Cron-Fehler univention-pam/ldap-group-to-file.py nach erneuerung der Root-CA

Hi,
nachdem das Root-CA der Domäne abgelaufen war und ich es erneuert habe, erhalte ich auf zwei Memberserver vom Script ldap-group-to-file.py --checkmember, dass es Ldap.INVALID_CREDENTIALS gibt.
Das Script wird wohl alle 15 Minuten ausgeführt. Das komische ist, dass es manchmal fehlerfrei funktioniert. Führe ich das Script händisch aus, geht es ebenfalls manchmal und manchmal eben nicht.
Sehr komisch … auch ein Rejoin brachte nichts. Der Rejoin hat aber auch fehlerfrei funktioniert.
Hat jemand eine Idee?