Active Directory LDAP_MATCHING_RULE_IN_CHAIN ​​não retorna nenhum registro após a movimentação da UO

Estamos vendo um problema estranho com a consulta LDAP do Active Directory.

A situação é: Temos um grupo de segurança em uma determinada UO. Esse grupo de segurança precisa ser movido para uma UO totalmente diferente .

Temos um aplicativo que usa LDAP para autenticar no AD e consulta usando o Active Directory LDAP_MATCHING_RULE_IN_CHAIN ​​, para que ele suporte grupos incorporados:

(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=SA Users,OU=System Administrators,OU=Departments,DC=ds,DC=example,DC=com)

Um exemplo de consulta seria:

ldapsearch -LLL -x -W -H 'ldap://ny-dc02.ds.example.com:389' -D '[binding account details]' -b 'OU=Departments,DC=ds,DC=example,DC=com' '(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=SA Users,OU=System Administrators,OU=Departments,DC=ds,DC=example,DC=com)' dn

Ele retorna uma lista completa de usuários que pertencem à UO solicitada - conforme o esperado.

No entanto, se movermos esse grupo para fora Departments\System Administratorse para dentro Security Groups\System Administration(e atualizarmos a consulta adequadamente):

(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=System Administration,OU=Security Groups,DC=ds,DC=example,DC=com)

por exemplo:

ldapsearch -LLL -x -W -H 'ldap://ny-dc02.ds.example.com:389' -D '[binding account details]' -b 'OU=Security Groups,DC=ds,DC=example,DC=com' '(memberOf:1.2.840.113556.1.4.1941:=CN=SystemAdministrators,OU=System Administration,OU=Security Groups,DC=ds,DC=example,DC=com)' dn

Não recebemos nenhum resultado da Pesquisa LDAP.

Nosso primeiro pensamento foi "Ah, provavelmente está armazenando algo em cache". Mas deixamos o grupo de segurança em sua nova UO por várias horas e ainda vimos os mesmos resultados.

Alguém já viu algo assim antes? Alguma sugestão sobre onde solucionar problemas em seguida?