Porque você está especificando company.com.au como a base de pesquisa. Se você deseja consultar sua partição local de domínio sem obter uma referência, use ad.company.com.au como sua base de pesquisa.
Eu tenho dois domínios, cada um com dois controladores de domínio:
Ambos os domínios estão na mesma floresta e possuem uma configuração de confiança bidirecional. Estamos migrando para o ad.company.com.au no momento, mas tendo alguns problemas com os sistemas que precisam consultar o LDAP.
Ao fazer uma pesquisa LDAP em relação ao Controlador de domínio em ad.company.com.au , obtemos uma referência para company.com.au , que NÃO está sob controle AD:
$ ldapsearch -x -h 172.xx.xx.11 -b DC=company,DC=com,DC=au -D "[email protected]" -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <DC=company,DC=com,DC=au> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
# with manageDSAit control
#
# search result
search: 2
result: 10 Referral
text: 0000202B: RefErr: DSID-031007EF, data 0, 1 access points
ref 1: 'company.
com.au'
ref: ldap://company.com.au/DC=company,DC=com,DC=au
# numResponses: 1
Observe que a referência aponta para company.com.au , que o AD NÃO controla. O domínio é ad.company.com.au e é delegado pelos servidores de nomes company.com.au aos 2 DCs.
Consultar o catálogo global no mesmo servidor nos fornece os resultados esperados.
Então, por que o controlador de domínio de um domínio não sabe sobre o domínio em seu LDAP, enquanto o GC sabe?