A replicação do Active Directory está falhando com o acesso negado

Descobri recentemente que a replicação do Active Directory começou a falhar há cerca de um mês. Se eu tentar Replicate Now do controlador de domínio com falha, receberei The following error occurred during the attempt to synchronize the domain controllers: Access is denied.

O log do Serviço de Diretório informa basicamente a mesma história; repetindo dois eventos

• 1061: Erro interno: a chamada do agente de replicação de diretório (DRA) retornou o erro 5.
• 1085: Aviso de replicação: o agente de replicação de diretório (DRA) não pôde sincronizar a partição DC = OUR_DOMAIN com a partição no servidor de diretório big-long-guid._msdcs.OUR_DOMAIN. O erro foi: Acesso negado

É entre dois servidores em um site remoto. Um é o Windows 2003 e o outro é o Windows 2000; as máquinas com Windows 2000 estão enfrentando os erros. O domínio é mais antigo estilo OUR_DOMAIN.

Tentativas até agora:

• desativei o serviço Kerberos no servidor Windows 2000 e reiniciei
• Os serviços de localização RPC e RPC têm configurações esperadas
• HKEY_Local_Machine\Software\Microsoft\Rpc\ClientProtocols missing ncacn_nb_tcp no servidor Windows 20003 (adicionado)
• O Portqry reporta tudo bem
• Firewall desativado
• netdom resetpwd (e reinicializar) no servidor Windows 2000.
• ENTERPRISE DOMAIN ADMINS tem acesso de leitura ao site nos dois servidores
• dcdiag /c em 2003: passar todos, exceto o DNS Forward; vários erros relacionados a servidores de dica de raiz, que não parecem relevantes
• dcdiag /c em 2000: diz que a replicação falhou (duh) (3 relatórios) e depois passa no teste (?) Relatórios IISADMIN e SMTPSVC ausentes (não veja porque seriam necessários) Lista alguns eventos de erro do kccevent (onde estão esses no visualizador de eventos?) e alguns erros de impressora do log do sistema.