다음을 통해 공유

도메인 컨트롤러 및 도메인 수준 내리기(수준 200)

이 문서에서는 서버 관리자 또는 Windows PowerShell을 사용하여 AD DS(Active Directory 도메인 서비스)를 제거하는 방법을 설명합니다.

AD DS 제거 워크플로

AD DS 제거 워크플로 차트

주의

도메인 컨트롤러(DC)로 승격된 후 Dism.exe 또는 Windows PowerShell DISM 모듈을 사용하여 AD DS 역할을 제거하는 작업은 지원되지 않으며, 이 작업을 수행할 경우 서버가 정상적으로 부팅되지 않습니다.

서버 관리자 또는 Windows PowerShell용 ADDSDeployment 모듈과 달리 DISM은 AD DS 또는 해당 구성에 대한 내재된 지식이 없는 기본 서비스 시스템입니다. 서버가 더 이상 도메인 컨트롤러가 아닌 경우 외에는 Dism.exe 또는 Windows PowerShell DISM 모듈을 사용하여 AD DS 역할을 제거하는 것은 권장되지 않습니다.

PowerShell로 강등 및 역할 제거하기

ADDSDeployment 및 ServerManager Cmdlet 인수(굵은 인수는 필수입니다. 기울임꼴로 표시된 인수는 Windows PowerShell 또는 AD DS 구성 마법사를 사용하여 지정할 수 있습니다.
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature -이름

-IncludeManagementTools

-다시 시작

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

PowerShell 을 사용하여 DC를 강등하는 방법에 대한 자세한 내용은 Uninstall-ADDSDomainControllerUninstall-WindowsFeature PowerShell 참조를 참조하세요.

Uninstall-ADDSDomainControllerUninstall-WindowsFeature 사용 시 이러한 명령은 각각 단일 작업을 수행할 때 최소 인수만 필요합니다. 확인 단계에서 Enter 키를 누르면 취소할 수 없는 강등 프로세스가 시작되고 디바이스가 다시 시작됩니다.

참고 항목

Credential 인수는 Enterprise Admins 그룹 또는 Domain Admins 그룹의 구성원으로 아직 로그인하지 않은 경우에만 필요합니다. IncludeManagementTools 인수는 모든 AD DS 관리 유틸리티를 제거하려는 경우에만 필요합니다.

강등

역할 및 기능 제거

AD DS 역할을 제거하는 데 사용할 수 있는 두 가지 방법이 있습니다.

  • 기본 대시보드의 관리 메뉴에서 역할 및 기능 제거를 사용합니다.

    서버 관리자 - 역할 및 기능 제거

  • 탐색 창에서 AD DS 또는 모든 서버를 선택합니다. 아래의 역할 및 기능 섹션으로 스크롤합니다. 역할 및 기능 목록에서 Active Directory 도메인 서비스를 마우스 오른쪽 단추로 클릭한 다음 역할 또는 기능 제거를 클릭합니다. 이 인터페이스에서는 서버 선택 페이지를 건너뜁니다.

    서버 관리자 - 모든 서버 - 역할 및 기능 제거

ServerManager cmdlet Uninstall-WindowsFeatureRemove-WindowsFeature는 도메인 컨트롤러의 수준을 내릴 때까지 AD DS 역할을 제거하지 못하도록 할 것입니다.

서버 선택

역할 및 기능 제거 마법사 대상 서버 선택

서버 선택 대화 상자에서는 이전에 풀에 추가한 서버 중 하나를 선택할 수 있습니다(액세스 가능한 경우). 서버 관리자를 실행하는 로컬 서버는 항상 자동으로 사용할 수 있습니다.

서버 역할 및 기능

역할 및 기능 제거 마법사 - 제거할 역할 선택

도메인 컨트롤러의 수준을 내리려면 Active Directory Domain Services 확인란의 선택을 취소합니다. 이때 서버가 현재 도메인 컨트롤러인 경우에는 AD DS 역할이 제거되지 않고 대신 수준 내리기를 제안하는 유효성 검사 결과로 전환됩니다. 그렇지 않으면 다른 역할 기능과 마찬가지로 이진 파일이 제거됩니다.

