Mit ActiveDirectory verbinden von ausserhalb der Domäne

Hallo zusammen!

Hab kein AD-spezifisches Subforum gefunden und poste daher hier.
Folgendes C#-Programm funktioniert wie erwartet, wenn es auf dem DC oder einem Member Server ausgeführt wird:

using System;
using System.DirectoryServices;

namespace Tests.LDAP {
    class Program {
        static void Main(string[] args) {
            var server = "dc.domain.example.com";
            var port = 636;
            var container = "CN=Users,DC=domain,DC=example,DC=com";
            var path = $"LDAP://{server}:{port}/{{0}}{container}";
            var user = "Administrator@domain.example.com";
            var password = "s0m3p4ssw0rd";
            var de = new DirectoryEntry(string.Format(path, "CN=User Name,"), user, password, AuthenticationTypes.SecureSocketsLayer);
            var prop = de.Properties["cn"]; // <-- Hier wird die Exception geworfen
            Console.WriteLine($"cn: {prop}");
            Console.ReadKey();
        }
    }
}

Wenn ich das Programm aber ausserhalb der Domäne laufen lasse, wird folgende Exception geworfen:

Unhandled Exception: System.Runtime.InteropServices.COMException: The server is not operational.
   at System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)
   at System.DirectoryServices.DirectoryEntry.Bind()
   at System.DirectoryServices.DirectoryEntry.get_AdsObject()
   at System.DirectoryServices.PropertyValueCollection.PopulateList()
   at System.DirectoryServices.PropertyValueCollection..ctor(DirectoryEntry entry, String propertyName)
   at System.DirectoryServices.PropertyCollection.get_Item(String propertyName)
   at Tests.LDAP.Program.Main(String[] args) in C:\source\Tests\Tests.LDAP\Program.cs:line 17

Wenn ich mit Apache Directory Studio mit folgenden Einstellungen verbinde, funktioniert alles problemlos:
Edit Abt: Bilder-Links entfernt.

Es muss sich also um ein Library- oder ein API-Benutzungsproblem handeln.
Hat hier jemand einen Tipp, wie ich das zum Laufen bekommen kann?

Willst Du (Dich) in einer Applikation authentifizieren, die auf einem Rechner betrieben wird, die NICHT teil der Domäne ist, dann kannst Du kein Kerberos (LDAP) verwenden.
Das ist schlicht und einfach nicht möglich (oder ein nicht offiziell unterstützterer Workaround).

Das geht nur über ein OpenID-Verfahren entweder mit Azure Active Directory oder mit einem Active Directory und einem ADFS (Active Directory Federation Services).
Letzter muss aus der Domäne betrieben werden; kann aber OpenID Tokens nach Außen geben und ist quasi der Übersetzer zwischen Kerberos und OpenId.

Hallo Abt! Vielen Dank für deine schnelle Antwort!

Ich muss per LDAPS auf das Directory zugreifen, auch von ausserhalb der Domäne.
Kerberos ist dafür offensichtilich nicht notwendig, da es mit Apache Directory Studio ebenfalls geht (ohne Kerberos)

Wenn ihr dieses Szenario habt, was so nicht empfohlen ist, dann setze AuthenticationTypes auf Encryption.

Secure verwendet den internen NTLM Provider; also den Sicherheitskontext des aktuell am Windows angemeldeten Benutzers - das willst / hast Du ja nicht.
SecureSocketsLayer das gleiche; aber über SSL.

Bitte beachte [Hinweis] Wie poste ich richtig? und verlinke keinen externen Bilder, sondern lade sie als Attachment hoch.
Ich habe die Links entsprechend entfernt.

Ah, tut mir leid wegen der Bilder, hab sie nun angehängt.

Hab nun AuthenticationTypes.SecureSocketsLayer in AuthenticationTypes.Encryption geändert und bekomme immer noch die gleiche Exception geschmissen. Aber gemäss AuthenticationTypes Enum hat der Enum-Member ohnehin den gleichen Wert?

Hier noch das zweite Bild

Hast du mal versucht das Protokol in deinem C# Code auf ldaps:// zu stellen?
In dem Apache Directory Studio steht dort zumindest ldaps://

Klappt auch nicht, dann kommt nur ein System.Runtime.InteropServices.COMException: 'Unknown error (0x80005000)' an der gleichen Stelle.

Zum Nachtrag: Es lag dann schlussendlich doch an einem ungültigen Zertifikat.