도메인 컨트롤러 수준 내리기를 못한 정상적으로 Active Directory 설치 마법사를 사용 하 여 강제로 Windows Server 2003에서 및 Windows 2000 서버에서 수준 내리기

증상

Microsoft Windows 2000 또는 Microsoft Windows Server 2003 도메인 컨트롤러를 Active Directory 설치 마법사 (Dcpromo.exe)를 사용 하 여 정상적으로 강등 하지 않을 수 있습니다.

원인

필요한 종속 관계 나 작업에 실패 하는 경우이 문제가 발생 합니다. 이러한 Active Directory의 네트워크 연결, 이름 확인, 인증, Active Directory 디렉터리 서비스 복제 또는 중요 한 개체의 위치 포함 합니다.

해결 방법

이 문제를 해결 하려면 Windows 2000 또는 Windows Server 2003 도메인 컨트롤러의 성공적인 수준 내리기를 확인 한 다음 다시 Active Directory 설치 마법사를 사용 하 여 도메인 컨트롤러의 수준을 내릴 하려고 합니다.

참고: Windows Server 2008 디렉터리 서비스 복원 모드 (DSRM) 예외적으로 Windows Server 2003에서 변경 되지 않습니다. Windows Server 2008에서 dcpromo/forceremoval 을 실행 하면 AD DS의 경우와 마찬가지로, DSRM에서 시작 된 도메인 컨트롤러에서 AD DS를 강제로 제거 하려면 명령을 중지 상태. 여전히 백업에서 시스템 상태 데이터를 복원 하려면 DSRM에서 도메인 컨트롤러를 시작 합니다. 이 작업을 수행 하는 방법에 대 한 자세한 내용은 다음 TechNet 문서를 참조 하십시오.

해결 방법

해당 문제를 해결할 수 없는 경우 다음 해결 방법 상의 모든 응용 프로그램 및 운영 체제의 설치를 유지 하도록 도메인 컨트롤러의 수준을 강제로 내릴 수 사용할 수 있습니다.

경고 다음 해결 방법 중 하나를 사용 하 여 디렉터리 서비스 복원 모드에서 성공적으로 시작할 수 있는지 확인 하십시오. 그렇지 않으면 컴퓨터 수준을 강제로 내린 후 로그온 할 수 없습니다. 디렉터리 서비스 복원 모드 암호를 기억 하지 못하는 경우 Winnt\System32 폴더에 있는 Setpwd.exe 유틸리티를 사용 하 여 암호를 다시 설정할 수 있습니다. Windows Server 2003에서 NTDSUTIL 도구의 DSRM 암호 설정 명령으로 Setpwd.exe 유틸리티의 기능 통합 된.
자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를이 절차를 수행 하는 방법.

서버 구성 마법사 271641 빈 복구 모드 암호를 설정

Windows 2000 도메인 컨트롤러

  1. 서비스 팩 2 (SP2) 또는 이후 버전을 실행 하는 Windows 2000 도메인 컨트롤러에 Q332199 핫픽스를 설치 하거나 Windows 2000 서비스 팩 4 (SP4)를 설치 합니다. SP2 및 이후 버전에는 강제 수준 내리기를 지원합니다. 그런 다음 컴퓨터를 다시 시작 합니다.
  2. 시작하 고 실행을 차례로 누르고 다음 명령을 입력 합니다.
    dcpromo /forceremoval
  3. 확인을 클릭합니다.
  4. Active Directory 설치 마법사 시작 페이지에서 다음을 클릭 합니다.
  5. 제거할 컴퓨터가 글로벌 카탈로그 서버인 경우 메시지 창에서 확인 클릭 합니다.

