Há um problema estranho e confuso (para mim e para os usuários) que assola a autenticação. Eu não sei há quanto tempo isso está ocorrendo, mas acredito que seja um bom tempo. Apenas recentemente, com o uso da ferramenta Account Lockout, percebi que esses problemas de autenticação às vezes são causados por uma falha no sistema, e não por erro do usuário.
O que acontece é que um usuário autentica corretamente, mas o sistema rejeita sua senha. Desejo repetir: eles fazem login com o nome de usuário, senha e domínio corretos. Isso não é dedilhado de gordura; não é um problema do cliente; não é erro do usuário; não é uma senha expirada; não é específico para nenhum serviço.
O comportamento quando um usuário autentica corretamente é que o CD redefine a contagem de "falha no login" para zero. Quando eles falham, ele é incrementado e define o tempo da "última falha". Mas quando esta falha ocorre, nenhum dos dois acontece; a tentativa de autenticação é rejeitada, mas a contagem não aumenta em 1, nem é redefinida, e o último tempo de falha não muda.
O problema ocorre em vários dispositivos e serviços. Hoje eu tive um aluno não consegue fazer login em vários computadores, bem como webmail. Eu comparei os logs de eventos do computador e do DC; Eu não vejo diferença entre os eventos quando o usuário foi erroneamente rejeitado (e a contagem de falhas não subiu) e quando ela foi rejeitada corretamente porque eu tinha digitado errado a senha de propósito.
Eu mesmo fiz isso, tentando fazer login na conta recém-criada de um aluno (usando um esquema de senha conhecido). Eu tive que acontecer com os usuários em muitos dos serviços que autenticam através do AD. Isso aconteceu com funcionários, professores e alunos. Tanto quanto eu posso dizer, isso é um problema de autenticação diretamente nos DCs; algo anormal com a conta, mas não um dos culpados típicos da senha expirada, desativada, etc.
A redefinição da senha corrige o problema. O problema simplesmente desaparece. Mas a frequência do problema (cerca de 8-10 casos apenas esta semana, de no máximo 100 redefinições de senha de rede) me leva a acreditar que é um problema sério.
Não sei há quanto tempo esse problema está ocorrendo. Sem usar a ferramenta Account Lockout, eu nunca teria visto que a contagem de erros estava falhando em incrementar e, portanto, supus que o usuário estava errado sobre o conhecimento da senha. Tive muitas ocorrências em que os usuários juraram que sabiam seu login e "funcionaram ontem". Eu não sei quantas dessas vezes era verdade, se é que alguma vez. Mesmo depois de receber a ferramenta, várias ocorrências e vários meses do problema ocorreram antes que eu acreditasse que era um problema real. Até que eu realmente tivesse acontecido comigo, digitando a senha inicial do aluno e vendo a contagem de falhas falhar, eu realmente acreditei.
Nosso ambiente de AD é principalmente no Windows server 2008. Alguns DCs ainda são Server 2003. O ambiente é um único domínio. Se houver outros detalhes técnicos relevantes necessários para solução de problemas, entre em contato.
Editar : como a resposta aceita mostra, foi realmente erro do usuário . O evento que 'provou' para mim que era um problema real foi quando eu entrei em uma conta recém-criada e ela falhou sem incrementar a contagem de senha incorreta. Temos padrões para novas contas e para o qual redefinir senhas. Provavelmente outro administrador ignorou o padrão e redefiniu a senha desse usuário para outra coisa. Quando tentei efetuar login no novo usuário, e a senha incorreta não aumentou (mas fui rejeitado), achei que era uma prova de um problema. Muito do Google não conseguiu encontrar uma página descrevendo as situações em que a contagem de senha incorreta não aumenta ... esperamos que essa resposta ajude outra pessoa no futuro.