Active Directory에서 도메인 컨트롤러 제거(강등)하기 (가이드)

PowerShell

활성 디렉터리(가이드)에서 도메인 컨트롤러 제거 (Demote). 새로운 도메인 컨트롤러(DC)를 설치하면 기존 도메인 컨트롤러를 제거하거나 보다 정확히는 해제해야 할 필요가 생깁니다. 오래된 또는 사용되지 않는 DC를 단순히 끄는 것 이상의 작업이 필요합니다. 우리는 도메인 컨트롤러를 제거하는 두 가지 방법에 대해 설명합니다.

활성 디렉터리에서 도메인 컨트롤러 제거 (가이드)

이전 도메인 컨트롤러에 대한 액세스가 더 이상 가능하지 않을 수 있습니다. 이 기사의 단계 범위는 Windows Server 2008R2부터 최신 Windows Server 빌드까지 모두 다룹니다. 이 기사는 특히 수명이 다한 운영 체제를 사용하는 DC가 여전히 있는 경우 도움이 됩니다.

도메인 준비

도메인 컨트롤러 해제 프로세스를 시작하기 전에 아래 측면을 검토하여 원활한 전환을 보장하고 잠재적인 문제를 방지하세요. 아래 항목을 포함한 사전 체크리스트를 작성하는 것이 중요합니다:

복제 확인 – 이전 및 새로운 도메인 컨트롤러 간의 복제가 오류 없이 실행되는지 확인하십시오. 아래 명령을 사용하여 복제 오류를 확인하십시오.

repadmin /replsummary

DHCP 및 DNS – 이전 도메인 컨트롤러가 DHCP 및 DNS을 처리하는지 확인하고, 이러한 서비스를 새로운 도메인 컨트롤러로 원활하게 전환하십시오.
클라이언트의 DNS – 클라이언트(뿐만 아니라 다른 서버)의 DNS 레코드가 새로운 도메인 컨트롤러를 가리키도록 확인하여 성공적인 로그인을 보장하십시오. 그렇지 않으면 나쁜 가해자가 네트워크를 침해할 수 있습니다.
백업 생성 – 이전 도메인 컨트롤러의 포괄적인 백업을 생성하고 무결성을 확인합니다. 이를 통해 서버를 예기치 못한 문제 발생 시 복원할 수 있습니다.

우리는 유연한 단일 마스터 작업 (FSMO) 역할을 도메인 컨트롤러를 해지할 때 자동으로 전송할 수 있습니다. 아래 명령어로 FSMO 역할이 실행되는 위치를 확인하세요.

netdom query FSMO

도메인 컨트롤러 보안 모범 사례 – 강화 (체크리스트)도 읽어보세요

활성 도메인 컨트롤러 해지

도메인 컨트롤러에 여전히 액세스할 수 있다면, 서버 관리자를 사용하여 도메인 컨트롤러를 쉽게 제거할 수 있습니다. 계속하기 전에 위의 사항을 확인해야 합니다.

시작 메뉴를 통해 서버 관리자를 실행하고 관리 > 역할 및 기능 제거로 이동합니다.

- a. Open the Server Manager from the Start Menu.
- b. Click on Manage > Remove Roles and Features.

2. 서버 선택에서 이전 도메인 컨트롤러를 선택하세요.

3. Active Directory Domain Services 역할을 선택 해제하여 비활성화합니다. 이후 팝업에서 기능 제거를 클릭하십시오.

4. 도메인 컨트롤러의 강등 프로세스를 시작하고 설치 마법사의 유효성 검사 실패를 인정합니다. 이 도메인 컨트롤러의 강등을 클릭하십시오.

5. 이후 화면에서 자격 증명을 확인하고 필요한 경우 수정하십시오. 일반적으로 도메인 관리자 권한으로 이러한 단계를 실행하는 것이 관례입니다. 네트워크에서 마지막 도메인 컨트롤러인 경우가 아닌 한 이 도메인 컨트롤러의 강제 제거 옵션을 선택하지 마십시오.

6. 삭제를 진행하고, 특히 Active Directory Sites and Services (ADDS) 및 DNS 서비스가 서버에 있는 경우 클라이언트가 새 DNS 서버로 이동하도록합니다. 삭제 진행을 선택하고 다음을 클릭하십시오.

7. 제공된 삭제 옵션에서 DNS를 제거하도록 선택하고 DNS 위임 제거가 선택되었는지 확인한 후 다음을 클릭하여 진행하십시오.

8. 새로운 관리자 암호를 설정하십시오; 이것은 도메인 제거 후 로컬 관리자 계정을 위한 것입니다.