    참고: 필요에 따라 수준을 내릴 도메인 컨트롤러가 글로벌 카탈로그 서버를이 사이트 또는 포리스트의 추가 글로벌 카탈로그를 수준을 올립니다.
  6. Active Directory 제거 페이지에서 이 서버가 도메인의 마지막 도메인 컨트롤러입니다 확인란의 선택이 취소 되었는지 확인 하 고 을 클릭 합니다.
  7. 네트워크 자격 증명 페이지에서 포리스트의 이름, 암호 및 도메인 이름을 엔터프라이즈 관리자 자격 증명을 가진 사용자 계정 입력 한 후 다음을 클릭 합니다.
  8. 관리자 암호를 암호와 확인된 암호가 있는 로컬 SAM 데이터베이스의 관리자 계정에 할당 하려면 입력 하 고 을 클릭 합니다.
  9. 요약 페이지에서 다음을 클릭 합니다.
  10. 포리스트의 활성 도메인 컨트롤러에서 수준이 내린된 도메인 컨트롤러에 대 한 메타 데이터 정리를 수행 합니다.
Ntdsutil에서 remove selected domain 명령을 사용 하 여 포리스트에서 도메인을 제거 하면 도메인의 모든 도메인 컨트롤러 및 포리스트의 글로벌 카탈로그 서버가 개체를 모두 제거 하 고 삭제 하기 전에 도메인에 대 한 참조가 새 도메인을 도메인 이름이 같은 동일한 포리스트로 홍보 확인 하십시오. 같은 Windows 2000 지원 도구에서 Repadmin.exe 또는 Replmon.exe 도구 종단 간 복제가 발생 했는지 여부를 확인할 수 있습니다. Windows 2000 SP3 및 이전 버전의 글로벌 카탈로그 서버는 Windows Server 2003에는 보다 개체 및 명명 컨텍스트를 제거 하려면 현저 하 게 느려질입니다.

Windows Server 2003 도메인 컨트롤러

  1. 기본적으로 Windows Server 2003 도메인 컨트롤러는 강제 수준 내리기를 지원 합니다. 시작하 고 실행을 차례로 누르고 다음 명령을 입력 합니다.
    dcpromo /forceremoval
  2. 확인을 클릭합니다.
  3. Active Directory 설치 마법사 시작 페이지에서 다음을 클릭 합니다.
  4. 강제로 Active Directory 제거 페이지에서 다음을 클릭 합니다.
  5. 관리자 암호를 암호와 확인된 암호가 있는 로컬 SAM 데이터베이스의 관리자 계정에 할당 하려면 입력 하 고 을 클릭 합니다.
  6. 요약하면, 다음을 클릭 합니다.
  7. 포리스트의 활성 도메인 컨트롤러에서 수준이 내린된 도메인 컨트롤러에 대 한 메타 데이터 정리를 수행 합니다.
Ntdsutil에서 remove selected domain 명령을 사용 하 여 포리스트에서 도메인을 제거 하면 도메인의 모든 도메인 컨트롤러 및 포리스트의 글로벌 카탈로그 서버가 개체를 모두 제거 하 고 삭제 하기 전에 도메인에 대 한 참조가 새 도메인을 도메인 이름이 같은 동일한 포리스트로 홍보 확인 하십시오. Windows 2000 서비스 팩 3 (SP3) 및 이전 버전의 글로벌 카탈로그 서버는 Windows Server 2003에는 보다 개체 및 명명 컨텍스트를 제거 하려면 눈에 띄게 느려집니다.

Active Directory를 제거한 컴퓨터의 리소스 액세스 제어 항목 (Ace)가 도메인 로컬 그룹을 기반 경우에 이러한 그룹 구성원 또는 독립 실행형 서버를 사용할 수 없습니다 때문에 이러한 사용 권한을 다시 구성 해야 할 수 있습니다. 원래 도메인에서 도메인 컨트롤러를 확인 하려면 컴퓨터에 Active Directory를 설치 하려면 액세스 제어 목록 (Acl)을 더 이상 구성할 필요가 없습니다. 멤버 또는 독립 실행형 서버 컴퓨터를 종료 하려는 경우 도메인 로컬 그룹을 기반으로 하는 권한은 변환 하거나 교체 해야 합니다. 사용 권한에 도메인 컨트롤러에서 Active Directory를 제거한 후의 영향에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.:

