Сбой аудита предварительной проверки подлинности Kerberos с клиентского порта, который не отображается в журнале

У меня есть пользователь, который блокируется почти каждый день. Я сделал все основы, очистив пароли менеджера учетных данных и браузера, однако я продолжаю видеть журналы событий, показывающие что-то вроде:

LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4771
EventType=0
Type=Information
ComputerName=domaincontroller.domain
TaskCategory=Kerberos Authentication Service
OpCode=Info
RecordNumber=2987911077
Keywords=Audit Failure
Message=Kerberos pre-authentication failed.

Account Information:
    Security ID:        domain\username
    Account Name:       username

Service Information:
    Service Name:       krbtgt/fully.qualified.domain

Network Information:
    Client Address:     ::ffff:IP Address
    Client Port:        50879

Additional Information:
    Ticket Options:     0x40810010
    Failure Code:       0x18
    Pre-Authentication Type:    2

Это всегда другой клиентский порт каждый раз. Очевидно, это говорит мне, что это делает служба krbtgt, но это потому, что этот журнал поступает с контроллера домена, а не с клиентской машины. Я настроил TCPLogView для запуска на компьютере пользователя, чтобы вести журнал всех портов, открытых и закрытых. Однако даже после запуска ни один из клиентских портов никогда не совпадает с портом в сгенерированном журнале.

Есть идеи, как отследить оскорбительный процесс / услугу?