Do기본 컨트롤러 및 Do기본 강등
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server
이 문서에서는 서버 관리자 또는 Windows PowerShell을 사용하여 AD DS를 제거하는 방법을 설명합니다.
AD DS 제거 워크플로
주의
도메인 컨트롤러로 수준을 올린 후 Dism.exe 또는 Windows PowerShell DISM 모듈을 사용하여 AD DS 역할을 제거하는 작업은 지원되지 않으며, 이 작업을 수행할 경우 서버가 정상적으로 부팅되지 않습니다.
서버 관리자 또는 Windows PowerShell용 ADDSDeployment 모듈과 달리 DISM은 AD DS 또는 해당 구성에 대한 내재된 지식이 없는 기본 서비스 시스템입니다. 서버가 더 이상 도메인 컨트롤러가 아닌 경우 외에는 Dism.exe 또는 Windows PowerShell DISM 모듈을 사용하여 AD DS 역할을 제거하지 마세요.
PowerShell을 사용하여 강등 및 역할 제거
| ADDSDeployment 및 ServerManager Cmdlet | 인수(굵은 인수가 필요합니다. 기울임꼴 인수 는 Windows PowerShell 또는 AD DS 구성 마법사를 사용하여 지정할 수 있습니다.) |
|---|---|
| Uninstall-ADDSDo기본Controller | -SkipPreChecks -Local관리istratorPassword -Confirm -자격 증명 -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDo기본Mismatch -IgnoreLastDNSServerForZone -LastDo기본ControllerInDo기본 -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata |
| Uninstall-WindowsFeature/Remove-WindowsFeature | -이름 -IncludeManagementTools -다시 시작할 -Remove -Force -ComputerName -Credential -LogPath -Vhd |
참고 항목
-credential 인수는 Enterprise Admins 그룹(도메인의 마지막 DC 수준 내리기) 또는 Domain Admins 그룹(복제본 DC 수준 내리기)의 구성원으로 아직 로그온하지 않은 경우에만 필요하고, -includemanagementtools 인수는 모든 AD DS 관리 유틸리티를 제거하려는 경우에만 필요합니다.
강등
역할 및 기능 제거
서버 관리자에서는 다음 두 가지 인터페이스에서 Active Directory Domain Services 역할을 제거할 수 있습니다.
기본 대시보드의 관리 메뉴에서 역할 및 기능 제거를 사용합니다.
탐색 창에서 AD DS 또는 모든 서버를 선택합니다. 아래의 역할 및 기능 섹션으로 스크롤합니다. 역할 및 기능 목록에서 Active Directory 도메인 서비스를 마우스 오른쪽 단추로 클릭하고 역할 또는 기능 제거를 선택합니다. 이 인터페이스에서는 서버 선택 페이지를 건너뜁니다.
ServerManager cmdlet Uninstall-WindowsFeature 및 Remove-WindowsFeature를 사용하면 do기본 컨트롤러를 강등할 때까지 AD DS 역할을 제거할 수 없습니다.
서버 선택
서버 선택 대화 상자를 사용하면 액세스할 수 있는 한 이전에 풀에 추가된 서버 중 하나를 선택할 수 있습니다. 서버 관리자를 실행하는 로컬 서버는 항상 자동으로 사용할 수 있습니다.
서버 역할 및 기능
Active Directory 도메인 Services 검사 상자를 선택 취소하여 do기본 컨트롤러를 강등합니다. 서버가 현재 할 일기본 컨트롤러인 경우 AD DS 역할을 제거하지 않고 대신 제품과 함께 유효성 검사 결과 대화 상자로 전환하여 강등합니다. 그렇지 않으면 다른 역할 기능과 같은 이진 파일을 제거합니다.
DNS, GPMC 또는 RSAT 도구와 같은 다른 AD DS 관련 역할 또는 기능을 즉시 다시 승격하려는 경우 제거하지 마세요기본. 추가 역할 및 기능을 제거하면 역할을 다시 설치할 때 서버 관리자에서 이러한 기능을 재설치하므로 다시 수준을 올리는 데 시간이 오래 걸립니다.
도메인 컨트롤러를 영구적으로 수준을 내리려는 경우에는 재량에 따라 불필요한 AD DS 역할 및 기능을 제거합니다. 그러려면 해당 역할 및 기능에 대한 확인란의 선택을 취소해야 합니다.
AD DS 관련 역할 및 기능의 전체 목록에는 다음이 포함됩니다.
- Windows PowerShell용 Active Directory 모듈 기능
- AD DS 및 AD LDS 도구 기능
- Active Directory 관리 센터 기능
- AD DS 스냅인 및 명령줄 도구 기능
- DNS 서버
- 그룹 정책 관리 콘솔
상응하는 ADDSDeployment 및 ServerManager Windows PowerShell cmdlet은 다음과 같습니다.
