Verifique seus logs do IIS para ver se isso revela alguma coisa.
De interesse particular nos registros pode ser o código de status HTTP, mas os URLs que eles estão navegando podem ser interessantes caso haja algum problema em que seus usuários estejam sendo devolvidos incorretamente entre servidores e a autenticação não esteja sendo passada corretamente , ou mesmo de todo.
Eu realmente não analisei muito os logs do IIS do Exchange 2010, mas se os usuários estiverem sendo direcionados para uma página semelhante a you-put-your-password-in-wrong-you-numpty.aspx
, essa provavelmente seria sua resposta definitiva. Com toda a seriedade, no entanto, se você intencionalmente se autenticar incorretamente e ver o que parece nos logs do IIS, talvez veja um padrão semelhante para outros usuários (estou pensando em direcionar para a página de logon com alguns parâmetros específicos na string de consulta login.aspx?reason=xxx
).