MS AD Computerkonto des UCS Servers unter Debian zurücksetzen

ad-connection
ldap
join

#1

User UCS Server ist als Member-Server in eine Microsoft Active Directory Domain eingebunden.
Seit einiger Zeit funktioniert die LDAP Replikation zwischen UCS und AD nicht mehr. Erkenntnis der Fehlersuche: Der UCS Server hat nie sein Kennwort (des Computerkontos) im Active Directory geändert. Das Computerkonto wurde somit nach 90 Tagen ungültig. Eine LDAP Replikation findet nicht mehr statt, weil sich der UCS Server nicht mehr per Kerberos am AD authentifizieren kann. Wir sehen fehlgeschlagene Anmeldeversuche auf der Windows Seite.
Stand jetzt sind im UCS LDAP veraltete Informationen.

Die Lösung scheint einfach. Wir müssen den UCS Server erneut mit dem AD joinen, damit sich das Computerkonto wieder per Kerberos am AD authentifizieren kann.

Der neue Univention-Domain-Join-Assistant auf Github scheint ausschließlich für Ubuntu gebaut worden zu sein. Wir sind nicht die großen “Linux-Hacker” und bekommen das PPA Package nicht für unseren Debian Server konvertiert. (Versucht hatten wir das u.v.a nach dieser Anleitung: Install Packages From An Ubuntu PPA On Debian ).

Lange Story, kurze Frage …
Wie können wir ein Domain Unjoin/Rejoin ausführen, damit sich das Computerkonto des UCS Servers wieder per Kerberos am Active Directory authentifizieren kann?

Folgefrage:
Das Kennwort von Computerkonten hat im Active Directory ein Ablaufdatum. Alle Domain-Computer / Memberserver müssen daher regelmäßig das Kennwort ihres Computerkontos erneuern. Wir liefen in das aktuelle Problem, weil der UCS Server dies nicht erfolgreich von selbst erledigt hat. Was müssen zukünftig tun, um dieses Problem automatisiert zu verhindern?

PS: Updates sind installiert. UCS, Debian und die im UCS installierten Module sind auf dem aktuellsten Stand.