다음을 통해 공유


도메인 컨트롤러 및 도메인 내리기

이 문서에서는 서버 관리자 또는 Windows PowerShell을 사용하여 AD DS(Active Directory 도메인 서비스)를 제거하는 방법을 설명합니다.

AD DS 제거 워크플로

다음 워크플로 다이어그램은 AD DS를 제거하는 단계를 보여 줍니다.

AD DS 제거 워크플로 차트

Caution

도메인 컨트롤러(DC)로 승격된 후 Dism.exe 또는 Windows PowerShell DISM 모듈을 사용하여 AD DS 역할을 제거하는 작업은 지원되지 않으며, 이 작업을 수행할 경우 서버가 정상적으로 부팅되지 않습니다.

서버 관리자 또는 Windows PowerShell용 ADDSDeployment 모듈과 달리 DISM은 AD DS 또는 해당 구성에 대한 내재된 지식이 없는 기본 서비스 시스템입니다. 서버가 더 이상 도메인 컨트롤러가 아닌 경우 외에는 Dism.exe 또는 Windows PowerShell DISM 모듈을 사용하여 AD DS 역할을 제거하는 것은 권장되지 않습니다.

PowerShell로 강등 및 역할 제거하기

ADDSDeployment 및 ServerManager Cmdlet Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata

Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

To learn more about how to demote your DC using PowerShell, see the Uninstall-ADDSDomainController and Uninstall-WindowsFeature PowerShell references.

Uninstall-ADDSDomainControllerUninstall-WindowsFeature 사용 시 이러한 명령은 각각 단일 작업을 수행할 때 최소 인수만 필요합니다. Pressing the Enter key during the confirmation phase initiates the irrevocable demotion process and restarts your device.

The Credential argument is only required if you aren't already signed in as a member of the Enterprise Admins group or the Domain Admins group. The IncludeManagementTools argument is only required if you want to remove all of the AD DS management utilities.

Demote

역할 및 기능 제거

AD DS 역할을 제거하는 데 사용할 수 있는 두 가지 방법이 있습니다.

  • The Manage menu on the main dashboard, using Remove Roles and Features

    서버 관리자 - 역할 및 기능 제거

  • Select AD DS or All Servers on the navigation pane. 아래의 역할 및 기능 섹션으로 스크롤합니다. 역할 및 기능 목록에서 Active Directory 도메인 서비스를 마우스 오른쪽 단추로 클릭한 다음 역할 또는 기능 제거를 클릭합니다. This interface skips the Server Selection page.

    서버 관리자 - 모든 서버 - 역할 및 기능 제거

The ServerManager cmdlets Uninstall-WindowsFeature and Remove-WindowsFeature prevent you from removing the AD DS role until you demote the domain controller.

Server selection

역할 및 기능 제거 마법사 대상 서버 선택

The Server Selection dialog enables you to choose from one of the servers previously added to the pool, as long as it's accessible. 서버 관리자를 실행하는 로컬 서버는 항상 자동으로 사용할 수 있습니다.

서버 역할 및 기능

역할 및 기능 제거 마법사 - 제거할 역할 선택

Active Directory Domain Services 확인란의 선택을 취소하여 도메인 컨트롤러를 강등합니다. 서버가 현재 도메인 컨트롤러인 경우, AD DS 역할을 제거하지 않고 대신 유효성 검사 결과 대화 상자로 전환하여 강등을 수행합니다. 그렇지 않으면 다른 역할 기능과 마찬가지로 이진 파일이 제거됩니다.

  • 곧바로 도메인 컨트롤러의 수준을 다시 올리려는 경우에는 다른 AD DS 관련 역할 또는 기능(예: DNS, GPMC 또는 RSAT 도구)을 제거하지 마세요. 다른 역할 및 기능을 제거하면 서버 관리자가 역할을 재설치할 때 이러한 기능을 다시 설치하므로 다시 승격하는 시간이 늘어나게 됩니다.
  • 도메인 컨트롤러를 영구적으로 수준을 내리려는 경우에는 재량에 따라 불필요한 AD DS 역할 및 기능을 제거합니다. 그러려면 해당 역할 및 기능에 대한 확인란의 선택을 취소해야 합니다.

AD DS 관련 역할 및 기능의 전체 목록에는 다음이 포함됩니다.

  • Windows PowerShell용 Active Directory 모듈 기능
  • AD DS 및 AD LDS 도구 기능
  • Active Directory 관리 센터 기능
  • AD DS 스냅인 및 명령줄 도구 기능
  • DNS Server
  • 그룹 정책 관리 콘솔

상응하는 ADDSDeployment 및 ServerManager Windows PowerShell cmdlet은 다음과 같습니다.

