WinServer2025 – P17 How to Remove a Failed Domain Controller in Windows Server 2025

Khi Primary Domain Controller (PDC) bị lỗi hoàn toàn và không thể khôi phục, việc chỉ tắt máy hoặc xóa VM là chưa đủ. Domain Controller bị lỗi vẫn tồn tại trong metadata của Active Directory, gây ra lỗi replication, lỗi DNS và sự cố xác thực người dùng.

Trong bài viết này, bạn sẽ thực hiện quy trình Xóa PDC fail đúng chuẩn bằng công cụ ntdsutil (metadata cleanup) trên Windows Server 2025. Đây là phương pháp chính thống và an toàn khi Domain Controller không thể demote theo cách thông thường.

Kịch bản thực tế:

• DC-01 (PDC cũ) đã chết

• DC-02 (ADC) được nâng cấp thành PDC mới

• Cần loại bỏ hoàn toàn DC-01 khỏi hệ thống

⚠ Khi nào cần xóa Domain Controller bị lỗi?

Thực hiện metadata cleanup khi:

• Phần cứng server bị hỏng hoàn toàn

• Hệ điều hành lỗi không thể khôi phục

• Không thể demote DC bình thường

• Server sẽ không bao giờ tham gia lại domain

Nếu server còn khởi động được, luôn ưu tiên demote chuẩn trước.

1️⃣ Step 1: Delete PDC died (Metadata Cleanup)

Trên PDC mới (trước đó là ADC), mở Command Prompt với quyền Administrator.

From ADC to PDC, open CMD

Nhập:

Tiếp theo nhập:

Sau đó nhập:

Tại dấu nhắc server connections, nhập:

(the full name of the new PDC)

Tiếp theo nhập:

Sau đó nhập:

Bây giờ bắt đầu chọn đúng domain, site và server.

Nhập:

Quan sát dòng:

“found 1 domain(s)”

Chỉ có 1 domain TSF. Vì vậy ta chọn 0 tương ứng với domain hiện có. Nếu có nhiều domain, chúng sẽ hiển thị tại đây.

Nhập:

Tiếp theo nhập:

Quan sát:

“found 1 site(s)”

Mặc định có 1 site tương ứng với số 0.

Nhập:

Tiếp theo sử dụng lệnh:

Kết quả hiển thị:

• DC-01 (server 1 – dead – tương ứng số 0)

• DC-02 (server 2 – alive – tương ứng số 1)

Vì cần xóa server chết DC-01, nhập:

Tiếp theo nhập:

Sau đó thực thi:

Hệ thống sẽ hỏi xác nhận xóa. Chọn YES và chờ khoảng 30 giây để hoàn tất việc loại bỏ server 1.

Sau khi hoàn tất, nhập:

Tiếp tục:

Cuối cùng:

để đóng CMD.

🧹 Dọn dẹp trong Active Directory

Mở:

Active Directory Sites and Services

Xóa:

DC-01

Tiếp theo mở:

Active Directory Users and Computers → Domain Controllers

Kiểm tra xem DC-01 còn tồn tại không. Nếu còn, xóa thủ công.

Đến đây, quá trình Xóa PDC fail đã hoàn tất ở mức metadata.

2️⃣ Step 2: Config DNS

Sau khi xóa Domain Controller lỗi, cần kiểm tra và cấu hình lại DNS:

Đảm bảo:

• Không còn bản ghi DNS trỏ đến DC-01

• Không còn NS record tham chiếu DC-01

• Không còn A record của server lỗi

• Replication DNS hoạt động bình thường

Nếu còn bản ghi cũ, client có thể cố gắng xác thực vào DC không tồn tại.

3️⃣ Step 3: Create DHCP Scope Again

Nếu DC lỗi trước đó cũng chạy DHCP:

• Cấu hình lại DHCP trên server mới

• Tạo lại DHCP Scope

• Authorize DHCP trong Active Directory

• Kiểm tra client nhận IP chính xác

Điều này đảm bảo:

• Client nhận DNS server đúng

• Xác thực diễn ra qua PDC mới

🔎 Kiểm tra hệ thống sau khi xóa

Sau khi hoàn tất Xóa PDC fail, nên kiểm tra thêm:

• repadmin /replsummary

• dcdiag /v

• Tình trạng DNS

• Trạng thái SYSVOL

Nếu còn lỗi replication hoặc lingering object, cần xử lý ngay để tránh sự cố lâu dài.

Việc cleanup đúng cách giúp:

• Tránh lỗi replication

• Tránh delay xác thực

• Tránh lỗi Group Policy

• Duy trì AD ổn định

🏁 Kết luận

Việc Xóa PDC fail trong Windows Server 2025 không chỉ là xóa object trong AD, mà phải thực hiện metadata cleanup đúng quy trình bằng ntdsutil.

Quy trình bao gồm:

• Kết nối đến PDC mới

• Chọn đúng domain và site

• Xóa server chết khỏi metadata

• Dọn dẹp AD object

• Kiểm tra DNS và DHCP

Thực hiện đúng kỹ thuật sẽ đảm bảo:

• Active Directory ổn định

• Replication hoạt động bình thường

• Hệ thống xác thực không bị gián đoạn

Đây là kỹ năng bắt buộc đối với System Administrator quản trị môi trường doanh nghiệp sử dụng Windows Server 2025.