管理者アカウントはロックアウトされ続けます。イベントログとNetlogonログは、アカウントがロックアウトされていることを確認しますが、ソースコンピューター名が提供されていません(空白です)。以下のスクリーンショットは、イベントログとNetlogonログのものです。アカウントのロックアウトの原因を見つけるにはどうすればよいですか?ありがとう!
ローカルセキュリティポリシーでNTLM監査をオンにすることで、問題を解決できました。 (ローカルセキュリティポリシー\ローカルポリシー\セキュリティオプション\ NTLM監査の制限)
攻撃者がRDP認証をブルートフォースしてアクセスしようとしたようです。 NTLMから、RDPにアクセスできるコンピューターの名前がわかり、ロックダウンすることで問題を解決できました。
Netmonパケットキャプチャを実行し、イベントログエントリをキャプチャ内の接続試行と関連付けます。