Active Directory NTDSUTIL로 잘못된 DC 제거하기

문서에서는 도메인 컨트롤러의 수준 내리기 작업이 실패한 후 Active Directory에서 데이터를 제거하는 방법을 설명합니다. 경고: ADSI Edit 스냅인, LDP 유틸리티 또는 기타 LDAP 버전 3 클라이언트를 사용할 때 Active Directory 개체의 특성을 잘못 수정하면 심각한 문제가 발생할 수 있습니다. Microsoft Windows 2000 Server, Microsoft Exchange 2000 Server 또는 둘 모두를 다시 설치해야 할 수도 있습니다. Microsoft는 Active Directory 개체 특성을 잘못 수정하여 발생하는 문제에 대한 해결을 보증하지 않습니다. 이 특성 수정에 따른 모든 책임은 사용자에게 있습니다. DCPROMO(Dcpromo.exe) 유틸리티는 서버의 수준을 도메인 컨트롤러로 올리고 도메인 컨트롤러의 수준을 구성원 서버(또는 해당 도메인 컨트롤러가 도메인의 마지막 도메인 컨트롤러인 경우 작업 그룹의 독립 실행형 서버)로 내리는 데 사용됩니다. DCPROMO 유틸리티는 수준을 내리는 과정에서 Active Directory의 도메인 컨트롤러에 대한 구성 데이터를 제거합니다. 이 데이터는 Active Directory 사이트 및 서비스 관리자에서 서버 개체의 자식으로 존재하는 “NTDS 설정” 개체의 형식을 갖습니다. 해당 정보는 Active Directory의 다음 위치에 있습니다. CN=NTDS Settings,CN=,CN=Servers,CN=,CN=Sites,CN=Configuration,DC=… NTDS 설정 개체의 특성에는 도메인 컨트롤러가 복제 파트너에 대해 식별되는 방법, 시스템에서 유지 관리되는 명명 컨텍스트, 해당 도메인 컨트롤러가 글로벌 카탈로그 서버인지 여부 및 기본 쿼리 정책을 나타내는 데이터가 포함되어 있습니다. 또한 NTDS 설정 개체는 도메인 컨트롤러의 직접 복제 파트너를 나타내는 자식 개체가 포함될 수 있는 컨테이너입니다. 도메인 컨트롤러가 해당 환경에서 동작하기 위해서는 이 데이터가 필요하지만 수준 내리기 후 바로 회수됩니다. NTDS 설정 개체가 적절하게 제거되지 않은 경우(예를 들어, NTDS 설정 개체가 수준 내리기 시도에서 적절히 제거되지 않은 경우)에는 관리자가 Ntdsutil.exe 유틸리티를 사용하여 NTDS 설정 개체를 수동으로 제거할 수 있습니다. 아래의 단계는 특정 도메인 컨트롤러에 대해 Active Directory에서 NTDS 설정 개체를 제거하기 위한 절차를 나열한 것입니다. 관리자는 각 NTDSUTIL 메뉴에서 help를 입력하여 사용할 수 있는 옵션에 대한 자세한 정보를 볼 수 있습니다. 주의: 관리자는 서버에 대한 NTDS 설정 개체를 수동으로 제거하기 전에 수준 내리기 이후의 복제 발생 여부도 확인해야 합니다. NTDSUTIL 유틸리티를 잘못 사용하면 Active Directory 기능의 일부 또는 전체가 손실될 수 있습니다. 시작을 누르고 프로그램, 보조프로그램을 차례로 가리킨 다음 명령 프롬프트를 누릅니다. 명령 프롬프트에서 ntdsutil을 입력합니다. metadata cleanup을 입력한 다음 Enter 키를 누릅니다. 관리자는 제공된 옵션에 따라 제거를 수행할 수 있지만 제거하려면 구성 매개 변수를 추가로 지정해야 합니다. connections를 입력하고 Enter 키를 누릅니다. 이 메뉴는 변경이 발생한 특정 서버에 연결하는 데 사용됩니다. 현재 로그온한 사용자에게 관리 권한이 없을 경우 연결하기 전에 사용할 자격 증명을 지정하면 대체 자격 증명이 제공될 수 있습니다. 이렇게 하려면 set creds domain nameusernamepassword를 입력하고 Enter 키를 누릅니다. Null 암호의 경우에는 암호 매개 변수에 대해 null을 입력합니다. connect to server servername을 입력한 다음 Enter 키를 누릅니다. 연결되었다는 확인 메시지가 나타납니다. 오류가 발생하면 해당 연결에서 사용 중인 도메인 컨트롤러가 사용 가능한지 그리고 제공한 자격 증명에 해당 서버에 대한 관리 권한이 있는지 확인합니다. 