Devido a minhas experiências com o "LDAP" do Active Directory (e uso o termo livremente), pode ser um problema de referências.
Por padrão, quando você se conecta à porta 389 em um controlador de diretório, além das respostas regulares do LDAP, você obtém de uma referência para "directory.ads.example.com". A maioria dos clientes LDAP (incluindo o Apache) segue as referências e, se você tiver muitos DCs, especialmente se estiverem geograficamente distribuídos, o cliente LDAP poderá ser enviado para a rede. Certa vez, tive um cliente LDAP em Montreal, no Canadá, indo regularmente a um de nossos CDs em Sydney, na Austrália.
Portanto, em vez de ter algo como o seguinte na sua configuração do Apache:
AuthLDAPURL ldap://mydc1.example.com/dc=example,dc=com?uid?one
que irá para a porta 389, certifique-se sempre de especificar a porta do Catálogo Global:
AuthLDAPURL ldap://mydc1.example.com:3268/dc=example,dc=com?uid?one
Se você precisa de SSL, então é a porta 3269. (Realmente gostaria que a MS não ligasse para o serviço LDAP, pois não é de muitas maneiras, e isso causa confusão.)
P.S. No futuro, crie o hábito de postar as partes relevantes do (s) seu (s) arquivo (s) de configuração (fique à vontade para ofuscar nomes de usuários, senhas e / ou domínios).