320230 권한은 영향을 받는 도메인 컨트롤러 수준을 내린 후

Windows Server 2003 서비스 팩 1의 향상 된 기능

Windows Server 2003 SP1 dcpromo /forceremoval 프로세스를 향상 시킵니다. Dcpromo /forceremoval 실행 될 때 또는 있는지 여부를 도메인 컨트롤러 작업 마스터 역할을 호스트, 도메인 이름 시스템 (DNS) 서버는 글로벌 카탈로그 서버를 확인 하는 검사가 이루어집니다. 관리자는 각이 역할에 대 한 팝업 경고가 관리자에 적절 한 조치를 한다는 받습니다.

도메인 컨트롤러가 표준 모드에서 시작할 수 없는 경우

중요: 이 섹션, 방법 또는 작업은 레지스트리를 수정하는 방법을 설명하는 단계를 포함합니다. 그러나, 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의 깊게 수행해야 합니다. 추가 보호 조치로, 해당 레지스트리를 수정하기 전에 미리 백업하세요. 그런 다음, 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은, Microsoft 기술 자료의 다음 문서 번호를 클릭합니다.
322756 백업 및 Windows에서 레지스트리를 복원 하는 방법


중요: 도메인 컨트롤러가 표준 모드에서 시작할 수 없는 경우 마지막 수단으로 서만 다음이 단계를 수행 합니다.

도메인 컨트롤러에서 Active Directory를 제거 하려면 다음과이 같이 하십시오.
  1. 컴퓨터를 다시 시작 하 고 Windows 2000 고급 옵션 메뉴를 표시 하려면 F8 키를 누릅니다.
  2. 디렉터리 서비스 복원 모드를 선택 하 고 enter 키를 누른 다음 enter 키를 눌러 다시 시작 하 시겠습니까를 다시.
  3. ProductType 레지스트리 항목을 수정 합니다. 이렇게 하려면, 다음 단계를 수행하십시오.
    1. 시작 실행을 차례로 누르고 regedit를 입력 한 다음 확인을 누릅니다.
    2. 다음 레지스트리 하위 키를 찾습니다.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions
    3. 오른쪽 창에서 ProductType을 두 번 클릭 합니다.
    4. 값 데이터 상자에 ServerNT 를 입력 한 다음 확인을 클릭 합니다.

      참고: 이 값이 올바르게 설정 되어 있지 않거나 잘못, 다음과 같은 오류 메시지가 나타날 수 있습니다.
      시스템 프로세스-라이센스 위반: 시스템에 등록 된 제품 종류의 손상을 발견 했습니다. 소프트웨어 라이센스 위반입니다. 제품 종류의 손상을 허용 되지 않습니다.
    5. 레지스트리 편집기를 종료합니다.
  4. 컴퓨터를 다시 시작합니다.
  5. 관리자 계정 및 디렉터리 서비스 복원 모드에 사용 되는 암호를 사용 하 여 로그온 합니다.

    컴퓨터를 구성원 서버로 서 작동 합니다. 그러나 아직 있습니다 일부 남아 있는 파일 및 컴퓨터에서 도메인 컨트롤러와 관련 된 레지스트리 항목.
  6. 레지스트리 편집기를 시작한 다음 레지스트리 항목을 찾습니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
    루트 도메인 Srv Src에대 한 항목이 있는 경우 값을 마우스 오른쪽 단추로 클릭 한 다음 삭제를 클릭 합니다. 도메인 컨트롤러가 볼 수 있도록 자체 도메인의 유일한 도메인 컨트롤러로 수준을 올린 후이 값을 삭제 해야 합니다.