Uninstall-ADDSDomainController
Uninstall-WindowsFeature

역할 및 기능 제거 마법사 - 확인 대화 상자

역할 및 기능 제거 마법사 - 확인

Credentials

Active Directory Domain Services 구성 마법사 - 자격 증명 선택

You configure demotion options on the Credentials page. 다음 목록에서 수준 내리기를 수행하는 데 필요한 자격 증명을 제공합니다.

  • 추가 도메인 컨트롤러를 강등하려면 도메인 관리자 자격 증명이 필요합니다. 이 도메인 컨트롤러 강제 제거를 선택하면 Active Directory에서 도메인 컨트롤러 개체의 메타데이터를 제거하지 않은 상태에서 도메인 컨트롤러의 수준이 내려집니다.

    Warning

    도메인 컨트롤러가 다른 도메인 컨트롤러에 연결할 수 없고 해당 네트워크 문제를 해결할 합리적인 방법이 없는 한 이 옵션을 선택하지 마세요. 강제로 수준을 내리면 포리스트에서 남아 있는 도메인 컨트롤러의 Active Directory에서 메타데이터가 분리되게 됩니다. 또한 암호 또는 새 사용자 계정과 같은 해당 도메인 컨트롤러에서 설명되지 않은 모든 변경 내용은 영원히 손실됩니다. 분리된 메타데이터는 AD DS, Exchange, SQL 및 기타 소프트웨어와 관련한 Microsoft 고객 지원 사례의 상당 부분을 차지하는 근본 원인입니다.

    If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. 단계는 서버 메타데이터 정리를 참조하세요.

    Active Directory Domain Services 구성 마법사 - 자격 증명 강제 제거

  • 도메인에서 마지막 도메인 컨트롤러의 수준을 내리려면 이 작업은 도메인 자체를 제거(포리스트의 마지막 도메인일 경우 포리스트 자체가 제거됨)하므로 Enterprise Admins 그룹의 구성원이어야 합니다. 서버 관리자는 현재 도메인 컨트롤러가 도메인의 마지막 도메인 컨트롤러인지 여부를 알려줍니다. 도메인의 마지막 도메인 컨트롤러 확인란을 선택하여 도메인 컨트롤러가 도메인의 마지막 도메인 컨트롤러인지 확인합니다.

상응하는 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.

-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>

Warnings

Active Directory 도메인 Services 구성 마법사 - 자격 증명 FSMO 역할 영향

The Warnings page alerts you to the possible consequences of removing this domain controller. 계속하려면 제거 진행을 선택해야 합니다.

이전에 자격 증명 페이지에 이 도메인 컨트롤러 강제 제거를 선택한 경우 경고 페이지에 이 도메인 컨트롤러에서 호스트하는 모든 FSMO(Flexible Single Master Operations)가 표시됩니다. You must seize the roles from another domain controller immediately after demoting this server. FSMO 역할 점유에 대 한 자세한 내용은 참조 하십시오. 작업 마스터 역할 점유합니다.

이 페이지에는 상응하는 ADDSDeployment Windows PowerShell 인수가 없습니다.

Removal Options

Active Directory 도메인 Services 구성 마법사 - 자격 증명 DNS 및 애플리케이션 파티션 제거

The Removal Options page appears, depending on previously selecting Last domain controller in the domain on the Credentials page. 이 페이지에서는 추가 제거 옵션을 구성할 수 있습니다. 영역에 대한 마지막 DNS 서버 무시, 애플리케이션 파티션 제거DNS 위임 제거 를 선택하여 다음 단추를 가능하게 합니다.

이러한 옵션은 이 도메인 컨트롤러에 적용되는 경우에만 표시됩니다. 예를 들어 이 서버에 대한 DNS 위임이 없으면 해당 확인란이 표시되지 않습니다.

Select Change to specify alternate DNS administrative credentials. Select View Partitions to view extra partitions the wizard removes during the demotion. 기본적으로 다른 파티션은 도메인 DNS 및 포리스트 DNS 영역뿐입니다. 다른 모든 파티션은 Windows가 아닌 파티션입니다.

상응하는 ADDSDeployment cmdlet 인수는 다음과 같습니다.

