...เซฟด่วน! คัมภีร์ไล่เช็ก 12 ขั้นตอน เมื่อเครื่องคอมฯ Join Domain ไม่ได้ แก้ปัญหาได้จริงกว่า 90% ในองค์กร

สำหรับคนทำงานสายไอที หรือ System Admin ในองค์กร ปัญหาที่ชวนปวดหัวและเจอบ่อยเป็นอันดับต้นๆ คงหนีไม่พ้น "ปัญหา Join Computer เข้า Domain ไม่ได้" นั่งกดจนมือหงิกก็ขึ้น Error อยู่นั่นแหละ!

วันนี้เราเลยมัดรวมคัมภีร์และขั้นตอนการตรวจสอบ (Troubleshooting) อย่างเป็นระบบมาให้ไล่เช็กกันทีละจุด ซึ่งสาเหตุส่วนใหญ่จะหนีไม่พ้นเรื่องของ DNS, Network, AD Account หรือการซิงค์เวลา (Time Sync) มาดูกันว่าต้องแก้ตรงไหนบ้าง

🛠️ 12 จุดต้องเช็กเมื่อ Join Domain ไม่ได้

1. ตรวจสอบ Network Connectivity (สายแลน-ไวไฟ ติดไหม?)

เครื่อง Client ต้องติดต่อกับ Domain Controller (DC) ได้ก่อน โดยการเปิด Command Prompt แล้วทดสอบด้วยคำสั่ง: ping IP_DC (ตัวอย่าง: ping 192.168.1.10)

❌ หาก Ping ไม่เจอ: ให้กลับไปเช็กสาย LAN, Wi-Fi, VLAN, Routing และ Firewall ทันที

2. ตรวจสอบ DNS (จุดตายอันดับ 1 ที่คนพลาดเยอะสุด!)

กว่า 80% ของปัญหาเกิดจากจุดนี้ ให้ใช้คำสั่ง ipconfig /all เพื่อเช็กดูว่า DNS Server ชี้ไปที่ IP ของ Domain Controller หรือ DNS ภายในองค์กรแล้วหรือยัง?

⚠️ ข้อห้ามสำคัญ: DNS ต้องไม่ใช่ 8.8.8.8 หรือ 1.1.1.1 ของสาธารณะเด็ดขาด เพราะมันจะหา Active Directory ภายในไม่เจอ!

3. ทดสอบ Resolve ชื่อ Domain Controller

ใช้คำสั่งค้นหาชื่อโดเมนผ่าน DNS: nslookup domain.local หรือ nslookup dc01.domain.local

❌ ถ้าถอดรหัสชื่อ (Resolve) ออกมาเป็น IP ไม่ได้ แสดงว่า DNS มีปัญหาแน่นอน

4. ตรวจสอบเวลาเครื่อง (Time Sync)

ระบบ Active Directory ยอมให้เวลาของเครื่อง Client คลาดเคลื่อนจาก DC ได้ไม่เกิน 5 นาที หากเวลาไม่ตรงจะ Join ไม่ผ่าน ให้พิมพ์คำสั่งเช็กและซิงค์เวลาใหม่ดังนี้:

• เช็กเวลา: พิมพ์ time และ date

• ซิงค์เวลาใหม่: พิมพ์ w32tm /resync

5. ตรวจสอบชื่อ Domain (เช็กตัวสะกด)

พิมพ์ผิดชีวิตเปลี่ยน! บางทีตกไปตัวเดียว เช่น พิมพ์ copmany.local หรือ company.loca (ที่ถูกต้องคือ company.local) ตรวจดูให้ละเอียดทุกตัวอักษรครับ

6. ตรวจสอบบริการบน Domain Controller (ฝั่ง Server)

บางทีปัญหาไม่ได้อยู่ที่เครื่องเรา แต่อยู่ที่ฝั่ง Server ให้รีโมทเข้าไปเช็กผ่าน services.msc แล้วดูว่าบริการเหล่านี้ขึ้นสถานะ Running อยู่หรือไม่:

