Active Directory 설치 마법사를 사용하여 강제로 강등하는 경우 도메인 컨트롤러가 정상적으로 강등되지 않습니다.

  • 아티클

이 문서에서는 Dcpromo.exe(Active Directory 설치 마법사)를 사용하여 강제 강등을 수행할 때 도메인 컨트롤러가 강등되지 않는 문제에 대한 해결 방법을 제공합니다.

적용 대상: Windows 10 - 모든 버전, Windows Server 2012 R2
원래 KB 번호: 332199

증상

Microsoft Windows 2000 또는 Microsoft Windows Server 2003 도메인 컨트롤러는 Dcpromo.exe(Active Directory 설치 마법사)를 사용하여 정상적으로 강등되지 않을 수 있습니다.

원인

이 동작은 필요한 종속성 또는 작업이 실패할 경우 발생할 수 있습니다. 여기에는 네트워크 연결, 이름 확인, 인증, Active Directory 디렉터리 서비스 복제 또는 Active Directory의 중요한 개체 위치가 포함됩니다.

해결 방법

이 동작을 resolve Windows 2000 또는 Windows Server 2003 도메인 컨트롤러의 정상적인 강등을 방지하는 것이 무엇인지 확인한 다음 Active Directory 설치 마법사를 사용하여 도메인 컨트롤러를 다시 강등해 보세요.

참고

Windows Server 2008의 경우 DSRM(Directory Services 복원 모드)은 Windows Server 2003에서 변경되지 않습니다. Windows Server 2008에서는 명령을 실행 dcpromo/forceremoval 하여 AD DS 중지 상태에서와 마찬가지로 DSRM에서 시작된 도메인 컨트롤러에서 AD DS를 강제로 제거할 수 있습니다. 백업에서 시스템 상태 데이터를 복원하려면 DSRM에서 도메인 컨트롤러를 계속 시작해야 합니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 다시 시작 가능한 AD DS 단계별 가이드를 참조하세요.

해결 방법

동작을 resolve 수 없는 경우 다음 해결 방법을 사용하여 도메인 컨트롤러의 강제 강등을 수행하여 운영 체제 및 해당 애플리케이션의 설치를 유지할 수 있습니다.

경고

다음 해결 방법 중 하나를 사용하기 전에 디렉터리 서비스 복원 모드에서 를 성공적으로 시작할 수 있는지 확인합니다. 그렇지 않으면 컴퓨터를 강제로 강등한 후에는 로그온할 수 없습니다. 디렉터리 서비스 복원 모드 암호를 기억하지 못하는 경우 폴더에 있는 Winnt\System32 Setpwd.exe 유틸리티를 사용하여 암호를 재설정할 수 있습니다. Windows Server 2003에서는 Setpwd.exe 유틸리티의 기능이 NTDSUTIL 도구의 DSRM 암호 설정 명령에 통합되었습니다.

Windows 2000 도메인 컨트롤러

  1. SP2(서비스 팩 2) 이상을 실행하는 Windows 2000 도메인 컨트롤러에 Q332199 핫픽스를 설치하거나 Windows 2000 SP4(서비스 팩 4)를 설치합니다. SP2 이상 버전은 강제 강등을 지원합니다. 그런 다음 컴퓨터를 다시 시작합니다.

  2. 시작을 클릭하고 실행을 클릭한 다음 명령을 dcpromo /forceremoval입력합니다.

  3. 확인을 클릭합니다.

  4. Active Directory 설치 마법사 시작 페이지에서 다음을 클릭합니다.

  5. 제거하는 컴퓨터가 전역 카탈로그 서버인 경우 메시지 창에서 확인을 클릭합니다.

    참고

    필요에 따라 강등하려는 도메인 컨트롤러가 전역 카탈로그 서버인 경우 포리스트 또는 사이트에서 추가 글로벌 카탈로그를 승격합니다.

  6. Active Directory 제거 페이지에서 이 서버가 도메인 검사 상자의 마지막 도메인 컨트롤러인지 확인하고 다음을 클릭합니다.

  7. 네트워크 자격 증명 페이지에서 포리스트에 엔터프라이즈 관리자 자격 증명이 있는 사용자 계정의 이름, 암호 및 도메인 이름을 입력하고 다음을 클릭합니다.

  8. 관리자 암호에서 로컬 SAM 데이터베이스의 관리자 계정에 할당할 암호 및 확인된 암호를 입력하고 다음을 클릭합니다.

  9. Summary(요약) 페이지에서 Next(다음)를 클릭합니다.

  10. 포리스트의 남은 도메인 컨트롤러에서 강등된 도메인 컨트롤러에 대한 메타데이터 정리를 수행합니다.

