WinServer2025 – P18 Critical Fix Remove Dead ADC from Active Directory (Server 2025)

Khi một Additional Domain Controller (ADC) bị lỗi vĩnh viễn, việc để nó tồn tại trong Active Directory có thể gây ra nhiều vấn đề nghiêm trọng. Replication error, xung đột DNS, lỗi Global Catalog (GC) và thậm chí sai lệch FSMO có thể xuất hiện nếu không xử lý đúng cách.

Trong bài viết này, bạn sẽ được hướng dẫn chi tiết cách xóa ADC fail trong Windows Server 2025 bằng phương pháp metadata cleanup an toàn và chuẩn kỹ thuật. Đây không phải là thao tác demote thông thường mà là quy trình dọn dẹp đối tượng DC đã offline vĩnh viễn.

Quy trình này giúp đảm bảo Active Directory luôn sạch, ổn định và không phát sinh lỗi ngầm về sau.

🎯 Objective

👉 Remove dead ADCs from the domain to:

• Clean ADs
• No replication errors
• No future DNS/GC/FSMO errors

⚠️ This is not a normal demote, but a metadata cleanup.

Nếu ADC không thể khởi động lại và không thể demote theo cách thông thường, đây là phương pháp chính xác cần thực hiện.

✅ Prerequisites

Trước khi tiến hành xóa ADC fail, cần đảm bảo:

• The PDC (or DC that is still active) is working correctly.
• Log in using Domain Admin / Enterprise Admin.
• Clearly identify:

o Name of the dead ADC: DC-02.tsf.local
o Old IP: 192.168.16.48
o Whether FSMO is still active (usually not)

Luôn kiểm tra chắc chắn FSMO roles không nằm trên server bị lỗi trước khi thực hiện xóa.

🧹 Step 1 – Metadata Cleanup (Standard, Safe Method)

Các phiên bản Windows Server mới cho phép xóa ADC fail trực tiếp từ công cụ quản trị mà không cần sử dụng ntdsutil trong hầu hết các trường hợp.

🔹 1.1 Open Active Directory User and Computer

Truy cập:

• Domain Controllers OU

• 👉 Right-click the dead ADC → Delete

• Select This DC is permanently offline
• OK

👉 This action automatically cleans up the metadata (new Windows Server).

Đây là phương pháp khuyến nghị và an toàn nhất để xóa ADC fail trong Windows Server 2025.

🔹 1.2 Check & Delete in AD Sites and Services

Sau khi xóa trong ADUC, vẫn cần kiểm tra cấu hình Site.

• Open Active Directory Site and Service
• Sites → Servers
• 👉 Delete the ADC server
• 👉 Delete NTDS Settings if present

Việc xóa NTDS Settings đảm bảo topology replication được làm sạch hoàn toàn.

Nếu đối tượng này vẫn tồn tại, replication error có thể tiếp tục xuất hiện trong Event Viewer.

🔹 1.3 Clean up DNS (Very Important)

Dọn dẹp DNS là bước cực kỳ quan trọng khi xóa ADC fail.

Mở DNS Manager và xóa toàn bộ record liên quan đến ADC đã chết.

Delete:

• A record (IP)
• SRV record:
• _ldap._tcp
• _kerberos._tcp
• _gc._tcp

Nếu các record này còn tồn tại:

• Client có thể cố xác thực vào DC không tồn tại

• Group Policy xử lý chậm

• Đăng nhập domain bị delay

Luôn kiểm tra kỹ cả Forward Lookup Zone và _msdcs zone.

🧼 Step 2 – Advanced Cleanup (If Thorough)

Đối với môi trường yêu cầu kiểm tra sâu, thực hiện kiểm tra replication thủ công.

Mở Command Prompt với quyền Administrator.

Chạy lệnh:

Kiểm tra:

• Không còn replication partner tham chiếu đến ADC đã xóa

• Không còn replication error

Nếu cần, thực hiện:

Thay <DC_chet> bằng tên thực tế của Domain Controller đã fail.

Sau đó kiểm tra sức khỏe Domain:

Đảm bảo:

• Không có lỗi DNS

• Không replication failure

• Không cảnh báo Global Catalog

Khi tất cả đều sạch, quy trình xóa ADC fail đã hoàn tất.

🔎 Tại Sao Phải Xóa ADC Fail Đúng Cách?

Nếu không thực hiện đúng quy trình, bạn có thể gặp:

• Replication error kéo dài

• Event ID 1865 hoặc 1311

• Lỗi phân giải DNS

• Chậm xác thực người dùng

• Nhầm lẫn FSMO role

Active Directory phụ thuộc hoàn toàn vào replication topology chính xác. Việc để một DC chết tồn tại trong hệ thống có thể gây bất ổn lâu dài.

🏗 Tình Huống Thực Tế

Ví dụ:

• ADC DC-02 hỏng phần cứng

• Không thể khởi động lại

• PDC vẫn hoạt động

• Bắt đầu xuất hiện replication error

Giải pháp:

• Xóa ADC trong ADUC

• Dọn dẹp AD Sites and Services

• Xóa DNS records

• Kiểm tra bằng repadmin và dcdiag

Sau khi hoàn tất, hệ thống replication ổn định trở lại và Event Log không còn báo lỗi.

🏁 Kết Luận

Việc xóa ADC fail là thao tác quan trọng trong quản trị Windows Server 2025. Nếu thực hiện đúng quy trình metadata cleanup, bạn sẽ đảm bảo:

• Active Directory sạch metadata

• Replication ổn định

• DNS chính xác

• Hệ thống xác thực hoạt động bình thường

Quy trình bao gồm:

1. Xóa trong Active Directory Users and Computers

2. Dọn dẹp AD Sites and Services

3. Xóa DNS records

4. Kiểm tra replication và domain health

Đối với mọi System Administrator quản lý môi trường AD doanh nghiệp, nắm vững kỹ thuật xóa ADC fail là kỹ năng bắt buộc để duy trì hạ tầng domain ổn định và an toàn.