-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>

새 관리자 암호

Active Directory 도메인 Services 구성 마법사 - 자격 증명 새 관리자 암호

새 관리자 암호 페이지 수준 내리기를 완료 되 고 컴퓨터가 도메인 구성원 서버나 작업 그룹 컴퓨터에 기본 제공 로컬 컴퓨터의 관리자 계정에 대 한 암호를 제공 해야 합니다.

The Uninstall-ADDSDomainController cmdlet and arguments follow the same defaults as Server Manager if not specified.

The LocalAdministratorPassword argument is special:

  • If not specified as an argument, then the cmdlet prompts you to enter and confirm a masked password. cmdlet을 대화형으로 실행할 경우 기본 설정된 사용법입니다.
  • 값과 함께 지정한 경우 값은 보안 문자열이어야 합니다. cmdlet을 대화형으로 실행할 경우 기본 설정된 사용법이 아닙니다.

For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string.

Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)

이전 두 옵션은 암호를 확인하지 않으므로 주의해야 합니다. 암호가 표시되지 않습니다.

변환된 일반 텍스트 변수로 보안 문자열을 제공할 수도 있습니다(권장되지 않음). For example:

Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)

명확한 텍스트 암호를 제공하거나 저장하는 것은 권장되지 않습니다. 스크립트에서 이 명령을 실행하는 사용자나 어깨 너머로 보고 있는 다른 사용자가 해당 컴퓨터의 로컬 관리자 암호를 알게 될 수 있습니다. 이 정보를 알면 모든 데이터에 액세스할 수 있으며, 서버 자체를 가장할 수 있습니다.

Confirmation

Active Directory Domain Services 구성 마법사 - 옵션 검토

The Confirmation page shows the planned demotion; the page doesn't list demotion configuration options. 이 페이지는 수준 내리기가 시작되기 전에 마법사에 표시되는 마지막 페이지입니다. 스크립트 보기 단추를 클릭하면 Windows PowerShell 수준 내리기 스크립트가 만들어집니다.

Select Demote to run the following AD DS Deployment cmdlet:

Uninstall-ADDSDomainController

Use the optional Whatif argument with the Uninstall-ADDSDomainController and cmdlet to review configuration information. 이를 통해 cmdlet 인수의 명시적 및 암시적 값을 확인할 수 있습니다.

For example:

cmdlet 인수의 명시적 및 암시적 값을 보여 주는 터미널 창의 스크린샷

다시 시작할지 묻는 메시지가 표시될 때가 ADDSDeployment Windows PowerShell을 사용할 때 이 작업을 취소할 수 있는 마지막 기회입니다. To override that prompt, use the -force or confirm:$false arguments.

Demotion

Active Directory Domain Services 구성 마법사 - 강등 진행 중

When the Demotion page displays, the domain controller configuration begins and can't be halted or canceled. 세부 작업이 이 페이지에 표시되고 다음 로그에 기록됩니다.

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

PowerShell Uninstall-ADDSDomainController 예제

PowerShell Uninstall-WindowsFeature 예제

To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion:$false argument.

Warning

다시 부팅을 무시하지 않는 것이 좋습니다. 구성원 서버가 올바르게 작동하려면 다시 부팅해야 합니다.

PowerShell Uninstall-ADDSDomainController 강제 예제

Here's an example of forcibly demoting with its minimal required arguments of -forceremoval and -demoteoperationmasterrole. The -credential argument isn't required because the user logged on as a member of the Enterprise Admins group:

-forceremoval 및 -demoteoperationmasterrole의 최소 필수 인수를 사용하여 강제로 강등하는 예를 보여주는 터미널 창의 스크린샷입니다.

Here's an example of removing the last domain controller in the domain with its minimal required arguments of -lastdomaincontrollerindomain and -removeapplicationpartitions:

PowerShell Uninstall-ADDSDomainController -LastDomainControllerInDomain 예제

서버의 수준을 내리기 전에 AD DS 역할을 제거하려고 하면 Windows PowerShell에서 오류를 차단합니다.

AD-Domain-Services를 제거하는 동안 제거 필수 구성 요소 단계가 실패했으며 제거를 계속할 수 없습니다. 1. Active DirectoryDomain 서비스 역할을 제거하려면 도메인 컨트롤러를 강등해야 합니다.

Important

서버의 수준을 내린 후 컴퓨터를 다시 시작해야 AD-Domain-Services 역할 파일을 제거할 수 있습니다.

Results

AD DS를 제거한 후 경고에 서명하려고 합니다.

The Results page shows the success or failure of the promotion and any important administrative information. 도메인 컨트롤러는 10초 후에 자동으로 다시 부팅됩니다.