Hallo Arthur,
zum Testen ist das kein Problem, im Produktivsystem sollte ein solcher Server nicht im internen Netz stehen, sondern in einer DMZ.
Da der LDAP auf Port 389 funktioniert, auf 636 aber nicht, liegt es ab selbst-signierten Zertifikat des Servers.
Also entweder ein ordentliches Zertifikat für Samba (auf dem Server) verwenden oder alternativ auf dem Nextcloudserver in der Datei /etc/ldap/ldap.conf die Zeile TLS_REQCERT never einfügen und den NC-Server neu starten.
Grüße
Sven