Procure (como em, aplique um filtro) no log de eventos de segurança em seus controladores de domínio para EventCode 675, EventType 16. Isso equivale a "Pré-autenticação falhou", que parece ser o precursor do EventCode 644, EventType 8 - "Conta de usuário bloqueada".