Tentativa de login inválido uma vez por minuto após uma migração de troca de site

Cenário bem estranho, mas talvez seja estranho para mim.

Eu tenho um servidor Windows 2008 que é o DC e o AD. O domínio é "thiscompany.com".

Até a semana passada, estávamos hospedando nossa própria troca. Na sexta-feira, migrei todos os nossos e-mails para um host externo. Nós recriamos todas as contas no novo host, apenas transferimos as necessidades (emails, calendários, contatos). Nenhum negócio engraçado, só queria tirá-lo do meu cabelo. Obviamente, eu apaguei todos os perfis do outlook nas máquinas e executei novamente a descoberta automática depois de mover os registros mx, etc. A coisa toda. O email funciona bem.

Aqui é onde fica pervertido. Desde então, cada usuário registra quase exatamente 1 tentativa de senha incorreta a cada minuto, mesmo quando eles já estão conectados (é difícil dizer, mas acho que pode ser somente quando eles são logado). Como nosso limite de login era 10, eles estavam sendo bloqueados em seus perfis sempre que faziam logoff.

Eu verifiquei os logs de eventos nas máquinas individuais e não há nenhum negócio engraçado que eu possa encontrar, embora o servidor registre eventos para as tentativas de senha incorreta (não os encontrei manualmente, usei o AD Audit Plus pelo ManageEngine para monitorá-los à medida que eles entram. Os logins ruins estão vindo definitivamente de seus computadores e não de um celular que tinha o login antigo ou algo assim.

Alguma idéia sobre o que pode estar causando isso?