Um palpite ...
Os controladores de domínio não têm usuários e grupos locais - todos são mantidos no Active Directory.
Quando você instalou o IIS no DC, ele teria criado uma conta IUSR para acesso anônimo aos sites. Isso teria sido armazenado no AD e provavelmente foi excluído quando você o rebaixou.
Agora que o DC foi rebaixado, a conta IUSR não é mais válida. Você precisará recriar a conta de usuário da Internet anônima. Pode ser mais fácil fazer backup dos sites e remover / reinstalar o IIS.
Editar: você pode precisar habilitar a Autenticação Anônima nos novos DCs 2008 nos recursos do IIS.