Ntdsutil에서 선택한 도메인 제거 명령을 사용하여 포리스트에서 도메인을 제거한 경우 포리스트의 모든 도메인 컨트롤러와 전역 카탈로그 서버가 새 도메인을 동일한 도메인 이름으로 동일한 포리스트로 승격하기 전에 방금 제거한 도메인에 대한 모든 개체와 참조를 제거했는지 확인합니다. Windows 2000 지원 도구의 Replmon.exe 또는 Repadmin.exe 같은 도구는 엔드 투 엔드 복제가 발생했는지 여부를 확인하는 데 도움이 될 수 있습니다. Windows 2000 SP3 및 이전 글로벌 카탈로그 서버는 Windows Server 2003보다 개체 및 명명 컨텍스트를 제거하는 속도가 눈에 띄게 느립니다.

Windows Server 2003 도메인 컨트롤러

  1. 기본적으로 Windows Server 2003 도메인 컨트롤러는 강제 강등을 지원합니다. 시작을 클릭하고 실행을 클릭한 다음 명령을 dcpromo /forceremoval입력합니다.

  2. 확인을 클릭합니다.

  3. Active Directory 설치 마법사 시작 페이지에서 다음을 클릭합니다.

  4. Active Directory 강제 제거 페이지에서 다음을 클릭합니다.

  5. 관리자 암호에서 로컬 SAM 데이터베이스의 관리자 계정에 할당할 암호 및 확인된 암호를 입력하고 다음을 클릭합니다.

  6. 요약에서 다음을 클릭합니다.

  7. 포리스트의 남은 도메인 컨트롤러에서 강등된 도메인 컨트롤러에 대한 메타데이터 정리를 수행합니다.

Ntdsutil에서 선택한 도메인 제거 명령을 사용하여 포리스트에서 도메인을 제거한 경우 포리스트의 모든 도메인 컨트롤러와 전역 카탈로그 서버가 새 도메인을 동일한 도메인 이름으로 동일한 포리스트로 승격하기 전에 방금 제거한 도메인에 대한 모든 개체와 참조를 제거했는지 확인합니다. Windows 2000 SP3(서비스 팩 3) 및 이전 글로벌 카탈로그 서버는 Windows Server 2003보다 개체 및 명명 컨텍스트를 제거하는 속도가 눈에 띄게 느립니다.

Active Directory를 제거한 컴퓨터의 ACE(리소스 액세스 제어 항목)가 도메인 로컬 그룹을 기반으로 하는 경우 이러한 그룹을 멤버 또는 독립 실행형 서버에서 사용할 수 없으므로 이러한 권한을 다시 구성해야 할 수 있습니다. 컴퓨터에 Active Directory를 설치하여 원래 도메인의 도메인 컨트롤러로 만들려는 경우 ACL(액세스 제어 목록)을 더 이상 구성할 필요가 없습니다. 컴퓨터를 구성원 또는 독립 실행형 서버로 맡기려는 경우 도메인 로컬 그룹을 기반으로 하는 모든 사용 권한을 번역하거나 대체해야 합니다.

Windows Server 2003 서비스 팩 1 개선 사항

Windows Server 2003 SP1은 프로세스를 향상시킵니다 dcpromo /forceremoval . dcpromo /forceremoval 가 실행되면 도메인 컨트롤러가 master 작업을 호스트하는지, DNS(Domain Name System) 서버인지, 글로벌 카탈로그 서버인지를 확인하기 위한 검사 수행됩니다. 이러한 각 역할에 대해 관리자는 관리자에게 적절한 조치를 취하도록 권고하는 팝업 경고를 받습니다.

도메인 컨트롤러가 일반 모드에서 시작할 수 없는 경우

중요

이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의하여 수행해야 합니다. 추가된 보호를 위해 레지스트리를 수정하기 전에 백업하세요. 그런 다음 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은 Windows에서 레지스트리를 백업 및 복원하는 방법을 참조하세요.

중요

도메인 컨트롤러가 정상 모드에서 시작할 수 없는 경우에만 마지막 수단으로 다음 단계를 수행합니다.

도메인 컨트롤러에서 Active Directory를 제거하려면 다음 단계를 수행합니다.

  1. 컴퓨터를 다시 시작한 다음 F8 키를 눌러 Windows 2000 고급 옵션 메뉴를 표시합니다.

  2. 디렉터리 서비스 복원 모드를 선택하고 Enter 키를 누른 다음 Enter 키를 다시 눌러 다시 시작합니다.

