Поскольку Kerberos обменивается сообщениями, я всегда проверяю, что SPN's сервера (Сервисные Имена Принципала) не дублирован. Kerberos, кажется, использует SPN's для присоединения к пользователю/учетным записям компьютера, не name/CN/samaccountname. ADSIEdit может использоваться для наблюдения SPN's и поиск простофиль.
Смотрите на Журнал событий безопасности сервера LDAP, с которым Вы соединяетесь. Если настройки Аудита компьютера включают успех события Account Logon и отказ, необходимо получить больше информации относительно того, почему учетная запись, по-видимому, заблокирована.
Можно также хотеть попытаться войти в систему с инструментом LDP.EXE поддержки.
Точная ошибка может изменить значение также - приложение может интерпретировать любой отказ входа в систему указать, что пароль учетной записи истек.
Между аудитом и сборами сетевых данных, Вы, вероятно, сможете узнать то, что работает и что не.