Contact
Line : comsiam
Domain Functional Level หรือ DFL คือระดับความสามารถของ Active Directory ภายใน Domain ซึ่งกำหนดว่า Domain นั้นสามารถใช้ฟีเจอร์ใหม่ของ Windows Server ได้มากแค่ไหน
หลายองค์กรอัปเกรด Domain Controller เป็น Windows Server 2025 แล้ว แต่ยังใช้ Domain Functional Level เก่าอยู่ ทำให้:
- ฟีเจอร์ใหม่บางอย่างยังใช้ไม่ได้
- Security ใหม่ไม่ทำงานเต็มที่
- AD ยังทำงานแบบ Legacy
ดังนั้นหลังอัปเกรด Domain Controller การ Raise Domain Functional Level ถือเป็นขั้นตอนสำคัญมาก ซึ่งทีม comsiam มักตรวจจุดนี้เสมอหลัง Migration ระบบ Active Directory
บทความนี้จะสอนการอัปเกรด Domain Functional Level แบบละเอียด พร้อมข้อควรระวังและ Best Practice สำหรับองค์กรจริง
① Domain Functional Level คืออะไร
คือระดับความสามารถของ:
Active Directory ภายใน Domain
ยิ่ง Level สูง:
ยิ่งใช้ฟีเจอร์ใหม่ได้มาก
② Domain Functional Level ต่างจาก Forest Functional Level ยังไง
Domain Functional Level
มีผลเฉพาะ Domain
Forest Functional Level
มีผลทั้ง Forest
③ ทำไมต้องอัปเกรด Domain Functional Level
เพื่อ:
- ใช้ฟีเจอร์ใหม่
- เพิ่ม Security
- รองรับ Authentication ใหม่
- ปรับปรุง AD Replication
④ สิ่งที่ต้องมี ก่อนอัปเกรด
ต้องมี:
- Domain Controller ทุกตัวรองรับ
- ไม่มี DC รุ่นเก่า
- Replication ปกติ
- Backup AD แล้ว
⑤ วิธีตรวจ Domain Controller ทั้งหมด
ใช้:
netdom query dc⑥ วิธีตรวจเวอร์ชัน Windows Server ของ DC
ใช้ PowerShell:
Get-ADDomainController -Filter * | Select HostName,OperatingSystem⑦ วิธีตรวจ Domain Functional Level ปัจจุบัน
ใช้:
Get-ADDomain | fl DomainMode⑧ ตัวอย่าง Functional Level
เช่น:
Windows2016Domain⑨ วิธีตรวจ Forest Functional Level
ใช้:
Get-ADForest | fl ForestMode⑩ วิธีตรวจ Replication ก่อนอัปเกรด
ใช้:
repadmin /replsummaryหากมี Error:
ยังไม่ควร Raise
⑪ วิธีตรวจ DNS Health
ใช้:
dcdiag /test:dns⑫ วิธี Backup ก่อนอัปเกรด
แนะนำ:
Backup:
- System State
- AD
- DNS
ก่อนเสมอ
⑬ วิธีเปิด Active Directory Users and Computers
เปิด:
dsa.msc⑭ วิธี Raise Domain Functional Level
คลิกขวา Domain
เลือก:
Raise Domain Functional Level⑮ วิธีเลือก Functional Level ใหม่
เลือก:
Windows Server 2025หรือระดับสูงสุดที่รองรับ
⑯ วิธี Confirm การอัปเกรด
กด:
Raise⑰ สิ่งที่ต้องรู้ก่อน Raise
สำคัญมาก:
ส่วนใหญ่ “ย้อนกลับไม่ได้”
ดังนั้นต้องตรวจสอบให้ครบก่อน
⑱ วิธีตรวจสอบหลังอัปเกรด
ใช้:
Get-ADDomain | fl DomainMode⑲ วิธีตรวจว่า AD ยังปกติไหม
ใช้:
dcdiag /vและ:
repadmin /replsummary⑳ ฟีเจอร์ที่ได้จาก Functional Level ใหม่
เช่น:
- Security ดีขึ้น
- Authentication ใหม่
- Kerberos ใหม่
- Replication เสถียรขึ้น
㉑ Domain Functional Level มีผลกับอะไรบ้าง
มีผลกับ:
- Authentication
- Trust
- Group Policy
- AD Feature
ภายใน Domain
㉒ ปัญหาที่พบบ่อย
Raise ไม่ได้
สาเหตุ:
ยังมี DC รุ่นเก่า
Replication Error
สาเหตุ:
DNS ผิด
Feature ใหม่ไม่ทำงาน
สาเหตุ:
ยังใช้ Functional Level เก่า
㉓ วิธีตรวจ Event Viewer หลังอัปเกรด
เปิด:
Event Viewerดู:
- Directory Service
- DNS Server
- DFS Replication
㉔ แนวทางที่ดีสำหรับองค์กร
แนะนำ:
- ใช้ DC เวอร์ชันเดียวกัน
- มีอย่างน้อย 2 DC
- ตรวจ Health ก่อน Raise
- Backup เสมอ
หลายองค์กร Upgrade Server แล้วลืม Raise Domain Functional Level ทำให้ใช้ฟีเจอร์ใหม่ไม่ได้เต็มที่ ซึ่งทีม comsiam เจอบ่อยมาก
㉕ สิ่งที่ไม่ควรทำ
ไม่ควร:
- Raise โดยไม่ Backup
- Ignore Replication Error
- มี DC รุ่นเก่าปะปน
- Raise ตอนเวลางาน
㉖ Domain Functional Level สำคัญแค่ไหน
สำคัญมาก
เพราะเป็นตัวเปิด:
- Feature ใหม่
- Security ใหม่
- Authentication ใหม่
ของ Active Directory
㉗ แนวทางองค์กรจริง
องค์กรส่วนใหญ่มัก:
- Upgrade DC ทั้งหมดก่อน
- ตรวจ Health
- Backup
- ค่อย Raise Domain Functional Level
ซึ่งเป็นแนวทางที่ทีม comsiam ใช้จริงเช่นกัน
㉘ สรุป
การอัปเกรด Domain Functional Level บน Windows Server 2025 ช่วยให้ Active Directory ใช้ฟีเจอร์ใหม่และ Security ใหม่ได้เต็มประสิทธิภาพ
ข้อสำคัญ:
- ตรวจ Replication
- ตรวจ DNS
- Backup ก่อนเสมอ
- ตรวจว่าไม่มี DC รุ่นเก่า
โดยเฉพาะองค์กรที่ Upgrade มาใช้ Windows Server 2025 แล้ว การ Raise Domain Functional Level ถือเป็นขั้นตอนสำคัญที่ไม่ควรลืม
