我将尽可能多地包含细节，但请考虑以下情况：

出于隐私考虑，假设我有如下活动目录基础结构：

microsoft.com
以及一些子域：
csharp.microsoft.com
vb.microsoft.com网站

所有用户帐户都存储在microsoft.com上。

我用下面的代码开始我的代码：

import ldap
ldap.set_option(ldap.OPT_REFERRALS,0)
ldap.set_option(ldap.OPT_X_TLS_REQUIRE_CERT,ldap.OPT_X_TLS_NEVER)

（我知道我应该有域名证书，但你能做什么）

然后我建立如下连接：

conn = ldap.initialize("ldaps://microsoft.com:636")
conn.simple_bind_s("user","pass")

在我的脚本中，我正在搜索用户帐户，并使用以下搜索：

result_id = conn.search("DC=microsoft,DC=com",
                                ldap.SCOPE_SUBTREE,
                                "(&(CN=gates)(!(objectClass=contact)))",
                                None)
result_type,result_data = conn.result(result_id,0)

好的，太好了，所以这很管用……大多数时候。
当它真的起作用时，我得到的效果是：

[("CN=gates,OU=Users,DC=microsoft,DC=com", {'sAMAccountName':['gates']}])

然而，似乎是随机的，我会得到如下结果：

[(None, ['ldaps://csharp.microsoft.com/DC=csharp,DC=microsoft,DC=com'])]

虽然结果是有意义的-gates不存在于csharp.microsoft.com，他存在于microsoft.com DC-这仍然非常令人费解，因为我的印象是，使用OPT_REFERRALS设置为0将告诉Python LDAP模块不要使用REFERRALS。 为了使事情更有趣，我有时也会得到如下结果：

[(None, ['ldaps://ForestDnsZones.microsoft.com/DC=ForestDnsZones,DC=microsoft,DC=com'])]

所以我的问题-我做错什么了吗？

另外，有人建议，如果我使用“OU=Users，DC=microsoft，DC=com”这样的搜索路径，而不只是从根目录（“DC=microsoft，DC=com”）搜索，那么LDAP客户机模块将不会尝试使用引用-这准确吗？

编辑

结果发现，这个问题与LDAP无关，而是WSGI mis配置。 使用WSGIDaemonProcess解决了我们遇到的交叉污染问题。