Uninstall-addsdomaincontroller
Uninstall-windowsfeature
자격 증명
자격 증명 페이지에서 수준 내리기 옵션을 구성합니다. 다음 목록에서 수준 내리기를 수행하는 데 필요한 자격 증명을 제공합니다.
추가 도메인 컨트롤러의 수준을 내리려면 Domain Admin 자격 증명이 필요합니다. 이 작업을 강제로 제거하도록 선택하면기본 컨트롤러는 기본 컨트롤러 개체의 메타데이터를 제거하지 않고 do기본 컨트롤러를 강등시킵니다.
Warning
도메인 컨트롤러에서 다른 도메인 컨트롤러에 연결할 수 없고 해당 네트워크 문제를 해결할 합리적인 방법이 없는 경우가 아니면 이 옵션을 선택하지 마십시오. 강제로 수준을 내리면 포리스트에서 남아 있는 도메인 컨트롤러의 Active Directory에서 메타데이터가 분리되게 됩니다. 또한 암호나 새 사용자 계정과 같이 해당 도메인 컨트롤러에서 복제되지 않은 모든 변경 사항이 영구 손실됩니다. 분리된 메타데이터는 AD DS, Exchange, SQL 및 기타 소프트웨어와 관련한 Microsoft 고객 지원 사례의 상당 부분을 차지하는 근본 원인입니다.
도메인 컨트롤러의 수준을 강제로 내리려면 바로 메타데이터 정리 작업을 수동으로 수행해야 합니다. 단계는 서버 메타데이터 정리를 참조하세요.
도메인에서 마지막 도메인 컨트롤러의 수준을 내리려면 이 작업은 도메인 자체를 제거(포리스트의 마지막 도메인일 경우 포리스트 자체가 제거됨)하므로 Enterprise Admins 그룹의 구성원이어야 합니다. 서버 관리자는 현재 도메인 컨트롤러가 도메인의 마지막 도메인 컨트롤러인지 여부를 알려줍니다. 도메인의 마지막 도메인 컨트롤러 확인란을 선택하여 도메인 컨트롤러가 도메인의 마지막 도메인 컨트롤러인지 확인합니다.
상응하는 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.
-credential <pscredential>
-forceremoval <{ $true | false }>
-lastdomaincontrollerindomain <{ $true | false }>
경고
경고 페이지에서는 이 도메인 컨트롤러를 제거할 경우 가능한 결과를 알려 줍니다. 계속하려면 제거 진행을 선택해야 합니다.
Warning
이전에 자격 증명 페이지에 이 도메인 컨트롤러 강제 제거를 선택한 경우 경고 페이지에 이 도메인 컨트롤러에서 호스트하는 모든 FSMO(Flexible Single Master Operations)가 표시됩니다. 이 서버의 수준을 내리는 즉시 다른 도메인 컨트롤러의 역할을 점유해야 합니다. FSMO 역할 점유에 대 한 자세한 내용은 참조 하십시오. 작업 마스터 역할 점유합니다.
이 페이지에는 해당하는 ADDSDeployment Windows PowerShell 인수가 없습니다.
제거 옵션
이전에 자격 증명 페이지에서 선택한 도메인의 마지막 도메인 컨트롤러에 따라 제거 옵션 페이지가 표시됩니다. 이 페이지에서 추가 제거 옵션을 구성할 수 있습니다. 영역에 대한 마지막 DNS 서버 무시, 애플리케이션 파티션 제거 및 DNS 위임 제거를 선택하여 다음 단추를 사용하도록 설정합니다.
이러한 옵션은 이 도메인 컨트롤러에 적용되는 경우에만 표시됩니다. 예를 들어 이 서버에 대한 DNS 위임이 없으면 해당 검사box가 표시되지 않습니다.
대체 DNS 관리 자격 증명을 지정하려면 [변경]을 선택합니다. 파티션 보기를 선택하여 강등 중에 마법사가 제거한 추가 파티션을 봅니다. 기본적으로 추가 파티션은 도메인 DNS 및 포리스트 DNS 영역뿐입니다. 다른 모든 파티션은 Windows가 아닌 파티션입니다.
상응하는 ADDSDeployment cmdlet 인수는 다음과 같습니다.
-ignorelastdnsserverforzone <{ $true | false }>
-removeapplicationpartitions <{ $true | false }>
-removednsdelegation <{ $true | false }>
-dnsdelegationremovalcredential <pscredential>
새 관리자 암호
새 관리자 암호 페이지 수준 내리기를 완료 되 고 컴퓨터가 도메인 구성원 서버나 작업 그룹 컴퓨터에 기본 제공 로컬 컴퓨터의 관리자 계정에 대 한 암호를 제공 해야 합니다.