참고: 삭제할 서버와 같은 서버에 연결하려고 한 경우 15단계에서 참조된 서버를 삭제하려고 하면 아래와 같은 내용의 오류 메시지가 나타날 수 있습니다. 오류 2094. DSA 개체를 삭제할 수 없습니다. 0x2094 quit를 입력하고 Enter 키를 누릅니다. Metadata Cleanup 메뉴가 표시됩니다. select operation target을 입력하고 Enter 키를 누릅니다. list domains를 입력하고 Enter 키를 누릅니다. 포리스트의 도메인 목록이 관련 번호와 함께 표시됩니다. select domain number을 입력하고 Enter 키를 누릅니다(여기서 number은 제거할 서버가 구성원이 되는 도메인과 관련된 번호임). 선택한 도메인은 제거할 서버가 해당 도메인의 마지막 도메인 컨트롤러인지 확인하는 데 사용됩니다. list sites를 입력하고 Enter 키를 누릅니다. 사이트 목록이 관련 번호와 함께 표시됩니다. select site number을 입력하고 Enter 키를 누릅니다(여기서 number은 제거할 서버가 구성원이 되는 사이트와 관련된 번호임). 선택한 사이트와 도메인을 나열하는 확인 메시지가 나타납니다. list server in site를 입력하고 Enter 키를 누릅니다. 사이트의 서버 목록이 관련 번호와 함께 표시됩니다. select server number을 입력합니다(여기서 number은 제거할 서버와 관련된 번호임). 선택한 서버, 도메인 이름 서버(DNS) 호스트 이름, 제거할 서버의 컴퓨터 계정 위치를 나열하는 확인 메시지가 나타납니다. quit를 입력하고 Enter 키를 누릅니다. Metadata Cleanup 메뉴가 표시됩니다. remove selected server를 입력하고 Enter 키를 누릅니다. 제거되었다는 확인 메시지가 나타납니다. 다음과 같은 내용의 오류 메시지가 나타날 수 있습니다. 오류 8419(0x20E3) DSA 개체를 찾을 수 없습니다. 다른 관리자가 NTDS 설정 개체를 제거하였거나 DCPROMO 유틸리티 실행 후 개체의 성공적인 제거를 복제하였기 때문에 Active Directory에서 NTDS 설정 개체가 이미 제거되었을 수도 있습니다. 참고: 제거할 도메인 컨트롤러에 바인딩하려고 할 때도 이 오류가 나타날 수 있습니다. Ntdsutil은 메타데이터 정리를 사용하여 제거할 도메인 컨트롤러와 다른 도메인 컨트롤러에 바인딩해야 합니다. 각 메뉴에 quit를 입력하여 NTDSUTIL 유틸리티를 종료합니다. 연결이 해제되었다는 확인 메시지가 나타납니다. DNS의 _msdcs.root domain of forest 영역에 있는 cname 레코드를 제거합니다. DC를 다시 설치하고 수준을 다시 올리면 DNS의 새로운 글로벌 고유 식별자(GUID)와 해당 cname 레코드를 사용하여 새 NTDS 설정 개체가 만들어집니다. 존재하는 DC가 이전 cname 레코드를 사용하게 않게 할 수 있습니다. 호스트 이름과 기타 DNS 레코드를 삭제하지 않는 것이 가장 좋습니다. 오프라인 서버에 할당된 동적 호스트 구성 프로토콜(DHCP) 주소에 남아 있는 임대 기간을 초과하면 다른 클라이언트가 문제 DC의 IP 주소를 얻을 수 있습니다. NTDS 설정 개체를 삭제하였으면 이제 다음과 같은 개체를 삭제할 수 있습니다. ADSIEdit를 사용하여 OU=Domain Controllers,DC=domain...의 컴퓨터 계정을 삭제합니다. 참고: FRS 가입자 개체는 해당 컴퓨터 계정의 자식이므로 컴퓨터 개체가 삭제될 때 삭제됩니다. ADSIEdit를 사용하여 CN=Domain System Volume(SYSVOL share),CN=file replication service,CN=system...의 FRS 구성원 개체를 삭제합니다. DNS 콘솔에서 DNS MMC를 사용하여 _msdcs 컨테이너의 cname(별칭이라고도 함) 레코드를 삭제합니다. DNS 콘솔에서 DNS MMC를 사용하여 DNS의 A(호스트라고도 함) 레코드를 삭제합니다. 삭제한 컴퓨터가 자식 도메인의 마지막 도메인 컨트롤러이고 자식 도메인도 삭제되었다면 ADSIEdit를 사용하여 CN=System, DC=domain, DC=domain, Domain NC의 자식에 대한 trustDomain 개체를 삭제합니다.