구성된 설정을 검토하고 강등을 클릭하여 DC를 제거하는 프로세스를 시작하십시오. 서버가 다시 시작되어 프로세스를 완료합니다.

참고: 모든 단계를 자동화하는 PowerShell 스크립트를 생성하는 보기 스크립트 버튼이 있습니다. 제거할 추가 도메인 컨트롤러가 있는 경우 이 스크립트를 사용하십시오.

10. 서버 재부팅 후 최종 단계는 Active Directory Sites and Services에서 서버를 제거하는 것입니다.

시작 메뉴에서 Active Directory Sites and Services (ADDS)를 엽니다.
사이트 확장 > Default-First-Site-Name > Servers
이전 DC를 마우스 오른쪽 단추로 클릭하고 삭제를 선택합니다.

위의 스크린샷은 최신 Windows Server 빌드(Build 9600 이상)에서 볼 수 있는 스크린샷입니다. 그러나 이는 여전히 Windows Server 2008과 동일한 프로세스를 따릅니다. 따라서 레거시 서버를 계속 사용하는 경우 문제가 없습니다.

저희의 Active Directory & Office 365 보고 및 감사 도구를 사용해보세요.

우리를 시험해보세요 무료로. 100개 이상의 보고서 템플릿이 제공됩니다. AD, Azure AD 및 Office 355에서 쉽게 자체 보고서를 사용자 정의하세요.

또한 읽기 InfraSOS Active Directory 보고 및 감사 도구 사용해보기

도메인 컨트롤러 제거 확인

도메인 컨트롤러의 철저한 제거 확인은 강등 프로세스에서 중요한 단계로, 작업의 성공을 검증하고 Active Directory의 무결성을 유지합니다. 제거 확인을 효과적으로 수행하려면 다음 단계를 따르세요:

Active Directory 사용자 및 컴퓨터:
- “도메인 컨트롤러” 조직 단위로 이동하여 강등된 컨트롤러가 없음을 확인하세요.
DNS 레코드:
- 잠재적인 연결 문제를 방지하기 위해 강등된 컨트롤러에 대한 모든 참조를 제거했는지 확인하기 위해 DNS 레코드를 확인하세요.
ADSIEdit.msc:
- Active Directory 데이터베이스를 검사하고 디모트된 컨트롤러와 관련된 항목이 더 이상 존재하지 않는지 확인하려면 ADSIEdit.msc를 사용하십시오.
사이트 및 서비스:
- Active Directory 사이트 및 서비스를 검토하여 해당 사이트에서 디모트된 컨트롤러가 제거되었는지 확인하십시오.
복제 모니터링:
- 도메인 컨트롤러 전체에 성공적으로 전파된 디모션 프로세스를 확인하기 위해 복제 상태를 모니터링하십시오.

이러한 확인 단계를 따르면 관리자는 도메인 컨트롤러의 완전한 제거를 확신하며 원활하고 안전한 Active Directory 환경을 유지할 수 있습니다.

PowerShell을 사용하여 도메인 컨트롤러의 강등

PowerShell은 몇 가지 명령을 사용하여 도메인 컨트롤러를 강등하는 효율적인 대안을 제공합니다:

Import-Module ADDSDeployment
Uninstall-ADDSDomainController -DemoteOperationMasterRole:$true -RemoveDnsDelegation:$true -Force:$true Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

이 접근 방식은 여러 화면을 탐색할 필요성을 제거하여 더 간결하고 스크립트 기반의 도메인 컨트롤러 강등을 가능하게 합니다.

더 읽기 DCDiag: Powershell을 사용하여 도메인 컨트롤러 상태 확인하는 방법

접근할 수 없는 도메인 컨트롤러 수동으로 제거하기

또한 DC를 수동으로 제거할 수 있습니다. 이 단계는 서버에 더 이상 액세스할 수 없을 때에만 권장됩니다.

활성 도메인 컨트롤러에서 Active Directory 및 서비스를 시작합니다.
도메인 컨트롤러 OU에 액세스합니다.
이전 도메인 컨트롤러를 삭제하고 예를 클릭하여 확인하십시오.

4. 이 도메인 컨트롤러를 삭제하려면 이 도메인 컨트롤러를 삭제를 선택하십시오.
5. 삭제를 클릭하고 작업을 다시 확인하려면 예를 클릭하십시오.

