I solved this and I'll share  my ignorance just in case it helps someone else:  It wasn't clear to me that passsync needed the search base on the IPA server rather than the search base for the ad server.  *facepalm*<br>
<br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Nate Marks</b> <span dir="ltr"><<a href="mailto:npmarks@gmail.com">npmarks@gmail.com</a>></span><br>Date: Fri, Dec 21, 2012 at 9:47 AM<br>
Subject: passync LDAP error in queryusername<br>To: <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br><br><br>32: no such object<br>deferring password change for newinclude<br><br><br>I'm baffled.  I think I made the search base exactly the same as the  DN I found in LDP.  Capitalized "OU" and DC.  no spaces.  <br>
<br>
the ad dn for the search base is 'OU=syncinclude,OU=syncroot,DC=testdomain,DC=corp'<br><br>it detected the password change for 'CN=newinclude,OU=syncinclude,OU=syncroot,DC=testdomain,DC=corp'<br><br>Any tips<br>

</div><br>