  • 곧바로 도메인 컨트롤러의 수준을 다시 올리려는 경우에는 다른 AD DS 관련 역할 또는 기능(예: DNS, GPMC 또는 RSAT 도구)을 제거하지 마세요. 추가 역할 및 기능을 제거하면 역할을 다시 설치할 때 서버 관리자에서 이러한 기능을 재설치하므로 다시 수준을 올리는 데 시간이 오래 걸립니다.

  • 도메인 컨트롤러를 영구적으로 수준을 내리려는 경우에는 재량에 따라 불필요한 AD DS 역할 및 기능을 제거합니다. 그러려면 해당 역할 및 기능에 대한 확인란의 선택을 취소해야 합니다.

    AD DS 관련 역할 및 기능의 전체 목록에는 다음이 포함됩니다.

    • Windows PowerShell용 Active Directory 모듈 기능
    • AD DS 및 AD LDS 도구 기능
    • Active Directory 관리 센터 기능
    • AD DS 스냅인 및 명령줄 도구 기능
    • DNS 서버
    • 그룹 정책 관리 콘솔

상응하는 ADDSDeployment 및 ServerManager Windows PowerShell cmdlet은 다음과 같습니다.

Uninstall-ADDSDomainController
Uninstall-WindowsFeature

역할 및 기능 제거 마법사 - 확인 대화 상자

역할 및 기능 제거 마법사 - 확인

자격 증명

Active Directory Domain Services 구성 마법사 - 자격 증명 선택

자격 증명 페이지에서 수준 내리기 옵션을 구성합니다. 다음 목록에서 수준 내리기를 수행하는 데 필요한 자격 증명을 제공합니다.

  • 추가 도메인 컨트롤러의 수준을 내리려면 Domain Admin 자격 증명이 필요합니다. 이 도메인 컨트롤러 강제 제거를 선택하면 Active Directory에서 도메인 컨트롤러 개체의 메타데이터를 제거하지 않은 상태에서 도메인 컨트롤러의 수준이 내려집니다.

    Warning

    도메인 컨트롤러에서 다른 도메인 컨트롤러에 연결할 수 없고 해당 네트워크 문제를 해결할 합리적인 방법이 없는 경우가 아니면 이 옵션을 선택하지 마십시오. 강제로 수준을 내리면 포리스트에서 남아 있는 도메인 컨트롤러의 Active Directory에서 메타데이터가 분리되게 됩니다. 또한 암호나 새 사용자 계정과 같이 해당 도메인 컨트롤러에서 복제되지 않은 모든 변경 사항이 영구 손실됩니다. 분리된 메타데이터는 AD DS, Exchange, SQL 및 기타 소프트웨어와 관련한 Microsoft 고객 지원 사례의 상당 부분을 차지하는 근본 원인입니다.

    도메인 컨트롤러의 수준을 강제로 내리려면 바로 메타데이터 정리 작업을 수동으로 수행해야 합니다. 단계는 서버 메타데이터 정리를 참조하세요.

    Active Directory Domain Services 구성 마법사 - 자격 증명 강제 제거

  • 도메인에서 마지막 도메인 컨트롤러의 수준을 내리려면 이 작업은 도메인 자체를 제거(포리스트의 마지막 도메인일 경우 포리스트 자체가 제거됨)하므로 Enterprise Admins 그룹의 구성원이어야 합니다. 서버 관리자는 현재 도메인 컨트롤러가 도메인의 마지막 도메인 컨트롤러인지 여부를 알려줍니다. 도메인의 마지막 도메인 컨트롤러 확인란을 선택하여 도메인 컨트롤러가 도메인의 마지막 도메인 컨트롤러인지 확인합니다.

상응하는 ADDSDeployment Windows PowerShell 인수는 다음과 같습니다.

