User/Passwörter werden nicht auf Backup-DC repliziert

Hallo,

ich habe gerade ein kleines Problem mit meiner UCS-Windows Domäne und bin so allmählich mit meinem Latein am ende… vielleicht hat noch jemand von euch eine Idee?

zum Setup:
ich Betreibe zu Hause einen kleinen UCS Server mit Kopano für meine Familie. Meine Eltern sind schon länger via VPN angebunden und in der Domäne drin, und da bei denen ein kleines NAS läuft, auf dem auch VM’s installiert werden können, habe ich dort spontan ein Backup-DC installiert.
Jetzt haben sich meine Eltern beschwert, dass sie sich nicht mehr anmelden können… wenn ich den Backup-DC abschalte funktioniert wieder alles… also habe ich mal ein wenig geforscht…

zum testen habe ich mir einen neuen user angelegt - auf dem Primary-DC kann ich anschließend auch ein kinit machen und mich anmelden… ein klist zeigt mir auch die aktive Session an.

auf dem Backup-DC geht das nicht - er sagt mir immer, dass das Passwort nicht stimmt…

in der Domäne ist der backup-DC aber:

univention-check-join-status
Joined successfully

reden tun die beiden Server auch - wobei mir die Warnung etwas spanisch vor kommt…
Backup-DC, listener.log

07.01.21 21:29:21.380  LDAP        ( PROCESS ) : connecting to ldap://srv01.domain.local:7389
07.01.21 21:29:21.471  LISTENER    ( PROCESS ) : updating 'uid=test,cn=users,dc=domain,dc=local' command m
07.01.21 21:29:21.500  LDAP        ( PROCESS ) : connecting to ldap://localhost:7389
07.01.21 21:29:21.512  LISTENER    ( WARN    ) : replication: Can't contact LDAP server: retrying

also habe ich mir das Kerberos mal angesehen…
primary-DC, /var/log/samba/log.samba

[2021/01/07 21:31:22.680936,  1, pid=3416] ../../source4/auth/gensec/gensec_gssapi.c:793(gensec_gssapi_update_internal)
  GSS server Update(krb5)(1) Update failed:  Miscellaneous failure (see text): Failed to find SRV01$@DOMAIN.LOCAL(kvno 47) in keytab FILE:/etc/krb5.keytab (aes256-cts-hmac-sha1-96)

in der /etc/krb5.keytab gibt diesen Eintrag - allerdings stimmt die Version nicht überein

ktutil -k /etc/krb5.keytab list
...
56  aes256-cts-hmac-sha1-96  SRV01$@DOMAIN.LOCAL

irgendeine Idee wie ich das fixen kann?

Dank im Vorraus
Benjamin