Что заставляет мой контроллер домена регистрировать десятки успешных попыток аутентификации в секунду?

У нас есть домен примерно с 15 серверами и примерно 30 рабочими станциями. Серверы в основном 2008r2, а рабочие станции - в основном Windows 7. Два контроллера домена - 2012r2. Каждые несколько недель одна из наших учетных записей администратора блокируется. Я пытаюсь сузить причину и зашел в тупик.

Вот что у меня есть.

Журнал событий на PDC показывает событие 4776 - успех аудита:

Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account:  username
Source Workstation: 
Error Code: 0x0

Все для одного и того же имени пользователя и повторяются несколько раз в секунду.

Судя по идентификаторам событий, это учетные записи NTLM, а не Kerberos. Хотя меня меньше беспокоит используемый тип аутентификации, чем величина сдвига. Это происходит несколько раз в секунду и повторяется каждые пару секунд до бесконечности, днем, ночью или в выходные.

В журнале событий также отображаются идентификаторы успешных событий аудита 4624 (вход в систему) и 4634 (выход из системы) для этого имени пользователя, но, как и в случае вышеупомянутого события, поле «рабочая станция» пусто.

Я включил подробное ведение журнала netlogon, и netlogon.log показывает

02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation1) Entered
02/28 17:11:03 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation1) Returns 0x0
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Entered
02/28 17:11:04 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server1) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server1) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server2) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via server2) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation3) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation3) Returns 0x0
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Entered
02/28 17:11:19 [LOGON] [2044] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation2) Returns 0x0
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation4) Entered
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation5) Entered
02/28 17:11:19 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation4) Returns 0x0
02/28 17:11:19 [LOGON] [8468] domain: SamLogon: Transitive Network logon of domain\username from  (via workstation5) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server3) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server3) Returns 0x0
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server4) Entered
02/28 17:11:20 [LOGON] [5476] domain: SamLogon: Transitive Network logon of domain\username from  (via server4) Returns 0x0

И так далее. Очевидным источником этих входов (через XYZ) могут быть рабочие станции и серверы по всей сети.

Очевидно, это похоже на автоматизацию или сценарий. Поскольку все входы в систему обычно проходят успешно, я не считаю, что это попытка вторжения. Однако некоторые входы в систему время от времени не работают, но я не выявил какой-либо закономерности сбоя, и они происходят настолько редко, что (в большинстве дней) они не блокируют учетную запись. Код ошибки, если он есть, обычно 0xc0000022 (доступ запрещен)

Я отключил и удалил наш агент удаленного мониторинга (в настоящее время Kaseya, но мы, наконец, переходим к LabTech) с одного из серверов, но все еще видел новые события, исходящие с этого сервера, поэтому это исключает задачи автоматизации. Я также проверил планировщик задач на паре серверов и не нашел ничего необычного. Я проверил службы для проверки учетных записей, и эта учетная запись не используется ни в каких службах.

Я довольно долго запускал Netstat и видел в основном соединения с PDC из «Система» и «Процесс простоя системы». Я действительно видел случайные подключения от spoolsrv, lsass и ismserv (сервер, на котором я тестирую, является сервером Citrix XenApp, но других «исходных» серверов нет в ферме XenApp, и, конечно же, «исходных» рабочих станций тоже нет). Я остановил службу диспетчера очереди печати только для проверки, и это не повлияло на события входа в систему.

Я работаю в MSP, и это наша основная учетная запись администратора в домене, поэтому очень важно, чтобы она работала и была безопасной. Последняя оставшаяся у меня идея - сменить пароль и посмотреть, что ломается, но незнание того, какая учетная запись используется для этого, может иметь потенциально катастрофические последствия. Однако я подозреваю, что это может быть просто неправильно настроенный AD.

Кто-нибудь испытывал подобное раньше и мог определить источник?