Это всего лишь предположение, но это то, что жгло меня раньше: у вас есть аккаунты с косой чертой в названии? Даже у собственного кода Microsoft есть проблемы с этим .
DN будет выглядеть примерно так:
CN=test/user,OU=Users,DC=domain,DC=com
Это совершенно правильно (по крайней мере, AD это позволяет). Но если вы попытаетесь связать это напрямую через LDAP и просто поместите его в путь LDAP, вы получите следующее:
LDAP://CN=test/user,OU=Users,DC=domain,DC=com
Однако в пути LDAP косые черты являются специальными символами, поэтомувидит путь как LDAP://CN=test, что, конечно, не сработает. Слэш должен быть экранирован (просто замените / на \/):
LDAP://CN=test\/user,OU=Users,DC=domain,DC=com
Чтобы выяснить, есть ли у вас аккаунты с косыми чертами в названии, вы можете выполнить запрос, подобный следующему:
(&(objectClass=user)(cn=*/*))
В PowerShell вы можете сделать это следующим образом:
Get-ADUser -LDAPFilter "(cn=*/*)"
Это также может произойти, если у вас есть OU с косой чертой в имени.