帐户登录失败事件

我们有一台运行 SQL 2008 R1 的服务器。我们在 DMZ 中有一个 Web 服务器，它通过防火墙连接到 SQL 服务器，并使用域用户帐户执行 SQL Reporting Services 报告。

在 SQL 服务器上，事件日志一直在审核此域用户的失败“帐户登录”事件（事件 ID 680，代码 0xC0000064）。但是，对于每个失败事件，同一个域帐户都有一个成功的登录/注销事件（事件 ID 540）。需要注意的是，帐户登录事件中的用户名被指定为 UPN[电子邮件保护])，但登录/注销事件中的用户名指定为 DOMAIN\Username。这些事件必须与 SSRS 相关，因为这是唯一应该使用相关帐户的连接。

此外，在监控我们的域控制器时，每次出现帐户登录事件之一时，域控制器 CPU 使用率就会飙升至 80% 或更高。我不确定这两者是否有关联。

在我的研究中，我读到的所有内容都表明，在对用户进行身份验证时，域控制器会记录帐户登录事件。因此，我的问题是：

1. 如果我的 SQL 服务器应该将帐户登录事件视为域控制器事件，那为什么它要记录该事件呢？
2. 为什么在一个事件中指定了 UPN，但在另一个事件中指定了 DOMAIN\Username 格式？
3. 我没有注意到我的应用程序有任何中断，因此登录失败不会影响它。为什么会这样？

更新：

我们的 Intranet 上也运行着相同的 Web 应用程序。我刚刚注意到，此应用程序不会导致生成这些相同的事件。当该应用程序连接到 SSRS 时，它会记录几个成功的登录/注销事件，但根本没有帐户登录事件。因此，这似乎与 DMZ 中的另一台服务器有关。我还注意到，Intranet 连接生成的事件显示 Kerberos 是使用的身份验证方法。但是，从 DMZ 连接生成的成功登录/注销事件指示 NTLM。