Eu percebi isso, vou postar minhas descobertas para ajudar qualquer outra pessoa que tenha um problema semelhante.
No servidor IPA, encontrei o log de 389-ds: /var/log/dirsrv/slapd-HOSTNAME/access
Olhando as entradas no log, notei alguns caracteres extras no DN que corresponde a "Base de Pesquisa". Eu tenho o administrador do Windows para compartilhar sua sessão RDP para o DC e dei uma olhada no registro em HKEY_LOCAL_MACHINE\SOFTWARE\PasswordSync
.
Aqui notei os mesmos caracteres na chave "Search Base". Eu acho que esses caracteres extras foram acidentalmente copiados da documentação.
A remoção e o reinício do serviço resolveram o problema.