แก้ Domain Trust Error บน Windows Server 2022 แบบละเอียด
Domain Trust เป็นกลไกสำคัญของ Active Directory ที่ช่วยให้ User, Computer และ Service สามารถสื่อสารและตรวจสอบสิทธิ์ข้าม Domain ได้
เมื่อ Domain Trust เกิดปัญหา ผู้ใช้งานอาจ Login ไม่ได้, เข้าถึง Shared Folder ไม่ได้ หรือไม่สามารถใช้งานทรัพยากรที่อยู่ใน Domain อื่นได้
บทความนี้จะอธิบายวิธีวิเคราะห์และแก้ Domain Trust Error บน Windows Server 2022 แบบละเอียด พร้อมแนวทางที่ผู้ดูแลระบบใช้งานจริง
📌 Domain Trust คืออะไร
Domain Trust คือความสัมพันธ์ด้านความเชื่อถือระหว่าง Domain
ตัวอย่าง
company.local
↕
branch.local
ผู้ใช้งานจาก Domain หนึ่งสามารถเข้าถึงทรัพยากรของอีก Domain ได้ตามสิทธิ์ที่กำหนด
🎯 Domain Trust ใช้ในกรณีใด
นิยมใช้ในองค์กรที่มี
หลาย Domain
หลายบริษัทในเครือ
Child Domain
Multi-Forest Environment
ตัวอย่าง
company.local
│
├─ bangkok.company.local
├─ khonkaen.company.local
└─ chiangmai.company.local
⚠️ อาการของ Domain Trust Error
เมื่อ Trust มีปัญหา
อาจพบอาการ
❌ Login ไม่ได้
❌ Access Denied
❌ Trust Relationship Failed
❌ Shared Folder เข้าไม่ได้
❌ Application Authentication Error
❌ Cross-Domain Login ล้มเหลว
หลายเคสที่ทีมงาน comsiam แก้ไข พบว่าปัญหา Trust มักเกิดจาก DNS และ Time Synchronization
🔍 Error ที่พบบ่อยที่สุด
ตัวอย่าง
The trust relationship between
this workstation and the primary domain failed
หรือ
Trust relationship failed
📋 สาเหตุที่พบบ่อย
① DNS ผิดพลาด
② เวลาเครื่องไม่ตรงกัน
③ Secure Channel เสีย
④ Computer Account เสียหาย
⑤ Domain Controller ติดต่อกันไม่ได้
⑥ Replication มีปัญหา
🚀 ตรวจสอบ DNS ก่อนเสมอ
รัน
ipconfig /all
ตรวจสอบ
DNS Servers
ควรชี้ไปยัง Domain Controller
ตัวอย่าง
192.168.1.10
192.168.1.11
🔍 ทดสอบ DNS Resolution
รัน
nslookup company.local
และ
nslookup dc01.company.local
หาก Resolve ไม่ได้
Trust จะทำงานไม่ได้
⏰ ตรวจสอบเวลาเครื่อง
Kerberos ต้องใช้เวลาที่ตรงกัน
รัน
w32tm /query /status
เวลาของทุก Domain Controller ควรต่างกันไม่เกิน 5 นาที
🔒 ตรวจสอบ Secure Channel
บนเครื่อง Client
รัน
Test-ComputerSecureChannel
ผลลัพธ์
True
ถือว่าปกติ
⚠️ หากผลลัพธ์เป็น False
รัน
Test-ComputerSecureChannel -Repair
เพื่อซ่อม Secure Channel
🔄 รีเซ็ต Trust Relationship
เปิด PowerShell
รัน
Reset-ComputerMachinePassword
จากนั้น Restart เครื่อง
🖥️ ตรวจสอบ Domain Controller
รัน
nltest /dclist:company.local
ตัวอย่าง
DC01
DC02
ต้องมองเห็น Domain Controller ทั้งหมด
🌐 ตรวจสอบ Domain Trust
รัน
nltest /domain_trusts
จะแสดงรายการ Trust ทั้งหมด
🔍 ตรวจสอบ Trust ผ่าน GUI
เปิด
Active Directory Domains and Trusts
คลิกขวา Domain
เลือก
Properties
จากนั้นเลือก
Trusts
⚙️ Verify Trust
เลือก Trust
กด
Validate
Windows จะตรวจสอบ Trust ให้ทันที
🔄 Repair Trust
หากพบ Error
สามารถ
Remove Trust
แล้วสร้างใหม่
ได้
🚀 ตรวจสอบ Replication
รัน
repadmin /replsummary
หาก Replication มีปัญหา
Trust อาจเสียตามมา
📂 ตรวจสอบ Event Viewer
เปิด
Event Viewer
ดู
System
และ
Directory Service
⚠️ Event ที่พบบ่อย
Kerberos
Event ID 4
Trust
Event ID 5722
Secure Channel
Event ID 3210
🛠️ กรณีเครื่อง Client Trust เสีย
วิธีที่เร็วที่สุด
① Remove จาก Domain
② Restart
③ Join Domain ใหม่
④ Restart อีกครั้ง
ปัญหาส่วนใหญ่จะหายทันที
📋 Checklist การแก้ Domain Trust Error
① DNS ถูกต้อง
② เวลาเครื่องตรงกัน
③ Domain Controller Online
④ Secure Channel ปกติ
⑤ Replication ปกติ
⑥ Event Viewer ไม่มี Error
⑦ Trust Validate ผ่าน
📈 Best Practices สำหรับ Domain Trust
① ใช้ DNS ภายในเท่านั้น
② ตรวจสอบ Time Sync สม่ำเสมอ
③ ตรวจสอบ Replication ทุกสัปดาห์
④ มี Domain Controller มากกว่า 1 เครื่อง
⑤ ตรวจสอบ Event Viewer เป็นประจำ
⑥ Backup Active Directory ทุกวัน
หลายองค์กรที่ comsiam ดูแล มีการตรวจสอบ Trust Health รายสัปดาห์ โดยเฉพาะระบบที่มีหลาย Domain หรือหลาย Forest เพื่อป้องกันปัญหาการ Authentication ที่อาจส่งผลกระทบต่อทั้งองค์กร
🎯 สรุป
Domain Trust Error บน Windows Server 2022 มักเกี่ยวข้องกับ DNS, Kerberos, Secure Channel และ Active Directory Replication
การตรวจสอบด้วย NLTEST, PowerShell, Active Directory Domains and Trusts และ Event Viewer จะช่วยให้ผู้ดูแลระบบสามารถค้นหาสาเหตุและแก้ไขปัญหาได้อย่างรวดเร็ว ก่อนที่จะส่งผลกระทบต่อการ Login และการเข้าถึงทรัพยากรภายในองค์กร