Problem:
Wir hatten neulich bei einem Kunden dass Problem, dass sich, beim Erstellen einer Synchronisation Connection im User Profile Service, bestimmte Organisational Units (OUs) aus einem Active Directory Forrest nicht aufklappen ließen. Die Sub-Domains des Forrests konnten ohne Probleme aufgelöst werden, aber leider keine OUs aus der Root Domain.
Zunächst große Verwirrung… 
warum funktioniert das bei einigen OUs aber nicht bei allen ? Der einzige Hinweis auf einen Fehler im ULS Log war ein Session Timeout von SharePoint. Also zunächst einmal die Session Timeouts für die Synchronisation verändert (siehe Spencer Harbar)
Doch auch das hatte nicht den gewünschten Effekt. 
Nach längerer Analyse des Netzwerk Traffics konnten wir feststellen, dass bei der Anfrage an den Domain Controller der Root Domain keine Antwort zurück kam. Standardmäßig werden LDAP Anfragen über den Port 389 gestellt. Das funktioniert aber nur innerhalb der Domain, NICHT ABER Domänenübergreifend.
Nun habe ich mich auf die Suche gemacht, über welchen Port man nun alle Domain Controller innerhalb eines Forrests erreichen kann.
LÖSUNG:
Port 636 (ldaps, LDAP over TLS/SSL) Also habe ich bei der Synchronisation Connection den Port von 389 auf 636 geändert und siehe da !!! Alle OUs konnten nun ohne Timeout aufgelöst und die gewünschten User synchronisiert werden.
Ich hoffe einigen unserer Leser mit diesem Artikel einiges an Zeit zu sparen 
so long
Ernst
