Hallo,
zuwenig Info, um das genau zu bestimmen. Schau mal auf:
http://www.eventid.net/display.asp?eventid=529&eventno=1&source=Security&phase=1
oder
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q239869
Die Ursache könnte zB Eventcomb oder ein Script sein, daß lediglich Logevents einsammelt, aber unter dem falschen Kontext läuft. Da Kerberos genannt ist, könnte es auch auf ein Authentifizierungsproblem hinweisen. Prüf mal bitte die Sicherheitseinstellungen, ob dort LM oder NTLM oder Kerberos explizit gesetzt ist oder verweigert wird. Ansonsten könnte es auch eine noch laufende Session eines Users sein - aber um 5 Uhr.. hm.. da würde ich dann eher auf einen Dienstaccount tippen, der sein Paßwort nicht mehr hat. Prüf also auch die Dienste auf dem System mal auf gültige Accounts. Ist die genannte IP die des Servers selbst?
Dann könnte es auch sein, daß es mit DNS zusammenhängt - in dem Fall mal mit nslookup die Auflösung auf FQDN prüfen. Sorry, daß ich es nicht genauer hinkriege aber es sind halt wenig Infos - more Input please ;o)=
Grüße,
Fritz