  3. 레지스트리에서 ProductType 항목을 수정합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 시작, 실행을 클릭하고 regedit을 입력한 다음 확인을 클릭합니다.

    2. 레지스트리 하위 키 를 찾습니다 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions.

    3. 오른쪽 창에서 ProductType을 두 번 클릭합니다.

    4. 값 데이터 상자에 ServerNT를 입력하고 확인을 클릭합니다.

      참고

      이 값이 올바르게 설정되지 않았거나 철자가 틀린 경우 시스템 프로세스 - 라이선스 위반: 시스템에서 등록된 제품 유형 변조를 감지했습니다. 오류 메시지가 표시될 수 있습니다. 이는 소프트웨어 라이선스 위반입니다. 제품 유형 변조는 허용되지 않습니다.

    5. 레지스트리 편집기를 종료합니다.

  4. 컴퓨터를 다시 시작합니다.

  5. 디렉터리 서비스 복구 모드에 사용되는 관리자 계정 및 암호로 로그온합니다.

    컴퓨터가 멤버 서버로 작동합니다. 그러나 도메인 컨트롤러와 연결된 컴퓨터에 남아 있는 파일 및 레지스트리 항목은 여전히 남아 있습니다.

  6. 레지스트리 편집기 시작하고 레지스트리 항목을 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters찾습니다.

    Src Root Domain Srv에 대한 항목이 있는 경우 값을 마우스 오른쪽 단추로 클릭한 다음 삭제를 클릭합니다. 도메인 컨트롤러가 승격 후 도메인에서 유일한 도메인 컨트롤러로 표시되도록 이 값을 삭제해야 합니다.

    중요

    위의 단계는 중요합니다. 그렇지 않으면 임시 AD 포리스트로의 다시 승격이 완료되지 않으며 도메인 컨트롤러에 로그온할 수 없습니다.

  7. 나머지 파일 및 레지스트리 항목을 제거합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. Active Directory 설치 마법사를 시작합니다.

    2. Active Directory를 설치하여 컴퓨터를 psstemp.deleteme과 같은 새로운 임시 도메인의 도메인 컨트롤러로 만듭니다.

      참고

      컴퓨터를 다른 포리스트의 도메인 컨트롤러로 만들어야 합니다.

    3. Active Directory를 설치한 후 Active Directory 설치 마법사를 다시 시작한 다음 도메인 컨트롤러에서 Active Directory를 제거합니다.

  8. 도메인 컨트롤러에서 Active Directory를 제거한 후 도메인에 남아 있는 메타데이터를 제거합니다. 이 메타데이터를 제거하는 방법에 대한 자세한 내용은 실패한 도메인 컨트롤러 강등 후 Active Directory에서 데이터를 제거하는 방법을 참조하세요.

상태

Microsoft는 Windows 2000 또는 Windows Server 2003을 실행하는 도메인 컨트롤러의 강제 강등을 테스트하고 지원합니다.

추가 정보

Active Directory 설치 마법사는 Windows 2000 기반 및 Windows Server 2003 기반 컴퓨터에 Active Directory 도메인 컨트롤러를 만듭니다. Active Directory 설치 마법사에서 수행하는 작업에는 새 서비스 설치, 기존 서비스의 시작 값 변경, 보안 및 인증 영역으로 Active Directory로의 전환이 포함됩니다.

강제 강등을 통해 도메인 관리자는 포리스트의 다른 도메인 컨트롤러에 연결하거나 로컬로 유지된 변경 내용을 복제하지 않고도 Active Directory를 강제로 제거하고 로컬로 유지된 시스템 변경 내용을 롤백할 수 있습니다.

강제 강등으로 인해 로컬로 유지되는 변경 내용이 손실되므로 프로덕션 또는 테스트 도메인에서 최후의 수단으로만 사용합니다. 연결, 이름 확인, 인증 또는 복제 엔진 종속성을 확인할 수 없으면 도메인 컨트롤러를 강제로 강등하여 정상적인 강등을 수행할 수 있습니다. 강제 강등에 대한 유효한 시나리오는 다음과 같습니다.

  • 직접 자식 도메인에서 마지막 도메인 컨트롤러를 강등하려고 하면 부모 도메인에서 현재 사용할 수 있는 도메인 컨트롤러가 없습니다.

  • 자세한 문제 해결을 수행한 후에는 resolve 수 없는 이름 확인, 인증, 복제 엔진 또는 Active Directory 개체 종속성이 있으므로 Active Directory 설치 마법사를 완료할 수 없습니다.

