(respondendo minha própria pergunta com o resultado de uma chamada de suporte para a Microsoft)
É um bug no AD-LDS (ID do bugcheck 354126). Isso afeta o Windows Server 2008, eu não sei sobre o Server 2012.
O problema é que nenhuma notificação é enviada para as réplicas (nem urgente nem normal). Quando o bloqueio de conta é armazenado no banco de dados, o LDS não atualiza a lista de notificação global. Portanto, somente depois que a replicação programada entra em ação, a replicação ocorre.
Em volta, é para criar uma tarefa agendada que chama
repadmin /syncall localhost:389
Esta chamada gerará cerca de 42k de tráfego de rede se não houver nada para replicar.
A outra maneira de contornar o problema é ... não fazer nada. O bug permite que um invasor dobre sua chance de adivinhar uma senha. É difícil explorar porque os usuários geralmente não chamam o LDS diretamente. E mesmo se o fizessem, esse bug só dobraria suas chances.