我正在运行 WSE 2016,它必须是域中唯一的 DC。根据文档,它与 PDC/BDC 构造不兼容。
由于某些未知原因,Windows 更新已经失败了一段时间。我一直在与 Microsoft 支持部门合作解决此问题,他们告诉我,目前唯一的解决办法(除非全新安装)是从恢复环境运行修复。我尝试了删除/重命名更新存储的标准建议,但无济于事。
我还被告知在运行修复之前必须将 PDC 降级。
奇怪的是,我无法得到关于是否可以在没有 BDC 的情况下降级 PDC 的明确可靠的答案(Microsoft 支持已不复从前)。此外,在审查本文档,在我看来,降级/升级任务最终会为我的用户和计算机创建新的 SID。这对我来说是个问题,因为我在 2016 Standard 成员服务器上本地安装的 Azure DevOps Server 2019 依赖这些 SID 来实现其魔力。如果我无论如何都要处理新的 SID,我还不如进行全新安装,升级到 WSE 2019,并处理重新配置 ADS 的麻烦。
所以我的主要问题是:即使这个 PDC 没有 BDC(并且也不能有 BDC),是否有可能将其降级?
子问题:如果是,那么这样做我会丢失我的用户和计算机 SID 吗?
希望我在这里提出的两个问题不会与社区的问答标准相差太大。但如果是这样,请说出来,我会编辑我的问题,将子问题移到新主题中。我只是希望将事情合并起来,因为这两者是如此紧密相关。
答案1
是的,降级您的唯一 DC 是允许的,并且它将使您的域消失,并且您需要在新域中创建新的用户和组,并将您的工作站加入到新域(如果您选择这样做)。
任何已分配安全主体的事物也需要分配给新的安全主体 - 例如,如果您现在拥有具有有限访问权限的文件共享,则具有访问权限的用户或组 SID 将会消失,因此您需要重新分配给您将要创建的新组/用户。
您可能想看看是否可以暂时将第二个 DC 添加到您的域中,这样您就不会丢失域本身。我认为 WSE 会允许这样做,但我对此没有那么多经验。搜索该术语(或与您的 MS 支持人员一起处理您的工单),停止搜索 PDC 和 BDC,除非您使用 NT 4.0 或更早版本。
编辑 - 啊哈 - 是的,您说的不允许在 WSE 域中拥有额外的 DC 是错误的。许可限制您不能拥有超过一个华尔街证券交易所在域中(超过数据迁移的 21 天宽限期),但您当然可以在非 WSE SKU 的 Windows 服务器上添加第二个 DC。而且您应该这样做。