Acho que a base de pesquisa é ou = stuff, dc = domain, dc = com impede que objetos em outros containers sejam encontrados. Tente definir a base apenas para dc = domain, dc = com
Você também pode descartar o filtro objectclass = user. De acordo com link userprincipalname é usado somente em a classe de usuário, então é implícito. Na mesma página, você pode ler que está disponível na porta do catálogo global, portanto, você pode usá-la em vez da ligação normal do ldap (deve ser mais rápida).
Então, o seu AuthLDAPURL seria:
AuthLDAPURL ldap: //DOMAIN.COM: 3268 / dc = domínio, dc = com? userPrincipalName? sub
Que se parece muito com o exemplo na seção "Usando o Active Directory" do módulo mod_authnz_ldap: link
Uma última palavra de cautela: você usa a notação de host do domínio.com srv (kuddos!), mas o Apache não tem conhecimento dos sites do AD. Então, se você tem vários sites e as latências de rede são altas, você poderia estar consultando um servidor LDAP muito tempo e demorando muito para se autenticar.