Este parece ser el problema inverso a la mayoría de las cosas que encontré en Internet.
Veo que se generan una gran cantidad de eventos de falla de autenticación previa de Kerberos 4771 y el código de error es 0x18.
Esto me dice que es una contraseña incorrecta. Verifico la cuenta del usuario y no está bloqueada a pesar de que debería alcanzar el umbral para activar el GPO para el bloqueo de la cuenta. Ejecuto la herramienta de bloqueo de AD para notar que AD enumera la cuenta con un recuento de contraseñas incorrectas de 0 y que la última contraseña incorrecta fue hace 2 días. Noto que hay unos 4740 eventos en nuestro entorno, por lo que estamos registrando los eventos.
¿Ideas sobre por qué las cuentas generan eventos de falla de autenticación previa 4771 de Kerberos pero no se bloquean ni se registran como una contraseña incorrecta con la herramienta de bloqueo de AD?
Event Code = 4771 && Error Code = 0x18
Count = 487 in the previous 10 minutes
Event Code = 4740
Count = 0
GPO:
Enforcement Password History = 5 passwords
Account Lockout Threshold = 5 invalid logon attempts