So,das Problem des Verweigerten Replikationszugriffes besteht weiter, ich habe noch ein wenig weitergeforscht.
dcdiag gibt auf dem zu Replizierenden DC folgendes aus:
Starting test: MachineAccount
* The current DC is not in the domain controller's OU
* MGV-SRV-DC-EF is not a server trust account
* MGV-SRV-DC-EF is not trusted for account delegation
The corresponding flag bits are missing from the computer object's
User-Account-Control attribute. You can re-run this command and
include the /FixMachineAccount option to attempt a repair.
Der DC ist definitiv der in OU der Domaincontroller (manuell reingeschoben), gehört der Gruppe der Domänencontroller an und ihn wird bei der Dienstdelegierung über Kerberos vertraut. Das vorgeschlagene FixMachineAccount funktioniert leider auch nicht.
Nicht einmal eine Herabstufung über dcpromo ist Möglich, es kommt wieder die Fehlermeldung das der Zugriff verweigert wird, trotz korrekter Eingabe des BN/PW vom Domänen Admin. Jemand eine Idee ob das Maschinenkonto noch irgendwie zu retten ist? Will den Domaincontroller nur im allergrössten Notfall über /forceremoval herabstufen.