최종 단계는 Active Directory Sites and Services에서 서버를 제거하는 것입니다:

시작 메뉴에서 Active Directory Sites and Services (ADDS)를 엽니다.
Sites > Default-First-Site-Name > Servers를 확장합니다.
이전 도메인 컨트롤러를 마우스 오른쪽 버튼으로 클릭하고 삭제를 선택합니다.

도달할 수 없는 DC와 DNS 역할

이전 도메인 컨트롤러에 DNS 역할이 있으면 추가 단계가 필요합니다:

활성 도메인 컨트롤러에서 DNS Manager를 엽니다.
Forward Lookup Zones를 확장합니다.
도메인을 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.
이름 서버
이름 서버에서 이전 서버를 삭제합니다.

도메인 DNS 존 및 모든 하위 폴더에서 이름 서버 (NS) 레코드를 제거합니다.

활성 도메인 컨트롤러에서 DNS 관리자를 시작합니다.
DNS 관리자에서 정방향 조회 영역 섹션을 확장합니다.
NS 레코드에서 제거하려는 도메인을 식별하고 마우스 오른쪽 단추를 클릭합니다.
컨텍스트 메뉴에서 속성을 선택합니다.
Zone 속성에서 이름 서버 탭으로 이동합니다.
이전 서버에 해당하는 NS 레코드를 선택합니다.
삭제를 클릭하거나 키보드의 삭제 키를 사용합니다.
요청시 NS 레코드 삭제를 확인합니다.
도메인 내에 하위 폴더나 하위 존이 있는 경우 해당 하위 폴더에 대해 단계 3에서 7까지 반복합니다.
변경 사항을 검토하고 업데이트된 DNS 구성을 저장하십시오.

DC를 꺼놓은 상태에서도 환경에서 제거하는 것이 인프라 관리에서 가장 좋은 실천 방법으로 간주됩니다. DC가 제거되지 않으면 도메인은 여전히 서버를 네트워크의 일부로 간주하고 예기치 않은 도메인 문제를 일으킬 수 있습니다. 위 단계를 따르면 DC를 효과적으로 제거할 수 있습니다. 심지어 DC가 접근할 수 없거나 꺼져 있더라도요.

또한 읽기InfraSOS Active Directory 복제 상태 도구 사용해보기

도메인 컨트롤러를 해제해야 하는 이유

도메인 컨트롤러를 해제하는 것은 Active Directory 환경을 최적화하고 간소화하기 위해 다양한 요인에 의해 주도되는 네트워크 관리에서의 전략적 조치입니다. 해제의 주요 이유는 다음과 같습니다:

하드웨어 업그레이드/교체:
- 네트워크가 낡은 하드웨어를 해제하거나 교체함으로써 견고하고 최신 상태를 유지합니다.
조직 변화:
- 합병이나 축소와 같은 구조적 변화에 적응하여 도메인 컨트롤러 구성을 조정하여 변화하는 비즈니스 환경에 부합시킵니다.
자원 최적화:
- 네트워크 내 자원 분배를 효율적으로 관리하여 성능을 향상시킵니다.
강화된 보안 포지션:
- 취약점을 해결하고 잠재적인 위협에 대한 견고한 방어를 확보하기 위해 보안 조치를 강화합니다.
동적인 IT 생태계:
- 동적인 IT 환경의 변화하는 요구를 수용하기 위해 네트워크 인프라의 민첩성을 유지합니다.

관리자들은 도메인 컨트롤러를 강등시켜 더 견고하고 적응력 있으며 안전한 Active Directory 환경을 육성함으로써 이러한 고려 사항에 적극적으로 대응합니다.

여기까지입니다. Active Directory(DC)에서 도메인 컨트롤러 제거(강등)하는 방법(가이드)을 읽어주셔서 감사합니다.

또한 읽기 Windows Server 보호 방법: 악성 코드, 랜섬웨어, DDoS 공격 및 기타 위협

Active Directory(DC)에서 도메인 컨트롤러 제거(강등)하는 방법(가이드) 결론

이 상세한 도메인 컨트롤러를 Active Directory에서 제거하거나 강등하는 방법에 대한 가이드를 마치며, 건강한 네트워크 인프라를 유지하기 위해 신중한 계획과 실행이 중요함을 명백히 알 수 있습니다. 유지 관리자는 개요된 단계를 따라 도메인 컨트롤러 강등 프로세스를 원활하게 진행하여 Active Directory 환경에 최소한의 방해가 발생하도록 합니다. 이 기사는 IT 전문가들이 자신들의 네트워크 아키텍처를 변형하는 데 자신감을 갖도록 해줍니다.

Source:
https://infrasos.com/remove-demote-domain-controller-from-active-directory-guide/