WinServer 2025 – P19 Hạ Domain Controller Giữ Toàn Bộ FSMO Roles

Việc Hạ Domain Controller về Windows Server khi máy chủ đang giữ toàn bộ FSMO roles là một thao tác quan trọng trong hệ thống Active Directory. Nếu thực hiện sai cách, hệ thống có thể gặp lỗi xác thực, lỗi replication hoặc gián đoạn dịch vụ domain.

Trong bài viết này, chúng ta sẽ thực hiện đúng quy trình để Hạ Domain Controller về Windows Server trên Windows Server 2025, đặc biệt trong trường hợp máy chủ đang giữ toàn bộ FSMO roles, đồng thời chuẩn bị server cho việc Sysprep, clone hoặc triển khai lại.

🎯 Khi Nào Cần Hạ Domain Controller?

Bạn nên thực hiện thao tác này khi:

• Chuyển sang Domain Controller mới

• Rebuild môi trường lab

• Chuyển DC về Member Server

• Tạo template để clone

• Dọn dẹp FSMO role holder an toàn

Nếu Domain Controller đang giữ toàn bộ FSMO roles, quá trình demote phải xử lý role đúng cách để tránh lỗi hệ thống.

🔹 Step 1: Demote Domain Controller

Trên DC2025, thực hiện một trong hai cách sau:

✅ Cách 1 – Thực hiện qua GUI

• Remove Active Directory Domain Services

• Demote to Member Server

✅ Cách 2 – Thực hiện bằng PowerShell (Khuyến nghị)

Khi hệ thống yêu cầu:

👉 Enter Password Admin Domain

Bước này đảm bảo:

• Gỡ bỏ hoàn toàn Active Directory Domain Services

• Xử lý FSMO roles trong quá trình demote

• Chuyển server về trạng thái Member Server an toàn

⚠ Lưu ý quan trọng: Tham số -DemoteOperationMasterRole giúp xử lý các FSMO roles trong quá trình hạ Domain Controller.

🔹 Step 2: Reboot

Sau khi demote hoàn tất:

• Server trở về chế độ Windows Server thông thường

• Không còn cơ sở dữ liệu Active Directory

Tại thời điểm này:

• Máy chủ không còn là Domain Controller

• AD DS binaries đã được gỡ bỏ

• NTDS database không còn tồn tại

• SYSVOL không còn hoạt động

Hãy kiểm tra lại:

• Server hiện tại là Member Server

• Role AD DS không còn được cài đặt

🔹 Step 3: Only then can Sysprep be used

Sau khi server đã được hạ Domain Controller hoàn toàn, bạn mới có thể chạy Sysprep:

👉 Tại thời điểm này:

• Server gần như là một hệ điều hành mới

• Có thể clone / template / deploy lại

Điều này cực kỳ quan trọng vì:

❌ Không thể chạy Sysprep trên Domain Controller đang hoạt động
✅ Chỉ chạy được Sysprep sau khi đã gỡ bỏ hoàn toàn AD DS

Nếu cố chạy Sysprep khi server vẫn là DC, quá trình sẽ thất bại và có thể gây lỗi hệ thống.

🔎 Điều Gì Xảy Ra Ở Phía Sau?

Khi bạn Hạ Domain Controller về Windows Server, hệ thống sẽ:

• Gỡ bỏ AD DS role

• Xóa NTDS.dit database

• Xử lý và relinquish FSMO roles

• Xóa các quan hệ trust liên quan

• Chuyển trạng thái máy về Member Server

Điều này giúp hệ thống Active Directory duy trì tính toàn vẹn và tránh tình trạng FSMO role holder bị orphan.

🚀 Best Practices Trước Khi Demote

Trước khi thực hiện trong môi trường production, nên:

• Đảm bảo FSMO roles đã được chuyển nếu cần

• Kiểm tra replication hoạt động ổn định

• Backup system state

• Xác nhận không còn dịch vụ phụ thuộc vào DC này

• Kiểm tra vai trò DNS liên quan

Ngay cả trong môi trường lab, việc thực hiện đúng quy trình vẫn giúp tránh lỗi hạ tầng về sau.

🏁 Kết Luận

Việc Hạ Domain Controller về Windows Server khi đang giữ toàn bộ FSMO roles không chỉ đơn giản là gỡ role AD DS, mà là một thao tác hạ tầng quan trọng.

Thực hiện đúng theo quy trình:

1. Demote chính xác

2. Reboot sạch

3. Chạy Sysprep đúng thời điểm

Sẽ giúp hệ thống Windows Server 2025 của bạn ổn định, sạch sẽ và sẵn sàng cho việc triển khai lại hoặc clone template.

Nếu bạn đang xây dựng lab hoặc triển khai hệ thống AD theo chuỗi bài WinServer 2025, đây là bước bắt buộc trước khi tiến hành template hóa hoặc tái triển khai hạ tầng.