Kerberos 错误

需要帮助解决以下错误。我找不到太多有用的信息。

Event Source: Security-Kerberos
Event ID: 4
    Qualifiers: 16384
Version: 0
Level: 2
Task: 0
Opcode: 0
Keywords: 0x80000000000000

Kerberos 客户端从服务器 D@@@@@$ 收到 KRB_AP_ERR_MODIFIED 错误。使用的目标名称为 DOMAIN\DS@@@@@$。这表明目标服务器无法解密客户端提供的票证。当目标服务器主体名称 (SPN) 在目标服务正在使用的帐户以外的帐户上注册时，可能会发生这种情况。请确保目标 SPN 在服务器使用的帐户上注册，并且仅在该帐户上注册。当目标服务使用的目标服务帐户密码与 Kerberos 密钥分发中心 (KDC) 为目标服务帐户设置的密码不同时，也会出现此错误。请确保服务器上的服务和 KDC 都已更新为使用当前密码。如果服务器名称不是完全限定的，并且目标域 (My.FQDN.ORG) 与客户端域 (My.FQDN.ORG) 不同，请检查这两个域中是否存在同名的服务器帐户，或使用完全限定的名称来标识服务器。

简单介绍一下背景。我们的 DC 出现了一些随机问题。通常几个月后，其中一个 DC 将不再允许我们登录。如果我们关闭该 DC 上的 Kerberos，我们可以重新登录，但这会导致各种其他问题。通常我们只是将其关闭并创建另一个可以使用几个月的 DC，但是，我需要找出问题的根源。除了 kerberos 错误之外，我们还会看到组策略错误和 AD 复制错误，但我猜它们是由身份验证问题引起的。如果有人能指出正确的方向，我将不胜感激。