При возникновении ошибки KDC_AP_ERR_MODIFIED на ОБЛАСТНОМ контроллере, на основных контроллерах появляется соответствующая ошибка «Главное конечное имя неверно». В таком случае требуется восстановить доверительные отношения между главным и вторичным контроллерами.

Сначала требуется выполнить действия на вторичном контроллере

 net stop kdc
 netdom resetpwd /server:<Имя основного домен контроллера> /ud:<Домен\Логин> /pd:<Пароль> / Эту операцию требуется выполнить для каждого из главных домен контроллеров с учётными данными доменного админа
 net start kdc

Теперь переходим на основные контроллеры и выполняем обратные операции

 netdom resetpwd /server:<Имя сервера на котором возникла проблема> /ud:<Домен\Логин> /pd:<Пароль>

После чего запускаем тестовую репликацию с вторичного контроллера (на котором возникла проблема)

 repadmin /replsum <Имя основного домен контроллера>

И наконец можно убедиться в решении на основных контроллерах

 repadmin /replsum * /bydest