帐户login事件失败

我们有一台运行SQL 2008 R1的服务器。 我们在DMZ中有一个Web服务器，它通过防火墙连接到SQL服务器，并使用域用户帐户执行SQL Reporting Services报告。

在SQL服务器上，事件日志已经为该域用户审核失败的“帐户login”事件（事件ID 680，代码0xC0000064）。 但是，对于这些失败事件中的每一个，都有一个成功的login/注销事件（事件ID 540）为同一个域帐户。 应该注意，帐户login事件中的用户名被指定为UPN [email protected]），但login/注销事件中的用户名被指定为DOMAIN \ Username。 这些事件必须与SSRS相关，因为这是应该使用该帐户的唯一连接。

此外，在监视我们的域控制器时，每次出现帐户login事件之一时，域控制器CPU使用率都会高达80％或更高。 我不确定这两者是否有关系。

在我的研究中，我读过的所有内容都表明，在对用户进行身份validation时，帐户login事件由域控制器logging。 所以我的问题是：

• 崩溃的域控制器硬盘确定
• 新的Exchange 2010 CAS无法find域控制器
• 带SSL的LDAP的ISAPI筛选器只能用作pipe理员
• 通过组策略本地帐户locking
• LdapErr：DSID-0C0903AA，数据52e：使用pam_ldap对AD '08进行身份validation

1. 为什么我的SQL服务器logging帐户login事件，如果他们应该是一个域控制器事件？
2. 为什么在一个事件中指定了UPN，而在另一个事件中指定了DOMAIN \ Username格式呢？
3. 我没有注意到我的应用程序有任何中断，所以失败的login不会影响它。 为什么会这样？

更新：

我们在Intranet上也有相同的Web应用程序。 我只是注意到，这个应用程序不会导致这些相同的事件被生成。 当该应用程序连接到SSRS时，它会logging一些成功的login/注销事件，但根本没有帐户login事件。 因此，这似乎与DMZ中的其他服务器有关。 我还注意到由Intranet连接生成的事件显示Kerberos作为使用的身份validation方法。 但是，从DMZ连接生成的成功login/注销事件指示NTLM。