我正在运行 WSE 2016,它必须是域中唯一的 DC。根据文档,它与 PDC/BDC 构造不兼容。
由于某些未知原因,Windows 更新已经失败了一段时间。我一直在与 Microsoft 支持部门合作解决这个问题,我被告知此时唯一的修复(除非全新安装)是从恢复环境运行修复。我已经尝试过删除/重命名更新存储的标准建议,但无济于事。
我还被告知必须在运行修复之前降级 PDC。
奇怪的是,对于 PDC 是否可以在没有 BDC 的情况下降级(Microsoft 支持不再像以前那样),我无法获得明确可靠的答案。此外,在查看此文档后,在我看来,降级/升级任务最终会为我的用户和计算机创建新的 SID。这对我来说是个问题,因为我在 2016 标准成员服务器上本地安装 Azure DevOps Server 2019 依赖于这些 SID 来发挥它的魔力。如果无论如何我都必须处理新的 SID,我不妨进行全新安装,升级到 WSE 2019 并处理重新配置 ADS 的痛苦。
那么,我的主要问题是:是否有可能将这个 PDC 降级,即使它没有 BDC(也不能有)?
子问题:如果是,这样做会丢失我的用户和计算机 SID 吗?
希望我在这里的两个问题结构不会与社区的问答标准发生太大的冲突。但是,如果是这样,请这样说,我将编辑我的问题以将子问题移至新主题。我只是希望巩固一些东西,因为两者是如此密切相关。
是的,降级您的唯一 DC 是允许的,这将使您的域消失,您需要在新域中创建新用户和组,并将您的工作站加入新域,如果您选择这样做的话。
任何分配了安全主体的东西也需要分配给新的安全主体 - 例如,如果您现在有一个具有有限访问权限的文件共享,那些具有访问权限的用户或组 SID 将消失,所以您需要重新分配给您将要创建的新组/用户。
您可能想看看是否可以暂时将第二个 DC 添加到您的域,这样您就不会丢失域本身。我认为 WSE 会允许这样做,但我对此并没有那么有经验。搜索该术语(或在您的工单上与您的 MS 支持人员一起工作),停止搜索 PDC 和 BDC,除非您亲身使用 NT 4.0 或更早版本。
编辑 - 啊哈 - 是的,您在 WSE 域中不允许其他 DC 是不正确的。您被许可限制为在域中不能拥有多个WSE(超过数据迁移的 21 天宽限期),但您当然可以在 Windows 服务器的非 WSE SKU 上添加第二个 DC。你应该。
https://social.technet.microsoft.com/Forums/office/en-US/710863c6-e3ca-4526-9a65-569b5374f47d/windows-server-2016-essentials-domain-controller-replica?forum=ws16essentials