[keyF]

история такая:
домен, в нем 3 контроллера (2 - win 2k server и 1 - win 2k3 server).
2k3 навернулся. после восстановления стал выдавать какие-то очень недобрые слова про AD и я решил от греха подальше восстановить AD из backup'а (sysstate). не надо было это делать наверняка, но тем не менее..
последний backup sysstate'а был на момент когда контроллер в домене был только один (как раз этот 2k3 server). ситуация получилась следующая: сейчас все хорошо и весело работает, пока кто-нить не пытается обратиться к двум 2k серверам как к контроллерам, например для проверки пользователя. к примеру, если попытаться соедениться с MS SQL server которые стоят на обоих контроллерах 2k с windows проверкой подлинности, получаем такое сообщение: .... Не удается генерировать контекст SSPI. Если пытаемся проводником зайти с любого из 2k-серверов на живой контроллер домена (который 2k3) получаем сообщение: "Вход в систему не произведен. Конечная учетная запись указана неверно."
Логично, что два сервера 2k продолжаюсь себя считать контроллерами домена. Я попытался их в этом разубедить, с помощью dcpromo, но ничего не вышло, т.к. они не смогли авторизироваться на основном контроллере 2k3.
Есть пара мыслей у меня, например попробовать при запуске dcpromo сказать что это последний сервер домена, что домен надо совсем удалить. не думаю что какие-то изменения отразятся на рабочем контроллере, т.к. авторизироваться все равно удаляемый сервер не сможет.

хочется услышать компетентное мнение уважамых экспертов. понимаю, что допустил пару нехороших ляпов, просьба ногами сильно не бить.