Этих точек распространения сотни было, что ли?
Хз, во время загрузки на контроллере для MS снимали дампы процесса LSASS.exe, который, три дампа через 10-15 секунд. В них нашлось 14 рабочих станций. Если бы за все время проблемы смотреть (2-3 минуты), то там наверняка было бы намного больше, а раб.станций у нас тысячи.
Ну и дело не столько в количестве, сколько в глубине запроса, с момента запроса до момента окончания сбора данных прошла 31 секунда, тем не менее klnagent все еще не получил всю информацию от контроллера домена (закончилась запись трафика). Т.е. запрос очень большой и долгий. Косяк какой-то в агенте, получается.
Можно подробней про точки распространения, не совсем понял.
Хз, я Каспером не занимаюсь, не могу ничего сказать, видимо рабочие станции работают как точки распространения каких-то команд или ПО с сервера Каспера.