-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>

경고

Active Directory 도메인 Services 구성 마법사 - 자격 증명 FSMO 역할 영향

경고 페이지에서는 이 도메인 컨트롤러를 제거할 경우 가능한 결과를 알려 줍니다. 계속하려면 제거 진행을 선택해야 합니다.

Warning

이전에 자격 증명 페이지에 이 도메인 컨트롤러 강제 제거를 선택한 경우 경고 페이지에 이 도메인 컨트롤러에서 호스트하는 모든 FSMO(Flexible Single Master Operations)가 표시됩니다. 이 서버의 수준을 내리는 즉시 다른 도메인 컨트롤러의 역할을 점유해야 합니다. FSMO 역할 점유에 대 한 자세한 내용은 참조 하십시오. 작업 마스터 역할 점유합니다.

이 페이지에는 상응하는 ADDSDeployment Windows PowerShell 인수가 없습니다.

제거 옵션

Active Directory 도메인 Services 구성 마법사 - 자격 증명 DNS 및 애플리케이션 파티션 제거

이전에 자격 증명 페이지에서 선택한 도메인의 마지막 도메인 컨트롤러에 따라 제거 옵션 페이지가 표시됩니다. 이 페이지에서 추가 제거 옵션을 구성할 수 있습니다. 영역에 대한 마지막 DNS 서버 무시, 애플리케이션 파티션 제거DNS 위임 제거 를 선택하여 다음 단추를 가능하게 합니다.

이러한 옵션은 이 도메인 컨트롤러에 적용되는 경우에만 표시됩니다. 예를 들어 이 서버에 대한 DNS 위임이 없는 경우에는 해당 확인란이 표시되지 않습니다.

변경을 선택하여 대체 DNS 관리 자격 증명을 지정합니다. 파티션 보기를 선택하여 수준을 내리는 동안 마법사에서 제거하는 추가 파티션을 볼 수 있습니다. 기본적으로 추가 파티션은 도메인 DNS 및 포리스트 DNS 영역뿐입니다. 다른 모든 파티션은 Windows가 아닌 파티션입니다.

상응하는 ADDSDeployment cmdlet 인수는 다음과 같습니다.

-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>

새 관리자 암호

Active Directory 도메인 Services 구성 마법사 - 자격 증명 새 관리자 암호

새 관리자 암호 페이지 수준 내리기를 완료 되 고 컴퓨터가 도메인 구성원 서버나 작업 그룹 컴퓨터에 기본 제공 로컬 컴퓨터의 관리자 계정에 대 한 암호를 제공 해야 합니다.

Uninstall-addsdomaincontroller cmdlet 및 인수는 서버 관리자와 동일한 기본값을 따릅니다(지정하지 않은 경우).

LocalAdministratorPassword 인수는 특별합니다.

  • 인수로 지정하지 않은 경우 이 cmdlet은 마스킹된 암호를 입력 및 확인하라는 메시지를 표시합니다. cmdlet을 대화형으로 실행할 경우 기본 설정된 사용법입니다.
  • 값과 함께 지정한 경우 값은 보안 문자열이어야 합니다. cmdlet을 대화형으로 실행할 경우 기본 설정된 사용법이 아닙니다.

예를 들어 Read-Host cmdlet을 사용하여 수동으로 암호를 물어 사용자에게 보안 문자열을 물을 수 있습니다.

Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)

Warning

이전 두 옵션에서는 암호를 확인하지 않으므로 각별히 주의해야 합니다. 암호는 표시되지 않습니다.

변환된 일반 텍스트 변수로 보안 문자열을 제공할 수도 있습니다(권장되지 않음). 예시:

Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)

Warning

일반 텍스트 암호는 제공하거나 저장하지 않는 것이 좋습니다. 스크립트에서 이 명령을 실행하는 사용자나 어깨 너머로 보고 있는 다른 사용자가 해당 컴퓨터의 로컬 관리자 암호를 알게 될 수 있습니다. 이 정보를 알면 모든 데이터에 액세스할 수 있으며, 서버 자체를 가장할 수 있습니다.