Uninstall-addsdomaincontroller cmdlet 및 인수는 서버 관리자와 동일한 기본값을 따릅니다(지정하지 않은 경우).
LocalAdministratorPassword 인수는 특별합니다.
- 인수로 지정하지 않은 경우 이 cmdlet은 마스킹된 암호를 입력 및 확인하라는 메시지를 표시합니다. cmdlet을 대화형으로 실행할 경우 기본 설정된 사용법입니다.
- 값과 함께 지정한 경우 값은 보안 문자열이어야 합니다. 이 방법은 cmdlet을 대화형으로 실행할 때 기본 설정이 아닙니다.
예를 들어 읽기 호스트 cmdlet을 사용하여 사용자에게 보안 문자열을 묻는 메시지를 표시하여 암호를 수동으로 확인할 수 있습니다.
-localadministratorpassword (read-host -prompt "Password:" -assecurestring)
Warning
이전 두 옵션은 암호를 확인하지 않으므로 매우 주의해야 합니다. 암호가 표시되지 않습니다.
변환된 일반 텍스트 변수로 보안 문자열을 제공할 수도 있습니다(권장되지 않음). 예시:
-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Warning
일반 텍스트 암호는 제공하거나 저장하지 않는 것이 좋습니다. 스크립트에서 이 명령을 실행하는 사용자나 어깨 너머로 보고 있는 다른 사용자가 해당 컴퓨터의 로컬 관리자 암호를 알게 될 수 있습니다. 이 정보를 알면 모든 데이터에 액세스할 수 있으며, 서버 자체를 가장할 수 있습니다.
확인
확인 페이지에는 계획된 강등이 표시됩니다. 페이지에는 강등 구성 옵션이 나열되지 않습니다. 이 페이지는 수준 내리기가 시작되기 전에 마법사에 표시되는 마지막 페이지입니다. 스크립트 보기 단추를 클릭하면 Windows PowerShell 수준 내리기 스크립트가 만들어집니다.
수준 내리기를 선택하여 다음 AD DS 배포 cmdlet을 실행합니다.
Uninstall-ADDSDomainController
선택적 Whatif 인수를 Uninstall-ADDSDomainController 및 cmdlet과 함께 사용하여 구성 정보를 검토합니다. 이를 통해 cmdlet 인수의 명시적 및 암시적 값을 확인할 수 있습니다.
예시:
다시 시작할지 묻는 메시지가 표시될 때가 ADDSDeployment Windows PowerShell을 사용할 때 이 작업을 취소할 수 있는 마지막 기회입니다. 이 메시지를 무시하려면 -force 또는 confirm:$false 인수를 사용합니다.
수준 내리기
강등 페이지가 표시되면 do기본 컨트롤러 구성이 시작되며 중지하거나 취소할 수 없습니다. 세부 작업이 이 페이지에 표시되고 다음 로그에 기록됩니다.
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
Uninstall-ADDSDo기본Controller 및 Uninstall-WindowsFeature에는 하나의 작업만 있으므로 최소 필수 인수가 있는 확인 단계에 표시됩니다. Enter 키를 누르면 취소할 수 없는 수준 내리기 프로세스가 시작되고 컴퓨터가 다시 시작됩니다.
다시 부팅 프롬프트를 자동으로 허용하려면 임의의 ADDSDeployment Windows PowerShell cmdlet에서 -force 또는 -confirm:$false 인수를 사용합니다. 수준 올리기가 끝난 후 서버가 자동으로 다시 부팅되는 것을 방지하려면 -norebootoncompletion:$false 인수를 사용합니다.
Warning
다시 부팅을 무시하지 않는 것이 좋습니다. 구성원 서버가 올바르게 작동하려면 다시 부팅해야 합니다.
다음은 -forceremoval 및 -demoteoperationmasterrole의 최소 필수 인수로 강제로 강등하는 예입니다. 사용자가 Enterprise 관리s 그룹의 구성원으로 로그온했기 때문에 -credential 인수가 필요하지 않습니다.
다음은 -lastdo기본controllerindo기본 및 -removeapplicationpartitions의 최소 필수 인수를 사용하여 do기본에서 마지막 do기본 컨트롤러를 제거하는 예제입니다.
서버를 강등하기 전에 AD DS 역할을 제거하려고 하면 Windows PowerShell에서 오류를 차단합니다.
Important
서버의 수준을 내린 후 컴퓨터를 다시 시작해야 AD-Domain-Services 역할 파일을 제거할 수 있습니다.
결과
결과 페이지에는 수준 올리기의 성공 또는 실패와 중요한 관리 정보가 표시됩니다. 10초 후 도메인 컨트롤러가 자동으로 다시 부팅됩니다.