- um recurso compartilhado (um disco mapeado, por exemplo) tenta fazer o acesso com uma senha antiga após uma mudança de senha;
- uma tarefa agendada ou serviço é executado com uma senha antiga após uma mudança de senha;
- um vírus ou malware está tentando uma ataque de dicionário ou força bruta.

Caso contas estejam sendo travadas em seu AD, desconfie e investigue! Algumas linhas interessantes para a investigação:

1) Verifique na Default Domain Policy qual a política padrão para travamento de conta por tentativas sucessivas incorretas de senha. Para acessar as configurações da Default Domain Policy, Start > Administrative Tools > Default Domain Policy. Dentro da tela de edição de Default Domain Policy, verificar o seguinte nó:

As três configurações desta política são:

Account lockout duration – quanto tempo (minutos) uma conta travada permanece travada (vai de 1 até 99.999 minutos);
Account lockout threshold – quanto logons falhos levará até uma conta ser travada (vai de 1 até 99.999 tentativas de logon);
Reset account lockout counter after – quantos minutos levará após uma tentativa falha de logon até que o contador de logons inválidos seja zerado.

Notar ainda os seguintes casos especiais:

- Account lockout duration = 0 significa que a conta permanecerá travada até que o administrador a desbloqueie;
- Account lockout threshold = 0 significa que as contas não serão nunca travadas por tentativas de logon incorretas.

Configurações incorretas de política podem ser a causa do problema e devem ser o primeiro foco de investigação.

2) Verifique o histórico de travamento da conta, visando identificar de onde partem as tentativas incorretas de acesso a recursos. A Microsoft fornece um pacote de ferramentas que ajuda nesta investigação. O pacote se chama Account Lockout Tools (http://www.microsoft.com/downloads/details.aspx?FamilyID=7af2e69c-91f3-4e63-8629-b999adde0b9e&displaylang=en)

3) Verfique os eventos em seus DCs. Muitas ocorrências do Evento 675 provavelmente indicam presença de vírus como o Conficker. É comum que esse tipo de ameaça tente se apropriar de contas do domínio para intensificar ataques. Garanta que as atualizações do Microsoft Update estão instaladas.

4) Execute um sniffer de rede como o Microsoft Network Monitor (http://www.microsoft.com/downloads/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en) e busque por pacotes “estranhos” que não se refiram a tráfego normal de rede. Geralmente a maior parte do tráfego está relacionado com tráfego HTTP, tráfego SMB (compartilhamentos de arquivos) e requisições de logon. Desconfie de  tráfego que fuja muito deste perfil.