Похоже, это обратная проблема, если судить по большинству вещей, которые я нашел в Интернете.
Я наблюдаю большое количество событий 4771 Kerberos, связанных с ошибками предварительной аутентификации, с кодом ошибки 0x18.
Это говорит мне, что это плохой пароль. Я проверяю учетную запись пользователя, и она не заблокирована, хотя она должна соответствовать порогу срабатывания GPO для блокировки учетной записи. Я запускаю инструмент блокировки AD, чтобы заметить, что AD указывает учетную запись с количеством неверных паролей 0, а последний неверный пароль был 2 дня назад. Я замечаю, что в нашей среде есть около 4740 событий, поэтому мы регистрируем события.
Как вы думаете, почему учетные записи генерируют 4771 событий сбоя предварительной аутентификации Kerberos, но не блокируются и не регистрируются как ненадежный пароль с помощью инструмента блокировки AD?
Event Code = 4771 && Error Code = 0x18
Count = 487 in the previous 10 minutes
Event Code = 4740
Count = 0
GPO:
Enforcement Password History = 5 passwords
Account Lockout Threshold = 5 invalid logon attempts