확인

Active Directory Domain Services 구성 마법사 - 옵션 검토

확인 페이지에는 계획된 수준 내리기가 표시됩니다. 수준 내리기 구성 옵션은 이 페이지에 나열되지 않습니다. 이 페이지는 수준 내리기가 시작되기 전에 마법사에 표시되는 마지막 페이지입니다. 스크립트 보기 단추를 클릭하면 Windows PowerShell 수준 내리기 스크립트가 만들어집니다.

수준 내리기를 선택하여 다음 AD DS 배포 cmdlet을 실행합니다.

Uninstall-ADDSDomainController

선택적 Whatif 인수를 Uninstall-ADDSDomainController 및 cmdlet과 함께 사용하여 구성 정보를 검토합니다. 이를 통해 cmdlet 인수의 명시적 및 암시적 값을 확인할 수 있습니다.

예시:

cmdlet 인수의 명시적 및 암시적 값을 보여 주는 터미널 창의 스크린샷

다시 시작할지 묻는 메시지가 표시될 때가 ADDSDeployment Windows PowerShell을 사용할 때 이 작업을 취소할 수 있는 마지막 기회입니다. 이 메시지를 무시하려면 -force 또는 confirm:$false 인수를 사용합니다.

수준 내리기

Active Directory Domain Services 구성 마법사 - 강등 진행 중

강등 페이지가 표시되면 도메인 컨트롤러 구성이 시작되며 이는 중지하거나 취소할 수 없습니다. 세부 작업이 이 페이지에 표시되고 다음 로그에 기록됩니다.

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

PowerShell Uninstall-ADDSDomainController 예제

PowerShell Uninstall-WindowsFeature 예제

다시 부팅 프롬프트를 자동으로 허용하려면 임의의 ADDSDeployment Windows PowerShell cmdlet에서 -force 또는 -confirm:$false 인수를 사용합니다. 수준 올리기가 끝난 후 서버가 자동으로 다시 부팅되는 것을 방지하려면 -norebootoncompletion:$false 인수를 사용합니다.

Warning

다시 부팅을 무시하지 않는 것이 좋습니다. 구성원 서버가 올바르게 작동하려면 다시 부팅해야 합니다.

PowerShell Uninstall-ADDSDomainController 강제 예제

다음 예제에서는 최소 필수 인수 -forceremoval-demoteoperationmasterrole로 강제로 수준을 내립니다. 사용자가 Enterprise Admins 그룹의 구성원으로 로그온되었으므로 -credential 인수는 필요하지 않습니다.

-forceremoval 및 -demoteoperationmasterrole의 최소 필수 인수를 사용하여 강제로 강등하는 예를 보여주는 터미널 창의 스크린샷입니다.

다음은 최소 필수 인수인 -lastdomaincontrollerindomain-removeapplicationpartitions를 사용하여 도메인의 마지막 도메인 컨트롤러를 제거하는 예제입니다.

PowerShell Uninstall-ADDSDomainController -LastDomainControllerInDomain 예제

서버의 수준을 내리기 전에 AD DS 역할을 제거하려고 하면 Windows PowerShell에서 오류를 차단합니다.

AD-Domain-Services를 제거하는 동안 제거 필수 구성 요소 단계가 실패했으며 제거를 계속할 수 없습니다. 1. Active DirectoryDomain 서비스 역할을 제거하려면 도메인 컨트롤러를 강등해야 합니다.

Important

서버의 수준을 내린 후 컴퓨터를 다시 시작해야 AD-Domain-Services 역할 파일을 제거할 수 있습니다.

결과

AD DS를 제거한 후 경고에 서명하려고 합니다.

결과 페이지에는 수준 올리기의 성공 또는 실패와 중요한 관리 정보가 표시됩니다. 10초 후 도메인 컨트롤러가 자동으로 다시 부팅됩니다.