที่จะ promote
- Select server roles ติ๊ก Active Directory Domain Services เมื่อ wizard ขึ้นกล่อง Add Features ให้กดยืนยัน
- ผ่านหน้า features และคำอธิบาย AD DS แล้วกด Install ที่หน้า Confirm installation selections
- เมื่อ role ติดตั้งเสร็จ ที่หน้า Results ให้คลิก Promote this server to a domain controller เพื่อเปิด AD DS Configuration Wizard
ต่อมาในส่วน Configuration Wizard:
- Deployment Configuration — เลือก Add a new forest ถ้าเป็น forest ใหม่ หรือ Add a domain controller to an existing domain ถ้าจะเพิ่ม DC ตัวที่ 2 ขึ้นไป แล้วใส่ root domain name เช่น
corp.example.co.th
- Domain Controller Options — เลือก functional level (แนะนำ Windows Server 2025 ทั้ง forest และ domain ถ้า DC ทุกตัวเป็นรุ่นนี้หมด) ติ๊ก DNS server กับ Global Catalog แล้วใส่ DSRM password สำหรับ boot เข้า Directory Services Restore Mode
- DNS Options — ถ้าเป็น forest แรก ข้าม delegation ได้
- Additional Options — เช็คหรือแก้ NetBIOS name (จำกัด 15 ตัวอักษร)
- Paths — กำหนด path ของ NTDS database, log files และ SYSVOL
- Review Options — กด View script เพื่อ export เป็น PowerShell script ไว้ใช้กับ DC ตัวต่อไป
- Prerequisites Check — รอ validate ผ่าน แล้วกด Install เครื่องจะ reboot ให้เอง
ติดตั้ง AD DS ผ่าน PowerShell#
สำหรับงาน production จริง PowerShell ดีกว่าเพราะ reproduce ได้และเอาไปยัดใน automation pipeline ได้ เริ่มด้วยการติดตั้ง role:
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
พารามิเตอร์ -IncludeManagementTools สำคัญมาก ถ้าไม่ใส่จะไม่ได้เครื่องมืออย่าง Active Directory Users and Computers หรือ dcdiag.exe ติดมาด้วย การลง role ขั้นนี้ยังไม่ต้อง reboot รอจนกว่าจะ promote เสร็จค่อย reboot ทีเดียว
สร้าง forest ใหม่#
ตัวอย่างสร้าง forest corp.example.co.th ที่ functional level เป็น Windows Server 2025 เต็มรูปแบบ พร้อมแยก path:
Install-ADDSForest `
-DomainName "corp.example.co.th" `
-DomainNetbiosName "CORP" `
-ForestMode Win2025 `
-DomainMode Win2025 `
-InstallDns `
-DatabasePath "D:\NTDS" `
-SysvolPath "D:\SYSVOL" `
-LogPath "E:\Logs" `
-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password" -AsSecureString)
พอรัน cmdlet นี้ DNS server role จะลงให้อัตโนมัติ และเครื่องจะ reboot เองหลัง promote จบ
เพิ่ม additional DC เข้า existing domain#
Install-ADDSDomainController `
-DomainName "corp.example.co.th" `
-Credential (Get-Credential CORP\Administrator) `
-InstallDns `
-SiteName "Bangkok-HQ" `
-DatabasePath "D:\NTDS" `
-SysvolPath "D:\SYSVOL" `
-LogPath "E:\Logs"
ทดสอบก่อนติดตั้งจริง#
install cmdlet ทุกตัวมี test cmdlet คู่กัน เช่น Test-ADDSForestInstallation กับ Test-ADDSDomainControllerInstallation ซึ่งรันแค่ prerequisite check โดยไม่ commit อะไรลงเครื่อง ควรเทสก่อนเสมอ:
Test-ADDSForestInstallation -DomainName "corp.example.co.th" -ForestMode Win2025
ระวังเรื่อง forest name และ FSMO role — forest name เปลี่ยนยากมาก คิดให้รอบคอบ อย่าตั้งเป็นโดเมนที่ไม่ได้เป็นเจ้าของจริง และเลี่ยง .local เพราะชนกับ mDNS ของ Apple/Linux ส่วนการย้าย FSMO role (Schema Master, Domain Naming Master, RID, PDC Emulator, Infrastructure Master) ระหว่าง DC ต้องวางแผน maintenance window ให้ดี และห้าม seize role ถ้า DC เดิมยังไม่ตายสนิท เพราะมีโอกาส schema พังจน restore ไม่กลับ
เทสใน lab และ snapshot ก่อนขึ้น production — ถ้ามี Hyper-V หรือ VMware ให้ deploy lab จำลอง forest ใหม่ก่อนเสมอ เทส replication, GPO และ Entra Connect sync ให้ครบ และก่อน promote DC ตัวจริง ให้ snapshot VM ไว้ก่อน ถ้าเซ็ตพลาดจะ rollback คืนได้ในไม่กี่นาที ไม่ต้องนั่ง reinstall OS ใหม่
สรุปและ post-install checklist#
หลัง DC ขึ้นและ reboot เสร็จ อย่าเพิ่งเปิด service ให้ user ใช้ทันที ไล่ตรวจรายการต่อไปนี้ก่อน:
- DNS — เช็คว่า zone forward และ reverse lookup ของโดเมนถูกสร้าง record
_msdcs,_sites,_tcp,_udpครบ และ DC ทุกตัวมี A record ถูกต้อง - Time sync — ตั้ง PDC Emulator ของ forest root domain ให้ sync กับ external NTP server แล้ว DC ตัวอื่นจะดึงเวลาจาก PDC เองอัตโนมัติ
- Replication health — รัน
dcdiag /vกับrepadmin /replsummaryยืนยันว่า replication ระหว่าง DC ปกติ ไม่มี error ค้าง - GPO baseline — import Microsoft Security Baseline ของ Windows Server 2025 เป็นจุดเริ่มต้น แล้วค่อยปรับ policy ตามหน้างาน
- Backup — ตั้ง system state backup ของ DC อย่างน้อย 1 ตัวเป็น daily และเทส restore เป็นระยะ
- Monitoring — เปิด log forwarding ของ Security log ไปที่ SIEM เพื่อจับเหตุการณ์ผิดปกติ เช่น failed logon, account lockout, privilege escalation
การติดตั้ง AD DS ไม่ใช่งานกด Next รัวๆ แล้วจบ แต่เป็นการวางรากฐานของระบบ identity ที่จะอยู่กับองค์กรไปอีกหลายปี ถ้าวางแผนชื่อ, FSMO, site topology และ security baseline ให้ดีตั้งแต่วันแรก ทีม IT จะไม่ต้องมานั่งแก้ปัญหาเรื้อรังในอนาคต
ภาพประกอบ: Microsoft Learn — Install AD DS on Windows Server (CC BY 4.0)