Сбой репликации Active Directory с доступом запрещен

Недавно я обнаружил, что репликация Active Directory начала давать сбой около месяца назад. Если я попытаюсь Replicate Now от сбойного контроллера домена получаю The following error occurred during the attempt to synchronize the domain controllers: Access is denied.

Журнал службы каталогов рассказывает в основном ту же историю; повторение двух событий

• 1061: Внутренняя ошибка: вызов агента репликации каталогов (DRA) возвратил ошибку 5.
• 1085: Предупреждение о репликации: агенту репликации каталогов (DRA) не удалось синхронизировать раздел DC=OUR_DOMAIN с разделом на сервере каталогов big-long-guid._msdcs.OUR_DOMAIN. Ошибка была: доступ запрещен

Это между двумя серверами на удаленном сайте. Один из них - Windows 2003, а другой - Windows 2000; машины с Windows 2000 испытывают ошибки. Домен более старого стиля OUR_DOMAIN.

Попытки пока:

• Я отключил службу Kerberos на сервере Windows 2000 и перезапустил
• Службы локатора RPC и RPC имеют ожидаемые настройки
• HKEY_Local_Machine\Software\Microsoft\Rpc\ClientProtocols отсутствует ncacn_nb_tcp на сервере Windows 20003 (добавлено)
• Portqry сообщает хорошо
• Брандмауэр отключен
• netdom resetpwd (и перезагрузка) на сервере Windows 2000.
• ENTERPRISE DOMAIN ADMINS имеет доступ для чтения к сайту на обоих серверах
• dcdiag /c на 2003: пройти все, кроме DNS Forward; несколько ошибок, связанных с корневыми серверами подсказок, которые не кажутся подходящими
• dcdiag /c в 2000: говорит, что репликация не удалась (duh) (3 отчета), а затем проходит тест (?). Отчеты об отсутствии IISADMIN и SMTPSVC (не понимаю, зачем они нужны). Перечисляет некоторые события ошибок для kccevent (где они есть в средстве просмотра событий).?) и некоторые ошибки принтера из системного журнала.