    중요: 위의 단계는 매우 중요 합니다. 없으면 임시 광고 포리스트로 다시 수준 올리기를 완료 되지 않습니다 및 도메인 컨트롤러에 로그온 할 수 없습니다.
  7. 남아 있는 파일 및 레지스트리 항목을 제거 합니다. 이렇게 하려면, 다음 단계를 수행하십시오.
    1. Active Directory 설치 마법사를 시작 합니다.
    2. "Psstemp.deleteme."와 같은 새로운, 임시 도메인에 대 한 도메인 컨트롤러 컴퓨터를 확인 하기 위해 Active Directory를 설치 합니다.

      참고: 확인 하는 컴퓨터는 도메인 컨트롤러가 다른 포리스트에 있는지 확인 합니다.
    3. Active Directory를 설치한 후 Active Directory 설치 마법사를 다시 시작 하 고 도메인 컨트롤러에서 Active Directory를 제거 합니다.
  8. 도메인 컨트롤러에서 Active Directory를 제거한 후 도메인에 남아 있는 메타 데이터를 제거 합니다. 이 메타 데이터를 제거 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.:

    216498 는 실패 한 도메인 컨트롤러 수준 내리기 후 Active Directory에서 데이터를 제거 하는 방법

상태

Microsoft는 테스트 하 고 Windows 2000 또는 Windows Server 2003을 실행 하는 도메인 컨트롤러의 강제 수준 내리기를 지원 합니다.

자세한 내용

Active Directory 설치 마법사는 Windows 2000 및 Windows Server 2003 기반 컴퓨터에서 Active Directory 도메인 컨트롤러를 만듭니다. Active Directory 보안 및 인증 영역으로 전환 하 고 기존 서비스의 시작 값이 변경 된 새로운 서비스의 설치를 포함 하는 Active Directory 설치 마법사에서 수행 하는 작업.

강제 수준 내리기를 사용 하 여 도메인 관리자가 연결 하거나 로컬로 유지 되는 변경 내용을 포리스트에 있는 다른 도메인 컨트롤러로 복제할 필요 없이 Active Directory 및 로컬로 보유 되는 롤 시스템 변화를 제거할 강제로 수 있습니다.

강제 수준 내리기를 사용 하면 로컬의 손실 때문에 프로덕션 환경에서 마지막 수단 으로만 사용 하거나 테스트 도메인 유지 되는 변경 하십시오. 연결, 이름 확인, 인증 또는 복제 엔진 종속성 확인할 수 없는 성공적인 수준 내리기를 수행할 수 있도록 하는 경우 도메인 컨트롤러 강제로 수준을 내릴 수 있습니다. 강제로 수준 내리기는 유효한 시나리오는 다음과 같습니다.
  • 도메인 컨트롤러가 현재 부모 도메인에 직계 자식 도메인에서 마지막 도메인 컨트롤러의 수준을 차례로 내릴 때.
  • 이름 확인, 인증, 복제 엔진 또는 확인할 수 없는 Active Directory 개체 종속성이 있기 때문에 Active Directory 설치 마법사를 완료할 수 없습니다 자세한 문제 해결을 수행한 후.
  • 도메인 컨트롤러가 삭제 표시 수명 들어오는 Active Directory 변경 내용을 복제 하지 않았습니다 (기본 삭제 표시 수명은 60 일) 하나 이상의 명명 컨텍스트에 대해.

    중요: 특정 도메인에 대 한 복구의 유일한 기회는 있지 않은 경우 도메인 컨트롤러를 복구 하지 마십시오.
  • 작동 시켜야 하므로 즉시 서비스로 도메인 컨트롤러 보다 꼼꼼하게 문제 해결을 수행할 시간이 없습니다.
강제 수준 내리기는 기존 도메인에서 도메인 컨트롤러를 제거할 수 있습니다 각 도메인 컨트롤러의 수준을 차례로 내릴 필요가 실습 및 학습 환경 어디에 유용할 수 있습니다.

