單個 DC 可以降級嗎?
我正在執行 WSE 2016,它必須是域中唯一的 DC。根據文件,它與 PDC/BDC 構造不兼容。
由於某些未知原因,Windows 更新已經失敗了一段時間。我一直在與 Microsoft 支持部門合作解決這個問題,我被告知目前唯一的修復方法(除非全新安裝)是從恢復環境執行修復。我已經嘗試過刪除/重命名更新儲存的標準建議,但無濟於事。
我還被告知必須在執行修復之前降級 PDC。
奇怪的是,對於 PDC 是否可以在沒有 BDC 的情況下降級(Microsoft 支持不再像以前那樣),我無法獲得明確可靠的答案。此外,在查看此文件後,在我看來,降級/升級任務最終會為我的使用者和電腦創建新的 SID。這對我來說是個問題,因為我在 2016 標準成員伺服器上本地安裝 Azure DevOps Server 2019 依賴於這些 SID 來發揮它的魔力。如果無論如何我都必須處理新的 SID,我不妨進行全新安裝,升級到 WSE 2019 並處理重新配置 ADS 的痛苦。
那麼,我的主要問題是:是否有可能將這個 PDC 降級,即使它沒有 BDC(也不能有)?
子問題:如果是,這樣做會失去我的使用者和電腦 SID 嗎?
希望我在這裡的兩個問題結構不會與社區的問答標準發生太大的衝突。但是,如果是這樣,請這樣說,我將編輯我的問題以將子問題移至新主題。我只是希望鞏固一些東西,因為兩者是如此密切相關。
是的,降級您的唯一 DC 是允許的,這將使您的域消失,並且您需要在新域中創建新使用者和組,並將您的工作站加入新域,如果您選擇這樣做的話。
任何分配了安全主體的東西也需要分配給新的安全主體 - 例如,如果您現在有一個具有有限訪問權限的文件共享,那些具有訪問權限的使用者或組 SID 將消失,所以您需要重新分配給您將要創建的新組/使用者。
您可能想看看是否可以暫時將第二個 DC 添加到您的域,這樣您就不會失去域本身。我認為 WSE 會允許這樣做,但我對此並沒有那麼有經驗。搜尋該術語(或在您的工單上與您的 MS 支持人員一起工作),停止搜尋 PDC 和 BDC,除非您使用 NT 4.0 或更早版本。
編輯 - 啊哈 - 是的,您在 WSE 域中不允許其他 DC 是不正確的。您被許可限制為在一個域中不能擁有多個WSE(超過數據遷移的 21 天寬限期),但您當然可以在 Windows 伺服器的非 WSE SKU 上添加第二個 DC。你應該。