Exchange服务器导致域账号被频繁锁定

我公司部分域用户频繁账号被锁定。我使用lockoutstatus工具查看在这台服务器上Orig Lock ：PSGHLNTS002，。然后我在PSGHLNTS002服务器上查看事件日志，发现审核失败的日志信息显示账号是在[10.66.0.148]这台设备上验证失败。这台服务器是我们的外网邮件服务器。从这台服务器上查看审核失败日志如下：

帐户登录失败。

主题:
        安全 ID:                NETWORK SERVICE
        帐户名:                TMG01$
        帐户域:                IROOTECH
        登录 ID:                0x3e4

登录类型:                        3

登录失败的帐户:
        安全 ID:                NULL SID
        帐户名:                zhiyuan.此处省略@此处省略
        帐户域:                irootech.com

失败信息:
        失败原因:                未知用户名或密码错误。
        状态:                        0xc000006d
        子状态:                0xc000006a

进程信息:
        调用方进程 ID:        0x1084
        调用方进程名:        C:\Program Files\Microsoft Forefront Threat Management Gateway\wspsrv.exe

网络信息:
        工作站名:        TMG01
        源网络地址:        -
        源端口:                -

详细身份验证信息:
        登录进程:                Advapi  
        身份验证数据包:        Negotiate
        传递服务:        -
        数据包名(仅限 NTLM):        -
        密钥长度:                0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
        -“传递服务”指明哪些直接服务参与了此登录请求。
        -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。

以下是AD服务器的审核失败日志：请参考

Event ID:4771    logged:7/15/2020 6:51:21PM

Kerberos pre-authentication failed.

Account Information:
Security ID:  IROOTECH\zhiyuan.此处省略
Account Name:  zhiyuan.此处省略

Service Information:
Service Name:  krbtgt/IROOTECH.COM

Network Information:
Client Address: ::ffff:10.66.0.148
Client Port:  14185

Additional Information:
Ticket Options: 0x40810010
Failure Code:  0x18
Pre-Authentication Type: 2

Certificate Information:
Certificate Issuer Name:
Certificate Serial Number: 
Certificate Thumbprint:

Certificate information is only provided if a certificate was used for pre-authentication.

Pre-authentication types, ticket options and failure codes are defined in RFC 4120.

If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.

然后我在Exchange服务器上查看日志如下：

以下就是10.66.0.148 （邮件服务器）上的的安全审核失败日志，这该如何定位？我查了近期被锁定的账号有6个，目前基本都是这6个账号被频繁锁定，最终指定锁定进程都是wspsrv.exe.  而且通过日志查看，在同一时间还有固定的几个用户同时通过0.148访问wspsrv.exe。但是他们没有被锁定。

进程信息:
        调用方进程 ID:        0x1084
        调用方进程名:        C:\Program Files\Microsoft Forefront Threat Management Gateway\wspsrv.exe

安全 ID:                NETWORK SERVICE
        帐户名:                TMG01$
        帐户域:                IROOTECH
        登录 ID:                0x3e4

登录类型:                        3

登录失败的帐户:
        安全 ID:                NULL SID
        帐户名:                zhiyuan.此处省略@此处省略
        帐户域:                irootech.com

失败信息:
        失败原因:                未知用户名或密码错误。
        状态:                        0xc000006d
        子状态:                0xc000006a

进程信息:
        调用方进程 ID:        0x1084
        调用方进程名:        C:\Program Files\Microsoft Forefront Threat Management Gateway\wspsrv.exe