Este parece ser o problema inverso da maioria das coisas que encontrei na internet.
Estou vendo um grande número de eventos de falha de pré-autenticação Kerberos 4771 sendo gerados e o código de erro é 0x18.
Isso me diz que é uma senha incorreta. Verifico a conta do usuário e ela não está bloqueada, embora deva atingir o limite para acionar o GPO para bloqueio de conta. Eu executo a ferramenta AD Lockout para perceber que o AD lista a conta com uma contagem de senha incorreta de 0 e a última senha incorreta é de 2 dias atrás. Percebo que há cerca de 4.740 eventos em nosso ambiente, então estamos registrando os eventos.
Ideias sobre por que as contas estão gerando eventos de falha de pré-autenticação 4771 Kerberos, mas não são bloqueadas ou registradas como uma senha incorreta com a ferramenta AD Lockout?
Event Code = 4771 && Error Code = 0x18
Count = 487 in the previous 10 minutes
Event Code = 4740
Count = 0
GPO:
Enforcement Password History = 5 passwords
Account Lockout Threshold = 5 invalid logon attempts