강제로 도메인 컨트롤러의 수준 내리기를 강제로 수준을 내린 도메인 컨트롤러의 Active Directory에 있는 고유 변경 내용이 손실 됩니다. 추가, 삭제 또는 사용자, 컴퓨터, 그룹, 트러스트 관계 및 dcpromo /forceremoval 명령을 실행 하기 전에 해제 복제 되지 않은 그룹 정책 또는 Active Directory 구성의 수정을 포함 됩니다. 또한, 사용자, 컴퓨터 및 트러스트 관계 및 그룹 구성원에 대 한 암호와 같은 이러한 개체의 특성 중 하나에 변경 내용이 손실 됩니다.

그러나 도메인 컨트롤러의 수준 내리기를 강제로 돌아갈 운영 체제는 도메인에서 마지막 도메인 컨트롤러의 성공적인 수준 내리기와 같은 상태로 (서비스 시작 값, 설치 된 서비스를 사용 하는 레지스트리 기반 SAM 계정 데이터베이스, 컴퓨터가 작업 그룹의 구성원이). 수준이 내린된 도메인 컨트롤러에 설치 되어 있는 프로그램이 설치 되어 있습니다.

시스템 이벤트 로그는 강제로 수준을 내린 Windows 2000 도메인 컨트롤러 및 dcpromo /forceremoval 작업 이벤트 ID 29234로 식별합니다. 예: 시스템 이벤트 로그는 강제로 수준이 내린된 Windows Server 2003 도메인 컨트롤러 이벤트 ID 29239로 식별 합니다. 예를 들어: dcpromo /forceremoval 명령을 사용 하면 수준이 내린된 컴퓨터에 대 한 메타 데이터는 수집 되지 않고 남아 도메인 컨트롤러에서 삭제 되지 않습니다 . 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.:

216498 는 실패 한 도메인 컨트롤러 수준 내리기 후 Active Directory에서 데이터를 제거 하는 방법

다음은 확인 해야 하는 항목에 해당 하는 경우 강제로 도메인 컨트롤러 수준을 내린 후입니다.
  1. 도메인에서 컴퓨터 계정을 제거 합니다.
  2. 있는지 DNS 레코드와 같은 A, CNAME 및 SRV 레코드가 제거 되 고 있는 경우 제거를 확인 합니다.
  3. FRS 구성원 개체 (FRS 및 DFS) 제거 되 고 있는 경우 제거를 확인 합니다. 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.:

    FRS에서 사용 되는 296183 Active Directory 개요 개체

  4. 수준이 내린된 컴퓨터가 보안 그룹의 구성원 인 경우 해당 그룹에서 제거 합니다.
  5. 예: 링크 또는 루트 복제 수준을 내린 서버에 대 한 DFS 참조를 제거 합니다.
  6. 활성 도메인 컨트롤러는 작업 마스터 역할을 신축 단일 마스터 작업 또는 FSMO 라고도 강제로 수준이 내린된 도메인 컨트롤러에서 이전에 보유 된 점유 해야 합니다. 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.:

    255504 점유 하거나 도메인 컨트롤러로 FSMO 역할을 전송 하려면 Ntdsutil.exe를 사용 하 여

  7. 수준을 내릴 도메인 컨트롤러가 DNS 서버나 글로벌 카탈로그 서버 이면 로드 균형 조정, 결함 허용 및 구성 설정을 포리스트의 만족 시키기 위해 GC 또는 DNS 서버를 새로 만들어야 합니다.
  8. NTDSUTIL을 NTDSDSA 개체에서 선택한 서버 제거 명령을 사용할 때 강제로 수준을 내린 도메인 컨트롤러에 대 한 들어오는 연결에 대 한 부모 개체가 제거 됩니다. 명령은 사이트에 표시 되는 부모 서버 개체를 제거 하지 않습니다 및 서비스 스냅인 사용 하 여 Active Directory 사이트 및 서비스 MMC 스냅인에서 서버 개체를 제거 하는 경우 도메인 컨트롤러가 같은 컴퓨터 이름 가진 포리스트로 바꾸지 않습니다.
속성

문서 ID: 332199 - 마지막 검토: 2017. 2. 7. - 수정: 1

Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

피드백