События неудачного входа в учетную запись

У нас есть сервер под управлением SQL 2008 R1. У нас есть веб-сервер в демилитаризованной зоне, который через брандмауэр подключается к серверу SQL и выполняет отчеты служб отчетов SQL с использованием учетной записи пользователя домена.

На сервере SQL в журнале событий проводился аудит неудачных событий «Вход в учетную запись» (идентификатор события 680, код 0xC0000064) для этого пользователя домена. Однако для каждого из этих событий сбоя существует успешное событие входа / выхода (идентификатор события 540) для той же учетной записи домена. Следует отметить, что имя пользователя в событиях входа в учетную запись указывается как UPN username@domain.com), но имя пользователя в событиях входа / выхода указывается как DOMAIN \ Username. Эти события должны быть связаны с SSRS, поскольку это единственное соединение, которое должно использовать данную учетную запись.

Кроме того, при мониторинге нашего контроллера домена каждый раз, когда появляется одно из событий входа в систему, загрузка ЦП контроллера домена резко возрастает до 80% или выше. Я не уверен, связаны ли они между собой.

В моем исследовании все, что я прочитал, указывает на то, что события входа в учетную запись регистрируются контроллерами домена при аутентификации пользователя. Поэтому мои вопросы:

1. Почему мой SQL-сервер регистрирует события входа в систему, если они должны быть событием контроллера домена?
2. Почему UPN указывается в одном событии, а формат DOMAIN \ Username указан в другом событии?
3. Я не замечаю сбоев в работе своего приложения, поэтому неудачные попытки входа в систему не влияют на него. Почему это могло быть?

ОБНОВИТЬ:

У нас есть такое же веб-приложение, работающее в нашей интрасети. Я только заметил, что это приложение не вызывает генерации тех же событий. Когда это приложение подключается к SSRS, оно регистрирует пару успешных событий входа / выхода, но не регистрирует события входа в учетную запись вообще. Таким образом, похоже, что это связано с тем, что другой сервер находится в DMZ. Я также заметил, что события, генерируемые подключениями к интрасети, показывают Kerberos как используемый метод аутентификации. Однако успешные события входа / выхода, сгенерированные из подключений DMZ, указывают на NTLM.