Атрибут lastLogon не реплицируется. Это означает, что на контроллере домена будет точно только то, против чего последний пользователь прошел аутентификацию. Любой другой D C будет иметь либо старое значение, либо не иметь значения.
У вас есть два варианта:
- Запросить каждый D C и использовать самое последнее значение, или
- Используйте атрибут
lastLogonTimestamp, который был создан именно по этой причине. Он не даст вам точное время последнего входа в систему, но он будет гарантированно точным в течение 2 недель.
Также убедитесь, что вы читаете из домена (LDAP://), а не Глобальный каталог (GC://). Ни один атрибут не будет доступен из G C.