• Active Directory Domain Services / DNS Server / Netlogon / Kerberos

7. ตรวจสอบ Computer Account ค้างในระบบ

บางครั้งชื่อเครื่องนี้อาจเคย Join มาก่อนแล้วมี Object ค้างอยู่ใน AD ให้...เปิด Active Directory Users and Computers ขึ้นมาดูว่าชื่อเครื่องถูก Disable อยู่ หรืออยู่ใน OU ที่ผิดปกติไหม ถ้าเปิดลบออกแล้วลอง Join ใหม่ดูครับ

8. ตรวจสอบสิทธิ์ของ User (Permission)

Account ที่นำมาใช้กด Join Domain นั้น ได้รับสิทธิ์ Domain Admin หรือได้รับ Delegate สิทธิ์ในการนำเครื่องเข้าโดเมนแล้วหรือยัง

9. ตรวจสอบ Firewall (พอร์ตโดนบล็อกไหม?)

Firewall ขององค์กรอาจจะบล็อกพอร์ตสำคัญที่ AD ต้องใช้ ให้ลองทดสอบเปิดสิทธิ์พอร์ตเหล่านี้ (DNS: 53, Kerberos: 88, LDAP: 389, SMB: 445, RPC: 135) หรือทดสอบผ่าน PowerShell ด้วยคำสั่ง: Test-NetConnection DC_IP -Port 445

10. ตรวจสอบ Domain Discovery

ใช้เครื่องมือเจาะลึกเพื่อค้นหา DC ด้วยคำสั่ง: nltest /dsgetdc:domain.local

✅ ถ้าเจอจะขึ้นโชว์ชื่อเช่น DC: \\DC01 และ Address: \\192.168.1.10

11. ส่องดู Error ที่แท้จริงใน Event Viewer

หากยังหาสาเหตุไม่เจอ ให้เปิด Event Viewer เข้าไปที่ Windows Logs -> System หรือ Applications and Services Logs -> Directory Service เพื่ออ่าน Log ดู Error Code ตรงๆ เช่น DNS Error หรือ Kerberos Error

12. ลอง Join Domain ด้วย PowerShell

บางครั้งหน้าต่าง GUI ของ Windows ก็ไม่ยอมบอกอะไร ลองหันมาสั่งผ่าน PowerShell ด้วยคำสั่งนี้ดูครับ บางทีจะแสดง Error ได้ชัดเจนกว่า: Add-Computer -DomainName company.local -Restart

⏱️ วิธีสแกนและไล่เช็กแบบด่วนใน 1 นาที (ช่างไอทีใช้บ่อย)

ถ้าต้องการความเร็ว ให้เปิดหน้าต่าง Command Prompt ขึ้นมาแล้วรัน 5 คำสั่งนี้เรียงกันเลยครับ:

1. Ping หา DC ได้ไหม? -> ping dc01

2. DNS ชี้ไปที่ DC หรือไม่? -> ipconfig /all

3. หา Domain เจอไหม? -> nslookup domain.local

4. หาเครื่อง DC เจอไหม? -> nltest /dsgetdc:domain.local

5. เวลาเครื่องตรงกันไหม? -> w32tm /query /status

💡 สรุปจำง่ายๆ: ถ้า Join Domain ไม่ได้ ให้ท่องจำและไล่เช็ก 4 เรื่องนี้ก่อนเสมอ: Network -> DNS -> Time -> Permission เพียงเท่านี้ปัญหากว่า 90% ก็จะถูกคลี่คลายได้อย่างรวดเร็วแล้วครับ!

🌐 แหล่งข้อมูลอ้างอิง 

คอร์สฝึกอบรมและสาระไอที: ITC Training Center (Tips การแก้ปัญหา Domain สำหรับองค์กร)