Добрый день. С недавнего времени внутри организации ввели политику паролей, которая блокирует учетную запись, если 10 раз неправильно введен пароль. После этого периодически начали блокироваться учетные записи. В логах контроллера домена в качестве имени вызывающего компьютера указан exchange сервер. Если на почтовике смотреть в логи веб подключений C:\inetpub\logs\LogFiles\W3SVC1, то периодически видно, что у пользователей пытаются подключиться смартфоны со старым паролем, код ошибки 401. Такие вещи мы отлавливаем и устраняем. Но бывают случаи, что учетная запись заблокирована, а в этом логе все пользовательские события с кодом 200. Как выявить источник подключения, какие еще логи глянуть на почтовике? Может у кого-то есть подобный опыт.