  • 도메인 컨트롤러는 하나 이상의 명명 컨텍스트에 대해 삭제 표시 수명(기본 삭제 표시 수명은 60일) 일 수에서 들어오는 Active Directory 변경 내용을 복제하지 않았습니다.

    중요

    특정 도메인에 대해 복구할 수 있는 유일한 기회가 아니면 이러한 도메인 컨트롤러를 복구하지 마세요.

  • 도메인 컨트롤러를 즉시 서비스로 가져와야 하므로 시간이 지나면 더 자세한 문제 해결이 허용되지 않습니다. 강제 강등은 기존 도메인에서 도메인 컨트롤러를 제거할 수 있는 랩 및 클래스룸 환경에서 유용할 수 있지만 각 도메인 컨트롤러를 직렬로 강등할 필요는 없습니다.

도메인 컨트롤러의 강등을 강제로 적용하면 강제로 강등하는 도메인 컨트롤러의 Active Directory에 있는 고유한 변경 내용이 손실됩니다. 여기에는 명령을 실행하기 전에 복제되지 않은 사용자, 컴퓨터, 그룹, 트러스트 관계 및 그룹 정책 또는 Active Directory 구성의 추가, 삭제 또는 수정이 dcpromo /forceremoval 포함됩니다. 또한 사용자, 컴퓨터, 트러스트 관계 및 그룹 멤버 자격에 대한 암호와 같은 이러한 개체의 특성 중 하나에 대한 변경 내용이 손실됩니다.

그러나 도메인 컨트롤러의 강등을 강제로 적용하는 경우 운영 체제를 도메인에서 마지막 도메인 컨트롤러의 성공적인 강등과 동일한 상태로 반환합니다(서비스 시작 값, 설치된 서비스, 계정 데이터베이스에 대한 레지스트리 기반 SAM 사용, 컴퓨터는 작업 그룹의 구성원임). 강등된 도메인 컨트롤러에 설치된 프로그램은 여전히 설치되어 있습니다.

시스템 이벤트 로그는 이벤트 ID 29234를 기준으로 강제로 강등된 Windows 2000 도메인 컨트롤러 및 작업 인스턴스를 식별합니다 dcpromo /forceremoval . 예를 들어 시스템 이벤트 로그는 이벤트 ID 29239를 기준으로 강제로 강등된 Windows Server 2003 도메인 컨트롤러를 식별합니다. 예를 들어 명령을 사용하면 dcpromo /forceremoval 강등된 컴퓨터의 메타데이터가 남은 도메인 컨트롤러에서 삭제되지 않습니다. 자세한 내용은 Active Directory 도메인 컨트롤러 서버 메타데이터 정리를 참조하세요.

도메인 컨트롤러를 강제로 강등한 후 해당하는 경우 해결해야 하는 항목은 다음과 같습니다.

  1. 도메인에서 컴퓨터 계정을 제거합니다.
  2. A, CNAME 및 SRV 레코드와 같은 DNS 레코드가 제거되었는지 확인하고 있는 경우 제거합니다.
  3. FRS 멤버 개체(FRS 및 DFS)가 제거되었는지 확인하고 있는 경우 제거합니다.
  4. 강등된 컴퓨터가 보안 그룹의 구성원인 경우 해당 그룹에서 제거합니다.
  5. 링크 또는 루트 복제본과 같이 강등된 서버에 대한 DFS 참조를 제거합니다.
  6. 남은 도메인 컨트롤러는 이전에 강제로 강등된 도메인 컨트롤러에 의해 유지되었던 유연한 단일 master 작업 또는 FSMO라고도 하는 역할 master 작업을 포착해야 합니다. 자세한 내용은 Active Directory Domain Services 작업 마스터 역할 이전 또는 점유를 참조하세요.
  7. 강등하려는 도메인 컨트롤러가 DNS 서버 또는 글로벌 카탈로그 서버인 경우 포리스트의 부하 분산, 내결함성 및 구성 설정을 충족하도록 새 GC 또는 DNS 서버를 만들어야 합니다.
  8. NTDSUTIL에서 선택한 서버 제거 명령을 사용하면 강제로 강등된 도메인 컨트롤러에 들어오는 연결에 대한 부모 개체인 NTDSDSA 개체가 제거됩니다. 이 명령은 사이트 및 서비스 스냅인에 표시되는 부모 서버 개체를 제거하지 않습니다. 도메인 컨트롤러가 동일한 컴퓨터 이름으로 포리스트로 승격되지 않는 경우 Active Directory 사이트 및 서비스 MMC 스냅인을 사용하여 서버 개체를 제거합니다.