ロックアウトされ続けるアカウント(ドメインアカウント)を持っています。
最後の不正ログインがいつ発生し、不正ログイン数が5であるかを確認できます。判断したいのは、不正ログインの原因となっているマシンのIPアドレスです。
どうすればこれを見つけることができますか?
まず、ログオン失敗の監査を有効にする必要があります。慣例として、私は常にそれを強制されたデフォルトのドメインポリシーに入れましたが、少なくともそれをドメインコントローラに適用する必要があります。このエントリは、Audit Account Logon Eventsと呼ばれ、デフォルトでは、何らかの理由で成功をログに記録するだけです。この設定に関する情報は、TechnetのMicrosoft から入手できます。
これを有効にすると、ログインを処理するドメインコントローラーのセキュリティログに必要な情報が含まれます。具体的には、ログオン/ログオフイベントの失敗の監査を確認します。ユーザー名は、ユーザーと呼ばれる列である必要があります。この列を使用すると、検索を容易にするために並べ替え/フィルタリングできます。