Contact
Line : comsiam
Forest Functional Level หรือ FFL คือระดับความสามารถของ Active Directory ทั้ง Forest ซึ่งกำหนดว่า Domain Controller ภายในระบบสามารถใช้ฟีเจอร์ใหม่ของ Windows Server ได้มากแค่ไหน
หลายองค์กรอัปเกรด Domain Controller เป็น Windows Server 2025 แล้ว แต่ลืมอัปเกรด Forest Functional Level ทำให้:
- ใช้ฟีเจอร์ใหม่ไม่ได้
- Security ใหม่ไม่ทำงาน
- AD ยังใช้ความสามารถแบบเก่า
ดังนั้นหลัง Upgrade Domain Controller เสร็จ การอัปเกรด Forest Functional Level ถือเป็นขั้นตอนสำคัญที่องค์กรควรทำ ซึ่งทีม comsiam มักตรวจจุดนี้เสมอในงาน Migration จริง
บทความนี้จะสอนการอัปเกรด Forest Functional Level แบบละเอียด พร้อมข้อควรระวังและ Best Practice สำหรับองค์กรจริง
① Forest Functional Level คืออะไร
คือระดับความสามารถของ:
Active Directory ทั้ง Forest
ยิ่ง Level สูง:
ยิ่งใช้ฟีเจอร์ใหม่ได้มาก
② Forest กับ Domain ต่างกันยังไง
Forest
ระดับรวมทั้งหมด
Domain
ระดับเฉพาะ Domain
องค์กรใหญ่:
อาจมีหลาย Domain ใน Forest เดียว
③ ทำไมต้องอัปเกรด Forest Functional Level
เพื่อ:
- ใช้ฟีเจอร์ใหม่
- เพิ่ม Security
- รองรับ Windows Server รุ่นใหม่
- ปรับปรุง AD Replication
④ สิ่งที่ต้องมี ก่อนอัปเกรด
ต้องมี:
- Domain Controller ทุกตัวรองรับ
- ไม่มี DC รุ่นเก่า
- Replication ปกติ
- Backup AD แล้ว
สำคัญมาก
⑤ วิธีตรวจ Domain Controller ทั้งหมด
ใช้:
netdom query dc⑥ วิธีตรวจเวอร์ชัน Windows Server ของ DC
ใช้ PowerShell:
Get-ADDomainController -Filter * | Select HostName,OperatingSystem⑦ หากยังมี DC รุ่นเก่า ต้องทำยังไง
เช่น:
- Windows Server 2012
- 2016
ควร:
Upgrade หรือ Demote ก่อน
⑧ วิธีตรวจ Forest Functional Level ปัจจุบัน
ใช้ PowerShell:
Get-ADForest | fl ForestMode⑨ ตัวอย่าง Functional Level
เช่น:
Windows2016Forest⑩ วิธีตรวจ Domain Functional Level
ใช้:
Get-ADDomain | fl DomainMode⑪ วิธีตรวจ Replication ก่อนอัปเกรด
ใช้:
repadmin /replsummaryหากมี Error:
ยังไม่ควรอัปเกรด
⑫ วิธีตรวจ DNS Health
ใช้:
dcdiag /test:dns⑬ วิธี Backup ก่อนอัปเกรด
แนะนำ:
Backup:
- System State
- AD
- DNS
ก่อนเสมอ
⑭ วิธีเปิด Active Directory Domains and Trusts
เปิด:
domain.msc⑮ วิธี Raise Forest Functional Level
คลิกขวา:
Active Directory Domains and Trustsเลือก:
Raise Forest Functional Level⑯ วิธีเลือก Functional Level ใหม่
เลือก:
Windows Server 2025หรือสูงสุดที่ระบบรองรับ
⑰ วิธี Confirm การอัปเกรด
กด:
Raise⑱ สิ่งที่ต้องรู้ก่อน Raise
สำคัญมาก:
ส่วนใหญ่ “ย้อนกลับไม่ได้”
ดังนั้นต้องตรวจสอบให้ครบก่อน
⑲ วิธีตรวจสอบหลังอัปเกรด
ใช้:
Get-ADForest | fl ForestMode⑳ วิธีตรวจว่า AD ยังปกติไหม
ใช้:
dcdiag /vและ:
repadmin /replsummary㉑ ฟีเจอร์ที่ได้เมื่อใช้ Functional Level ใหม่
เช่น:
- Security ใหม่
- Kerberos ใหม่
- Replication ดีขึ้น
- Modern Authentication
㉒ Forest Functional Level มีผลกับอะไรบ้าง
มีผลกับ:
- AD Feature
- Trust
- Replication
- Authentication
ทั้ง Forest
㉓ ปัญหาที่พบบ่อย
Raise ไม่ได้
สาเหตุ:
ยังมี DC รุ่นเก่า
Replication Error
สาเหตุ:
DNS ผิด
Feature ใหม่ไม่ขึ้น
สาเหตุ:
ยังไม่ได้ Raise จริง
㉔ วิธีตรวจ Event Viewer หลังอัปเกรด
เปิด:
Event Viewerดู:
- Directory Service
- DNS Server
- DFS Replication
㉕ แนวทางที่ดีสำหรับองค์กร
แนะนำ:
- ใช้ DC เวอร์ชันเดียวกัน
- มีอย่างน้อย 2 DC
- ตรวจ Health ก่อน Raise
- Backup เสมอ
หลายองค์กร Upgrade Server แล้วลืม Raise Functional Level ทำให้ไม่ได้ใช้ Feature ใหม่ ซึ่งทีม comsiam เจอบ่อยมาก
㉖ สิ่งที่ไม่ควรทำ
ไม่ควร:
- Raise โดยไม่ Backup
- Ignore Replication Error
- มี DC รุ่นเก่าปะปน
- Raise ตอนเวลางาน
㉗ Forest Functional Level กับ Domain Functional Level ต่างกันยังไง
Forest Functional Level
ระดับทั้ง Forest
Domain Functional Level
ระดับเฉพาะ Domain
ทั้งสองควรสอดคล้องกัน
㉘ แนวทางองค์กรจริง
องค์กรส่วนใหญ่มัก:
- Upgrade DC ทั้งหมดก่อน
- ตรวจ Health
- Backup
- ค่อย Raise Functional Level
ซึ่งเป็นแนวทางที่ทีม comsiam ใช้จริงเช่นกัน
㉙ สรุป
การอัปเกรด Forest Functional Level บน Windows Server 2025 ช่วยให้ Active Directory ใช้ฟีเจอร์ใหม่และ Security ใหม่ได้เต็มประสิทธิภาพ
ข้อสำคัญ:
- ตรวจ Replication
- ตรวจ DNS
- Backup ก่อนเสมอ
- ตรวจว่าไม่มี DC รุ่นเก่า
โดยเฉพาะองค์กรที่ Upgrade มาใช้ Windows Server 2025 แล้ว การ Raise Functional Level ถือเป็นขั้นตอนสำคัญที่ไม่ควรลืม
