Como posso rastrear a origem do bloqueio repetido de conta contra o servidor Exchange?

Eu tenho uma conta de usuário do AD que está sendo repetida e frequentemente bloqueada, eu consegui rastrear o bloqueio para a matriz CAS do servidor Exchange. No entanto, não sei como continuar a investigação. Os logs de eventos nos servidores do Exchange (2013) indicam que o bloqueio foi originado de msExchangeFrontEndTransport.exe, mas não indica de qual fonte a solicitação de autenticação original veio. Eu realmente gostaria de saber qualquer um dos seguintes (quanto mais, melhor): fonte de auth IP / nome do computador, fonte do método auth (ou seja, webmail, activesync, cliente Outlook, etc).

O log de eventos do que eu consegui pesquisar não indica nada que possa ajudar a rastrear o ponto de origem da solicitação de autenticação incorreta. Tenho 90% de certeza de que descartei qualquer um dos dispositivos portáteis do usuário, pois em um momento desligamos todos os dispositivos do usuário e o bloqueio ainda ocorreu, isso está acontecendo há semanas com mais de 600 tentativas de autenticação por dia . Eu renomei a conta de usuário como uma solução alternativa, mas eu realmente quero determinar de onde isso está vindo para fins de segurança. Esta é a única conta que está sofrendo dessa maneira. Qualquer idéia seria muito apreciada!