Добрый день!

При поиске пользователей Active Directory с помощью ldapsearch столкнулся со следующей проблемой:
1) если в качестве BaseDn указываю "OU=Users,DC=domain,DC=ru" - то все работает корректно
2) если указываю "DC=domain,DC=ru", то получаю ошибку:
chase_referral: Can't contact LDAP server
chase_referral: Can't contact LDAP server
ldap_search: Can't contact LDAP server
ldap_search: additional info: Referral:
ldap://ForestDnsZones.domain.ru/DC=ForestDnsZones,DC=domain,DC=ru
ldap://DomainDnsZones.domain.ru/DC=DomainDnsZones,DC=domain,DC=ru


Подскажите, пожалуйста, в чем проблема?

проблема решена, нужно было указать порт 3268. Подробное описание:

авторПоиск объектов
Поскольку контроллер домена, работающий как сервер глобального каталога, содержит объекты всех доменов в лесу, глобальный каталог предоставляет пользователям и приложениям возможность выполнять поиск данных каталога во всех доменах леса независимо от места хранения данных. Если ваш лес состоит из одного домена, то все контроллеры домена имеют полный доступ для записи экземпляров каждого объекта в домене леса. Когда пользователь выполняет поиск какого-либо принципала безопасности, указав в меню «Пуск» в запросе параметр «Весь каталог», то поиск выполняется непосредственно в глобальном каталоге.

Для доступа к объектам Active Directory использует протокол облегченного доступа к каталогам (Lightweight Directory Access Protocol, LDAP). Запросы поиска LDAP могут быть отправлены и получены службой каталогов Active Directory по порту 389 (порт LDAP по умолчанию) и по порту 3268 (порт глобального каталога). Трафик LDAP, который использует протокол проверки подлинности Secure Sockets Layer (SSL) обеспечивает доступ к портам 686 и 3269. Соответственно, поведение поиска, которое применяется к портам 389 и 3268 также применяется к соответствующим запросам LDAP через порты 686 и 3269. Когда запрос поиска отправляется на порт 389, поиск осуществляется в разделе каталога одного домена. Если объект не находится в данном домене, разделе каталога схемы или конфигурации, контроллер домена пересылает запрос контроллеру домена в домене, который указан в различающемся имени объекта. Когда запрос поиска отправляется на порт 3268, то опрашиваются все разделы каталога в лесу, то есть поиск обрабатывается сервером глобального каталога. Стоит обратить внимание на то, что только серверы глобального каталога могут получать запросы LDAP через порт 3268.

После того как пользователь вводит свой запрос, данный запрос перенаправляется на порт 3268, и отправляется для разрешения на сервер глобального каталога. В свою очередь, если по каким-либо причинам в вашем домене Active Directory нет сервера глобального каталога, ваши пользователи или приложения не смогут выполнять поиск в лесу. Также стоит отметить, что все реплики, которые реплицируются в глобальный каталог, включают все права доступа для каждого объекта и атрибута. То есть, если вы ищете объект, доступ к которому для вас запрещен, вы его не увидите в списке результатов поиска. Соответственно, пользователи смогут найти только те объекты, для которых им предоставлен доступ;

Источник: http://forum.sysadmins.su/index.php?showtopic=40244839&p=612791