Поиск в GAL по LDAP (работает только под админом)

Добрый день всем!
Ситуация следующая - ZCS 7.2 (Open Source Edition). Авторизация позьзователей - Внешний AD.
Режим GAL - внутренний. Учётная запись для синхронизации GAL создана, имя источника данных для внутреннего GAL: users. Общий доступ к GAL пользователям предоставлен, через web-интерфейс и Zimbra Desktop GAL всем доступен.
Настраиваю поиск в GAL по LDAP на почтовых клиентах.
Указываю:
BaseDN: ou=people,dc=<домен>,dc=ru
BindDN: uid=<имя_пользователя>,ou=people,dc=<домен>,dc=ru.
И тут возникает казус - если в качестве имени пользователя указать учётную запись администратора, поиск работает. Если же любого другого пользователя - получаю resultCode: invalidCredentials (49).
В zimbra.log имею подтверждение:
send_ldap_result: com=4492 op=0 p=3
send_ldap_result: err=49 matched="" text=""
send_ldap_response: msgid=1 tag=97 err=49

Подозреваю, что не отрабатывает авторизация в AD, однако через web-интерфейс все авторизуются нормально, как по POP3, IMAP и SMTP.
Более того, поднимал точно такой-же сервер на тестовой машине, всё работало отлично.

Подскажите, где может быть собака зарыта.


Комментарии

По идее если не срабатывает аторизация и ДК на винде то это должно быть в журналах безопасности.
В журнале безопасности на контроллере домена пусто. Причём нет даже записей об успешной авторизации от имени админа.
В то же самое время, записи об авторизации при входе в web-интерфейс все на месте. Похоже, что OpenLDAP даже и не пытается авторизоваться в домене.
странно странно, скажу еще одну банальную вещь, юзера для аутентификации во всех вариантах попробовали подставлять? user, domain\user, user@domain ?
uid=user,ou=people,dc=domain,dc=ru
user
domain\user
user@domain
uid=user,dc=domain,dc=ru

Во всех этих вариантах никакого результата. Первый работает только с учёткой администратора (которая создавалась при первоначальной конфигурации). Такая-же учётка есть и в домене, но судя по всему, до авторизации в домене тут дело не доходит.

Также проверял поиск локально на сервере через ldapsearch, та же картина.

Могу предположить, что авторизация пользователей, заходящих через web-интерфейс и подключающихся по POP3/IMAP/SMTP, происходит как-то иначе и проблема именно с OpenLDAP. Воспроизводил ситуацию на тестовом сервере, где всё работало. Отличие лишь в том, что на рабочем серваке поднят также Squid с NTLM-авторизацией, а также SplitDNS через dnsmasq, возможно это как-то мешает, не пойму только как.

 а такие замечательные вещи как iptables разумеется выключены? Телнет на нужный порт проходит?
Телнет на порт 3268 контроллера AD проходит, поиск при помощи lpadsearch с того-же сервера, где стоит зимбра, работает (но только при uid=administrator,ou=people,dc=<домен>,dc=ru), однако на контроллере AD записей об успешной авторизации админа нет. Их вообще нет, когда осуществляется поиск. Есть только при логинах в почту.

iptables работает, но никаких правил, запрещающих/перенаправляющих соединения с контроллером AD нет.